¿Cómo puedo hacer que WSUS sea menos invasivo para nuestros usuarios?

13

Tenemos WSUS enviando actualizaciones a las estaciones de trabajo de nuestros usuarios, y las cosas van relativamente bien con una advertencia molesta: parece haber un problema con una ventana emergente que se muestra frente a algunos usuarios que les informa que su máquina se reiniciará en 15 minutos, y no tienen nada que decir al respecto:

texto alternativo

Esto puede deberse a que no cerraron la sesión la noche anterior. Sin embargo, esto es demasiado y es muy contraproducente para nuestros usuarios.

Aquí hay un poco sobre nuestro entorno: nuestros usuarios se están ejecutando Windows XP Proy son parte de un Active Directory Domain. WSUS se está aplicando a través de Group Policy. Aquí hay una instantánea del GPO que aplica las reglas de WSUS:

texto alternativo

Así es como quiero que WSUS funcione (idealmente, tomaré lo que sea que pueda acercarme):

Quiero que las actualizaciones se descarguen e instalen automáticamente todas las noches. Si un usuario no ha iniciado sesión, me gustaría que la máquina se reinicie. Si un usuario ha iniciado sesión, me gustaría que su máquina no se reinicie, sino que espere hasta el próximo "período de instalación" donde pueda realizar cualquier otra instalación necesaria y reiniciar luego (siempre que la cuenta de un usuario todavía no haya iniciado sesión). Si se le solicita a un usuario que reinicie, solo debería suceder una vez al día (si es posible), pero cada vez que se le solicite, debe tener una forma de posponer el reinicio .

No quiero que los usuarios se vean obligados a reiniciar su computadora cuando la computadora piense que debería suceder (a menos que sea después de una instalación de actualización y no haya usuarios conectados). Eso no parece productivo para forzar un reinicio del sistema en medio del día laboral de una persona. ¿Hay algo que pueda hacer con el GPO que ayudaría a que WSUS sea menos intrusivo? Incluso si le diera al usuario la opción de Reiniciar más tarde, eso sería mejor de lo que está sucediendo ahora.

editar

El objetivo es poder descargar e instalar automáticamente actualizaciones cada noche, y reiniciar la máquina solo si no hay usuarios conectados cuando la máquina quiere reiniciar. Si Windows tiene que molestar al usuario sobre el reinicio, esto está perfectamente bien, siempre y cuando tengan la opción de posponer ese reinicio.

editar

Resulta que tenemos algunos plazos establecidos en algunas actualizaciones (SP3, Extensiones del lado del cliente, etc.), y con la publicación que se encuentra a continuación, se ha arrojado algo de luz sobre la situación:

http://forums.techarena.in/server-update-service/255722.htm

Cifrar
fuente

Respuestas:

7

Creo que la solución más viable y menos intrusiva es cambiar la configuración de Configurar actualización automática a 3 - Auto download and notify for install. Eso no interrumpirá al usuario, y la opción Install updates and Shut Downse seleccionará automáticamente en el menú de apagado.

Periódicamente, ejecute un informe de las computadoras que necesitan actualizaciones y agite una mano dura a las personas que no han realizado sus actualizaciones.

Ben Pilbrow
fuente
He considerado esto, sin embargo, el objetivo era hacer que las máquinas instalen actualizaciones por su cuenta (aunque no queremos que los usuarios se apaguen, las máquinas deben permanecer encendidas).
Cypher
Me temo que no creo que sea mucho mejor que esto. Jugamos con muchas MUCHAS combinaciones de estas configuraciones, y finalmente decidimos que el menor de todos los males parecía ser hacerlo de esta manera.
Ben Pilbrow
2
¿Realmente necesitas aplicar actualizaciones todos los días? Hablé de una política que llamé 'cerrar sesión los miércoles' y programé actualizaciones para esa noche, después de algunas semanas de caminar con el palo grande los miércoles que todos entendieron. No creo que WSUS te dé ninguna otra opción.
jhayes
1
Les decimos a todos que apaguen su computadora al final del día (estamos siendo ecológicos y todo eso), por lo que Shut down and install updatesfunciona perfectamente para nosotros. Cuando no hay parches para aplicar, simplemente dice lo Shut Downnormal.
Ben Pilbrow
@jhayes: en realidad no es necesario hacerlo todos los días, solo tenemos que ponernos al día en este momento, ya que no se han realizado parches en aproximadamente un año y medio. Casi me caigo de la silla cuando vi eso, así que el trato "todos los días" no es un requisito. Puedo vernos posiblemente forzando un reinicio los domingos. Aquello podría funcionar.
Cypher
3

Puede cambiar "Configurar actualizaciones automáticas" a la opción "3 - Descarga automática y notificar la instalación" - puede habilitar y establecer un límite de tiempo para "Retraso de reinicio para instalaciones programadas"

También puede intentar "No reiniciar automáticamente con usuarios registrados para instalaciones de actualizaciones automáticas programadas" configurado en Habilitado con "Volver a solicitar reinicio con instalaciones programadas"

Marshalus
fuente
La configuración de "reinicio diferido" se establece por defecto en 15 minutos. Sin embargo, el valor máximo es de 30 minutos: todavía obliga a la máquina a abrir ese cuadro de diálogo, que no es lo que queremos (a menos que puedan elegir "reiniciar más tarde"). ¿No sería su segunda sugerencia reiniciar forzosamente la máquina después de una actualización incluso si un usuario inició sesión? ¿O me equivoco?
Cypher
2

Este fue nuestro mayor obstáculo para implementar WSUS. El implementador anterior ignoró esto, y tuvimos maestros que se vieron obligados a reiniciar en medio de una clase. No estaban contentos ...

La configuración que tengas ya debería estar haciendo esto por ti. Tengo la misma configuración:

No auto-restart with logged on users for scheduled 
automatic updates installations: Enabled  

Re-prompt for restart with scheduled installations: Enabled  

Wait the following period before 
prompting again with a scheduled 
restart (minutes):  300 

Se supone que la configuración "Sin reinicio automático" hace que esto funcione de la manera deseada. De la ayuda de WSUS: "Especifica que para completar una instalación programada, las Actualizaciones automáticas esperarán a que la computadora sea reiniciada por cualquier usuario que haya iniciado sesión, en lugar de hacer que la computadora se reinicie automáticamente.

Si el estado se establece en Habilitado, las Actualizaciones automáticas no reiniciarán una computadora automáticamente durante una instalación programada si un usuario ha iniciado sesión en la computadora. En cambio, las Actualizaciones automáticas notificarán al usuario que reinicie la computadora ".

No hemos tenido ninguna queja desde la implementación de esto. Probé con algunos de nuestros usuarios más "indulgentes" antes de implementar en toda la escuela. No estoy seguro de que alguien haya notado que las actualizaciones estaban sucediendo.

Otra configuración que uso que creo que ayuda a nuestros usuarios de computadoras portátiles es:

Reschedule Automatic Updates scheduled installations: Enabled  
Wait after system 
startup (minutes):  60 

Esto les permite encender y conectar sus computadoras antes de que comiencen las instalaciones de actualización en segundo plano. No quería que las instalaciones ralentizaran el proceso de inicio / inicio de sesión si un maestro encendía su computadora justo antes de la clase.

minamhere
fuente
Es por eso que estoy tan desconcertado y estoy preguntando aquí. He usado WSUS ampliamente en el pasado y no anticipé que los usuarios no pudieran posponer un reinicio.
Cypher
0

Cambiaría la siguiente configuración de política. La primera porque algunas actualizaciones no requieren un reinicio de la máquina y pueden descargarse e instalarse protegiendo la máquina antes del próximo reinicio. El segundo, porque (suponiendo que está ejecutando la mayoría de los usuarios como usuarios estándar, como se recomendaría), la falta de mensajes que se les muestra puede causar reinicios forzados. Los usuarios que no sean administradores no recibirían notificaciones de actualización de ningún tipo, pero tendrían que seguir los reinicios solicitados de mensajes que no pueden ver.

Allow Automatic Updates immediate installation - change to Enable
Allow non-administrators to receive update notifications - change to Enable
edusysadmin
fuente