คุณควรบังคับให้บูตเครื่องใหม่หลังจากออกการปรับปรุง Windows หรือไม่


16

ฉันพบว่าผู้ใช้ส่วนใหญ่ไม่สนใจข้อความ "มีอัปเดตที่พร้อมติดตั้งคลิกที่นี่เพื่อติดตั้ง" ที่ WSUS ส่งออกมา จนถึงตอนนี้เรายังไม่ได้บังคับให้ติดตั้ง แต่ฉันกำลังคิดที่จะเปลี่ยนนโยบายกลุ่มเพื่อบังคับใช้การอัปเดตทุกคืน บางครั้งจะต้องมีการรีบูตซึ่งฉันต้องการบังคับใช้ผ่าน GP เช่นกัน

ฉันรู้ว่าจะมีการผลักดันกลับจากผู้ใช้ แต่ฉันสงสัยว่านี่เป็นการปฏิบัติที่ดีที่สุดที่สามารถป้องกันได้หรือไม่ ดูเหมือนว่าสิ่งที่ถูกต้องที่ต้องทำเพื่อให้แน่ใจว่าพีซีมีความทันสมัยและปลอดภัย


บางคนน่าจะแก้ไขคำถามให้เป็น "คุณควรบังคับให้บูตเครื่องใหม่หลังจากออกจากการปรับปรุง Windows หรือไม่"
วอร์ด - Reinstate Monica

คำตอบ:


10

ฉันแค่อยากจะขึ้นไปที่กล่องรีบูตอัตโนมัติเป็นครั้งที่สอง: มันเป็นประสบการณ์ของฉันที่โดยอัตโนมัติ / การบังคับให้รีบูตเป็นความคิดที่ไม่ดี

เราผู้ดูแลระบบมักจะมีบางส่วนของที่ซับซ้อนเกี่ยวกับการทำให้แน่ใจว่าแพทช์ล่าสุดที่ได้รับนำไปใช้ที่สองมีการติดตั้งเพราะ OMG จนแล้วระบบจะยังไม่ได้แก้ไข อย่างไรก็ตามคุณต้องตระหนักว่าผู้ดูแลระบบอย่างน้อยในทางทฤษฎีอยู่ที่นั่นเพื่อให้ผู้ใช้ระบบสามารถทำงานได้

หากคุณรีบูตโดยอัตโนมัติเมื่อติดตั้งแพตช์แล้วและบอกว่านาฬิการะบบของเวิร์กสเตชันได้รับการรีเซ็ตโดยคิดว่าเป็นเวลา 2 นาฬิกาและดิลเบิร์ตผู้น่าสงสารคนหนึ่งสูญเสียงานคุณก็ทำดีมาก ในความคิดของฉันมันยิ่งใหญ่กว่าการมีระบบที่ไม่ตรงกันในเครือข่าย

จากประสบการณ์ของฉันการมีข้อความที่ยกเลิกไม่ได้บอกให้ผู้ใช้รีบูตมักเป็นความคิดที่ดีกว่า ปล่อยให้พวกเขาทำงานเสร็จแล้วรีบูทอาหารกลางวันหรือขอให้พวกเขาปิดเวิร์คสเตชั่นในตอนกลางคืนหรือสิ่งที่เหมาะสมกับองค์กรของคุณเป็นอย่างดี

ที่ถูกกล่าวว่าเมื่อฉันช่วยในการบริหารห้องปฏิบัติการคอมพิวเตอร์ 12 แห่งในวิทยาลัยเราได้กำหนดเวลาหยุดทำงานเมื่อเรารู้แน่นอนว่าไม่มีใครจะใช้เครื่องใด ๆ เพราะประตูถูกล็อค นั่นเป็นสถานการณ์ที่การรีบูตเครื่องอัตโนมัตินั้นใช้ได้ มันเป็นเพียงการหยุดการทำงานอัตโนมัติแบบบังคับโดยอิสระซึ่งทำให้ฉันรำคาญ


1
ฉันเห็นด้วยที่นี่ยกเว้นจุดเดียวว่าหากนาฬิการะบบผิดในเครือข่ายของคุณนั่นเป็นความผิดของคุณ :)
mhud

ใช่ถูกต้องแล้ว! ฉันแค่พูดว่า ... ;)
msanford

8

เราติดตั้งอัตโนมัติแล้วชะลอการรีสตาร์ทสำหรับการติดตั้งเป็นเวลา 30 นาที - แจ้งให้ผู้ใช้รีบูตตอนนี้และหากไม่มีการตอบสนองใน 30 นาทีก็จะรีบูตเครื่อง มีการบ่นเริ่มต้นบางอย่าง แต่ที่ได้รับมัน หากพวกเขาอยู่ตรงกลางของสิ่งที่พวกเขาสามารถคลิก "รีบูตในภายหลัง" เพื่อชะลอการรีบูตจนกว่าจะถึงเวลาที่ดี แต่พวกเขาจะถูกเตือนทุก ๆ 30 นาที มันเป็นความสมดุลที่ดีระหว่างการรีบูตเครื่องกับผู้ใช้และทำให้พวกเขาไม่เคยติดตั้งการอัปเดต

แก้ไข:

อัปเดต - ขออภัยพลาดการตั้งค่าเมื่อฉันตรวจสอบการตั้งค่า GPO ของฉันซ้ำสองครั้งการแจ้งให้รีบูตเครื่องสามารถกำหนดค่าได้อย่างอิสระ ดังนั้นคุณสามารถตั้งค่าการหน่วงเวลาก่อนที่จะพร้อมท์อีกครั้ง นอกจากนี้สำหรับสภาพแวดล้อมในปี 2003 พวกเขาอาจมีการเพิ่ม / เปลี่ยนแปลงตัวเลือกในปี 2008


มันเป็นส่วน "ไม่ตอบสนองใน 30 นาที" ที่ทำให้ฉันกลัว (ดูคำโวยวายของฉันด้านล่าง;) บางทีพวกเขากำลังประชุมทางโทรศัพท์และไม่สนใจเครื่องของพวกเขา? บางทีพวกเขาอยู่ในห้องน้ำหรือออกไปทานอาหารกลางวันและเปิดงานทั้งหมดทิ้งไว้ซึ่งหนึ่งในนั้นคือคู่มือต่าง ๆ ที่ต้องการให้ผู้ใช้แทรกแซงเพื่อบันทึก?
msanford

2
ใช่มันเป็นตัวเลือกที่กำหนดค่าได้คุณสามารถตั้งค่าเป็น 5 ชั่วโมงถ้าคุณต้องการ 30 นาทีเป็นสิ่งที่ทำงานในสภาพแวดล้อมของเรา - นอกจากนี้คุณยังสามารถทำได้โดย OU ดังนั้นผู้ดูแลระบบ / นักพัฒนาสามารถมีเวลา 2 หรือ 3 ชั่วโมงและพนักงานปกติสามารถมี 30 นาทีหรือชั่วโมง เช่นเดียวกับสิ่งอื่น ๆ ส่วนใหญ่เช่นนี้ "ขึ้นอยู่กับสภาพแวดล้อมของคุณ" นอกจากนี้พวกเขาทำมันอีกครั้งและพวกเขาไม่ทำงานลาเปิดโดยไม่ต้องกดปุ่มที่น้อย 'บันทึก' ก่อนที่จะไปรับประทานอาหารกลางวัน :)
Zypher

4

เพราะคุณทำการทดสอบแผ่นแปะก่อน (คุณไม่?) คุณรู้ว่าอันไหนที่ต้องมีการรีบูทระบบ

คุณสามารถสร้างตารางเวลาที่แจ้งว่าทุกวันพุธหรือวันสุดท้ายของเดือนที่คุณส่งอีเมลแจ้งว่าคุณจำเป็นต้องปรับใช้ X patches ที่ต้องรีบูตเครื่อง กรุณาทิ้งเครื่องไว้ข้ามคืน

การได้รับสิ่งนี้ไม่ใช่โซลูชันที่เป็นมิตรกับสิ่งแวดล้อม แต่ช่วยให้คุณสามารถแก้ไขความต้องการของผู้ใช้และความจำเป็นในการปรับปรุงระบบให้ทันสมัย

สำหรับแพตช์อื่น ๆ คุณสามารถไปกับโซลูชั่นที่ Zypher โพสต์


นี่ไม่ใช่ความคิดที่ดีเลย ฉันยอมรับว่าอาจไม่เป็นสีเขียว แต่เป็นหนึ่งในสถาบันที่ฉันทำงานที่ (ฉันเป็นผู้ใช้ไม่ใช่ผู้ดูแลระบบ) มีนโยบายในการบังคับให้เวิร์กสเตชันทั้งหมดถูกทิ้งให้ทำ 24/7/365 ในกรณีที่แพตช์มา หรือสิ่งที่จำเป็นต้องมีผีหรืออะไรไม่ นั่นคือไม่ได้เด็ดสีเขียว ...
msanford

2

ฉันจะให้ความสนใจในคำตอบของคนอื่นด้วย ฉันไม่สามารถใช้การรีบูทอัตโนมัติได้มันอยู่ใน "การปฏิบัติที่ไม่ดี" เป็นเวลานานและผู้คนจะไม่ปรับตัว ผู้คนออกจากอีเมลของพวกเขาพวกเขาจำเป็นต้องตอบสนองต่อการเปิด ฯลฯ ก็หายไปพวกเขาจะน่ารำคาญมาก


2

หากคุณกำลังมองหาเหตุผลทางเทคนิคใช่มันเป็นแนวปฏิบัติที่ดีที่สุด "ทางเทคนิค" เพื่อให้แน่ใจว่าเครื่องได้รับการติดตั้งทันทีและผู้ใช้ไม่สามารถหน่วงเวลาหรือหลีกเลี่ยงการใช้งานโปรแกรมแก้ไขที่เหมาะสม (รวมถึงการรีบูตที่จำเป็น)

อย่างไรก็ตามฉันจะระบุว่าการตัดสินใจบูตอัตโนมัติหลังจากติดตั้งโปรแกรมแก้ไขนั้นเป็นการตัดสินใจทางธุรกิจไม่ใช่ทางเทคนิค ฉันคิดว่าเหตุผลหลักที่ผู้ดูแลระบบชอบที่จะชอบคือถ้าระบบที่ไม่มีระบบบางระบบถูกแทรกซึมก็มักจะต้องใช้เวลานานกว่าจะได้รับสิ่งที่ทำความสะอาดโดยไม่มีระบบกักกันที่เหมาะสม อย่างไรก็ตามการรีบูตแบบบังคับอาจส่งผลกระทบต่อประสิทธิภาพการทำงานหรือไม่สามารถยอมรับได้ขึ้นอยู่กับการใช้งานเครื่อง (ตัวอย่างเช่นจุดขายเครื่องจักรหรือเครื่องออนแอร์)

คุณอาจพบว่าคุณสามารถบังคับให้ทำการรีบูตอัตโนมัติไปยังส่วนหนึ่งของเครื่องเป้าหมายของคุณ แต่เครื่องอื่น ๆ มีเหตุผลทางธุรกิจที่ถูกต้องตามกฎหมายไม่ให้ทำการรีบูตอัตโนมัติ เช่นเคยธุรกิจเป็นลูกค้าของคุณดังนั้นคุณจึงจัดวางข้อดีและข้อเสียของคำแนะนำ "แนวทางปฏิบัติที่ดีที่สุดทางเทคนิค" และให้พวกเขาตัดสินใจ


+1 สำหรับการกล่าวถึงการตัดสินใจทางธุรกิจและการตัดสินใจทางเทคนิค (สิ่งที่อาจถูกมองข้ามในการแสวงหาการใช้เครือข่ายที่สมบูรณ์แบบทางเทคโนโลยี)
msanford

2

ในบางกรณีคุณไม่สามารถบังคับให้รีบูตได้ เรามีคนที่ทำงานแบบจำลองที่ใช้เวลาสองสามวันกับหลาย ๆ เครื่อง ซอฟต์แวร์การจำลองมีปัญหาใหญ่: มันไม่ได้บันทึกผลลัพธ์ชั่วคราว ดังนั้นหากมีการรีบูตระหว่างการทำงานชิ้นใหญ่จะหายไปและต้องทำมากกว่า ขณะนี้ไม่มีทางเลือกที่เหมาะสมในการใช้โปรแกรมจำลองนี้ดังนั้นเราในฝ่ายไอทีจึงต้องหลีกเลี่ยง ในกรณีนี้เราสร้าง OU ใหม่ที่ไม่ได้รับการอัปเดตผลักออกไปและเราย้ายพีซีทั้งหมดที่ใช้สำหรับการจำลองเหล่านี้ลงไป


+1 นอกจากนี้สถานีจำลองของคุณจะไม่ตอบสนองต่อข้อความ "เฮ้ฉันสามารถรีบูตตอนนี้ได้หรือไม่" เนื่องจากมีแนวโน้มว่าไม่มีผู้ใช้กำลังนั่งอยู่บนแป้นพิมพ์
msanford

1

สิ่งหนึ่งที่ฉันลองทำกับการรีบูตแบบบังคับคือตรวจสอบแพตช์ในแต่ละเดือนและหากจำเป็นต้องรีบูตส่งอีเมลเตือนความจำในตอนเช้าจะมีการผลักแพตช์ออก เรามีอาหารกลางวันจำนวนมากตลอดทั้งวันดังนั้นหน้าต่าง 30 นาทีจึงไม่ยาวพอ (หวังว่ามันจะนานกว่านี้ แต่นั่นคือทั้งหมดที่ไมโครซอฟท์อนุญาต)


1

หากคุณกำลังปรับใช้การปรับปรุงอนุญาตให้มีการผลักพวกเขาโดยเร็ว หากเครื่องต้องรีบู๊ตให้ดันออกจนกว่าจะถึงกลางคืนหรือตอนเช้า หากผู้คนปิดเครื่องคอมพิวเตอร์คุณสามารถป้องกันการปิดเครื่องหรือบังคับให้มีความล่าช้าในการรีบูตเมื่อผู้ใช้เปิดพีซีขึ้นมาอีกครั้ง


0

เรา 'สนับสนุน (d)' ปิดคอมพิวเตอร์ในตอนท้ายของวันด้วยเหตุผลการใช้พลังงาน (ประหยัด $) ดังนั้นการอัปเดตจะถูกนำไปใช้เมื่อปิดเครื่อง แน่นอนว่ามีบางอย่างที่ตัดสินใจว่าจะไม่ปิดตัวลง แต่เราไม่มีคอมพิวเตอร์มากเกินไปในสำนักงาน (ตอนนี้ลูกค้าประมาณ 80 คนย้ายไปที่ลูกค้าแบบบาง)

เนื่องจากชื่อของคำถามคือ "วิธีปฏิบัติที่ดีที่สุด" เฉพาะสำหรับ WSUS ฉันขอแนะนำ (และนี่เป็นเรื่องที่ไม่สมบูรณ์) เพื่อให้แน่ใจว่าคุณเปิดใช้งานเฉพาะการอัปเดตที่จำเป็นและไม่เปิดใช้งานกระบวนการดาวน์โหลดในระหว่างชั่วโมงทำงาน หนึ่งในเทคโนโลยีของเราค้นพบวิธีที่ผิดที่จะไม่เปิดใช้งานการอัปเดตทั้งหมดในเว็บไซต์ที่มีการเชื่อมต่อ T1 WAN, อุ๊ย!

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.