Я обнаружил, что большинство пользователей игнорируют сообщение «Есть обновления, готовые к установке, щелкните здесь, чтобы установить», которое отправляет WSUS. До сих пор мы не устанавливали принудительно, но я думаю об изменении групповой политики, чтобы обновлять каждую ночь. Иногда для этого потребуется перезагрузка, которую я также хочу выполнить через GP.
Я знаю, что пользователи будут сопротивляться, но мне интересно, можно ли это оправдать. Это кажется правильным, чтобы убедиться, что ПК обновлены и защищены.
Я просто хотел бы на секунду зайти в свою мыльницу с автоматической перезагрузкой: по моему опыту, автоматическая / принудительная перезагрузка обычно плохой идея.
У системных администраторов часто возникают сложности с тем, чтобы убедиться, что установлен последний патч. второй он установлен, потому что OMG до тех пор система не исправлена. Однако вы должны понимать, что системные администраторы, по крайней мере теоретически, существуют для того, чтобы люди, использующие систему, могли выполнять свою работу.
Если вы автоматически перезагружаетесь после установки патча, и, скажем, системные часы рабочей станции были сброшены, думая, что сейчас 2 часа ночи, и какой-то бедный Дилберт теряет работу, вы сделали огромную оплошность. На мой взгляд, это гораздо большая ошибка, чем наличие в сети временно не исправленной системы.
По моему опыту, лучше иметь какое-то сообщение, которое нельзя отклонить, с просьбой о перезагрузке. Позвольте им закончить свою работу и перезагрузиться во время обеда, или попросите их выключить свою рабочую станцию на ночь, или что-нибудь, что хорошо подходит для вашей организации.
При этом, когда я помогал управлять 12 компьютерными лабораториями в колледже, мы определили время простоя, когда мы точно знали, что никто не будет использовать какую-либо из машин, потому что двери были заперты. Это ситуация, в которой автоматическая перезагрузка, безусловно, допустима; Меня просто раздражает автономная принудительная автоматическая остановка работы.
Мы автоматически устанавливаем, а затем откладываем перезапуск для установки на 30 минут - пользователю предлагается перезагрузиться сейчас, и если в течение 30 минут нет ответа, он перезагружает компьютер. Сначала было какое-то ворчание, но вот уже привыкли. Если они заняты чем-то, они могут нажать «перезагрузить позже», чтобы отложить перезагрузку до подходящего момента. Но они будут запрашиваться каждые 30 минут. Это хороший баланс между простой перезагрузкой пользователей и запретом им устанавливать обновления.
РЕДАКТИРОВАТЬ:
Обновление - извините, пропустил настройку, когда я дважды проверял свой параметр GPO, запрос Re для перезагрузки настраивается независимо. Таким образом, вы можете установить задержку перед повторным запросом. Также это для среды 2003 года, они могли добавить / изменить параметры в 2008 году.
Поскольку вы сначала тестируете исправления (не так ли?), Вы знаете, какие из них требуют перезагрузки системы.
Вы можете создать расписание, в котором каждую последнюю среду или четверг месяца вы отправляете электронное письмо, в котором говорится, что вам нужно развернуть X-патчи, требующие перезагрузки компьютеров. Пожалуйста, оставьте свои машины включенными на ночь.
Конечно, это не зеленое решение, но оно позволяет вам обойти потребности ваших пользователей и необходимость поддерживать системы в актуальном состоянии.
Для других патчей вы можете использовать решение, опубликованное Zypher.
Я также был бы заинтересован в ответах других людей на это. Я не могу реализовать автоматическую перезагрузку, это давно было «плохой практикой», и люди не могли адаптироваться. Люди оставляют свои электронные письма, на которые им нужно ответить, и т. Д., Внезапная их потеря очень раздражает.
Если вы ищете техническую причину, да, это «технически» наилучшая практика - обеспечить немедленное исправление компьютеров и то, что пользователи не могут задерживать или обходить надлежащее применение исправлений (включая обязательные перезагрузки).
Однако я бы сказал, что решение об автоматической перезагрузке после установки исправлений - это бизнес-решение, а не техническое. Я думаю, что основная причина, по которой системные администраторы склонны отдавать предпочтение этому, заключается в том, что при проникновении в некоторые непропатченные системы обычно требуется много часов, чтобы очистить вещи без надлежащей системы карантина. Однако принудительная перезагрузка может повлиять на производительность или быть неприемлемой в зависимости от использования машин (примерами могут быть машины в торговых точках или эфирные машины).
Вы можете обнаружить, что можете принудительно выполнить автоматическую перезагрузку одного сегмента целевых машин, но у других машин есть законная деловая причина НЕ выполнять автоматическую перезагрузку. Как всегда, бизнес - это ваш клиент, поэтому вы излагаете плюсы и минусы своей рекомендацией «технически передовой опыт» и позволяете им принять решение.
В некоторых случаях принудительная перезагрузка невозможна. У нас есть люди, которые запускают моделирование в течение нескольких дней на нескольких машинах. У программы моделирования есть большая проблема: она не сохраняет промежуточные результаты. Так что, если во время запуска происходит перезагрузка, большая часть работы теряется, и ее нужно делать заново. В настоящее время нет реальной альтернативы использованию этой программы моделирования, поэтому мы, ИТ-специалисты, должны ее обойти. В этом случае мы создали новое подразделение, которое не получает обновлений, и переместили в него все компьютеры, которые используются для этих симуляций.
Одна вещь, которую я пытаюсь сделать с принудительной перезагрузкой, - это проверять исправления каждый месяц и, если какие-либо требуют перезагрузки, отправлять электронное письмо с напоминанием утром, когда исправления выталкиваются. У нас много обедов в шахматном порядке в течение дня, поэтому 30-минутное окно недостаточно велико (хотелось бы, чтобы оно было больше, но это все, что позволяет Microsoft).
Если вы развертываете обновления, разрешите их отправку как можно скорее. Если машине требуется перезагрузка, выключите ее до ночи или раннего утра. Если люди выключают свои компьютеры, вы можете предотвратить выключение машины или установить принудительную задержку самого раннего времени перезагрузки, когда пользователь снова включает свой компьютер.
Мы «рекомендуем (г)» выключать компьютеры в конце дня из-за энергопотребления (сэкономить $), чтобы обновления применялись при выключении. Конечно, есть некоторые, которые решают никогда не завершать работу, но у нас в офисе было не так много компьютеров (около 80 клиентов теперь в основном перешли на тонкие клиенты).
Поскольку заголовок вопроса - «лучшие практики», характерные для WSUS, я бы посоветовал (и это совершенно необычно) убедиться, что вы включаете только необходимые обновления и не включаете процесс загрузки в рабочее время. Один из наших специалистов обнаружил неправильный способ НЕ включать все обновления на сайте с WAN-соединением T1, ай!