16 votos

'Windows Update' Mejores Prácticas

Me estoy encontrando que la mayoría de los usuarios ignoran el "Hay actualizaciones listas para instalar, haga clic aquí para instalar el" mensaje " de que WSUS empuja hacia fuera. Hasta ahora no hemos forzado al instalar, pero estoy pensando en cambiar la directiva de grupo para aplicar las actualizaciones de todas las noches. Esto a veces requiere un reinicio que quiero hacer cumplir a través de GP así.

Sé que no va a ser push-back de los usuarios pero me pregunto si esto es defendible la mejor práctica. Parece que la cosa derecha a hacer para garantizar Pc estén actualizados y seguros.

10voto

msanford Puntos 1117

Me gustaría conseguir en mi auto-reinicio de la tribuna por un segundo: ha sido mi experiencia que automáticamente/forzar un reinicio general es una mala idea.

Nosotros los administradores de sistemas a menudo tiene un poco de un complejo asegurándose de que la última revisión se ha aplicado la segunda es instalar porque OMG hasta entonces el sistema es sin parches. Sin embargo, usted debe darse cuenta de que los administradores de sistemas, al menos teóricamente están allí para permitir a la gente que utiliza el sistema para hacer su trabajo.

Si se reiniciará automáticamente una vez que el parche se instala, y, por ejemplo, la estación de trabajo del reloj del sistema se ha restablecido, pensando que se trata de las 2 de la mañana, y algunos pobres Dilbert pierde el trabajo, has cometido un gran error. En mi opinión, es mucho más trucada que tener un temporal sin parches del sistema en la red.

En mi experiencia, tener algún tipo de onu-dismissable mensaje indicando al usuario que reinicie normalmente es una mejor idea. Deje que ellos terminen su trabajo y reinicie durante el almuerzo, o pedirles que apaguen su estación de trabajo en la noche, o algo que se adapte a tu organización muy bien.

Dicho esto, cuando me ayudó a administrar el 12 de laboratorios de computación en un colegio, se había definido el tiempo de inactividad cuando se sabía con certeza de que nadie iba a estar usando cualquiera de las máquinas, porque las puertas estaban cerradas. Que es una situación en la que autorebooting es sin duda aceptar; es sólo la comunidad autónoma de la obligó automática de interrupción del trabajo que me molesta.

8voto

Zypher Puntos 26466

Nos auto de instalar, a continuación, retrasa el reinicio de la instalación durante 30 minutos - pide al usuario que reinicie y ahora si no hay respuesta en 30 minutos, a continuación, reinicia la máquina. Hubo algunas inicial de murmurar, pero que se han acostumbrado a ella. Si están en el medio de algo que puede hacer clic en "reiniciar más tarde" para retrasar el reinicio hasta que un buen tiempo. Pero se le pedirá cada 30 minutos. Es un buen equilibrio justo entre el reinicio de los usuarios y que ellos nunca instale las actualizaciones.

EDITAR:

Actualización - lo siento, perdí la configuración cuando yo era doble comprobación de mi configuración de GPO, el Volver a pedir reiniciar es configurables de forma independiente. Así que usted puede ajustar el retardo antes de que se le pedirá de nuevo. También esto es para 2003, en un ambiente, que pueden haber añadido/cambiado las opciones en 2008

4voto

jimg Puntos 459

Debido a que hagas la prueba los parches primera (¿no?) se sabe que las que requieren un reinicio del sistema.

Se podría crear un programa que dice que cada último miércoles o jueves del mes en que usted envíe un correo electrónico diciendo que usted necesita para implementar X parches que requieren de máquinas para ser reiniciado. Por favor, deje sus máquinas en la noche.

Concedido esto no es una solución verde pero sí permiten trabajar en torno a sus necesidades de los usuarios y la necesidad de mantener los sistemas actualizados.

Para los otros parches que usted podría ir con la solución que Zypher publicado.

2voto

grapefrukt Puntos 16804

Yo estaría interesado en otros pueblos respuestas a esta también. Yo soy incapaz de implementar auto de reiniciar, su estado de "mala práctica" por mucho mucho y la gente no adaptarse. Las personas dejan sus correos electrónicos que necesitan para responder a abrir, etc, de repente perderlos sería muy molesto.

2voto

Romias Puntos 5668

Si usted está buscando una razón técnica, sí, es "técnicamente" mejores prácticas para garantizar que las máquinas están revisados inmediatamente y que los usuarios no pueden retrasar o evitar la correcta aplicación de parches (incluyendo los reinicios).

Sin embargo, yo diría que la decisión de autoreboot después de parche se instala es una decisión de negocios, no un técnico. Creo que la razón principal de que los administradores de sistemas tienden a estar a favor es que si algunos no actualizados los sistemas de infiltrado, por lo general requiere largas horas para conseguir que las cosas se limpian sin un adecuado sistema de cuarentena en el lugar. Sin embargo, el reinicio forzado puede afectar a la productividad o inaceptable, dependiendo del uso de las máquinas (ejemplos de ello serían el punto de venta de máquinas o en el aire de las máquinas).

Usted puede encontrar que usted puede forzar autoreboot a un segmento de los equipos de destino, pero otras máquinas tienen una legítima razón de negocios NO autoreboot. Como siempre, el negocio de su cliente, de modo que la disposición de los pros y los contras con su "técnicamente mejor práctica" de la recomendación y les permite tomar una decisión.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: