应该在推出Windows更新后强制重新启动吗？

Question

我发现大多数用户忽略了WSUS推出的“有可安装的更新，点击这里安装”的信息。到目前为止，我们还没有强制安装，但我正在考虑更改组策略，以强制每晚进行更新。这有时需要重新启动，我希望通过GP执行。

我知道会有回溯用户，但我想知道这是否是防御的最佳做法。这似乎是正确的事情，以确保个人电脑是最新的和安全的。

Answer 1

我只想打开我的自动重新启动肥皂盒:这是我的经验，自动/强制重新启动通常是一个坏主意。

我们的系统管理员往往有点复杂，以确保最新的补丁已经应用了第二次，因为它已安装，因为OMG，直到那时，系统是未修补。然而，你必须认识到，系统管理员至少在理论上是为了让使用系统的人能够完成他们的工作。

如果安装了修补程序后自动重新启动，并且工作站的系统时钟被重置，认为是凌晨2点，而一些可怜的Dilbert丢失了工作，那么您就产生了一个巨大的gaff。在我看来，这比网络上暂时没有补丁的系统要大得多。

根据我的经验，有某种不可忽视的信息告诉用户重新启动通常是一个更好的主意。让他们完成他们的工作，在午餐时间重新启动，或者让他们在晚上关闭他们的工作站，或者一些适合你组织的东西。

尽管如此，当我帮助管理一所大学的12个计算机实验室时，我们确定了停机时间，当时我们确信没有人会使用任何一台机器，因为门是锁着的。在这种情况下，自动重新启动当然是可以的；只是自动强制的自动工作停止让我感到厌烦。

Answer 2

我们自动安装，然后将重新启动的安装延迟30分钟-提示用户现在重新启动，如果在30分钟内没有响应，那么它会重新启动机器。有一些最初的抱怨，但他们已经习惯了它。如果他们处于某件事情的中间，他们可以点击“稍后重新启动”来推迟重新启动，直到一个好的时候。但每隔30分钟就会提示一次。这是一个很好的平衡，只是重新启动用户和让他们永远不安装更新。

编辑：

更新-对不起，当我再次检查我的GPO设置时错过了设置，重启的重新提示是独立的可配置的。因此，您可以在延迟再次提示之前设置它。此外，对于2003年的环境，他们可能在2008年增加了/改变了选项。

Answer 3

因为你要先测试补丁(不是吗？)您知道哪些需要重新启动系统。

您可以创建一个计划，显示每个月的最后一个星期三或第三个月发送一封电子邮件，说明您需要部署X修补程序，需要重新启动计算机。请把你的机器开一夜。

当然，这不是一个绿色的解决方案，但它确实使您能够满足您的用户需求和保持系统的最新需要。

对于其他补丁，您可以使用Zypher发布的解决方案。