Haruskah Anda memaksa reboot setelah mendorong keluar pembaruan Windows?

Saya menemukan bahwa sebagian besar pengguna mengabaikan pesan "Ada pembaruan yang siap dipasang, klik di sini untuk menginstal" yang WSUS dorong keluar. Sampai sekarang kami belum memaksakan instalasinya tetapi saya sedang berpikir untuk mengubah kebijakan grup untuk memberlakukan pembaruan setiap malam. Ini kadang-kadang akan membutuhkan reboot yang ingin saya terapkan melalui GP juga.

Saya tahu akan ada push-back dari pengguna tetapi saya bertanya-tanya apakah ini praktik terbaik yang dapat dipertahankan. Sepertinya ini adalah hal yang benar untuk dilakukan untuk memastikan PC mutakhir dan aman.

Saya hanya ingin menggunakan auto-reboot soapbox saya sebentar: sudah pengalaman saya bahwa secara otomatis / memaksa reboot umumnya adalah ide yang buruk .

Kami admin sistem sering memiliki sedikit masalah untuk memastikan tambalan terbaru telah diterapkan ketika tambalan kedua diinstal karena OMG hingga sistem tidak ditambal . Namun, Anda harus menyadari bahwa admin sistem setidaknya secara teoritis ada untuk memungkinkan orang yang menggunakan sistem untuk melakukan pekerjaan mereka.

Jika Anda secara otomatis reboot setelah tambalan diinstal, dan, katakanlah, jam sistem workstation telah direset, berpikir ini jam 2 pagi, dan beberapa Dilbert yang malang kehilangan pekerjaan, Anda telah membuat kesalahan besar. Menurut pendapat saya, ini adalah kesalahan yang jauh lebih besar daripada memiliki sistem sementara yang belum ditambal pada jaringan.

Dalam pengalaman saya, memiliki semacam pesan yang tidak dapat dihapus yang memberitahu pengguna untuk reboot biasanya merupakan ide yang lebih baik. Biarkan mereka menyelesaikan pekerjaan mereka dan reboot saat makan siang, atau minta mereka untuk mematikan stasiun kerja mereka di malam hari, atau sesuatu yang cocok dengan organisasi Anda dengan baik.

Meski begitu, ketika saya membantu mengelola 12 lab komputer di sebuah perguruan tinggi, kami menetapkan waktu henti ketika kami tahu pasti bahwa tidak ada yang akan menggunakan salah satu mesin itu karena pintunya terkunci. Itu adalah situasi di mana autorebooting pasti ok; hanya penghentian kerja otomatis otonom yang membuatku kesal.

Kami menginstal otomatis kemudian menunda restart untuk menginstal selama 30 menit - meminta pengguna untuk reboot sekarang dan jika tidak ada respon dalam 30 menit maka itu reboot mesin. Ada beberapa keluhan awal tapi itu sudah terbiasa. Jika mereka berada di tengah-tengah sesuatu mereka dapat mengklik "reboot nanti" untuk menunda reboot sampai waktu yang tepat. Tetapi mereka akan diminta setiap 30 menit. Ini adalah keseimbangan yang bagus antara hanya me-reboot pengguna dan membuat mereka tidak pernah menginstal pembaruan.

EDIT:

Perbarui - maaf melewatkan pengaturan ketika saya memeriksa pengaturan GPO saya dua kali, permintaan untuk boot ulang dapat dikonfigurasi secara independen. Jadi Anda dapat mengatur penundaan sebelum diminta lagi. Juga ini untuk lingkungan tahun 2003, mereka mungkin telah menambahkan / mengubah opsi pada tahun 2008

Karena Anda menguji tambalan terlebih dahulu (bukan?) Anda tahu mana yang memerlukan reboot sistem.

Anda bisa membuat jadwal yang mengatakan setiap pernikahan terakhir atau bulan ini Anda mengirim email yang mengatakan Anda perlu menggunakan patch X yang mengharuskan mesin untuk di-boot ulang. Silakan tinggalkan mesin Anda dalam semalam.

Memang ini bukan solusi hijau tetapi itu memungkinkan Anda untuk bekerja sesuai dengan kebutuhan pengguna Anda dan kebutuhan untuk menjaga sistem tetap mutakhir.

Untuk tambalan lain Anda bisa menggunakan solusi yang diposting Zypher.

Saya akan tertarik pada jawaban orang lain untuk ini juga. Saya tidak dapat menerapkan reboot otomatis, ini sudah dalam "praktik buruk" untuk waktu yang lama dan orang tidak akan beradaptasi. Orang-orang meninggalkan email mereka, mereka perlu merespons untuk membuka dll, tiba-tiba kehilangan mereka akan sangat mengganggu.

Jika Anda mencari alasan teknis, ya, ini merupakan praktik terbaik "secara teknis" untuk memastikan bahwa mesin segera ditambal dan bahwa pengguna tidak dapat menunda atau menghindari aplikasi tambalan yang tepat (termasuk reboot yang diperlukan).

Namun, saya akan menyatakan bahwa keputusan untuk melakukan autoreboot setelah pemasangan patch adalah keputusan bisnis, bukan keputusan teknis. Saya pikir alasan utama admin sistem cenderung mendukungnya adalah bahwa jika beberapa sistem yang belum ditambal disusupi, biasanya membutuhkan waktu lama untuk membersihkan barang-barang tanpa sistem karantina yang tepat. Namun, reboot yang dipaksakan dapat mempengaruhi produktivitas atau tidak dapat diterima tergantung pada penggunaan mesin (contohnya adalah mesin point of sale atau mesin on-air).

Anda mungkin menemukan bahwa Anda dapat memaksa autoreboot ke satu segmen mesin target Anda tetapi mesin lain memiliki alasan bisnis yang sah untuk TIDAK autoreboot. Seperti biasa, bisnis adalah pelanggan Anda sehingga Anda memberikan pro dan kontra dengan rekomendasi "praktik terbaik secara teknis" dan membiarkan mereka mengambil keputusan.

Dalam beberapa kasus, Anda benar-benar tidak dapat memaksa reboot. Kami memiliki orang yang menjalankan simulasi yang berjalan selama beberapa hari di beberapa mesin. Perangkat lunak simulasi memiliki masalah besar: tidak menyimpan hasil sementara. Jadi jika ada reboot selama menjalankan, sebagian besar pekerjaan hilang dan harus dilakukan. Saat ini tidak ada alternatif yang layak untuk menggunakan program simulasi ini, jadi kami di IT harus mengatasinya. Dalam hal ini, kami membuat OU baru yang tidak mendapatkan pembaruan didorong ke sana dan kami memindahkan semua PC yang digunakan untuk simulasi ini ke dalamnya.

Satu hal yang saya coba dan lakukan dengan reboot yang dipaksakan, adalah memeriksa patch setiap bulan dan jika ada yang membutuhkan reboot mengirimkan email pengingat pada pagi hari patch sedang didorong keluar. Kami memiliki banyak makan siang yang terhuyung-huyung sepanjang hari, jadi jendela 30 menit tidak cukup lama (berharap itu bisa lebih lama, tapi itu semua memungkinkan microsoft).

Jika Anda menggunakan pembaruan, izinkan pembaruan itu didorong ASAP. Jika mesin memerlukan reboot, tekan itu hingga malam atau dini hari. Jika orang mematikan komputer mereka, Anda dapat mencegah pematian mesin atau memaksakan penundaan waktu paling awal untuk melakukan boot ulang ketika pengguna menghidupkan kembali PC mereka.

Kami 'mendorong (d)' mematikan komputer pada akhir hari karena alasan konsumsi daya (hemat $), sehingga pembaruan akan diterapkan pada saat penutupan. Tentu saja ada beberapa yang memutuskan untuk tidak pernah mematikan, tetapi kami tidak memiliki terlalu banyak komputer di kantor (Sekitar 80 klien sekarang sebagian besar pindah ke thin-client).

Karena judul pertanyaannya adalah "praktik terbaik" khusus untuk WSUS, saya sarankan (dan ini benar-benar di luar dinding) untuk memastikan Anda hanya mengaktifkan pembaruan yang diperlukan dan tidak mengaktifkan proses pengunduhan selama jam kerja. Salah satu teknisi kami menemukan cara yang salah TIDAK untuk mengaktifkan semua pembaruan di situs dengan koneksi T1 WAN, aduh!