Como posso tornar o WSUS menos invasivo para nossos usuários?

13

Temos o WSUS enviando atualizações para as estações de trabalho de nossos usuários, e as coisas estão indo relativamente bem com uma ressalva irritante: parece haver um problema com um pop-up sendo exibido na frente de alguns usuários, informando que sua máquina será reiniciada em 15 minutos, e eles não têm nada a dizer sobre isso:

texto alternativo

Isso pode ocorrer porque eles não efetuaram logout na noite anterior. No entanto, isso é um pouco demais e é muito contraproducente para nossos usuários.

Aqui está um pouco sobre o nosso ambiente: nossos usuários estão executando Windows XP Proe fazem parte de um Active Directory Domain. O WSUS está sendo aplicado via Group Policy. Aqui está uma captura instantânea do GPO que está aplicando as regras do WSUS:

texto alternativo

Aqui está como eu quero que o WSUS funcione (idealmente - eu levarei o que puder me aproximar):

Quero atualizações para baixar e instalar automaticamente todas as noites. Se um usuário não estiver logado, gostaria que a máquina fosse reiniciada. Se um usuário estiver conectado, eu gostaria que sua máquina não fosse reiniciada, mas espere até o próximo "período de instalação", onde ele poderá executar quaisquer outras instalações necessárias e reinicializá-la (desde que a conta de usuário ainda não esteja conectada). Se for solicitado que um usuário seja reinicializado, isso deve ocorrer apenas uma vez por dia (se possível), mas toda vez que for solicitado, ele deve ter uma maneira de adiar a reinicialização .

Não quero que os usuários sejam forçados a reiniciar o computador sempre que o computador achar que isso deve acontecer (a menos que seja após uma instalação de atualização e não haja usuários conectados). Isso não parece produtivo para forçar a reinicialização do sistema no meio do dia de trabalho de uma pessoa. Existe algo que eu possa fazer com o GPO que ajude a tornar o WSUS menos invasivo? Mesmo que desse ao usuário a opção Reiniciar mais tarde - seria melhor do que o que está acontecendo agora.

editar

O objetivo é poder baixar e instalar atualizações automaticamente todas as noites e reiniciar a máquina apenas se não houver usuários conectados quando a máquina quiser reiniciar. Se o Windows precisar incomodar o usuário sobre a reinicialização, isso é perfeitamente aceitável - desde que eles tenham a opção de adiar a reinicialização.

editar

Acontece que temos alguns prazos definidos para algumas atualizações (SP3, extensões do lado do cliente etc.) e, com a publicação encontrada abaixo, alguma luz foi lançada sobre a situação:

http://forums.techarena.in/server-update-service/255722.htm

windows-server-2008 active-directory group-policy wsus Cifra
fonte

Respostas:

7

Acho que a solução mais viável e menos intrusiva é alterar a configuração Configurar atualização automática para 3 - Auto download and notify for install. Isso não interromperá o usuário e a opção para Install updates and Shut Downserá automaticamente selecionada no menu de desligamento.

Periodicamente, execute um relatório de computadores que precisam de atualizações e acene com atenção às pessoas que não fizeram suas atualizações.

Ben Pilbrow
fonte
Eu considerei isso, no entanto, o objetivo era fazer com que as máquinas instalassem atualizações por conta própria (embora não desejemos que os usuários desliguem, as máquinas precisam permanecer ativadas).
Cypher
Receio não achar que fique muito melhor que isso. Tocamos com muitas MUITAS combinações dessas configurações e, finalmente, decidimos que o menor de todos os males parecia ser assim.
Ben Pilbrow
2
Você realmente precisa aplicar atualizações todos os dias? Conversei sobre uma política que chamei de 'desconectar quartas-feiras' e programei atualizações para aquela noite, depois de algumas semanas andando com o pau grande às quartas-feiras que todos entendiam. Eu não acho que o WSUS lhe dê outra opção.
jhayes
1
Dizemos a todos para desligar o computador no final do dia (estamos sendo verdes e tudo isso), para que Shut down and install updatesfuncione perfeitamente para nós. Quando não há patches para aplicar, apenas diz Shut Downcomo normal.
Ben Pilbrow 6/01/11
@jhayes: Realmente não precisa ser feito todos os dias - só precisamos nos atualizar no momento, já que as correções não são feitas há cerca de um ano e meio. Eu quase caí da cadeira quando vi isso, então o acordo "todos os dias" não é um requisito. Eu posso nos ver possivelmente forçando uma reinicialização aos domingos. Isso pode funcionar.
Cypher
3

Você pode alterar "Configurar atualizações automáticas" para a opção "3 - Fazer o download automático e notificar para instalação" - você pode ativar e definir um limite de tempo para "Atraso na reinicialização de instalações programadas"

Você também pode tentar "Não é possível reiniciar automaticamente com usuários conectados para instalações agendadas de atualizações automáticas" definido como Ativado com "Solicitar novamente a reinicialização com instalações agendadas"

Marshalus
fonte
A configuração "delay restart" é padronizada para 15 minutos. O valor máximo é de 30 minutos, no entanto - ele ainda força a máquina a abrir o diálogo, que não é o que queremos (a menos que eles possam escolher "reiniciar mais tarde"). Sua segunda sugestão não reiniciaria vigorosamente a máquina após uma atualização, mesmo que um usuário estivesse conectado? Ou estou enganado?
Cypher
2

Este foi o nosso maior obstáculo para a implantação do WSUS. O implementador anterior ignorou isso e tivemos professores sendo forçados a reiniciar no meio de uma classe. Eles não ficaram satisfeitos ...

As configurações que você tem já devem fazer isso por você. Eu tenho as mesmas configurações:

No auto-restart with logged on users for scheduled 
automatic updates installations: Enabled  

Re-prompt for restart with scheduled installations: Enabled  

Wait the following period before 
prompting again with a scheduled 
restart (minutes):  300

A configuração "Sem reinicialização automática" deve fazer com que isso funcione da maneira que você deseja. Da ajuda do WSUS: "Especifica que, para concluir uma instalação agendada, as Atualizações Automáticas aguardarão o reinício do computador por qualquer usuário que esteja conectado, em vez de fazer com que o computador seja reiniciado automaticamente.

Se o status estiver definido como Ativado, as Atualizações automáticas não reiniciarão o computador automaticamente durante uma instalação agendada se um usuário estiver conectado ao computador. Em vez disso, as Atualizações Automáticas notificarão o usuário para reiniciar o computador. "

Não recebemos nenhuma reclamação desde a implementação. Testei alguns dos nossos usuários mais "perdoadores" antes de implantar em toda a escola. Não tenho certeza de que alguém tenha notado que as atualizações estavam acontecendo.

Outra configuração que eu acho que ajuda nossos usuários de laptop é: 

Reschedule Automatic Updates scheduled installations: Enabled  
Wait after system 
startup (minutes):  60

Isso lhes permite realmente ligar e conectar seus computadores antes que as instalações de atualização em segundo plano comecem a acontecer. Eu não queria que as instalações desacelerassem o processo de inicialização / login se um professor ligasse o computador logo antes da aula.

minamhere
fonte
É por isso que estou tão confuso e estou perguntando aqui. Eu usei o WSUS extensivamente no passado e não previa que os usuários não pudessem adiar uma reinicialização.
Cypher
0

Eu alteraria as seguintes configurações de diretiva. A primeira, porque algumas atualizações não requerem reinicialização da máquina e podem fazer o download e instalar a proteção da máquina antes da próxima reinicialização. A segunda, porque (supondo que você esteja executando a maioria dos usuários como usuários padrão, como seria recomendado), a falta de mensagens sendo mostradas a eles talvez esteja causando as reinicializações forçadas. Os usuários não administradores não receberiam notificações de atualização de nenhum tipo, mas precisariam seguir as reinicializações solicitadas da mensagem que estão impedidas de ver.

Allow Automatic Updates immediate installation - change to Enable
Allow non-administrators to receive update notifications - change to Enable
edusysadmin
fonte