Comment puis-je rendre WSUS moins invasif pour nos utilisateurs?

13

Nous avons WSUS poussant les mises à jour sur les postes de travail de nos utilisateurs, et les choses vont relativement bien avec une mise en garde ennuyeuse: il semble y avoir un problème avec une fenêtre contextuelle affichée devant certains utilisateurs les informant que leur machine sera redémarrée dans 15 minutes, et ils n'ont rien à dire à ce sujet:

texte alternatif

Cela peut être dû au fait qu'ils ne se sont pas déconnectés la nuit précédente. Néanmoins, c'est un peu trop et c'est très contre-productif pour nos utilisateurs.

Voici un peu notre environnement: nos utilisateurs sont en cours d'exécution Windows XP Proet font partie d'un Active Directory Domain. WSUS est appliqué via Group Policy. Voici un instantané de l'objet de stratégie de groupe qui applique les règles WSUS:

texte alternatif

Voici comment je veux que WSUS fonctionne (idéalement - je prendrai tout ce qui peut me rapprocher):

Je souhaite que les mises à jour soient téléchargées et installées automatiquement tous les soirs. Si un utilisateur n'est pas connecté, je souhaite que la machine redémarre. Si un utilisateur est connecté, je voudrais que sa machine ne redémarre pas, mais attende plutôt la prochaine "période d'installation" où il pourra effectuer toutes les autres installations nécessaires et redémarrer ensuite (à condition qu'un compte d'utilisateur ne soit pas encore connecté). Si un utilisateur doit être invité à redémarrer, cela ne devrait se produire qu'une fois par jour (si possible), mais chaque fois qu'il est invité, il doit avoir un moyen de reporter le redémarrage .

Je ne veux pas que les utilisateurs soient obligés de redémarrer leur ordinateur chaque fois que l'ordinateur pense que cela devrait se produire (sauf si c'est après une installation de mise à jour et qu'il n'y a pas d'utilisateurs connectés). Cela ne semble pas productif pour forcer un redémarrage du système au milieu de la journée de travail d'une personne. Y a-t-il quelque chose que je puisse faire avec le GPO qui aiderait à rendre WSUS moins intrusif? Même si cela donnait à l'utilisateur la possibilité de redémarrer plus tard - ce serait mieux que ce qui se passe actuellement.

Éditer

L'objectif est de pouvoir télécharger et installer automatiquement les mises à jour tous les soirs, et redémarrer la machine uniquement si aucun utilisateur n'est connecté lorsque la machine souhaite redémarrer. Si Windows doit harceler l'utilisateur au sujet du redémarrage, cela convient parfaitement - tant qu'il a la possibilité de reporter ce redémarrage.

Éditer

Il s'avère que nous avons des délais fixés pour certaines mises à jour (SP3, extensions côté client, etc.), et avec le message ci-dessous, un peu de lumière a été apportée sur la situation:

http://forums.techarena.in/server-update-service/255722.htm

windows-server-2008 active-directory group-policy wsus Chiffrer
la source

Réponses:

7

Je pense que la solution la plus pratique et la moins intrusive consiste à modifier le paramètre Configurer la mise à jour automatique sur 3 - Auto download and notify for install. Cela n'interrompra pas l'utilisateur et l'option Install updates and Shut Downsera automatiquement sélectionnée dans le menu d'arrêt.

Exécutez régulièrement un rapport sur les ordinateurs nécessitant des mises à jour et agitez un gros bâton contre les personnes qui n'ont pas fait leurs mises à jour.

Ben Pilbrow
la source
J'y ai pensé, mais l'objectif était d'obtenir que les machines installent les mises à jour de leur propre chef (bien que nous ne voulons pas que les utilisateurs s'arrêtent, les machines doivent rester allumées).
Cypher
J'ai bien peur de ne pas penser que ça va beaucoup mieux que ça. Nous avons joué avec beaucoup de NOMBREUSES combinaisons de ces paramètres, et avons finalement décidé que le moindre de tous les maux semblait être de le faire de cette façon.
Ben Pilbrow
2
Avez-vous vraiment besoin d'appliquer des mises à jour tous les jours? J'ai parlé de mgmt dans une politique que j'ai appelée «déconnecter les mercredis» et prévu des mises à jour pour cette nuit-là, après quelques semaines de marche avec le gros bâton le mercredi, tout le monde s'est accroché. Je ne pense pas que WSUS vous donne une autre option.
jhayes
1
Nous disons à tout le monde de fermer son ordinateur à la fin de la journée (nous sommes verts et tout ça), donc ça Shut down and install updatesmarche parfaitement pour nous. Quand il n'y a pas de patchs à appliquer, c'est juste Shut Downcomme d'habitude.
Ben Pilbrow
@jhayes: Cela n'a pas vraiment besoin d'être fait tous les jours - nous avons juste besoin de faire du rattrapage pour le moment car le patch n'a pas été fait depuis environ un an et demi. Je suis presque tombé de ma chaise quand j'ai vu cela, donc l'accord "tous les jours" n'est pas une exigence. Je peux nous voir forcer un redémarrage le dimanche. Ça pourrait marcher.
Cypher
3

Vous pouvez changer "Configurer les mises à jour automatiques" en option "3 - Téléchargement automatique et notifier pour l'installation" - vous pouvez activer et définir un délai pour "Retarder le redémarrage pour les installations planifiées"

Vous pouvez également essayer "Pas de redémarrage automatique avec les utilisateurs connectés pour les installations de mises à jour automatiques planifiées" défini sur Activé avec "Demander à nouveau le redémarrage avec les installations planifiées"

Marshalus
la source
Le paramètre "retard de redémarrage" par défaut est de 15 minutes. La valeur maximale est de 30 minutes, cependant - cela oblige toujours la machine à ouvrir cette boîte de dialogue, ce qui n'est pas ce que nous voulons (à moins qu'ils ne puissent choisir "redémarrer plus tard"). Votre deuxième suggestion ne redémarrerait-elle pas de force la machine après une mise à jour même si un utilisateur était connecté? Ou je me trompe?
Cypher
2

C'était notre plus grand obstacle au déploiement de WSUS. Le précédent exécuteur a ignoré cela, et nous avons eu des enseignants obligés de redémarrer au milieu d'une classe. Ils n'étaient pas contents ...

Les paramètres dont vous disposez devraient déjà le faire pour vous. J'ai les mêmes paramètres:

No auto-restart with logged on users for scheduled 
automatic updates installations: Enabled  

Re-prompt for restart with scheduled installations: Enabled  

Wait the following period before 
prompting again with a scheduled 
restart (minutes):  300

Le paramètre «Pas de redémarrage automatique» est censé faire fonctionner cela comme vous le souhaitez. Dans l'aide de WSUS: "Spécifie que pour terminer une installation planifiée, les mises à jour automatiques attendent que l'ordinateur soit redémarré par tout utilisateur connecté, au lieu de provoquer le redémarrage automatique de l'ordinateur.

Si l'état est défini sur Activé, les mises à jour automatiques ne redémarreront pas automatiquement un ordinateur pendant une installation planifiée si un utilisateur est connecté à l'ordinateur. Au lieu de cela, les mises à jour automatiques avertiront l'utilisateur de redémarrer l'ordinateur. "

Nous n'avons reçu aucune plainte depuis sa mise en œuvre. J'ai testé quelques-uns de nos utilisateurs les plus «indulgents» avant de déployer dans toute l'école. Je ne suis pas sûr que quelqu'un ait même remarqué que les mises à jour se produisaient.

Un autre paramètre que j'utilise et qui, je pense, aide nos utilisateurs d'ordinateurs portables est: 

Reschedule Automatic Updates scheduled installations: Enabled  
Wait after system 
startup (minutes):  60

Cela leur permet de mettre leurs ordinateurs sous tension et de se connecter avant que les installations de mise à jour en arrière-plan commencent. Je ne voulais pas que les installations ralentissent le processus de démarrage / connexion si un enseignant allumait son ordinateur juste avant le cours.

minamhere
la source
C'est pourquoi je suis tellement déconcerté et je demande ici. J'ai beaucoup utilisé WSUS dans le passé et je ne m'attendais pas à ce que les utilisateurs ne puissent pas reporter un redémarrage.
Cypher
0

Je modifierais les paramètres de stratégie suivants. Le premier parce que certaines mises à jour ne nécessitent pas de redémarrage de la machine et celles-ci peuvent télécharger et installer la protection de la machine avant le prochain redémarrage. La seconde, car (en supposant que vous exécutez la plupart des utilisateurs en tant qu'utilisateurs standard, comme cela serait recommandé), le manque de messages qui leur sont affichés peut provoquer les redémarrages forcés. Les utilisateurs non administrateurs ne recevraient aucune notification de mise à jour, mais ils devraient suivre les redémarrages demandés du message qu'ils ne peuvent pas voir.

Allow Automatic Updates immediate installation - change to Enable
Allow non-administrators to receive update notifications - change to Enable
edusysadmin
la source