orbiter001 schrieb on 05.11.07 um 19:40:03:
a: ...weil der kunde vermutlich jahre gebraucht hat um die jetzige struktur "zusammenzuklickern" und eine veränderung natürlich "evil" ist. sprich: ich bekomm ein´s auf den kopp wenn ich dort größere veränderungen vornehme.
Das ist keine Begründung. Das ist schlicht Blödsinn. Wenn es ein Kunde ist, dann ist es Deine Aufgabe ihn vom Gegenteil zu überzeugen. Wozu braucht er dann eine Domain? Dann kann gleich wieder mit Arbeitsgruppen gearbeitet werden.
orbiter001 schrieb on 05.11.07 um 19:40:03:
das negative an einer gpo in der höchsten ebene ist das sie eben auf alles darunter vererbt wird (...im standardfall...klar kann man´s unterbrechen aber das ist dann genauso als wenn ich in den unteren ou´s einzelne wsus-gpos pflege...)
Das ist nicht negativ, sondern richtig gut. Du willst dir wohl sehr viel Arbeit machen, wenn ja, dann laß es so.
orbiter001 schrieb on 05.11.07 um 19:40:03:
und ich möchte eigentlich verhindern das wichtige produktivsysteme vom wsus gepatched bzw. überhaupt gefunden werden.
Zum einen kannst Du die System ja auch in andere OUs auslagern, die nicht vom WSUS erfasst werden. Zum anderen ist das auch nicht die beste Einstellung. Wenn diese Systeme so wichtig sind, sollten mind. 2 jeweils vorhanden sein. Oder kann die alte Hardware nicht ausfallen?
orbiter001 schrieb on 05.11.07 um 19:40:03:
das server-patching ist, meiner meinung nach, immernoch die händisch zu erledigende aufgabe des admins und nach dem "never change a running system"-gesetz nur im notfall durchzuführen...
Ich patche meine Server hier auch sozusagen manuell, aber das Never Touch a running System ist sehr gefährlich.
orbiter001 schrieb on 05.11.07 um 19:40:03:
momentan bin ich eher auf dem umgekehrten pfad. ich richte unterhalb meiner funktionierenden "wsus"-ou einfach noch einen client- sowie server-ordner ein (...mit verschiedenen gpo´s) und der kunde darf dann die computer-konten die wsus nutzen sollen selber reinziehen. da hab ich keine probleme und er hat die auswahl: entweder veränderungen in der ad und wsus nutzen können oder eben alles beim alten und kein wsus...
Damit schaffst Du eine total unübersichtliche Umgebung, der Kunde kennt sich bald auch nicht mehr aus und alles bleibt beim alten.
Was spricht gegen so eine Struktur?
Domain.TLD
DomainController
OUServer(ohneWSUS)
OUServer(mitWSUS)
OUStandort
die bisherigen OUs
Normale PCs/Notebooks nicht zu patchen ist grob fahrlässig, wenn nicht sogar vorsätzlich gefährlich. Nach Veröffentlichung eines Patches werden die Lücken innerhalb kürzester Zeit auch schon aktiv ausgenutzt. Überdenke Deine Haltung zum patchen nochmal.