推出Windows更新后，是否应该强制重启？

我发现大多数用户都忽略了WSUS推出的“已经准备好安装更新，请单击此处安装”消息。到目前为止，我们还没有强制安装，但是我正在考虑更改组策略以每晚强制执行更新。有时这需要重新启动，我也想通过GP强制重新启动。

我知道会有用户的回击，但我想知道这是否是可以辩护的最佳做法。确保PC是最新的并且安全，这似乎是正确的做法。

我只想转一下自动重启肥皂盒：根据我的经验，自动/强制重启通常是个坏主意。

我们的系统管理员通常要确保在安装第二个补丁之前应用了最新补丁，这有点复杂，因为在此之前，OMG尚未对系统进行补丁。但是，您必须意识到，至少从理论上讲，系统管理员可以使使用该系统的人员进行工作。

如果安装了补丁程序后自动重启，并且说工作站的系统时钟已经重置，并且认为是凌晨2点，而有些可怜的Dilbert失去了工作，那么您的工作就大为失败了。在我看来，这比在网络上拥有临时未打补丁的系统要大得多。

以我的经验，通常会有一个不容忽视的消息告诉用户重新启动是一个更好的主意。让他们完成工作并在午餐后重新启动，或者让他们在晚上关闭工作站，或者完全适合您的组织。

话虽这么说，当我帮助管理一所大学的12个计算机实验室时，我们确定了停机时间，因为我们确定没有人会因为门被锁住而使用任何机器。在这种情况下，自动重启肯定可以；只是让我感到烦恼的是自动强制自动停工。

我们自动安装，然后将安装重新启动延迟30分钟-提示用户立即重新启动，如果30分钟内没有响应，则它将重新引导计算机。最初有些抱怨，但已经习惯了。如果它们处于中间位置，则可以单击“稍后重新启动”以将重新启动延迟到合适的时间。但是每30分钟会提示一次。在重新启动用户与让他们从不安装更新之间，这是一个很好的平衡。

编辑：

更新-对不起，当我仔细检查GPO设置时，错过了该设置，重新启动的重新提示是可独立配置的。因此，您可以设置延迟，然后再次提示。也是针对2003年的环境，他们可能在2008年增加/更改了选项

因为您确实先测试了补丁（不是吗？），所以您知道哪些补丁需要重新启动系统。

您可以创建一个计划，说出每月的最后一个星期三或星期四，您会发送一封电子邮件，说明您需要部署需要重新启动计算机的X补丁程序。请让您的机器过夜。

当然，这不是一个绿色解决方案，但它确实使您能够解决用户需求以及保持系统最新的需求。

对于其他补丁，您可以使用Zypher发布的解决方案。

我也会对其他人对此的回答感兴趣。我无法实现自动重新启动，这种重新启动已经存在很长时间了，人们不会适应。人们留下他们需要回复打开状态等的电子邮件，突然丢失它们会很烦人。

如果您正在寻找技术原因，是的，这是“技术上”的最佳实践，以确保立即对计算机进行修补，并且用户不能延迟或规避适当的修补程序应用（包括必需的重新启动）。

但是，我要指出的是，安装补丁程序后自动重启的决定是一项商业决定，而不是一项技术决定。我认为，系统管理员倾向于青睐它的主要原因是，如果某些未打补丁的系统被渗透，通常需要很长时间才能清理干净而没有适当的隔离系统。但是，根据机器的使用情况，强制重启可能会影响生产率或不可接受（例如，销售点机器或广播机器）。

您可能会发现可以强制将自动重新引导到目标计算机的一部分，但是其他计算机有合法的商业理由不进行自动重新引导。与往常一样，企业是您的客户，因此您要根据自己的“技术最佳实践”建议来阐述利弊，然后让他们做出决定。

在某些情况下，您绝对不能强制重新启动。我们有运行模拟的人，这些模拟在多台计算机上运行了几天。模拟软件有一个大问题：它不会保存临时结果。因此，如果在运行过​​程中重新启动，则会丢失大量工作，必须重新完成。当前没有使用该模拟程序的可行选择，因此IT部门必须加以解决。在这种情况下，我们创建了一个新的OU，没有将更新推送到该OU，并且将所有用于这些模拟的PC移入了该OU。

我尝试强制重启的一件事是每月检查补丁，如果有需要重启的补丁，请在补丁推出的早晨发送提醒电子邮件。我们整天有很多交错的午餐，所以30分钟的窗口时间不够长（希望可以更长一些，但这是Microsoft所允许的）。

如果要部署更新，请尽快将其推送。如果机器需要重启，则将其推迟到深夜或清晨。如果人们关闭了计算机，则可以防止计算机关闭或在用户再次打开计算机电源时强制延迟最早的重启时间。

由于功耗原因（节省$），我们“鼓励”在一天结束时关闭计算机，因此更新将在关闭时应用。当然，有些服务器决定永远不关闭，但是我们办公室中的计算机数量并不多（现在大约有80个客户端主要转移到瘦客户端上）。

由于问题的标题是特定于WSUS的“最佳实践”，因此，我建议（而且这是完全不可行的），以确保仅启用必要的更新，而在工作时间内不启用下载过程。我们的一位技术人员发现了一种错误的方法，即不能在具有T1 WAN连接的站点上启用所有更新，哎呀！