Én üzemeltetek nagy windows infrat (10k+ szerver), nem tudom nálad mekkoráról van szó.
Van automtikus frissítés de mivel kicsit nagyobb kontroll kell ezért natív WSUS és GPO már nem játszik. Legtöbb helyen Ivanti vagy MEMCM (SCCM) van.
Nálunk úgy néz ki, hogy egy CMDB-ben a server ownerek konfigurálják, mikor patchelődjenek a szerverek. Minden szervernek van egy pár órás work windowja ami minden héten ismétlődik, van egy beállítás, hogy rebootolhat-e a szerver vagy sem patch után, illetve, hogy melyik patch cycleben vesz részt.
Összesen 3 cycle van.
Dev ami rögtön patch tuesday után kezdődik (ez manuálisan történik a patchelő csapat által), QA ami patch tuesday péntekén és tart egy hétig és Prod ami a rákövetkező hét péntekén kezdődik.
Jellemzően úgy vannak felosztva, hogy a nonprod gépek QA cycleben kapják a patcheket, a PROD gépek meg QA és PROD cycleben. Ha HA-ban van az említett szerver akkor egyik node QA másik PROD (ha lehetséges) ha csak 1 server van és az PROD akkor az PROD cycle.
Ezen felül még ugye lokáció alapján szokták taglalni.
Az nem kérdés, hogy minden hónapban minden szervert meg kel patchelni a lehető leghamarabb, szóval én arról lebeszélnélek, hogy PROD gépeket nem patchelsz.