Я обнаружил, что большинство пользователей игнорируют сообщение «Есть обновления, готовые для установки, нажмите здесь, чтобы установить», которое выкладывает WSUS. До сих пор мы не заставляли установку, но я думаю об изменении групповой политики для принудительного обновления ночью. Иногда для этого потребуется перезагрузка, которую я хочу применить через GP.
Я знаю, что пользователи получат отпор, но мне интересно, является ли это оправданной лучшей практикой. Кажется, что это правильное решение, чтобы обеспечить актуальность и безопасность ПК.
group-policy
windows-update
wsus
GollyJer
источник
источник
Ответы:
Я просто хотел бы на секунду включить мою автоматическую перезагрузку мыла: мой опыт заключался в том, что автоматическая / принудительная перезагрузка вообще плохая идея.
Мы, системные администраторы, часто сталкиваемся с определенными сложностями в том, чтобы убедиться, что последнее исправление было применено сразу после его установки, поскольку OMG до тех пор не удаляла систему . Однако вы должны понимать, что системные администраторы, по крайней мере теоретически, существуют для того, чтобы люди, использующие систему, могли выполнять свою работу.
Если вы автоматически перезагружаетесь после установки патча и, скажем, системные часы рабочей станции были сброшены, думая, что сейчас 2 часа ночи, и какой-то бедный Дилберт теряет работу, вы сделали огромный промах. На мой взгляд, это гораздо большая ошибка, чем наличие временно не исправленной системы в сети.
По моему опыту, иметь какое-то недопустимое сообщение о перезагрузке, как правило, лучше. Пусть они закончат свою работу и перезагрузятся за обедом, или попросят их закрыть свою рабочую станцию ночью, или что-то, что хорошо вписывается в вашу организацию.
При этом, когда я помогал администрировать 12 компьютерных классов в колледже, мы определили время простоя, когда мы точно знали, что никто не будет использовать какую-либо из машин, потому что двери были заперты. Это ситуация, в которой автоматическая перезагрузка, безусловно, в порядке; меня раздражает только принудительная автоматическая остановка работы.
источник
Мы автоматически устанавливаем, а затем откладываем перезапуск установки на 30 минут - пользователю предлагается перезагрузиться сейчас, и если в течение 30 минут ответа не будет, он перезагрузит компьютер. Был некоторый первоначальный ворчание, но к этому привыкли. Если они находятся в середине чего-то, они могут нажать «перезагрузить позже», чтобы отложить перезагрузку до подходящего времени. Но они будут запрашиваться каждые 30 минут. Это хороший баланс между простой перезагрузкой пользователей и тем, чтобы они никогда не устанавливали обновления.
РЕДАКТИРОВАТЬ:
Обновление - извините, пропустил настройку, когда я дважды проверял настройки GPO, приглашение Re для перезагрузки настраивается независимо. Таким образом, вы можете установить задержку, прежде чем она предложит снова. Кроме того, это для среды 2003 года, они могли добавить / изменить опции в 2008 году
источник
Поскольку вы сначала тестируете патчи (не так ли?), Вы знаете, какие из них требуют перезагрузки системы.
Вы можете создать расписание, в котором будет указано, что каждый последний или четвертый месяц месяца вы отправляете электронное письмо, в котором говорится, что вам необходимо развернуть X-патчи, требующие перезагрузки компьютеров. Пожалуйста, оставьте свои машины на ночь.
Конечно, это не экологичное решение, но оно позволяет вам обойти потребности пользователей и необходимость поддерживать системы в актуальном состоянии.
Для других патчей вы можете использовать решение, опубликованное Zypher.
источник
Я был бы заинтересован в ответах других людей на это также. Я не могу осуществить автоматическую перезагрузку, это было «плохой практикой» в течение долгого времени, и люди не адаптировались. Люди оставляют свои электронные письма, которые им нужны, чтобы открыть, и т. Д., Внезапная потеря их очень раздражает.
источник
Если вы ищете техническую причину, да, это «технически» лучшая практика, чтобы гарантировать, что машины будут исправлены немедленно и что пользователи не смогут отложить или обойти правильное применение исправлений (включая необходимые перезагрузки).
Однако я бы сказал, что решение об автоматической перезагрузке после установки исправления является бизнес-решением, а не техническим. Я думаю, что основная причина, по которой системные администраторы склоняются к этому, заключается в том, что, если некоторые непатентованные системы проникают в систему, обычно требуется много часов, чтобы почистить вещи без надлежащей системы карантина. Тем не менее, принудительная перезагрузка может повлиять на производительность или быть неприемлемой в зависимости от использования машин (примерами могут быть торговые точки или эфирные машины).
Вы можете обнаружить, что можете принудительно выполнить перезагрузку к одному сегменту целевых компьютеров, но у других компьютеров есть уважительная деловая причина НЕ выполнять автоматическую перезагрузку. Как всегда, бизнес - это ваш клиент, поэтому вы выкладываете все «за» и «против» своей рекомендацией «технически лучшей практики» и позволяете им принять решение.
источник
В некоторых случаях вы абсолютно не можете принудительно перезагрузиться. У нас есть люди, которые проводят симуляции, которые в течение нескольких дней выполняются на нескольких машинах. У программного обеспечения для моделирования есть большая проблема: оно не сохраняет промежуточные результаты. Поэтому, если во время пробега происходит перезагрузка, большая часть работы теряется, и ее необходимо выполнить. В настоящее время нет реальной альтернативы использованию этой программы моделирования, поэтому нам в ИТ приходится обходить ее. В этом случае мы создали новое подразделение, в которое не помещались обновления, и перенесли в него все компьютеры, которые используются для этого моделирования.
источник
Одна вещь, которую я пытаюсь сделать с принудительной перезагрузкой, это проверять исправления каждый месяц и, если требуется перезагрузка, отправлять напоминание по электронной почте утром, когда исправления выводятся. В течение дня у нас много пораженных обедов, так что 30-минутное окно не слишком длинное (хотелось бы, чтобы оно было длиннее, но это все, что позволяет Microsoft).
источник
Если вы развертываете обновления, разрешите их публиковать как можно скорее. Если машина требует перезагрузки, отключите ее до ночи или раннего утра. Если люди выключают свои компьютеры, вы можете предотвратить отключение компьютера или установить задержку на самое раннее время для перезагрузки, когда пользователь снова включит свой компьютер.
источник
Мы «рекомендуем (d)» выключать компьютеры в конце рабочего дня по соображениям энергопотребления (экономия $), поэтому обновления будут применяться при завершении работы. Конечно, есть такие, которые решают никогда не выключаться, но у нас не было слишком много компьютеров в офисе (сейчас около 80 клиентов в основном перешли на тонких клиентов).
Поскольку заголовок вопроса - «лучшие практики», характерные для WSUS, я бы посоветовал (и это совершенно не принято) убедиться, что вы включаете только необходимые обновления и не включаете процесс загрузки в рабочее время. Один из наших специалистов обнаружил, что НЕ позволяет включать все обновления на сайте с W1-соединением T1.
источник