Как я могу сделать WSUS менее инвазивным для наших пользователей?

13

WSUS выпускает обновления на рабочие станции наших пользователей, и все идет относительно неплохо с одним раздражающим предостережением: кажется, есть проблема с отображением всплывающего окна перед некоторыми пользователями, сообщающего им, что их машина будет перезагружена через 15 минут. минут, и им нечего сказать по этому поводу

альтернативный текст

Это может быть потому, что они не вышли из системы прошлой ночью. Тем не менее, это слишком много и очень непродуктивно для наших пользователей.

Вот немного о нашей среде: наши пользователи работают Windows XP Proи являются частью Active Directory Domain. WSUS применяется через Group Policy. Вот снимок объекта групповой политики, который применяет правила WSUS:

альтернативный текст

Вот как я хочу, чтобы WSUS работал (в идеале - я возьму все, что может приблизить меня):

Я хочу, чтобы обновления автоматически загружались и устанавливались каждую ночь. Если пользователь не вошел в систему, я бы хотел перезагрузить компьютер. Если пользователь вошел в систему, я бы хотел, чтобы его компьютер не перезагружался, а вместо этого дождался следующего «периода установки», когда он сможет выполнить любые другие необходимые установки, и затем перезагрузится (при условии, что учетная запись пользователя еще не вошла). Если у пользователя запрашивается перезагрузка, это должно происходить только один раз в день (если это возможно), но каждый раз, когда ему предлагается, у него должен быть способ отложить перезагрузку .

Я не хочу, чтобы пользователи были вынуждены перезагружать свой компьютер всякий раз, когда компьютер думает, что это должно произойти (если только это не происходит после установки обновления и нет зарегистрированных пользователей). Это не кажется продуктивным, чтобы заставить систему перезагружаться в разгар рабочего дня человека. Могу ли я что-то сделать с GPO, чтобы сделать WSUS менее навязчивым? Даже если бы он дал пользователю возможность перезагрузить позже - это было бы лучше, чем то, что происходит сейчас.

редактировать

Цель состоит в том, чтобы иметь возможность автоматически загружать и устанавливать обновления каждую ночь и перезагружать машину, только если нет пользователей, вошедших в систему, когда машина хочет перезагрузиться. Если Windows вынуждена настаивать на перезагрузке пользователя, это прекрасно, если у них есть возможность отложить перезагрузку.

редактировать

Оказывается, у нас есть некоторые сроки, установленные для некоторых обновлений (SP3, клиентские расширения и т. Д.), И с постом, найденным ниже, некоторый свет пролился на ситуацию:

http://forums.techarena.in/server-update-service/255722.htm

windows-server-2008 active-directory group-policy wsus зашифровывать
источник

Ответы:

7

Я думаю, что наиболее работоспособным и наименее навязчивым решением является изменение параметра Автоматическое обновление конфигурации на 3 - Auto download and notify for install. Это не будет прерывать пользователя, и опция Install updates and Shut Downбудет автоматически выбрана в меню выключения.

Периодически запускайте отчет о компьютерах, нуждающихся в обновлениях, и махайте большим пальцем на людей, которые еще не сделали свои обновления.

Бен Пилброу
источник
Я рассмотрел это, однако целью было заставить машины устанавливать обновления самостоятельно (хотя мы не хотим, чтобы пользователи выключались, машины должны оставаться включенными).
Cypher
Боюсь, я не думаю, что это становится намного лучше, чем это. Мы играли со многими МНОГИМИ комбинациями этих настроек и в итоге решили, что меньшее из зол, по-видимому, должно было сделать это таким образом.
Бен Пилброу
2
Вы действительно должны применять обновления каждый день? Я вписал mgmt в политику, которую я назвал «выход из среды» и запланировал обновления на эту ночь, после нескольких недель прогулок с большой палкой по средам, которые все завоевали популярность. Я не думаю, что WSUS дает вам другой вариант.
Джей Джей
1
Мы говорим всем, чтобы они выключили свой компьютер в конце дня (мы зеленеем и все такое), так что Shut down and install updatesработа отлично работает для нас. Когда нет патчей для применения, он просто говорит, Shut Downкак обычно.
Бен Пилброу
@jhayes: На самом деле это не нужно делать каждый день - нам просто нужно сыграть в догонялки, так как исправление не было сделано в течение полутора лет. Я чуть не упал со стула, когда увидел это, поэтому сделка на каждый день не является обязательной. Я вижу, как мы, возможно, заставляем перезагрузку по воскресеньям. Это может сработать.
Cypher
3

Вы можете изменить «Настроить автоматические обновления» на опцию «3 - Автоматическая загрузка и уведомление для установки» - вы можете включить и установить ограничение по времени для «Задержка перезапуска для запланированных установок»

Также можно попробовать «Нет автоматического перезапуска с вошедшими в систему пользователями для запланированных автоматических обновлений», для которого установлено значение «Включено» с «Повторить запрос на перезапуск с запланированными установками».

Marshalus
источник
Параметр «задержка перезапуска» по умолчанию равен 15 минутам. Максимальное значение составляет 30 минут, однако оно все равно заставляет компьютер выводить это диалоговое окно, а это не то, что нам нужно (если только они не могут выбрать «перезагрузить позже»). Не будет ли ваше второе предложение принудительно перезагрузить компьютер после обновления, даже если пользователь вошел в систему? Или я ошибаюсь?
Cypher
2

Это было нашим самым большим препятствием для развертывания WSUS. Предыдущий разработчик проигнорировал это, и у нас были учителя, которые были вынуждены перезапустить в середине класса. Они не были довольны ...

Настройки, которые у вас есть, должны уже сделать это для вас. У меня такие же настройки:

No auto-restart with logged on users for scheduled 
automatic updates installations: Enabled  

Re-prompt for restart with scheduled installations: Enabled  

Wait the following period before 
prompting again with a scheduled 
restart (minutes):  300

Предполагается, что настройка «Без автоматического перезапуска» сделает эту работу так, как вы хотите. Из справки WSUS: «Указывает, что для завершения запланированной установки автоматическое обновление будет ожидать перезагрузки компьютера любым пользователем, вошедшим в систему, вместо того, чтобы автоматически перезагружать компьютер.

Если для состояния установлено значение «Включено», автоматическое обновление не будет автоматически перезагружать компьютер во время запланированной установки, если пользователь вошел в систему. Вместо этого автоматическое обновление уведомит пользователя о перезагрузке компьютера. "

У нас не было никаких жалоб с момента реализации этого. Я проверил несколько наших более «прощающих» пользователей, прежде чем развернуть их во всей школе. Я не уверен, что кто-то даже заметил, что обновления происходили.

Еще одна настройка, которую я использую и которая, как мне кажется, помогает пользователям наших ноутбуков: 

Reschedule Automatic Updates scheduled installations: Enabled  
Wait after system 
startup (minutes):  60

Это позволяет им фактически включить свои компьютеры и войти в систему до начала установки фоновых обновлений. Я не хотел, чтобы установки замедляли процесс запуска / входа в систему, если учитель включил компьютер прямо перед уроком.

minamhere
источник
Вот почему я так озадачен и прошу здесь. В прошлом я широко использовал WSUS и не ожидал, что пользователи не смогут отложить перезагрузку.
Cypher
0

Я бы изменил следующие параметры политики. Первое, потому что некоторые обновления не требуют перезагрузки компьютера, и они могут загрузить и установить защиту компьютера перед следующей перезагрузкой. Во-вторых, потому что (при условии, что вы запускаете большинство пользователей в качестве стандартных пользователей, как было бы рекомендовано) отсутствие отображаемых им сообщений может вызывать принудительные перезагрузки. Пользователи, не являющиеся администраторами, не получат никаких уведомлений об обновлениях, но им нужно будет следовать запрошенным перезагрузкам сообщений, которые они не видят.

Allow Automatic Updates immediate installation - change to Enable
Allow non-administrators to receive update notifications - change to Enable
edusysadmin
источник