Aracılığıyla paylaş

Bilinen Sorun Geri Alma dağıtmak için Grup İlkesi'ni kullanma

  • Makale

Bu makalede, Grup İlkesi'nin yönetilen cihazlarda KIR'yi etkinleştiren Bilinen Sorun Geri Alma (KIR) ilke tanımını kullanacak şekilde nasıl yapılandırıldığı açıklanır.

Şunlar için geçerlidir: Windows Server (Tüm desteklenen sürümler), Windows istemcisi (Tüm desteklenen sürümler)

Özet

Microsoft, Windows Server 2019 ve Windows 10, sürüm 1809 ve sonraki sürümler için KIR adlı yeni bir Windows hizmet teknolojisi geliştirmiştir. Desteklenen Windows sürümleri için KIR, güvenlikle ilgili olmayan bir Windows Update sürümünün parçası olarak uygulanan belirli bir değişikliği geri alır. Bu sürümün bir parçası olarak yapılan diğer tüm değişiklikler değişmeden kalır. Bu teknolojiyi kullanarak, bir Windows güncelleştirmesi regresyona veya başka bir soruna neden oluyorsa, güncelleştirmenin tamamını kaldırmanız ve sistemi bilinen son iyi yapılandırmaya döndürmeniz gerekmez. Yalnızca soruna neden olan değişikliği geri alırsınız. Bu geri alma geçicidir. Microsoft sorunu düzelten yeni bir güncelleştirme yayınladıktan sonra geri alma işlemi artık gerekli değildir.

Önemli

KIR'ler yalnızca güvenlikle ilgili olmayan güncelleştirmeler için geçerlidir. Bunun nedeni, güvenlikle ilgili olmayan bir güncelleştirme için düzeltmenin geri döndürülmesi olası bir güvenlik açığı oluşturmaz.

Microsoft, kurumsal olmayan cihazlar için KIR dağıtım işlemini yönetir. Microsoft, kurumsal cihazlar için KIR ilke tanımı MSI dosyaları sağlar. Kuruluşlar daha sonra karma Microsoft Entra Id veya Active Directory Etki Alanı Services (AD DS) etki alanlarında KIR'leri dağıtmak için Grup İlkesi'ni kullanabilir.

Not

Bu Grup İlkesi değişikliğini uygulamak için etkilenen bilgisayarları yeniden başlatmanız gerekir.

KIR işlemi

Microsoft, güvenlikle ilgili olmayan bir güncelleştirmede kritik bir regresyon veya benzer bir sorun olduğunu belirlerse, Microsoft bir KIR oluşturur. Microsoft, Windows Sistem Durumu Panosu'nda KIR'yi duyurur ve bilgileri aşağıdaki konumlara ekler:

Kurumsal olmayan müşteriler için Windows Update işlemi KIR'yi otomatik olarak uygular. Kullanıcı müdahalesi gerekli değildir.

Microsoft, kurumsal müşteriler için bir ilke tanımı MSI dosyası sağlar. Kurumsal müşteriler, kurumsal Grup İlkesi altyapısını kullanarak KIR'yi yönetilen sistemlere yayabilir.

KIR MSI dosyasının bir örneğini görmek için Windows 10 (2004 & 20H2) Bilinen Sorun Geri Alma 031321 01.msi indirin.

KIR ilke tanımının kullanım ömrü sınırlıdır (en fazla birkaç ay). Microsoft, özgün sorunu gidermek için değiştirilmiş bir güncelleştirme yayımladıktan sonra KIR artık gerekli değildir. İlke tanımı daha sonra Grup İlkesi altyapısından kaldırılabilir.

Grup İlkesi'ni kullanarak KIR'yi tek bir cihaza uygulama

Tek bir cihaza KIR uygulamak üzere Grup İlkesi'ni kullanmak için şu adımları izleyin:

  1. KIR ilke tanımı MSI dosyasını cihaza indirin.

    Önemli

    .msi dosya adında listelenen işletim sisteminin güncelleştirmek istediğiniz cihazın işletim sistemiyle eşleştiğinden emin olun.

  2. cihazda .msi dosyasını çalıştırın. Bu eylem, KIR ilke tanımını Yönetim Şablonu'na yükler.
  3. Yerel Grup İlkesi Düzenleyicisi'ni açın. Bunu yapmak için Başlat'ı seçin ve gpedit.msc girin.
  4. Yerel Bilgisayar İlkesi>Bilgisayar Yapılandırması>Yönetim Şablonları>KB ####### Sorunu XXX Geri>Alma Windows 10, sürüm YYMM'yi seçin.

    Not

    Bu adımda, ####### soruna neden olan güncelleştirmenin KB makale numarasıdır. XXX sorun numarası , YYMM ise Windows 10 sürüm numarasıdır.

  5. İlkeye sağ tıklayın ve ardından Devre Dışı Tamam'ı düzenle'yi>> seçin.
  6. Cihazı yeniden başlatın.

Yerel Grup İlkesi Düzenleyicisi'ni kullanma hakkında daha fazla bilgi için bkz . Yerel Grup İlkesi Düzenleyicisi'ni kullanarak Yönetim Şablonu ilke ayarlarıyla çalışma.

Grup İlkesi'ni kullanarak karma Bir Microsoft Entra Id veya AD DS etki alanındaki cihazlara KIR uygulama

Karma bir Microsoft Entra Id veya AD DS etki alanına ait cihazlara KIR ilke tanımı uygulamak için şu adımları izleyin:

  1. KIR MSI dosyalarını indirme ve yükleme
  2. Grup İlkesi Nesnesi (GPO) oluşturun.
  3. GPO'ya uygulanan bir WMI filtresi oluşturun ve yapılandırın.
  4. GPO ve WMI filtresini bağlayın.
  5. GPO'yu yapılandırın.
  6. GPO sonuçlarını izleyin.

1. KIR MSI dosyalarını indirme ve yükleme

  1. Güncelleştirmeniz gereken işletim sistemi sürümlerini belirlemek için KIR sürüm bilgilerini veya bilinen sorunlar listelerini denetleyin.
  2. Etki alanınız için Grup İlkesi'ni yönetmek için kullandığınız bilgisayara güncelleştirmeniz gereken KIR ilke tanımını .msi dosyaları indirin.
  3. .msi dosyalarını çalıştırın. Bu eylem, KIR ilke tanımını Yönetim Şablonu'na yükler.

    Not

    İlke tanımları C:\Windows\PolicyDefinitions klasörüne yüklenir. Grup İlkesi Merkezi Mağazası'nı uyguladıysanız,.admx ve .adml dosyalarını Central Store'a kopyalamanız gerekir.

2. GPO oluşturma

  1. Grup İlkesi Yönetim Konsolu'nu açın ve orman: DomainName Etki Alanları'nı> seçin.
  2. Etki alanı adınıza sağ tıklayın ve ardından Bu etki alanında GPO oluştur'u seçin ve buraya bağlayın.
  3. Yeni GPO'nun adını girin (örneğin, KIR Sorunu XXX) ve ardından Tamam'ı seçin.

GPO oluşturma hakkında daha fazla bilgi için bkz . Grup İlkesi Nesnesi Oluşturma.

3. GPO'ya uygulanan bir WMI filtresi oluşturma ve yapılandırma

  1. WMI Filtreleri'ne sağ tıklayın ve Yeni'yi seçin.

  2. Yeni WMI filtreniz için bir ad girin.

  3. TÜM Windows 10, sürüm 2004 cihazlarına filtre uygula gibi WMI filtrenizin açıklamasını girin.

  4. Ekle'yi seçin.

  5. Sorgu'da aşağıdaki sorgu dizesini girin:

    SELECT version, producttype from Win32_OperatingSystem WHERE Version = <VersionNumber>

    Önemli

    Bu dizede VersionNumber>, <GPO'ya uygulanmasını istediğiniz Windows sürümünü temsil eder. Sürüm numarası aşağıdaki biçimi kullanmalıdır (dizedeki sayıyı kullandığınızda köşeli ayraçları hariç tutun):

    10.0.xxxxx

    burada xxxxx beş basamaklı bir sayıdır. Şu anda KIR'ler aşağıdaki sürümleri destekler:

    Sürüm Derleme numarası
    Windows 10, sürüm 20H2 10.0.19042
    Windows 10, sürüm 2004 10.0.19041
    Windows 10, sürüm 1909 10.0.18363
    Windows 10, sürüm 1903 10.0.18362
    Windows 10, sürüm 1809 10.0.17763

    Windows sürümlerinin ve derleme numaralarının güncel listesi için bkz . Windows 10 - sürüm bilgileri.

    Önemli

    Windows 10 sürüm bilgileri sayfasında listelenen derleme numaraları 10.0 ön ekini içermez. Sorguda derleme numarası kullanmak için 10.0 ön ekini eklemeniz gerekir.

WMI filtreleri oluşturma hakkında daha fazla bilgi için bkz . GPO için WMI Filtreleri Oluşturma.

  1. Daha önce oluşturduğunuz GPO'yı seçin, WMI Filtreleme menüsünü açın ve yeni oluşturduğunuz WMI filtresini seçin.
  2. Filtreyi kabul etmek için Evet'i seçin.

5. GPO'yu yapılandırma

KIR etkinleştirme ilkesini kullanmak için GPO'nuzu düzenleyin:

  1. Daha önce oluşturduğunuz GPO'ya sağ tıklayın ve düzenle'yi seçin.
  2. Grup İlkesi Düzenleyicisi'nde GPOName>Bilgisayar Yapılandırması>Yönetim Şablonları>KB ####### Sorunu XXX Geri>Alma Windows 10, sürüm YYMM'yi seçin.
  3. İlkeye sağ tıklayın ve ardından Devre Dışı Tamam'ı düzenle'yi>> seçin.

GPO'ları düzenleme hakkında daha fazla bilgi için bkz . GPMC'den Grup İlkesi nesnesini düzenleme.

6. GPO sonuçlarını izleme

Grup İlkesi'nin varsayılan yapılandırmasında, yönetilen cihazların yeni ilkeyi 90-120 dakika içinde uygulaması gerekir. Bu işlemi hızlandırmak için etkilenen cihazlarda çalıştırarak gpupdate güncelleştirilmiş ilkeleri el ile de kontrol edebilirsiniz.

Etkilenen her cihazın ilkeyi uygulandıktan sonra yeniden başlatıldığından emin olun.

Önemli

Sorunu ortaya çıkartan düzeltme, cihaz ilkeyi uyguladığında ve ardından yeniden başlatıldıktan sonra devre dışı bırakılır.

Yönetilen cihazlara Microsoft Intune ADMX ilkesi alımını kullanarak KIR etkinleştirmesi dağıtma

Not

Bu bölümdeki çözümleri kullanmak için 26 Temmuz 2022 veya sonraki bir sürümde yayımlanan toplu güncelleştirmeyi bilgisayara yüklemeniz gerekir.

Grup İlkeleri ve GPO'lar, Microsoft Intune gibi mobil cihaz yönetimi (MDM) tabanlı çözümlerle uyumlu değildir. Bu yönergeler, ADMX alımı için Intune özel ayarlarını kullanma ve GPO gerektirmeden KIR etkinleştirmesi gerçekleştirmek için ADMX destekli MDM ilkelerini yapılandırma konusunda size yol gösterir.

Intune tarafından yönetilen cihazlarda KIR etkinleştirmesi gerçekleştirmek için şu adımları izleyin:

  1. ADMX dosyalarını almak için KIR MSI dosyasını indirin ve yükleyin.
  2. Microsoft Intune'da özel bir yapılandırma profili oluşturun.
  3. KIR etkinleştirmeyi izleyin.

1. ADMX dosyalarını almak için KIR MSI dosyasını indirin ve yükleyin

  1. Hangi işletim sistemi (OS) sürümlerini güncelleştirmeniz gerektiğini belirlemek için KIR sürüm bilgilerini veya bilinen sorunlar listelerini denetleyin.

  2. Microsoft Intune'da oturum açmak için kullandığınız makinede gerekli KIR ilke tanımını .msi dosyaları indirin.

    Not

    KIR etkinleştirme ADMX dosyasının içeriğine erişmeniz gerekir.

  3. .msi Dosyaları çalıştırın. Bu eylem, KIR ilke tanımını Yönetim Şablonu'na yükler.

    Not

    İlke tanımları C:\Windows\PolicyDefinitions klasörüne yüklenir.

    ADMX dosyalarını başka bir konuma ayıklamak istiyorsanız TARGETDIR özelliğiyle komutunu kullanınmsiexec. Örneğin:

    msiexec /i c:\admx_file.msi /qb TARGETDIR=c:\temp\admx

2. Microsoft Intune'da özel yapılandırma profili oluşturma

Cihazları KIR etkinleştirmesi gerçekleştirecek şekilde yapılandırmak için, yönetilen cihazlarınızın her işletim sistemi için özel bir yapılandırma profili oluşturmanız gerekir. Özel profil oluşturmak için şu adımları izleyin:

  1. Özellikleri seçin ve profilin temel bilgilerini ekleyin.
  2. KIR etkinleştirmesi için ADMX dosyalarını almak için özel yapılandırma ayarı ekleyin.
  3. Yeni KIR etkinleştirme ilkesini ayarlamak için özel yapılandırma ayarı ekleyin.
  4. Cihazları KIR etkinleştirme özel yapılandırma profiline atayın.
  5. İşletim sistemine göre KIR özel yapılandırma ayarlarını alacak cihazları hedeflemek için uygulanabilirlik kurallarını kullanın.
  6. KIR etkinleştirme özel yapılandırma profilini gözden geçirin ve oluşturun.

A. Özellikleri seçin ve profil hakkında temel bilgiler ekleyin

  1. Microsoft Intune yönetim merkezinde oturum açın.

  2. Cihaz>Yapılandırma profilleri>Profil oluştur'u seçin.

  3. Aşağıdaki özellikleri seçin:

    • Platform: Windows 10 ve üzeri
    • Profil: Şablonlar>Özel

  4. Oluştur'u belirleyin.

  5. Temel Bilgiler'de aşağıdaki özellikleri girin:

    • Ad: İlke için açıklayıcı bir ad girin. İlkelerinizi adlandırarak daha sonra kolayca tanıyabilirsiniz. Örneğin, iyi bir ilke adı "04/30 KIR Etkinleştirme – Windows 10 21H2"dir.
    • Açıklama: İlke için bir açıklama girin. Bu ayar isteğe bağlıdır ancak önerilir.

    Not

    Platform ve Profil türü zaten seçili değerlere sahip olmalıdır.

  6. İleri'yi seçin.

Not

Özel yapılandırma profilleri ve yapılandırma ayarları oluşturma hakkında daha fazla bilgi için bkz . Microsoft Intune'da özel cihaz ayarlarını kullanma.

Sonraki iki adıma geçmeden önce ADMX dosyasını, dosyanın ayıklandığı bir metin düzenleyicisinde (örneğin, Not Defteri) açın. MSI dosyası olarak yüklediyseniz ADMX dosyası C:\Windows\PolicyDefinitions yolunda olmalıdır.

ADMX dosyasının bir örneği aşağıda verilmiştir:

  <policies>  
    <policy name="KB5011563_220428_2000_1_KnownIssueRollback" … >  
      <parentCategory ref="KnownIssueRollback_Win_11" />  
      <supportedOn ref="SUPPORTED_Windows_11_0_Only" />  
      <enabledList…> … </enabledList>  
      <disabledList…>…</disabledList>  
    </policy>  
  </policies>

ve parentCategorydeğerlerini policy name kaydedin. Bu bilgiler, dosyanın sonundaki "ilkeler" düğümünde yer alır.

B. KIR etkinleştirmesi için ADMX dosyalarını almak için özel yapılandırma ayarı ekleme

Bu yapılandırma ayarı, HEDEF cihazlara KIR etkinleştirme ilkesini yüklemek için kullanılır. ADMX alma ayarlarını eklemek için şu adımları izleyin:

  1. Yapılandırma ayarları'nda Ekle'yi seçin.

  2. Aşağıdaki özellikleri girin:

    • Ad: Yapılandırma ayarı için açıklayıcı bir ad girin. Ayarlarınızı adlandırarak daha sonra kolayca tanıyabilirsiniz. Örneğin, iyi bir ayar adı "ADMX Alımı: 04/30 KIR Etkinleştirme – Windows 10 21H2"dir.

    • Açıklama: Ayar için bir açıklama girin. Bu ayar isteğe bağlıdır ancak önerilir.

    • OMA-URI: ./Device/Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/KIR/Policy/<ADMX İlke Adı> dizesini girin.

      Not

      ADMX İlke Adı'nı> ADMX dosyasındaki kaydedilen ilke adının değeriyle değiştirin<. Örneğin, "KB5011563_220428_2000_1_KnownIssueRollback".

    • Veri türü: Dize'yi seçin.

    • Değer: ADMX dosyasını bir metin düzenleyicisiyle (örneğin, Not Defteri) açın. Almak istediğiniz ADMX dosyasının içeriğinin tamamını kopyalayıp bu alana yapıştırın.

  3. Kaydet'i seçin.

C. Yeni KIR etkinleştirme ilkesini ayarlamak için özel yapılandırma ayarı ekleme

Bu yapılandırma ayarı, önceki adımda tanımlanan KIR etkinleştirme ilkesini yapılandırmak için kullanılır.

KIR etkinleştirme yapılandırma ayarlarını eklemek için şu adımları izleyin:

  1. Yapılandırma ayarları'nda Ekle'yi seçin.

  2. Aşağıdaki özellikleri girin:

    • Ad: Yapılandırma ayarı için açıklayıcı bir ad girin. Ayarlarınızı adlandırarak daha sonra kolayca tanıyabilirsiniz. Örneğin, iyi bir ayar adı "KIR Etkinleştirme: 04/30 KIR Etkinleştirme – Windows 10 21H2"dir.

    • Açıklama: Ayar için bir açıklama girin. Bu ayar isteğe bağlıdır ancak önerilir.

    • OMA-URI: ./Device/Vendor/MSFT/Policy/Config/KIR~Policy~KnownIssueRollback~<Parent Category>/<ADMX policy Name> dizesini girin.

      Not

      Üst Kategori'yi> önceki adımda kaydedilen üst kategori dizesiyle değiştirin<. Örneğin, "KnownIssueRollback_Win_11". ADMX İlke Adı'nı> önceki adımda kullanılan ilke adıyla değiştirin<.

    • Veri türü: Dize'yi seçin.

    • Değer: Devre dışı/>girin<.

  3. Kaydet'i seçin.

  4. İleri'yi seçin.

D. CIHAZLARı KIR etkinleştirme özel yapılandırma profiline atama

Özel yapılandırma profilinin ne yaptığını tanımladıktan sonra, hangi cihazları yapılandırabileceğinizi belirlemek için şu adımları izleyin:

  1. Atamalar'da Tüm cihazları ekle'yi seçin.
  2. İleri'yi seçin.

E. İşletim sistemine göre KIR özel yapılandırma ayarlarını alacak cihazları hedeflemek için uygulanabilirlik kurallarını kullanma

Cihazları GP için geçerli işletim sistemine göre hedeflemek için, bu yapılandırmayı uygulamadan önce cihaz işletim sistemi sürümünü (Derleme) denetlemek için bir uygulanabilirlik kuralı ekleyin. Desteklenen işletim sistemi için derleme numaralarını aşağıdaki sayfalarda arayabilirsiniz:

Sayfalarda gösterilen derleme numaraları MMMMM.mmmm (M= ana sürüm ve m= ikincil sürüm) olarak biçimlendirilir. İşletim Sistemi Sürümü özellikleri ana sürüm basamaklarını kullanır. Uygulanabilirlik Kuralları'na girilen İşletim Sistemi Sürümü değerleri "10.0.MMMMM" olarak biçimlendirilmelidir. Örneğin, "10.0.22000".

KIR etkinleştirmeniz için doğru Uygulanabilirlik Kurallarını ayarlamak için şu yönergeleri izleyin:

  1. Uygulanabilirlik Kuralları'nda, sayfada bulunan boş kurala aşağıdaki özellikleri girerek bir uygulanabilirlik kuralı oluşturun:

    • Kural: Açılan listeden Profil ata seçeneğini belirleyin.
    • Özellik: Açılan listeden İşletim Sistemi Sürümü'ne tıklayın.
    • Değer: "10.0.MMMMM" olarak biçimlendirilmiş Min ve Max işletim sistemi sürüm numaralarını girin.

  2. İleri'yi seçin.

Not

Bir cihazın işletim sistemi sürümü, Başlat menüsü komutu çalıştırılarak winver bulunabilir. "." ile ayrılmış iki parçalı bir sürüm numarası gösterir. Örneğin, "22000.613". En düşük işletim sistemi sürümü için sol sayıyı "10.0" ekleyebilirsiniz. En Düşük işletim sistemi sürüm numarasının son rakamını 1 ekleyerek En Fazla işletim sistemi sürüm numarasını alın. Bu örnekte şu değerleri kullanabilirsiniz:
En düşük işletim sistemi sürümü: "10.0.22000"
En fazla işletim sistemi sürümü: "10.0.22001"

F. KIR etkinleştirme özel yapılandırma profilini gözden geçirme ve oluşturma

Özel yapılandırma profili ayarlarınızı gözden geçirin ve Oluştur'u seçin.

3. KIR etkinleştirmeyi izleme

KIR etkinleştirmeniz şu anda devam ediyor olmalıdır. Yapılandırma profili ilerleme durumunu izlemek için şu adımları izleyin:

  1. Cihazlar>Yapılandırma profilleri'ne gidin ve var olan bir profili seçin. Örneğin, bir macOS profili seçin.

  2. Genel Bakış sekmesini seçin. Bu görünümde Profil ataması durumu aşağıdaki durumları içerir:

    • Başarılı: İlke başarıyla uygulandı.
    • Hata: İlke uygulanamadı. İleti genellikle bir açıklamaya bağlanan bir hata kodu görüntüler.
    • Çakışma: Aynı cihaza iki ayar uygulanır ve Intune çakışmayı çözemez. Bir yönetici çakışmayı gözden geçirmelidir.
    • Beklemede: Cihaz henüz ilkeyi almak için Intune'a giriş yapmadı.
    • Geçerli değil: Cihaz ilkeyi alamaz. Örneğin, ilke iOS 11.1'e özgü bir ayarı güncelleştirir, ancak cihaz iOS 10 kullanıyordur.

Daha fazla bilgi için bkz . Microsoft Intune'da cihaz yapılandırma profillerini izleme.

Daha Fazla Bilgi