web-dev-qa-db-ja.com

Windows Updateをプッシュした後、強制的に再起動する必要がありますか?

ほとんどのユーザーは、WSUSがプッシュする「インストールする準備ができている更新プログラムがあります。ここをクリックしてインストールしてください」というメッセージを無視していることがわかりました。これまでインストールを強制していませんでしたが、グループポリシーを変更して、毎晩更新を実施することを考えています。これには、GPを介して強制したい再起動が必要になる場合があります。

ユーザーからのプッシュバックがあることは知っていますが、これが防御可能なベストプラクティスであるかどうか疑問に思っています。 PCが最新で安全であることを確認するために行うのは正しいことのようです。

16
GollyJer

自動再起動のsoapboxに少し乗りたいと思います。自動/再起動の強制は一般的にbadのアイデアであるというのが私の経験です。

私たちのシステム管理者は、最新のパッチが適用されていることを確認するのに多少複雑なことがよくありますそれまでOMGがシステムにパッチを適用していないため、2番目にインストールされます。ただし、システム管理者は、少なくとも理論的には、システムを使用する人々が作業を行えるようにするために存在することを理解する必要があります。

パッチがインストールされたら自動的に再起動し、たとえば、ワークステーションのシステムクロックが午前2時だと思ってリセットされ、一部の貧弱なディルバートが仕事を失った場合、あなたは大きなガフを作りました。私の意見では、ネットワーク上に一時的にパッチが適用されていないシステムを使用するよりもはるかに大きな問題です。

私の経験では、通常、ユーザーに再起動するように指示する、ある種の却下できないメッセージを表示することをお勧めします。仕事を終えて昼食時に再起動するか、夜にワークステーションをシャットダウンするように依頼するか、組織にうまく適合するようにします。

そうは言っても、私が大学で12のコンピューターラボの管理を手伝ったとき、ドアがロックされているために誰もマシンを使用しないことを確信していたときにダウンタイムを定義しました。これは、自動再起動が確実に問題ない状況です。私を苛立たせているのは、自律的な強制自動作業停止だけです。

10
msanford

自動インストールしてから、インストールの再起動を30分間遅らせます。ユーザーに今すぐ再起動するように求め、30分以内に応答がない場合は、マシンを再起動します。最初は不平がありましたが、それに慣れてきました。何かの途中にいる場合は、[後で再起動]をクリックして、適切な時間まで再起動を遅らせることができます。ただし、30分ごとにプロンプ​​トが表示されます。これは、ユーザーを再起動するだけと、更新プログラムをインストールしないようにすることのバランスが取れています。

編集:

更新-申し訳ありませんが、GPO設定を再確認していたときに、設定を見逃しました。再起動の再プロンプトは個別に構成できます。したがって、再度プロンプトが表示されるまでの遅延を設定できます。これも2003の場合です。環境、彼らは2008年にオプションを追加/変更した可能性があります

8
Zypher

最初にパッチをテストするので(あなたはそうしませんか?)、どのパッチがシステムの再起動を必要とするかを知っています。

マシンの再起動が必要なXパッチを展開する必要があることを通知する電子メールを送信する月の最後の水曜日または木曜日ごとにスケジュールを作成できます。マシンを一晩置いたままにしてください。

これは環境に配慮したソリューションではありませんが、ユーザーのニーズやシステムを最新の状態に保つ必要性を回避することはできます。

他のパッチについては、Zypherが投稿したソリューションを使用できます。

4
Wayne

場合によっては、再起動を強制できないことがあります。複数のマシンで数日間実行されるシミュレーションを実行する人がいます。シミュレーションソフトウェアには大きな問題があります。それは中間結果を保存しません。したがって、実行中に再起動が発生すると、大量の作業が失われ、やり直す必要があります。現在、このシミュレーションプログラムを使用するための実行可能な代替手段はないため、IT部門では回避する必要があります。この場合、更新がプッシュされない新しいOUを作成し、これらのシミュレーションに使用されるすべてのPCをそのOUに移動しました。

私はこれに対する他の人々の答えにも興味があります。私は自動再起動を実装することができません、それはずっと長い間「悪い習慣」にあり、人々は適応しませんでした。人々は、オープンなどに応答するために必要な電子メールを残し、突然それらを失うことは非常に迷惑です。

2
Adam Gibbins

技術的な理由を探している場合は、はい。マシンにすぐにパッチを適用し、ユーザーがパッチの適切な適用(必要な再起動を含む)を遅らせたり回避したりできないようにすることが「技術的に」ベストプラクティスです。

ただし、パッチのインストール後に自動再起動するという決定はビジネス上の決定であり、技術的な決定ではありません。システム管理者が好む主な理由は、パッチが適用されていないシステムが侵入した場合、適切な検疫システムが導入されていないと、通常、クリーンアップに長い時間がかかるためだと思います。ただし、マシンの使用状況によっては、強制的な再起動が生産性に影響を与えたり、受け入れられない場合があります(POSマシンやオンエアマシンなど)。

ターゲットマシンの1つのセグメントに自動再起動を強制できるが、他のマシンには自動再起動しない正当なビジネス上の理由がある場合があります。いつものように、ビジネスはあなたの顧客なので、あなたはあなたの「技術的にベストプラクティス」の推奨事項で賛否両論をレイアウトし、彼らに決定をさせます。

2
David Archer

強制再起動で私が試みていることの1つは、毎月パッチを確認し、再起動が必要な場合は、パッチがプッシュされている朝にリマインダーメールを送信することです。 1日を通して時間差のあるランチがたくさんあるので、30分のウィンドウは十分な長さではありません(もっと長くなることを望みますが、Microsoftが許可するのはそれだけです)。

1
Leroy Clark

更新を展開する場合は、それらをできるだけ早くプッシュできるようにします。マシンの再起動が必要な場合は、夜または早朝までそれを押してください。ユーザーがコンピューターをシャットダウンした場合、マシンのシャットダウンを防止するか、ユーザーがPCの電源を再び入れたときに再起動する最も早い時間の遅延を強制することができます。

1
Jason B Shrout

電力消費の理由($を節約)のために1日の終わりにコンピューターをシャットダウンすることを「推奨(d)」します。したがって、シャットダウン時に更新が適用されます。もちろん、シャットダウンしないことを決定する人もいますが、オフィスにはあまり多くのコンピューターがありませんでした(現在、約80台のクライアントがほとんどシンクライアントに移行しています)。

質問のタイトルはWSUSに固有の「ベストプラクティス」であるため、必要な更新のみを有効にし、勤務時間中にダウンロードプロセスを有効にしないようにすることをお勧めします(これは完全に壁から外れています)。私たちの技術者の1人が、T1 WAN接続、痛い!)のあるサイトですべての更新を有効にしないという間違った方法を発見しました。

0
l0c0b0x