Jak mogę sprawić, by WSUS był mniej inwazyjny dla naszych użytkowników?

13

Mamy WSUS wypychające aktualizacje na stacje robocze naszych użytkowników, a wszystko idzie stosunkowo dobrze z jednym irytującym zastrzeżeniem: wydaje się, że jest problem z wyświetlaniem wyskakującego okienka przed niektórymi użytkownikami informującymi, że ich komputer zostanie ponownie uruchomiony za 15 minut i nie mają o tym nic do powiedzenia:

alternatywny tekst

Może to być spowodowane tym, że nie wylogowali się poprzedniej nocy. Niemniej jednak jest to nieco za dużo i jest bardzo szkodliwe dla naszych użytkowników.

Oto trochę o naszym środowisku: Nasi użytkownicy działają Windows XP Proi są częścią Active Directory Domain. WSUS jest aplikowany przez Group Policy. Oto migawka obiektu zasad grupy, który wymusza reguły WSUS:

alternatywny tekst

Oto jak chcę, aby WSUS działał (najlepiej - wezmę wszystko, co może mnie zbliżyć):

Chcę, aby aktualizacje były automatycznie pobierane i instalowane co noc. Jeśli użytkownik nie jest zalogowany, chciałbym zrestartować komputer. Jeśli użytkownik jest zalogowany, chciałbym, aby jego komputer nie uruchomił się ponownie, ale zamiast tego czekał do następnego „okresu instalacji”, w którym może wykonać inne potrzebne instalacje i zrestartować komputer (pod warunkiem, że konto użytkownika nie jest jeszcze zalogowane). Jeśli użytkownik ma być monitowany o ponowne uruchomienie, powinno to się zdarzać tylko raz dziennie (jeśli to możliwe), ale za każdym razem, gdy jest monitowany, musi mieć sposób na odroczenie ponownego uruchomienia .

Nie chcę, aby użytkownicy byli zmuszani do ponownego uruchamiania komputera, ilekroć komputer uzna, że ​​tak powinno się stać (chyba że nastąpi to po instalacji aktualizacji i nie będzie zalogowanych użytkowników). Wymuszanie ponownego uruchomienia systemu w środku dnia pracy nie wydaje się wydajne. Czy jest coś, co mogę zrobić z GPO, co pomogłoby uczynić WSUS mniej ingerującym? Nawet jeśli dałoby to użytkownikowi opcję ponownego uruchomienia później - byłoby to lepsze niż to, co dzieje się teraz.

edytować

Celem jest możliwość automatycznego pobierania i instalowania aktualizacji co noc, a także restartowania komputera tylko wtedy, gdy nie ma zalogowanych użytkowników, gdy komputer chce się zrestartować. Jeśli system Windows musi nakłaniać użytkownika do ponownego uruchomienia, jest to całkowicie w porządku - o ile mają opcję odroczenia ponownego uruchomienia.

edytować

Okazuje się, że mamy pewne terminy ustalone na niektóre aktualizacje (SP3, rozszerzenia po stronie klienta itp.), A dzięki postowi znalezionemu poniżej, pewne światło zostało rzucone na sytuację:

http://forums.techarena.in/server-update-service/255722.htm

windows-server-2008 active-directory group-policy wsus Szyfrować
źródło

Odpowiedzi:

7

Myślę, że najbardziej praktycznym i najmniej inwazyjnym rozwiązaniem jest zmiana ustawienia Konfiguruj automatyczne aktualizowanie na 3 - Auto download and notify for install. Nie przeszkodzi to użytkownikowi, a opcja Install updates and Shut Downzostanie automatycznie wybrana w menu zamykania.

Od czasu do czasu generuj raport o komputerach wymagających aktualizacji i machaj wielkim kijem osobom, które nie dokonały aktualizacji.

Ben Pilbrow
źródło
Rozważyłem to, jednak celem było skłonienie komputerów do samodzielnego instalowania aktualizacji (chociaż nie chcemy, aby użytkownicy się wyłączali, komputery muszą pozostać włączone).
Cypher
Obawiam się, że nie sądzę, żeby było o wiele lepiej. Graliśmy z wieloma WIELE kombinacji tych ustawień i ostatecznie zdecydowaliśmy, że mniejszym złem wydaje się robić to w ten sposób.
Ben Pilbrow
2
Czy naprawdę musisz codziennie stosować aktualizacje? Powiedziałem mgmt o polityce, którą nazwałem „wyloguj się w środy” i zaplanowałem aktualizacje na tę noc, po kilku tygodniach chodzenia z wielkim kijem w środy, na które wszyscy się przyłapali. Nie sądzę, że WSUS daje ci jakąkolwiek inną opcję.
jhayes
1
Mówimy wszystkim, aby zamknęli komputer pod koniec dnia (jesteśmy zieleni i tak dalej), więc Shut down and install updatesdziała idealnie dla nas. Gdy nie ma łatek do nałożenia, mówi to po prostu Shut Downnormalnie.
Ben Pilbrow
@jhayes: Naprawdę nie trzeba tego robić codziennie - musimy teraz nadrobić zaległości, ponieważ łatanie nie zostało zrobione od około półtora roku. Prawie spadłem z krzesła, kiedy to zobaczyłem, więc umowa „na co dzień” nie jest wymagana. Widzę, że prawdopodobnie zmuszamy do ponownego uruchomienia w niedziele. To może zadziałać.
Cypher
3

Możesz zmienić „Konfiguruj automatyczne aktualizacje” na opcję „3 - Automatyczne pobieranie i powiadamiaj o instalacji” - możesz włączyć i ustawić limit czasu dla „Opóźniania ponownego uruchomienia zaplanowanych instalacji”

Możesz także spróbować „Brak automatycznego ponownego uruchamiania z zalogowanymi użytkownikami w przypadku zaplanowanych instalacji automatycznych aktualizacji” ustawiono na Włączone za pomocą opcji „Ponowne monit o ponowne uruchomienie w przypadku zaplanowanych instalacji”

Marshalus
źródło
Ustawienie „opóźnij restart” domyślnie wynosi 15 minut. Jednak maksymalna wartość wynosi 30 minut - nadal zmusza maszynę do wyświetlenia tego okna dialogowego, co nie jest tym, czego chcemy (chyba że może wybrać opcję „uruchom ponownie później”). Czy twoja druga sugestia nie wymusiłaby ponownego uruchomienia komputera po aktualizacji, nawet jeśli użytkownik byłby zalogowany? Czy się mylę?
Cypher
2

To była nasza największa przeszkoda we wdrażaniu WSUS. Poprzedni implementator zignorował to i mieliśmy nauczycieli zmuszonych do ponownego uruchomienia w środku klasy. Nie byli zadowoleni ...

Ustawienia, które masz, powinny już to robić. Mam te same ustawienia:

No auto-restart with logged on users for scheduled 
automatic updates installations: Enabled  

Re-prompt for restart with scheduled installations: Enabled  

Wait the following period before 
prompting again with a scheduled 
restart (minutes):  300

Ustawienie „Brak automatycznego restartu” powinno sprawić, że będzie działać tak, jak chcesz. Z pomocy programu WSUS: „Określa, że ​​aby ukończyć zaplanowaną instalację, Aktualizacje automatyczne będą czekać na ponowne uruchomienie komputera przez każdego zalogowanego użytkownika, zamiast powodować automatyczne ponowne uruchomienie komputera.

Jeśli status jest ustawiony na Włączone, Aktualizacje automatyczne nie uruchomią automatycznie komputera podczas zaplanowanej instalacji, jeśli użytkownik jest zalogowany na komputerze. Zamiast tego automatyczne aktualizacje powiadomią użytkownika o konieczności ponownego uruchomienia komputera. ”

Od czasu wdrożenia tego nie mieliśmy żadnych skarg. Testowałem na kilku naszych bardziej „wybaczających” użytkownikach przed wdrożeniem w całej szkole. Nie jestem pewien, czy ktokolwiek zauważył, że aktualizacje się odbywają.

Innym ustawieniem, które używam, które moim zdaniem pomaga naszym użytkownikom laptopów, jest: 

Reschedule Automatic Updates scheduled installations: Enabled  
Wait after system 
startup (minutes):  60

To pozwala im faktycznie włączyć i zalogować swoje komputery, zanim rozpoczną się instalacje aktualizacji w tle. Nie chciałem, aby instalacje spowalniały proces uruchamiania / logowania, jeśli nauczyciel włączył komputer przed zajęciami.

minamhere
źródło
Właśnie dlatego jestem tak zaskoczona i pytam tutaj. W przeszłości intensywnie korzystałem z programu WSUS i nie spodziewałem się, że użytkownicy nie będą mogli odłożyć ponownego uruchomienia.
Cypher
0

Zmieniłbym następujące ustawienia zasad. Po pierwsze, ponieważ niektóre aktualizacje nie wymagają ponownego uruchomienia komputera, a one mogą pobrać i zainstalować ochronę komputera przed następnym uruchomieniem. Drugi, ponieważ (zakładając, że używasz większości użytkowników jako zwykłych użytkowników, jak byłoby to zalecane), brak wyświetlanych im wiadomości może być przyczyną wymuszonego ponownego uruchomienia komputera. Użytkownicy niebędący administratorami nie otrzymaliby żadnych powiadomień o aktualizacji, ale musieliby postępować zgodnie z żądanymi restartami wiadomości, których nie mogli zobaczyć.

Allow Automatic Updates immediate installation - change to Enable
Allow non-administrators to receive update notifications - change to Enable
edusysadmin
źródło