ほとんどのユーザーは、WSUSがプッシュする「インストールする準備ができている更新プログラムがあります。ここをクリックしてインストールしてください」というメッセージを無視していることがわかりました。今まではインストールを強制していませんが、グループポリシーを変更して更新を毎晩強制することを考えています。これには、再起動が必要な場合がありますが、これもGPで強制する必要があります。
ユーザーからの反論があることは知っていますが、これが防御可能なベストプラクティスかどうか疑問に思っています。PCが最新かつ安全であることを保証するために行うべき正しいことのように思えます。
回答:
私はちょっとの間、自動再起動ソープボックスに乗りたいと思っています。自動/再起動を強制することは一般に悪い考えだというのは私の経験です。
多くの場合、システム管理者は、OMGがそれまでシステムにパッチが適用されていないため、インストールされた2番目のパッチに最新のパッチを適用することについて多少複雑です。ただし、システム管理者は、少なくとも理論的には、システムを使用する人々が作業を行えるようにするためにそこにいることを認識する必要があります。
パッチがインストールされた後、たとえば午前2時とワークステーションのシステムクロックがリセットされ、Dilbertの一部が仕事を失ったと自動的にリブートすると、巨大なガフができてしまいます。私の意見では、一時的にパッチが適用されていないシステムをネットワーク上に置くよりもはるかに大きな問題です。
私の経験では、ユーザーに再起動するように通知する何らかの種類の非表示のメッセージを表示することは、通常、より良いアイデアです。仕事を終えて昼食をとって再起動するか、夜間にワークステーションをシャットダウンするよう依頼するか、組織にうまく合うようにします。
そうは言っても、大学の12のコンピューターラボの管理を手伝ったとき、ドアがロックされているため誰もマシンを使用していないことが確実にわかったときにダウンタイムを定義していました。これは、自動リブートが確実に問題になる状況です。私を悩ませるのは、自律的な強制自動作業停止だけです。
自動インストールし、インストールの再起動を30分間遅らせます-今すぐ再起動するようにユーザーにプロンプトを表示し、30分以内に応答がない場合、マシンを再起動します。最初は不満がありましたが、慣れてきました。何かの途中にいる場合は、「後で再起動する」をクリックして、適切な時間まで再起動を遅らせることができます。ただし、30分ごとにプロンプトが表示されます。これは、ユーザーを再起動するだけと、更新プログラムをインストールしないようにすることのバランスが取れています。
編集:
更新-GPO設定を再確認していたときに設定を忘れてしまいました。再起動の再プロンプトは個別に設定できます。したがって、再度プロンプトが表示される前に遅延を設定できます。また、これは2003年の環境向けで、2008年にオプションが追加/変更された可能性があります
最初にパッチをテストするので(そうではありませんか?)、システムの再起動が必要なパッチを知っています。
マシンの再起動を必要とするXパッチを展開する必要があることを伝えるメールを送信する最後の月または木曜日ごとに言うスケジュールを作成できます。マシンを一晩放置してください。
これは環境に優しいソリューションではありませんが、ユーザーのニーズとシステムを最新の状態に保つ必要性を回避できます。
他のパッチについては、Zypherが投稿したソリューションを使用できます。
技術的な理由を探している場合、はい、マシンにすぐにパッチを適用し、ユーザーがパッチの適切な適用(必要な再起動を含む)を遅らせたり回避したりできないようにすることが「技術的に」ベストプラクティスです。
ただし、パッチのインストール後の自動再起動の決定は、技術的な決定ではなくビジネス上の決定であると述べます。システム管理者が好む傾向がある主な理由は、パッチが適用されていないシステムに侵入した場合、適切な隔離システムを設置せずに物事をクリーンアップするのに通常長時間かかるためだと思います。ただし、マシンの使用状況によっては、強制的な再起動は生産性に影響するか、受け入れられない場合があります(例:POSマシンまたはオンエアマシン)。
ターゲットマシンの1つのセグメントに自動リブートを強制できるが、他のマシンには自動リブートしない正当なビジネス上の理由がある場合があります。いつものように、ビジネスは顧客であるため、「技術的なベストプラクティス」の推奨事項に賛否両論を示し、決定を下すことができます。
場合によっては、絶対に再起動を強制できないことがあります。複数のマシンで数日間実行するシミュレーションを実行する人々がいます。シミュレーションソフトウェアには大きな問題があります。中間結果は保存されません。そのため、実行中に再起動が行われると、大量の作業が失われ、やり直す必要があります。現在、このシミュレーションプログラムを使用するための実行可能な代替手段はないため、IT部門では回避する必要があります。この場合、更新がプッシュされない新しいOUを作成し、これらのシミュレーションに使用されるすべてのPCをそこに移動しました。
更新を展開している場合は、できるだけ早くそれらをプッシュできるようにします。マシンの再起動が必要な場合は、夜間または早朝まで再起動してください。ユーザーがコンピューターをシャットダウンした場合、コンピューターのシャットダウンを防ぐか、ユーザーが再びPCの電源を入れたときに再起動するために最も早い時間の遅延を強制することができます。
1日の終わりに電力消費の理由($を節約)でコンピューターをシャットダウンするように「奨励(d)」します。したがって、シャットダウン時に更新が適用されます。もちろん、決してシャットダウンしないことを決定するものもありますが、オフィスにはあまり多くのコンピューターがありませんでした(現在、約80のクライアントがほとんどシンクライアントに移動しています)。
質問のタイトルはWSUSに固有の「ベストプラクティス」であるため、必要な更新のみを有効にし、勤務時間中はダウンロードプロセスを有効にしないことをお勧めします(これはまったく不要です)。私たちの技術者の1人が、T1 WAN接続のあるサイトですべての更新を有効にしないという間違った方法を見つけました。