我发现大多数用户忽略WSUS推出的“有更新可以安装,请点击这里安装”的消息。 到目前为止,我们还没有强制安装,但是我正在考虑改变组策略来每晚更新。 这有时需要重新启动,我想通过GP来执行。
我知道会有用户推迟,但是想知道这是不是最好的做法。 确保电脑保持最新和安全似乎是正确的。
我只想在我的自动重新启动肥皂箱一秒钟:这是我的经验,自动/强制重新启动通常是一个坏主意。
我们的系统pipe理员通常在确定最新的补丁已经被安装了,因为OMG直到那时系统没有打补丁,所以经常有些复杂。 但是,您必须意识到,系统pipe理员至less在理论上可以使使用系统的人员工作。
如果一旦安装了补丁程序后自动重启,并且工作站的系统时钟已经重新设置,那么凌晨2点,一些可怜的Dilbert就会失去工作,这样你就变成了一个大笨蛋。 在我看来,这比在networking上暂时没有打补丁的系统要好得多。
根据我的经验,有一些不可接受的消息告诉用户重新启动通常是一个更好的主意。 让他们完成他们的工作,并在午餐时间重启,或者让他们在晚上closures工作站,或者是适合你的组织的东西。
也就是说,当我帮助pipe理大学里的12个电脑实验室时,我们已经定义了停机时间,因为我们确定没有人会使用任何一台机器,因为门被锁住了。 这就是自动重新启动的情况。 这只是自动强迫自动停止工作,让我感到厌烦。
我们自动安装,然后延迟重启安装30分钟 – 提示用户现在重启,如果30分钟内没有响应,则重启机器。 有一些最初的抱怨,但已经习惯了。 如果他们处于某种状态,他们可以点击“稍后重启”来延迟重启时间。 但是他们会每30分钟提示一次。 只是重新启动用户,并让他们从不安装更新,这是一个很好的平衡。
编辑:
更新 – 遗憾的是,当我仔细检查我的GPO设置时错过了设置,重新启动的Re提示可以独立configuration。 所以你可以设置延迟,然后再次提示。 此外,这是2003年的环境,他们可能在2008年添加/更改选项
因为你先testing补丁(不是吗?),你知道哪些需要重启系统。
你可以创build一个时间表,说明你发出电子邮件的每个月份的最后一个星期或者当你需要部署需要重新启动机器的X补丁。 请留下你的机器过夜。
当然,这不是一个绿色的解决scheme,但它确实使您能够解决用户的需求,并保持系统的最新状态。
对于其他补丁,您可以使用Zypher发布的解决scheme。
我也会对其他人的回答感兴趣。 我无法实现自动重启,长久以来一直处于“坏习惯”,人们不适应。 人们离开他们需要回复打开等电子邮件,突然松动他们会很烦人。
如果您正在寻找技术原因,是的,确保机器立即进行修补并且用户无法延迟或规避正确应用修补程序(包括所需的重新启动)是“技术上”的最佳实践。
但是,我想说的是,在安装补丁后自动重启的决定是一个商业决策,而不是技术上的决定。 我认为系统pipe理员倾向于赞成的主要原因是,如果一些未打补丁的系统被渗透,通常需要很长时间才能清理干净,而没有适当的隔离系统。 但是,强制重新启动可能会影响生产力,或根据机器的使用情况(例如销售点机器或机上机器)而不可接受。
您可能会发现,您可以强制autoreboot到您的目标机器的一个部分,但其他机器有一个合法的商业原因不autoreboot。 与往常一样,业务就是您的客户,因此您可以根据“技术上最佳实践”的build议制定利弊,并让他们做出决定。
在某些情况下,你绝对不能强制重启。 我们有运行仿真的人在几台机器上运行几天。 仿真软件存在一个大问题:它不能保存中期结果。 所以如果在运行过程中重新启动,大部分工作就会丢失,必须完成。 目前没有可行的替代scheme来使用这个模拟程序,所以我们IT部门必须解决这个问题。 在这种情况下,我们创build了一个新的OU,不会将更新推送给它,我们将所有用于这些模拟的PC移动到其中。
我试图用强制重启来做的一件事就是每个月检查一次补丁,如果需要重新启动,那么早上发送一个提醒邮件补丁正在被推出。 我们全天都有很多交错的午餐,所以30分钟的时间不够长(希望可以更长一些,但微软允许这么做)。
如果您正在部署更新,请尽快推送它们。 如果机器需要重新启动,请推迟到晚上或清晨。 如果人们closures了他们的电脑,你可以防止关机,或者强制延迟最早的重启时间,当用户再次启动电脑时。
我们鼓励(d)“在电量消耗的原因下closures电脑(节省$),因此更新将在关机时应用。 当然有一些决定永远不会关机,但是我们在办公室里没有太多的电脑(现在大约80个客户端大部分都是迁移到瘦客户端)。
由于问题的标题是WSUS特有的“最佳实践”,因此我build议(这完全是在墙上)确保只启用必要的更新,而不能在工作时间启用下载过程。 我们的一个技术人员发现了错误的方法,不是在一个带有T1 WAN连接的站点上启用所有更新,哎!