|
Наиболее распространенной, связанной с заплатами технологией, доступной в Windows ME, 2000, XP и 2003, является служба Windows Update. Ее механизм основан на
взаимодействии между клиентской и серверной компонентами.
Предыдущая
статья этой серии познакомила вас с рядом решений, использующих сценарии и
бесплатные утилиты сторонних производителей, позволяющих выполнять удаленные
запросы реестра и развертывание заплат (patch). Сегодня я продолжу
рассматривать бесплатные методологии установки заплат, сосредоточившись на улучшениях
и продуктах операционных систем Microsoft.
Наиболее распространенной, связанной с заплатами технологией, доступной в Windows ME, 2000, XP и 2003, является служба Windows Update. Ее механизм основан на
взаимодействии между клиентской и серверной компонентами. Клиент выступает в
качестве службы Automatic Updates, запущенной в контексте
безопасности учетной записи Local System (за исключением Windows ME, где он реализован в виде
исполняемого файла, загружаемого во время входа пользователя в систему). Эта
служба запускается при старте операционной системы (хотя можно отключить ее или
использовать различные настраиваемые опции для изменения этого поведения по
умолчанию).
Клиенты настраиваются на
автоматическое подключение к серверам Windows Update и получение списка отсутствующих
обновлений, основываясь на сравнении конфигурационных данных клиента (таких как
версия операционной системы и Internet Explorer, информация “ plug-and-play” аппаратного обеспечения,
региональные и языковые настройки и состояние уровня заплат) с каталогом Windows Update Catalog (расположенном на сайте http://windowsupdate.microsoft.com).
Обновления для старых
операционных систем (не поддерживающих функциональные возможности Windows Update) доступны через Microsoft Download Center по следующим адресам:
Windows Update развилась из утилиты Critical Update Notification, доступной в Windows 98 и в Windows
2000 (до SP3). Первая
ее версия была выпущена в тоже время, когда появилась Windows 2000 SP3; однако, она также работает и на
компьютерах под управлением OC Windows 2000 SP2. Наиболее значимым различием
между этими двумя инструментами стала функция Automatic Update, позволяющая выполнять индивидуальное
планирование, которое может быть сконфигурировано несколькими способами:
- С помощью графического интерфейса, открываемого
из апплета Control Panel (т.е. через вкладку Automatic Updates в диалоговом окне Properties апплета System в Windows XP
и 2003 или апплет
Automatic Updates в Windows 2000 и ME). Этот
интерфейс предоставляет данную опцию в формате окошка активации (checkbox).
Его состояние (активированное или неактивированное) определяет, желаете ли
вы использовать автоматические обновления. Оно также влияет на то, будут
ли иметь значение другие опции, расположенные в том же окне. Предположим,
что окошко метки активировано, тогда дополнительно необходимо выбрать,
какая из трех опций будет контролировать уровень автоматической загрузки и
установки:
- Manual Download and Installation (Загрузка и установка вручную)
—Пользователю
сообщается (с помощью значка, появляющегося в области уведомлений (notification area) в правой части панели
задач Windows), когда обновления готовы к загрузке и еще раз,
когда они загружены и готовы к установке.
- Automatic Download and Manual Installation (Автоматическая загрузка и установка
вручную) – Пользователю
сообщается, когда (автоматически запущенная) загрузка завершена и в этот
момент он (или она) может выбрать установку этих обновлений.
- Automatic Download and Installation (Автоматическая загрузка и установка) – Как загрузка, так и
установка происходит незаметно для вошедшего в систему пользователя
(хотя, если быть точным, уровень этой «незаметности» зависит от прав
пользователя). Оба эти действия осуществляются в соответствии с
индивидуальным расписанием (ежедневно в определенное время или
еженедельно в заданный день недели и в определенное время).
- В Windows 2000, XP и 2003
другой опцией, используемой для этого, является локальная групповая политика (local group policy). Для управления Windows Update с
помощью групповых политик, WUAU.ADM должен быть частью Administrative Template (административного шаблона).
Наиболее современная версия этого шаблона (включая функции, требуемые для Software Update Services SP1) доступна
для загрузки с Web-сайта компании Microsoft по ссылке http://www.microsoft.com/downloads/details.aspx?FamilyId=D26A0AEA-D274-42E6-8025-8C667B4C94E9&displaylang=en.
После
загрузки этого шаблона, скопируйте его подкаталог inf каталога, где установлена ОС Windows (обычно это C:WINDOWSinf). Далее, запустите локальный Group Policy Editor (gpedit.msc), раскройте узел Computer Configuration, щелкните правой кнопкой мыши Administrative Templates и выберите опцию Add/Remove Templates. Если WUAU пока отсутствует здесь, добавьте
его, скопировав в подкаталог WINDOWSinf.
Это создаст следующие записи в папке Computer Configuration->Administrative Templates->Windows
Components->Windows Update:
This creates the following entries in the Computer
Configuration->Administrative Templates->Windows Components->Windows
Update folder.
- Configure Automatic Updates (Настроить автоматическое обновление) – равносильно опциям,
доступным через Control Panel,
описанные ранее. Если эта настройка активирована, вы можете выбирать одну
из трех опций (т.е. уведомление о загрузке и об установке; автоматическую
загрузку и уведомление об установке; автоматическую загрузку и установку
по расписанию). Если вы выбрали третью опцию, то можете также определить
расписание установки.
- Specify Intranet Microsoft Update Service Location (Определить расположение Microsoft Update Service в Intranet) – важна при использовании Software Update Services.
- Reschedule Automatic Updates Scheduled Installations (Перепланирование установки запланированных
автоматических обновлений) – определяет, когда запланированные обновления, не
примененные по расписанию, могут быть выполнены повторно. Это может
случиться либо через следующий по расписанию интервал, либо через
определенное количество минут после запуска компьютера.
- No Auto-restart for Scheduled Automatic Updates Installations (Не перезапускать автоматически
после установки запланированных автоматических обновлений) – блокирует
автоматический перезапуск компьютера после установки заплат, требуемый для
завершения установки. Ясно, что в этом случае нужно обеспечить
альтернативный способ перезагрузки компьютера.
Кроме того, часть User Configuration настроек Windows Update (находящихся в папке User Configuration->Administrative Templates->Windows Components->Windows Update) содержит единственную запись
"Remove access to use all Windows Update features" (Удалить доступ для использования
всех функций Windows Update). Будучи активированной, она
препятствует пользователям, вошедшим в систему, получать Windows Updates через какие-либо другие,
предпринимаемые пользователями методы (такие как загрузка вручную с Web-сайта Windows Update, установка вручную уже
загруженных обновлений или обновление драйверов через Device Manager, если они представлены на Web-сайте Windows Update).
Однако, это, по прежнему,
позволяет вам использовать запланированное автоматическое Windows Update (соответственно третьей опции
групповой политики). Подобные результаты достигаются при активации папки "Remove links and access to Windows Update” (Удалить ссылки и доступ к Windows Update) из User Configuration->Administrative Templates->Start Menu and Taskbar. Я объясню эти две настройки,
когда буду обсуждать Software Update Services более подробно.
- Настройки групповой политики ActiveDirectory идентичны тем, что обсуждались
ранее. Шаблон WUAU.ADM также требуется для их реализации (и он должен быть помещен в
подкаталог WINDOWSinf на контроллерах домена и на тех системах, где
запускается Group Policy Editor). Ясно, что в этом случае,
влияние настроек политики более значимо. Настройки контролируются с помощью
ряда методов (таких, как применение политики к организационным единицам (OU) или на уровне сайта или с
помощью фильтрования безопасности или WMI).
- Служба Windows Update может управляться также с помощью изменений в
реестре. Изменения реестра являются базовыми методами, которые не могут быть применены, если клиентские
компьютеры расположены в рабочей группе или в домене Windows NT 4.0 (что, по-прежнему, остается
довольно частым случаем). В подобных ситуациях, выбор заключается в использовании
уже описанной локальной групповой политики или во внесении изменений прямо в
реестр. Если вы решили использовать второй подход, важные ключи реестра
расположены в трех его областях:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer |
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesWindowsUpdate |
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate |
Чтобы ознакомиться с полным
перечнем, посмотрите Статью
Q328010 из Базы Знаний
(КВ) Windows.
- В домене Windows NT 4.0 значительно более подходящей
альтернативой для прямого редактирования реестра (в смысле развертывания)
является использование системных политик.
Чтобы добиться этого, объедините настройки реестра Windows Update (перечисленные в предыдущем
разделе) в некоторый файл шаблона и сделайте его частью системной политики
домена.
В дополнение к конфигурационным
настройкам Windows Update, описанным выше (независимо от
способа, которым они были применены), обновление поведения зависит от прав
вошедших в систему пользователей (или того, вошел ли в систему хотя бы один
пользователь). Если вы решите использовать уведомления и предоставляете
пользователям решать, какие обновления должны быть загружены и установлены, то
это право ограничивается рамками локальной административной группы. Если
пользователи не имеют административных полномочий (обычный случай для
бизнес-сред), то вы должны запланировать автоматическую загрузку и установку. В
этом случае, оба действия могут быть завершены, даже если в систему вошли
пользователи, не обладающие административными правами.
При запланированных
обновлениях, администраторам будет предоставляться пятиминутный интервал на то,
чтобы решить, задержать ли установку, после того, как файлы обновлений были
загружены (что отложит ее до следующей перезагрузки или на запланированный
интервал времени – в зависимости от настроек реестра. Если установка требует
перезагрузки (что является обычным случаем), то пользователь увидит модальное
диалоговое окно (т.е. расположенное перед всеми другими окнами), напоминающее о
необходимости перезагрузки (по умолчанию, перезагрузка не выполняется
принудительно, хотя эта опция может быть изменена с помощью реестра):
HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindowsWindowsUpdateAU
NoAutoRebootWithLoggedOnUsers |
При запланированных обновлениях,
даже если ни один пользователь не войдет в систему, обновление будет завершено
полностью автоматически (за чем последует также автоматическая перезагрузка,
если она требуется).
|
_3963_3919_little.png)
_1079_1080_1078_little.png)
Навигация
ISRAland - РЕКЛАМА
