Patchkonzept für Windows Clients
Hallo Zusammen,
ich bin gerade dabei ein patchkonzept für unsere Windows Clients zu entwerfen, da die momentan alle wie wild irgentwann ihre Updates vom WSUS ziehen und das in Zukunft
alles mal etwas Koordinierter ablaufen soll.
Meine Vorstellung wäre gewesen die Rechner Nachts hochzufahren, durchzupatchen und wieder herunter zu fahren.
Oder die Updates wärend des Tages zu ziehen und dem User dann nur die Möglichkeit zu geben Aktualisieren unter Herunterfahren.
Was für Erfahrungen habt ihr bei solchen Konzepten oder könnt ihr etwas Empfehlen?
VG
Hanuta
ich bin gerade dabei ein patchkonzept für unsere Windows Clients zu entwerfen, da die momentan alle wie wild irgentwann ihre Updates vom WSUS ziehen und das in Zukunft
alles mal etwas Koordinierter ablaufen soll.
Meine Vorstellung wäre gewesen die Rechner Nachts hochzufahren, durchzupatchen und wieder herunter zu fahren.
Oder die Updates wärend des Tages zu ziehen und dem User dann nur die Möglichkeit zu geben Aktualisieren unter Herunterfahren.
Was für Erfahrungen habt ihr bei solchen Konzepten oder könnt ihr etwas Empfehlen?
VG
Hanuta
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 397339
Url: https://administrator.de/contentid/397339
Ausgedruckt am: 22.11.2024 um 21:11 Uhr
5 Kommentare
Neuester Kommentar
Das haengt stark von deiner Umgebung ab - z.B. hast du Laptop-Benutzer? Hast du Schichtdienste? Werden die Rechner nachts wirklich runtergefahren?
Ich würde z.B. gucken das man einfach den Neustart verschieben darf - und dann gucken ob die Abends beim Runterfahren den kram installieren lassen, sonst um 3 automatisch neustarten (wenn keine Nachtarbeiter da sind). Vorher nur ne Rundmail das die beim Runterfahren _nicht_ warten muessen, sonst gibts wieder nur mecker wenn der Rechner mit "Updates werden installiert" steht und der wird dann einfach ausgemacht... Die sollen nur runterfahren sagen und können dann Feierabend machen ;)
Ich würde z.B. gucken das man einfach den Neustart verschieben darf - und dann gucken ob die Abends beim Runterfahren den kram installieren lassen, sonst um 3 automatisch neustarten (wenn keine Nachtarbeiter da sind). Vorher nur ne Rundmail das die beim Runterfahren _nicht_ warten muessen, sonst gibts wieder nur mecker wenn der Rechner mit "Updates werden installiert" steht und der wird dann einfach ausgemacht... Die sollen nur runterfahren sagen und können dann Feierabend machen ;)
Die Arbeits-PCs saugen die Patches tagsüber. Die Benutzer bestimmen, wann es instaliert wird. Die Meisten machen das bevor sie in Pause gehen. Einige bei Feierabend. Die Server ziehen sich die Patches über Nacht und morgens, vor Arbeitsbeginn, installiert einer von uns sie dann. Bisher keinen Bedarf gehabt das zu ändern.
Moin,
Aus der Nummer kommst du nicht raus.
Die Update werden zwar größtenteils beim Herunterfahren installiert, aber auch ein Teil beim Hochfahren.
Aber das geht mit aktuellen PCs recht schnell und die Zeit wird zum Kaffee holen genutzt
Bei uns werden die Updates nachmittags auf die PC geladen und dann abends installiert.
Kannst du alles per GPO einstellen ...
VG,
Deepsys
Aus der Nummer kommst du nicht raus.
Die Update werden zwar größtenteils beim Herunterfahren installiert, aber auch ein Teil beim Hochfahren.
Aber das geht mit aktuellen PCs recht schnell und die Zeit wird zum Kaffee holen genutzt
Bei uns werden die Updates nachmittags auf die PC geladen und dann abends installiert.
Kannst du alles per GPO einstellen ...
VG,
Deepsys
Moin,
verwendet ihr ausschließlich Desktop-PCs`?
Ich persönlich bin ein Freund davon, dass die Anwender so wenig wie möglich von dem ganzen Thema mitbekommen sollten. Wie bereits erwähnt... die Updates werden zwar beim Herunterfahren konfiguriert, allerdings kennt das eigentlich jeder, dass beim nächsten Start noch weitere Konfigurationen erfolgen - bei Fehlern dauert die Konfiguration dann gerne auch mal deutlich länger als 10 Minuten.
Bei mir hat sich folgendes Konzept bewährt:
1. Test-Clients definieren, welche asap die Updates erhalten (im Ideallfall Geräte aus unterschiedlichen Abteilungen)
=> Bei einem Fehler der Updates sind immer nur einzelne PCs pro Abteilung und NIE eine gesamte Abteilung betroffen
2. Wenn keine Fehler aufgetreten sind, updates für eine erste Gruppe freigeben (Rechner starten z. B. am 1. Montag nach dem Patchday (2. Dienstag im Monat))
3. Dinestag ggf. noch MIttwoch warten ob Probleme auftreten.
4. zweite und letzte Gruppe mit Updates versorgen (1. Donnerstag nach dem Patchday)
=> Dieses Konstrukt ist auf Betriebsstabilität ausgelegt. Kritische Sicherheitsupdates müssten dann ggf. nach einem anderen Konzept ausgerollt werden.
Generell würde ich schauen dass ich die Rechner (sofern ich die Möglichkeit habe) in verschiedene Gruppen einteile, Abends per WOL starte und die Updates mit der Option installiere, dass der PC nach erfolgreicher Installation neustartet und anschließend erneut nach Updates sucht. Diesen Vorgang wiederholt der PC solange, bis alle relevanten Updates installiert wurden. Anschließend wird der PC heruntergefahren und der User hat im ideallfall ncihts von der Aktion mitbekommen.
Du schaust dir dann zum Ende des Monats einen Report an, ob alle Systeme Up-To-Date sind oder ob ggf. bei einigen Systemen nachgebessert werden muss.
Viel Aufwand für ein bisschen Patchmanagement :p
verwendet ihr ausschließlich Desktop-PCs`?
Ich persönlich bin ein Freund davon, dass die Anwender so wenig wie möglich von dem ganzen Thema mitbekommen sollten. Wie bereits erwähnt... die Updates werden zwar beim Herunterfahren konfiguriert, allerdings kennt das eigentlich jeder, dass beim nächsten Start noch weitere Konfigurationen erfolgen - bei Fehlern dauert die Konfiguration dann gerne auch mal deutlich länger als 10 Minuten.
Bei mir hat sich folgendes Konzept bewährt:
1. Test-Clients definieren, welche asap die Updates erhalten (im Ideallfall Geräte aus unterschiedlichen Abteilungen)
=> Bei einem Fehler der Updates sind immer nur einzelne PCs pro Abteilung und NIE eine gesamte Abteilung betroffen
2. Wenn keine Fehler aufgetreten sind, updates für eine erste Gruppe freigeben (Rechner starten z. B. am 1. Montag nach dem Patchday (2. Dienstag im Monat))
3. Dinestag ggf. noch MIttwoch warten ob Probleme auftreten.
4. zweite und letzte Gruppe mit Updates versorgen (1. Donnerstag nach dem Patchday)
=> Dieses Konstrukt ist auf Betriebsstabilität ausgelegt. Kritische Sicherheitsupdates müssten dann ggf. nach einem anderen Konzept ausgerollt werden.
Generell würde ich schauen dass ich die Rechner (sofern ich die Möglichkeit habe) in verschiedene Gruppen einteile, Abends per WOL starte und die Updates mit der Option installiere, dass der PC nach erfolgreicher Installation neustartet und anschließend erneut nach Updates sucht. Diesen Vorgang wiederholt der PC solange, bis alle relevanten Updates installiert wurden. Anschließend wird der PC heruntergefahren und der User hat im ideallfall ncihts von der Aktion mitbekommen.
Du schaust dir dann zum Ende des Monats einen Report an, ob alle Systeme Up-To-Date sind oder ob ggf. bei einigen Systemen nachgebessert werden muss.
Viel Aufwand für ein bisschen Patchmanagement :p