Wie kann ich WSUS für unsere Benutzer weniger invasiv machen?

13

Wir haben WSUS, das Updates auf die Workstations unserer Benutzer überträgt, und mit einer lästigen Einschränkung läuft es relativ gut: Es scheint ein Problem mit einem Popup zu geben, das vor einigen Benutzern angezeigt wird, die sie darüber informieren, dass ihr Computer in 15 neu gestartet wird Minuten, und sie haben nichts zu sagen:

Alt-Text

Dies kann daran liegen, dass sie sich am Vortag nicht abgemeldet haben. Dies ist jedoch etwas zu viel und für unsere Benutzer sehr kontraproduktiv.

Hier ist ein bisschen über unsere Umgebung: Unsere Benutzer laufen Windows XP Pround sind Teil von Active Directory Domain. WSUS wird über angewendet Group Policy. Hier ist eine Momentaufnahme des Gruppenrichtlinienobjekts, das die WSUS-Regeln erzwingt:

Alt-Text

So soll WSUS funktionieren (im Idealfall nehme ich alles, was mich näher bringt):

Ich möchte, dass Updates jede Nacht automatisch heruntergeladen und installiert werden. Wenn ein Benutzer nicht angemeldet ist, möchte ich, dass der Computer neu gestartet wird. Wenn ein Benutzer angemeldet ist, möchte ich, dass sein Computer nicht neu gestartet wird, sondern bis zur nächsten "Installationsperiode" gewartet wird, in der er alle anderen erforderlichen Installationen durchführen und anschließend neu starten kann (vorausgesetzt, ein Benutzerkonto ist noch nicht angemeldet). Wenn ein Benutzer zum Neustart aufgefordert werden soll, sollte dies nur einmal pro Tag erfolgen (falls möglich), aber jedes Mal, wenn er dazu aufgefordert wird, muss er eine Möglichkeit haben, den Neustart zu verschieben .

Ich möchte nicht, dass Benutzer gezwungen werden , ihren Computer neu zu starten, wenn der Computer dies für erforderlich hält (es sei denn, dies erfolgt nach einer Update-Installation und es sind keine Benutzer angemeldet). Das scheint nicht produktiv zu sein, um einen Systemneustart mitten im Arbeitstag einer Person zu erzwingen. Kann ich mit dem Gruppenrichtlinienobjekt etwas tun, das dazu beiträgt, WSUS weniger aufdringlich zu machen? Selbst wenn der Benutzer die Option "Später neu starten" erhalten würde, wäre dies besser als das, was jetzt geschieht.

bearbeiten

Das Ziel ist, dass Updates jede Nacht automatisch heruntergeladen und installiert und der Computer nur dann neu gestartet werden kann , wenn keine Benutzer angemeldet sind, wenn der Computer neu gestartet werden soll. Wenn Windows den Benutzer über einen Neustart aufregen muss, ist dies vollkommen in Ordnung - solange er die Option hat, den Neustart zu verschieben.

bearbeiten

Es stellte sich heraus, dass für einige Updates (SP3, clientseitige Erweiterungen usw.) Fristen festgelegt wurden. Mit dem folgenden Beitrag wurde einiges über die Situation gesagt:

http://forums.techarena.in/server-update-service/255722.htm

windows-server-2008 active-directory group-policy wsus Chiffre
quelle

Antworten:

7

Ich denke, die praktikabelste und am wenigsten aufdringliche Lösung besteht darin, die Einstellung Automatische Aktualisierung konfigurieren auf zu ändern 3 - Auto download and notify for install. Dies unterbricht den Benutzer nicht und die Option Install updates and Shut Downwird automatisch im Menü zum Herunterfahren ausgewählt.

Führen Sie in regelmäßigen Abständen einen Bericht über Computer durch, die Updates benötigen, und weisen Sie Personen, die ihre Updates nicht durchgeführt haben, einen großen Strich durch die Rechnung.

Ben Pilbrow
quelle
Ich habe darüber nachgedacht, aber das Ziel war es, die Computer dazu zu bringen, Updates selbst zu installieren (obwohl wir nicht möchten, dass Benutzer heruntergefahren werden, müssen die Computer eingeschaltet bleiben).
Cypher
Ich fürchte, ich glaube nicht, dass es viel besser wird. Wir haben mit vielen, vielen Kombinationen dieser Einstellungen gespielt und schließlich entschieden, dass es das geringere Übel zu sein schien, dies auf diese Weise zu tun.
Ben Pilbrow
2
Müssen Sie wirklich jeden Tag Updates installieren? Ich habe mgmt in eine Richtlinie mit der Bezeichnung "Mittwoch abmelden" überführt und Aktualisierungen für diese Nacht geplant, nachdem alle Mittwochs ein paar Wochen mit dem großen Stock herumgelaufen waren. Ich glaube nicht, dass WSUS Ihnen eine andere Option bietet.
Jhayes
1
Wir sagen jedem, er solle am Ende des Tages seinen Computer herunterfahren (wir sind grün und so), damit das Shut down and install updatesfür uns perfekt funktioniert. Wenn keine Patches angewendet werden müssen, wird dies einfach Shut Downals normal bezeichnet.
Ben Pilbrow
@jhayes: Es muss nicht wirklich jeden Tag gemacht werden - wir müssen im Moment nur aufholen, da das Patchen in ungefähr eineinhalb Jahren noch nicht gemacht wurde. Ich wäre fast von meinem Stuhl gefallen, als ich das sah, also ist das "Alltagsgeschäft" keine Voraussetzung. Ich kann sehen, dass wir möglicherweise sonntags einen Neustart erzwingen. Das könnte funktionieren.
Cypher
3

Sie können "Automatische Updates konfigurieren" in Option "3 - Automatisches Herunterladen und Benachrichtigen bei Installation" ändern. Sie können ein Zeitlimit für "Neustart bei geplanten Installationen verzögern" aktivieren und festlegen.

Sie können auch versuchen, "Kein automatischer Neustart mit angemeldeten Benutzern für geplante automatische Update-Installationen" auf "Aktiviert mit" Erneuter Neustart bei geplanten Installationen "zu setzen.

Marshalus
quelle
Die Standardeinstellung für "Wiederanlaufverzögerung" ist 15 Minuten. Der Maximalwert beträgt jedoch 30 Minuten. Dadurch wird der Computer dennoch gezwungen, dieses Dialogfeld zu öffnen. Dies ist jedoch nicht das, was wir möchten (es sei denn, er kann "Später neu starten" auswählen). Wäre es nicht Ihr zweiter Vorschlag, den Computer nach einem Update mit Gewalt neu zu starten, selbst wenn ein Benutzer angemeldet wäre? Oder irre ich mich?
Cypher
2

Dies war unser größtes Hindernis für die Bereitstellung von WSUS. Der vorherige Implementierer ignorierte dies und wir hatten Lehrer, die gezwungen waren, mitten in einer Klasse neu zu starten. Sie waren nicht erfreut ...

Die Einstellungen, die Sie haben, sollten dies bereits für Sie tun. Ich habe die gleichen Einstellungen:

No auto-restart with logged on users for scheduled 
automatic updates installations: Enabled  

Re-prompt for restart with scheduled installations: Enabled  

Wait the following period before 
prompting again with a scheduled 
restart (minutes):  300

Die Einstellung "Kein automatischer Neustart" soll dafür sorgen, dass dies so funktioniert, wie Sie es möchten. In der WSUS-Hilfe: "Gibt an, dass zum Abschließen einer geplanten Installation die automatischen Updates darauf warten, dass der Computer von jedem angemeldeten Benutzer neu gestartet wird, anstatt den Computer automatisch neu zu starten.

Wenn der Status auf Aktiviert gesetzt ist, wird ein Computer während einer geplanten Installation nicht automatisch durch automatische Updates neu gestartet, wenn ein Benutzer am Computer angemeldet ist. Stattdessen werden Benutzer durch automatische Updates aufgefordert, den Computer neu zu starten. "

Wir haben seit der Implementierung keine Beschwerden mehr. Ich habe einige unserer "verzeihenderen" Benutzer getestet, bevor ich sie für die gesamte Schule eingesetzt habe. Ich bin mir nicht sicher, ob jemand überhaupt bemerkt hat, dass die Updates stattfanden.

Eine andere Einstellung, die ich benutze, um unseren Laptop-Benutzern zu helfen, ist: 

Reschedule Automatic Updates scheduled installations: Enabled  
Wait after system 
startup (minutes):  60

Dies ermöglicht es ihnen, ihre Computer tatsächlich einzuschalten und sich anzumelden, bevor die Hintergrundaktualisierungsinstallationen beginnen. Ich wollte nicht, dass die Installationen den Start / Login-Prozess verlangsamen, wenn ein Lehrer kurz vor dem Unterricht seinen Computer einschaltet.

Minamhere
quelle
Deshalb bin ich so ratlos und frage hier. Ich habe WSUS in der Vergangenheit ausgiebig genutzt und nicht damit gerechnet, dass Benutzer einen Neustart nicht verschieben können.
Cypher
0

Ich würde die folgenden Richtlinieneinstellungen ändern. Das erste, weil einige Updates keinen Neustart des Computers erfordern und diese den Computer vor dem nächsten Neustart herunterladen und installieren können. Der zweite Grund ist, dass (vorausgesetzt, Sie führen die meisten Benutzer als Standardbenutzer aus, wie empfohlen) das Fehlen von Nachrichten, die ihnen angezeigt werden, möglicherweise einen erzwungenen Neustart verursacht. Nicht-Admin-Benutzer würden keinerlei Benachrichtigungen über Updates erhalten, müssten jedoch die angeforderten Neustarts der Nachrichten befolgen, die sie nicht sehen können.

Allow Automatic Updates immediate installation - change to Enable
Allow non-administrators to receive update notifications - change to Enable
edusysadmin
quelle