GollyJer Asked: 2009-06-24 14:21:55 +0800 CST2009-06-24 14:21:55 +0800 CST 2009-06-24 14:21:55 +0800 CST 推出 Windows 更新后是否应该强制重启? 772 我发现大多数用户忽略了 WSUS 推出的“有更新准备安装,单击此处安装”消息。到目前为止,我们还没有强制安装,但我正在考虑更改组策略以每晚强制更新。这有时需要重新启动,我也想通过 GP 强制执行。 我知道用户会反对,但我想知道这是否是可辩护的最佳实践。确保 PC 是最新的和安全的似乎是正确的做法。 group-policy windows-update wsus 9 个回答 Voted msanford 2009-06-24T15:03:05+08:002009-06-24T15:03:05+08:00 我只想在我的自动重启肥皂盒上稍等片刻:根据我的经验,自动/强制重启通常是个坏主意。 我们系统管理员通常对确保在安装第二个补丁后应用最新补丁有点复杂,因为 OMG 直到那时系统未打补丁。但是,您必须意识到,系统管理员至少在理论上是为了让使用系统的人能够完成他们的工作。 如果您在安装补丁后自动重新启动,例如,工作站的系统时钟已重置,认为现在是凌晨 2 点,而一些可怜的 Dilbert 失去了工作,那么您就大错特错了。在我看来,这比在网络上拥有一个暂时未打补丁的系统要严重得多。 以我的经验,有某种不可忽略的消息告诉用户重新启动通常是一个更好的主意。让他们完成工作并在午餐时重新启动,或者让他们在晚上关闭工作站,或者非常适合您的组织的东西。 话虽如此,当我帮助管理一所大学的 12 个计算机实验室时,我们已经确定了停机时间,因为我们确定没有人会使用任何机器,因为门是锁着的。在这种情况下,自动重启肯定是可以的;让我恼火的只是自主强制自动停工。 Zypher 2009-06-24T14:25:49+08:002009-06-24T14:25:49+08:00 我们自动安装然后延迟重新启动安装 30 分钟 - 提示用户现在重新启动,如果在 30 分钟内没有响应,则重新启动机器。最初有一些抱怨,但已经习惯了。如果他们正在处理某事,他们可以单击“稍后重新启动”以延迟重新启动,直到合适的时间。但他们将每 30 分钟提示一次。在仅重新启动用户和让他们从不安装更新之间取得了很好的平衡。 编辑: 更新 - 抱歉,当我仔细检查我的 GPO 设置时错过了设置,重新启动的重新提示是可独立配置的。所以你可以在它再次提示之前设置延迟。这也是针对 2003 年的环境,他们可能在 2008 年添加/更改了选项 Wayne 2009-06-24T14:57:56+08:002009-06-24T14:57:56+08:00 因为您确实首先测试了补丁(不是吗?)您知道哪些补丁需要重新启动系统。 您可以创建一个时间表,说明您在每月的最后一个星期三或星期四发送一封电子邮件,说明您需要部署需要重新启动机器的 X 补丁程序。请让您的机器通宵运行。 诚然,这不是一个绿色解决方案,但它确实使您能够解决用户需求以及使系统保持最新的需求。 对于其他补丁,您可以使用 Zypher 发布的解决方案。 Adam Gibbins 2009-06-24T14:34:19+08:002009-06-24T14:34:19+08:00 我也会对其他人对此的回答感兴趣。我无法实现自动重启,它长期以来一直处于“不良做法”,人们不会适应。人们留下他们需要回复的电子邮件打开等,突然失去它们会很烦人。 David Archer 2009-06-24T16:45:02+08:002009-06-24T16:45:02+08:00 如果您正在寻找技术原因,是的,“技术上”的最佳做法是确保立即修补机器并且用户不能延迟或规避正确应用补丁(包括所需的重新启动)。 但是,我要声明的是,补丁安装后自动重启的决定是一项业务决策,而不是技术决策。我认为系统管理员倾向于支持它的主要原因是,如果某些未打补丁的系统被渗透,通常需要很长时间才能在没有适当隔离系统的情况下清理干净。但是,根据机器的使用情况(例如销售点机器或广播机器),强制重启可能会影响生产力或不可接受。 您可能会发现您可以强制自动重启到目标机器的一部分,但其他机器有正当的商业理由不自动重启。与往常一样,业务是您的客户,因此您可以通过“技术最佳实践”建议列出利弊,并让他们做出决定。 Ward - Reinstate Monica 2009-06-24T20:19:39+08:002009-06-24T20:19:39+08:00 在某些情况下,您绝对不能强制重启。我们有人在几台机器上运行几天的模拟。模拟软件有一个大问题:它不保存中间结果。因此,如果在运行期间重新启动,则会丢失大量工作并且必须重新完成。目前没有可行的替代方案来使用这个模拟程序,所以我们 IT 部门必须解决它。在这种情况下,我们创建了一个不会向其推送更新的新 OU,并且我们将用于这些模拟的所有 PC 移入其中。 Leroy Clark 2009-06-24T14:35:28+08:002009-06-24T14:35:28+08:00 我尝试对强制重启做的一件事是每月检查补丁,如果需要重启,在补丁被推出的早晨发送提醒电子邮件。我们全天有很多交错的午餐,所以 30 分钟的窗口时间不够长(希望它可以更长,但这是微软所允许的)。 Jason B Shrout 2009-06-24T15:07:24+08:002009-06-24T15:07:24+08:00 如果您正在部署更新,请允许它们尽快推送。如果机器需要重新启动,请将其推迟到晚上或清晨。如果人们关闭了他们的计算机,您可以防止机器关闭,或者在用户再次启动他们的 PC 时强制延迟最早的重启时间。 l0c0b0x 2009-06-24T20:03:45+08:002009-06-24T20:03:45+08:00 我们“鼓励(d)”在一天结束时出于功耗原因关闭计算机(节省 $),因此将在关闭时应用更新。当然也有一些决定永不关机,但我们办公室里没有太多电脑(现在大约有 80 个客户端大部分都转移到了瘦客户端)。 由于问题的标题是特定于 WSUS 的“最佳实践”,我建议(这完全不合时宜)确保您仅启用必要的更新,而不是在工作时间启用下载过程。我们的一位技术人员发现了错误的方法,即不要在具有 T1 WAN 连接的站点上启用所有更新,哎呀!
我只想在我的自动重启肥皂盒上稍等片刻:根据我的经验,自动/强制重启通常是个坏主意。
我们系统管理员通常对确保在安装第二个补丁后应用最新补丁有点复杂,因为 OMG 直到那时系统未打补丁。但是,您必须意识到,系统管理员至少在理论上是为了让使用系统的人能够完成他们的工作。
如果您在安装补丁后自动重新启动,例如,工作站的系统时钟已重置,认为现在是凌晨 2 点,而一些可怜的 Dilbert 失去了工作,那么您就大错特错了。在我看来,这比在网络上拥有一个暂时未打补丁的系统要严重得多。
以我的经验,有某种不可忽略的消息告诉用户重新启动通常是一个更好的主意。让他们完成工作并在午餐时重新启动,或者让他们在晚上关闭工作站,或者非常适合您的组织的东西。
话虽如此,当我帮助管理一所大学的 12 个计算机实验室时,我们已经确定了停机时间,因为我们确定没有人会使用任何机器,因为门是锁着的。在这种情况下,自动重启肯定是可以的;让我恼火的只是自主强制自动停工。
我们自动安装然后延迟重新启动安装 30 分钟 - 提示用户现在重新启动,如果在 30 分钟内没有响应,则重新启动机器。最初有一些抱怨,但已经习惯了。如果他们正在处理某事,他们可以单击“稍后重新启动”以延迟重新启动,直到合适的时间。但他们将每 30 分钟提示一次。在仅重新启动用户和让他们从不安装更新之间取得了很好的平衡。
编辑:
更新 - 抱歉,当我仔细检查我的 GPO 设置时错过了设置,重新启动的重新提示是可独立配置的。所以你可以在它再次提示之前设置延迟。这也是针对 2003 年的环境,他们可能在 2008 年添加/更改了选项
因为您确实首先测试了补丁(不是吗?)您知道哪些补丁需要重新启动系统。
您可以创建一个时间表,说明您在每月的最后一个星期三或星期四发送一封电子邮件,说明您需要部署需要重新启动机器的 X 补丁程序。请让您的机器通宵运行。
诚然,这不是一个绿色解决方案,但它确实使您能够解决用户需求以及使系统保持最新的需求。
对于其他补丁,您可以使用 Zypher 发布的解决方案。
我也会对其他人对此的回答感兴趣。我无法实现自动重启,它长期以来一直处于“不良做法”,人们不会适应。人们留下他们需要回复的电子邮件打开等,突然失去它们会很烦人。
如果您正在寻找技术原因,是的,“技术上”的最佳做法是确保立即修补机器并且用户不能延迟或规避正确应用补丁(包括所需的重新启动)。
但是,我要声明的是,补丁安装后自动重启的决定是一项业务决策,而不是技术决策。我认为系统管理员倾向于支持它的主要原因是,如果某些未打补丁的系统被渗透,通常需要很长时间才能在没有适当隔离系统的情况下清理干净。但是,根据机器的使用情况(例如销售点机器或广播机器),强制重启可能会影响生产力或不可接受。
您可能会发现您可以强制自动重启到目标机器的一部分,但其他机器有正当的商业理由不自动重启。与往常一样,业务是您的客户,因此您可以通过“技术最佳实践”建议列出利弊,并让他们做出决定。
在某些情况下,您绝对不能强制重启。我们有人在几台机器上运行几天的模拟。模拟软件有一个大问题:它不保存中间结果。因此,如果在运行期间重新启动,则会丢失大量工作并且必须重新完成。目前没有可行的替代方案来使用这个模拟程序,所以我们 IT 部门必须解决它。在这种情况下,我们创建了一个不会向其推送更新的新 OU,并且我们将用于这些模拟的所有 PC 移入其中。
我尝试对强制重启做的一件事是每月检查补丁,如果需要重启,在补丁被推出的早晨发送提醒电子邮件。我们全天有很多交错的午餐,所以 30 分钟的窗口时间不够长(希望它可以更长,但这是微软所允许的)。
如果您正在部署更新,请允许它们尽快推送。如果机器需要重新启动,请将其推迟到晚上或清晨。如果人们关闭了他们的计算机,您可以防止机器关闭,或者在用户再次启动他们的 PC 时强制延迟最早的重启时间。
我们“鼓励(d)”在一天结束时出于功耗原因关闭计算机(节省 $),因此将在关闭时应用更新。当然也有一些决定永不关机,但我们办公室里没有太多电脑(现在大约有 80 个客户端大部分都转移到了瘦客户端)。
由于问题的标题是特定于 WSUS 的“最佳实践”,我建议(这完全不合时宜)确保您仅启用必要的更新,而不是在工作时间启用下载过程。我们的一位技术人员发现了错误的方法,即不要在具有 T1 WAN 连接的站点上启用所有更新,哎呀!