woraxor
Goto Top

Patchkonzept für Windows Clients

Hallo Zusammen,

ich bin gerade dabei ein patchkonzept für unsere Windows Clients zu entwerfen, da die momentan alle wie wild irgentwann ihre Updates vom WSUS ziehen und das in Zukunft
alles mal etwas Koordinierter ablaufen soll.

Meine Vorstellung wäre gewesen die Rechner Nachts hochzufahren, durchzupatchen und wieder herunter zu fahren.

Oder die Updates wärend des Tages zu ziehen und dem User dann nur die Möglichkeit zu geben Aktualisieren unter Herunterfahren.

Was für Erfahrungen habt ihr bei solchen Konzepten oder könnt ihr etwas Empfehlen?

VG
Hanuta

Content-ID: 397339

Url: https://administrator.de/contentid/397339

Ausgedruckt am: 22.11.2024 um 21:11 Uhr

maretz
maretz 06.01.2019 um 18:20:22 Uhr
Goto Top
Das haengt stark von deiner Umgebung ab - z.B. hast du Laptop-Benutzer? Hast du Schichtdienste? Werden die Rechner nachts wirklich runtergefahren?

Ich würde z.B. gucken das man einfach den Neustart verschieben darf - und dann gucken ob die Abends beim Runterfahren den kram installieren lassen, sonst um 3 automatisch neustarten (wenn keine Nachtarbeiter da sind). Vorher nur ne Rundmail das die beim Runterfahren _nicht_ warten muessen, sonst gibts wieder nur mecker wenn der Rechner mit "Updates werden installiert" steht und der wird dann einfach ausgemacht... Die sollen nur runterfahren sagen und können dann Feierabend machen ;)
it-fraggle
it-fraggle 06.01.2019 um 18:28:42 Uhr
Goto Top
Die Arbeits-PCs saugen die Patches tagsüber. Die Benutzer bestimmen, wann es instaliert wird. Die Meisten machen das bevor sie in Pause gehen. Einige bei Feierabend. Die Server ziehen sich die Patches über Nacht und morgens, vor Arbeitsbeginn, installiert einer von uns sie dann. Bisher keinen Bedarf gehabt das zu ändern.
Woraxor
Woraxor 07.01.2019 um 09:54:30 Uhr
Goto Top
Moin maretz,

Bei uns gibt es keine Nachtarbeit und Schichtbetrieb. Deswegen war ja meine Idee, die Updates immer beim Herunterfahren zu installieren. Damit die user morgens sich nicht beim Hochfahren beschweren face-wink

VG
Hanuta
Deepsys
Deepsys 07.01.2019 um 11:37:05 Uhr
Goto Top
Moin,

Zitat von @Woraxor:
Damit die user morgens sich nicht beim Hochfahren beschweren face-wink
Aus der Nummer kommst du nicht raus.
Die Update werden zwar größtenteils beim Herunterfahren installiert, aber auch ein Teil beim Hochfahren.

Aber das geht mit aktuellen PCs recht schnell und die Zeit wird zum Kaffee holen genutzt face-smile

Bei uns werden die Updates nachmittags auf die PC geladen und dann abends installiert.
Kannst du alles per GPO einstellen ...

VG,
Deepsys
Jannis92
Jannis92 07.01.2019 um 21:35:16 Uhr
Goto Top
Moin,
verwendet ihr ausschließlich Desktop-PCs`?
Ich persönlich bin ein Freund davon, dass die Anwender so wenig wie möglich von dem ganzen Thema mitbekommen sollten. Wie bereits erwähnt... die Updates werden zwar beim Herunterfahren konfiguriert, allerdings kennt das eigentlich jeder, dass beim nächsten Start noch weitere Konfigurationen erfolgen - bei Fehlern dauert die Konfiguration dann gerne auch mal deutlich länger als 10 Minuten.

Bei mir hat sich folgendes Konzept bewährt:

1. Test-Clients definieren, welche asap die Updates erhalten (im Ideallfall Geräte aus unterschiedlichen Abteilungen)
=> Bei einem Fehler der Updates sind immer nur einzelne PCs pro Abteilung und NIE eine gesamte Abteilung betroffen

2. Wenn keine Fehler aufgetreten sind, updates für eine erste Gruppe freigeben (Rechner starten z. B. am 1. Montag nach dem Patchday (2. Dienstag im Monat))

3. Dinestag ggf. noch MIttwoch warten ob Probleme auftreten.

4. zweite und letzte Gruppe mit Updates versorgen (1. Donnerstag nach dem Patchday)

=> Dieses Konstrukt ist auf Betriebsstabilität ausgelegt. Kritische Sicherheitsupdates müssten dann ggf. nach einem anderen Konzept ausgerollt werden.

Generell würde ich schauen dass ich die Rechner (sofern ich die Möglichkeit habe) in verschiedene Gruppen einteile, Abends per WOL starte und die Updates mit der Option installiere, dass der PC nach erfolgreicher Installation neustartet und anschließend erneut nach Updates sucht. Diesen Vorgang wiederholt der PC solange, bis alle relevanten Updates installiert wurden. Anschließend wird der PC heruntergefahren und der User hat im ideallfall ncihts von der Aktion mitbekommen.

Du schaust dir dann zum Ende des Monats einen Report an, ob alle Systeme Up-To-Date sind oder ob ggf. bei einigen Systemen nachgebessert werden muss.

Viel Aufwand für ein bisschen Patchmanagement :p