Normales Thema WSUS-GPO auf AD-Sicherheitsgruppe ?!? (Gelesen: 1070 mal)
orbiter001
WSUS Neuling
Offline


I Love WSUS!

Beiträge: 4
Standort: Lorsch
Mitglied seit: 05.11.07
WSUS-GPO auf AD-Sicherheitsgruppe ?!?
05.11.07 um 15:40:08
Beitrag drucken  
hi,

folgender ausgangpunkt:
"blöd" eingerichtet domain in der in jeder ou die nutzer- und computer-accounts zusammen liegen. beispiel: OU namens "Vertrieb" beinhaltet alle vertriebs-nutzer-accounts und alle computer-accounts die für den vertrieb existieren. von diesen ou´s gibt es für jede abteilung eine, also für mein geschmack ein relativ großes chaos mit vielen ou´s Smiley

wsus 3.0 ist eingerichtet und eine extra ou "WSUS" wurde angelegt inkl. entsp. gpo´s. dort ist auch schon ein test-computer drin, die patch-verteilung funktioniert, alle prima.

für die restlichen, produktiven pcs und server siehts anders aus:
ich möchte nicht zig mal die gpo für jeden container einzeln zusammenklickern bzw. konfigurieren. es geht ebenso nicht das ich auf den obersten container die gpo aktivieren und er dann alles darunter sowieso per vererbung mitzieht. die gesamte struktur ummodeln ist auch nicht drin.

gibt es irgendeine möglichkeit die gpo auf eine gruppe zu binden wo dann die fraglichen computeraccounts als mitglieder hinzugefügt und zusammengefasst werden.

es ist mir bewusst das man gpos nicht an gruppen binden kann, also kann es nur über umwege und tricks möglich sein..

momentan bin ich relativ ratlos...

mfg
René

  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 13104
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: WSUS-GPO auf AD-Sicherheitsgruppe ?!?
Antwort #1 - 05.11.07 um 18:54:43
Beitrag drucken  
orbiter001 schrieb on 05.11.07 um 15:40:08:
"blöd" eingerichtet domain in der in jeder ou die nutzer- und computer-accounts zusammen liegen. beispiel: OU namens "Vertrieb" beinhaltet alle vertriebs-nutzer-accounts und alle computer-accounts die für den vertrieb existieren. von diesen ou´s gibt es für jede abteilung eine, also für mein geschmack ein relativ großes chaos mit vielen ou´s Smiley


Ja, ein bisschen zu viel.

orbiter001 schrieb on 05.11.07 um 15:40:08:
wsus 3.0 ist eingerichtet und eine extra ou "WSUS" wurde angelegt inkl. entsp. gpo´s. dort ist auch schon ein test-computer drin, die patch-verteilung funktioniert, alle prima.


Schön.

orbiter001 schrieb on 05.11.07 um 15:40:08:
für die restlichen, produktiven pcs und server siehts anders aus:
ich möchte nicht zig mal die gpo für jeden container einzeln zusammenklickern bzw. konfigurieren. es geht ebenso nicht das ich auf den obersten container die gpo aktivieren und er dann alles darunter sowieso per vererbung mitzieht. die gesamte struktur ummodeln ist auch nicht drin.


Warum nicht eine OberOU erstellen und alles einfach in rein schieben? Einmal die GPO drauf verlinken und gut ist. Welche Gründe sprechen dagegen? Das ist eine einmalige Arbeit, dann hast Du Ruhe.

orbiter001 schrieb on 05.11.07 um 15:40:08:
gibt es irgendeine möglichkeit die gpo auf eine gruppe zu binden wo dann die fraglichen computeraccounts als mitglieder hinzugefügt und zusammengefasst werden.

es ist mir bewusst das man gpos nicht an gruppen binden kann, also kann es nur über umwege und tricks möglich sein..


Nicht das ich wüßte. Eine GPO wirkt nur auf die passenden Objekte, die sich in der Domain/OU oder in einem Standort befinden.
  
Zum Seitenanfang
 
orbiter001
WSUS Neuling
Offline


I Love WSUS!

Beiträge: 4
Standort: Lorsch
Mitglied seit: 05.11.07
Re: WSUS-GPO auf AD-Sicherheitsgruppe ?!?
Antwort #2 - 05.11.07 um 19:40:03
Beitrag drucken  
hiho,

danke für die antwort.

q: warum keine ober-ou usw.
a: ...weil der kunde vermutlich jahre gebraucht hat um die jetzige struktur "zusammenzuklickern" und eine veränderung natürlich "evil" ist. sprich: ich bekomm ein´s auf den kopp wenn ich dort größere veränderungen vornehme. das negative an einer gpo in der höchsten ebene ist das sie eben auf alles darunter vererbt wird (...im standardfall...klar kann man´s unterbrechen aber das ist dann genauso als wenn ich in den unteren ou´s einzelne wsus-gpos pflege...) und ich möchte eigentlich verhindern das wichtige produktivsysteme vom wsus gepatched bzw. überhaupt gefunden  werden. das server-patching ist, meiner meinung nach, immernoch die händisch zu erledigende aufgabe des admins und nach dem "never change a running system"-gesetz nur im notfall durchzuführen...

momentan bin ich eher auf dem umgekehrten pfad. ich richte unterhalb meiner funktionierenden "wsus"-ou einfach noch einen client- sowie server-ordner ein (...mit verschiedenen gpo´s)  und der kunde darf dann die computer-konten die wsus nutzen sollen selber reinziehen. da hab ich keine probleme und er hat die auswahl: entweder veränderungen in der ad und wsus nutzen können oder eben alles beim alten und kein wsus...

falls jemand doch noch ne idee hat dann trotzdem hier schreiben...thread ist noch nicht zu Smiley
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 13104
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: WSUS-GPO auf AD-Sicherheitsgruppe ?!?
Antwort #3 - 06.11.07 um 08:53:27
Beitrag drucken  
orbiter001 schrieb on 05.11.07 um 19:40:03:
a: ...weil der kunde vermutlich jahre gebraucht hat um die jetzige struktur "zusammenzuklickern" und eine veränderung natürlich "evil" ist. sprich: ich bekomm ein´s auf den kopp wenn ich dort größere veränderungen vornehme.


Das ist keine Begründung. Das ist schlicht Blödsinn. Wenn es ein Kunde ist, dann ist es Deine Aufgabe ihn vom Gegenteil zu überzeugen. Wozu braucht er dann eine Domain? Dann kann gleich wieder mit Arbeitsgruppen gearbeitet werden.

orbiter001 schrieb on 05.11.07 um 19:40:03:
das negative an einer gpo in der höchsten ebene ist das sie eben auf alles darunter vererbt wird (...im standardfall...klar kann man´s unterbrechen aber das ist dann genauso als wenn ich in den unteren ou´s einzelne wsus-gpos pflege...)


Das ist nicht negativ, sondern richtig gut. Du willst dir wohl sehr viel Arbeit machen, wenn ja, dann laß es so.


orbiter001 schrieb on 05.11.07 um 19:40:03:
und ich möchte eigentlich verhindern das wichtige produktivsysteme vom wsus gepatched bzw. überhaupt gefunden  werden.


Zum einen kannst Du die System ja auch in andere OUs auslagern, die nicht vom WSUS erfasst werden. Zum anderen ist das auch nicht die beste Einstellung. Wenn diese Systeme so wichtig sind, sollten mind. 2 jeweils vorhanden sein. Oder kann die alte Hardware nicht ausfallen?

orbiter001 schrieb on 05.11.07 um 19:40:03:
das server-patching ist, meiner meinung nach, immernoch die händisch zu erledigende aufgabe des admins und nach dem "never change a running system"-gesetz nur im notfall durchzuführen...


Ich patche meine Server hier auch sozusagen manuell, aber das Never Touch a running System ist sehr gefährlich.

orbiter001 schrieb on 05.11.07 um 19:40:03:
momentan bin ich eher auf dem umgekehrten pfad. ich richte unterhalb meiner funktionierenden "wsus"-ou einfach noch einen client- sowie server-ordner ein (...mit verschiedenen gpo´s)  und der kunde darf dann die computer-konten die wsus nutzen sollen selber reinziehen. da hab ich keine probleme und er hat die auswahl: entweder veränderungen in der ad und wsus nutzen können oder eben alles beim alten und kein wsus...


Damit schaffst Du eine total unübersichtliche Umgebung, der Kunde kennt sich bald auch nicht mehr aus und alles bleibt beim alten.

Was spricht gegen so eine Struktur?

Domain.TLD
  DomainController
  OUServer(ohneWSUS)
  OUServer(mitWSUS)
  OUStandort
     die bisherigen OUs

Normale PCs/Notebooks nicht zu patchen ist grob fahrlässig, wenn nicht sogar vorsätzlich gefährlich. Nach Veröffentlichung eines Patches werden die Lücken innerhalb kürzester Zeit auch schon aktiv ausgenutzt. Überdenke Deine Haltung zum patchen nochmal.
  
Zum Seitenanfang
 
orbiter001
WSUS Neuling
Offline


I Love WSUS!

Beiträge: 4
Standort: Lorsch
Mitglied seit: 05.11.07
Re: WSUS-GPO auf AD-Sicherheitsgruppe ?!?
Antwort #4 - 06.11.07 um 09:12:43
Beitrag drucken  
hi,

...ist ja nicht so das ich es nicht versucht habe, aber alt eingefahrene strukturen und "...das haben wir schon immer so gemacht..."-gelabere ertrag ich auch nur eine gewisse zeit.

im endeffekt bilde ich ja mit meiner struktur (wsus-ou, darunter dann server-ou und clients-ou...) genau das ab was du bezweckst, nur halt eine ebene tiefer.

es bleibt dem kunden überlassen ob es wsus nutzen will (...was ja eigentlich sein ursprünglicher plan war...) oder ob er halt die computer-konten in den alten ou´s belässt und wsus so nicht zum einsatz kommt...

mit den clients geb ich dir recht, die sollten zwingend autom. gepatched werden. server sind, abgesehen von dc´s oder exchange, meist applikationsserver wo nicht einfach mal gepatched werden kann weil sonst die laufende applikation probleme bekommen kann.

...und sicherheits-updates in einem clientnetz hinter zwei firewalls sind auch kein argument. wenn ein angreifer erstmal bis auf die clients oder internen server kommt um dort den angriff zu starten dann ist schon lange vorher was grundsätzlich falsch gelaufen...

im endeffekt kann ich nur die grundstrukturen aufbauen und dem kunden einen pfad aufzeigen wie´s funktionieren kann. den rest muss er selbst machen...
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 13104
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: WSUS-GPO auf AD-Sicherheitsgruppe ?!?
Antwort #5 - 06.11.07 um 09:28:57
Beitrag drucken  
orbiter001 schrieb on 06.11.07 um 09:12:43:
...ist ja nicht so das ich es nicht versucht habe, aber alt eingefahrene strukturen und "...das haben wir schon immer so gemacht..."-gelabere ertrag ich auch nur eine gewisse zeit.


Ja, kenn ich. Ist schwer aber schon zu erreichen. Zwinkernd

orbiter001 schrieb on 06.11.07 um 09:12:43:
im endeffekt bilde ich ja mit meiner struktur (wsus-ou, darunter dann server-ou und clients-ou...) genau das ab was du bezweckst, nur halt eine ebene tiefer.


Drüber ist besser. Damit wird gleich alles erschlagen was vom Kunden manuell in die Struktur geschoben wird. Zwinkernd


orbiter001 schrieb on 06.11.07 um 09:12:43:
...und sicherheits-updates in einem clientnetz hinter zwei firewalls sind auch kein argument.


Natürlich nicht, der IE ist ja nicht auf den Systemen. Sorry, das ist der flasche Ansatz. Oder kannst Du garantieren daß es auf den Firewalls keine Lecks gibt? Dort wird vermutlich auch nichts aktualisiert, warum auch. Never touch a running system.


orbiter001 schrieb on 06.11.07 um 09:12:43:
wenn ein angreifer erstmal bis auf die clients oder internen server kommt um dort den angriff zu starten dann ist schon lange vorher was grundsätzlich falsch gelaufen...


Mit dem IE oder einem anderen Browser geht das schneller als dir lieb ist.
  
Zum Seitenanfang
 
orbiter001
WSUS Neuling
Offline


I Love WSUS!

Beiträge: 4
Standort: Lorsch
Mitglied seit: 05.11.07
Re: WSUS-GPO auf AD-Sicherheitsgruppe ?!?
Antwort #6 - 06.11.07 um 10:08:17
Beitrag drucken  
ahhh...wir kommen vom thema ab Smiley

- internetzugriff haben nicht alle mitarbeiter, zumindest nicht komplett freien...
- es läuft sowieso alles über nen isa-proxy, dort ist ne av-engine drauf die den http/ftp-traffic scannt
- die firewalls sind (logischerweise) gewartet, zumindest was security-updates angeht. da es zwei systeme verschiedener hersteller sind die hintereinander geschaltet liegen ist die wahrscheinlichkeit eines erfolgreichen angriffs relativ gering (...jaja, murphies gesetzt...ich weiss...)
- gpo auf oberster ebene = alles was darunter eingeschoben wird ist automatisch mit betroffen. genau das versuche ist ja zu verhindern. beispiel: kunde schiebt einen appl-server in eine ou wo die wsus-client-gpo (updates autom. installieren) greift. updates werden autom. installiert, kunde rebootet server irgendwann mal, die applikation läuft nicht mehr, bingo, unternehmen steht...
...sobald eine wsus-ou existiert und dem kunden eindeutig klar ist was passiert wenn er ein computer-konto dort hinein verschiebt dann kann oben genanntes beispiel nicht mehr so leicht passieren...

  
Zum Seitenanfang
 
NorbertFe
Microsoft MVP
*****
Offline


Ausgezeichnet!

Beiträge: 73
Standort: Potsdam
Mitglied seit: 30.10.07
Geschlecht: männlich
Re: WSUS-GPO auf AD-Sicherheitsgruppe ?!?
Antwort #7 - 07.11.07 um 12:44:56
Beitrag drucken  
orbiter001 schrieb on 06.11.07 um 09:12:43:
es bleibt dem kunden überlassen ob es wsus nutzen will (...was ja eigentlich sein ursprünglicher plan war...)

...und sicherheits-updates in einem clientnetz hinter zwei firewalls sind auch kein argument.


Warum will er dann einen WSUS wenn Sicherheitsupdates kein Argument sind? Zwinkernd aber um es einfach zu machen. Das was du willst ist mit "ein wenig" Klickaufwand relativ easy zu lösen. Du erstellst eine GPO auf Domänenebene (ja ganz oben) und stellst dort alle Einstellungen ein, die für die Clients gelten sollten/müssen. Also Automatische Updates auf Option 4, den WSUS Server usw.
Dann setzt du ein Deny Recht auf diese GPO für eine "neue Sicherheitsgruppe". In diese Gruppe wirfst du alle deine Server (Achtung die müssen danach gebootet werden). Jetzt gehst du zu jeder deiner Abteilungs-OUs und definierst genaue eine Richtlinie Nämlich die Standortzuordnung der Clients die sich unterhalb der OU befinden. Bspw. Vertrieb. Das machst du für jede OU in der PCs befinden. Für Server mußt du dir dann was anderes ausdenken. Aber auch das wäre lösbar. Nur muß dir und dem Kunden eben klar sein, dass das ein Kompromiss ist und nicht die tollste Lösung die möglich wäre.

bye
Norbert
  

(Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen).
(Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen).
(Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen).
Zum Seitenanfang
Bookmarks: Facebook Google Google+ Linked in Twitter Yahoo
 



Nutzungsbedingungen | Datenschutz
Kontakt | RSS | Feedback | Impressum
Facebook | News einsenden