Normales Thema SnapIn Berechtigungen (Gelesen: 962 mal)
OSJF
WSUS Neuling
Offline


I Love WSUS!

Beiträge: 6
Mitglied seit: 30.12.08
SnapIn Berechtigungen
05.01.09 um 08:18:01
Beitrag drucken  
Hi,

Ich habe einen WSUS 3.0 SP1 in einer AD Domäne laufen. WSUS läuft auf einem 2k3 Member Server.

Eingerichtet, Synchronisiert etc. habe ich WSUS noch mit dem Domänen Administrator. Nun wollte ich einen Benutzer mit den niedrigst möglichen Privilegien für die WSUS Administration anlegen.

Habe also einen normalen AD Account angelegt und ihn in die Gruppe "WSUS Administrators" auf dem WSUS Server geschoben.
Wenn ich mich nun mit Benutzer am WSUS Server anmelde und das Snap-In öffne, sehe ich nicht alle Produkt Klassen, Treiber, Feature Packs, Tools etc. fehlen einfach.
Gehe ich in die Optionen "Products and Classifications" sind diese allerdings alle aktiviert. Sie tauchen nur im Snap-In nicht auf.

Melde ich mich mit dem Domänen Administrator an erscheinen die Produkt Klassen wieder. Kennt jemand dieses Phänomen oder kann mir sagen welche Berechtigungen dem Benutzer fehlen?

Leider konnte ich die Suchfunktion nicht zu Rate ziehen, euer Server quitiert mit:

Code
Internal Server Error
The server encountered an internal error or misconfiguration and was unable to complete your request.

Please contact the server administrator, service@webmailer.de and inform them of the time the error occurred, and anything you might have done that may have caused the error.

More information about this error may be available in the server error log. 



gruß
OSJF
  
Zum Seitenanfang
 
DESoft
WSUS Experte
*****
Offline


I Love WSUS!<br />

Beiträge: 702
Standort: Magdeburg
Mitglied seit: 24.07.08
Re: SnapIn Berechtigungen
Antwort #1 - 18.01.09 um 19:56:57
Beitrag drucken  
Hi OSJF.

Also bei uns läuft das anders. Im AD halten wir uns an die von MS empfohlene Gruppenstrategie:
DomainUser -> GlobalGroup -> DomainLocalGroup -> Permission -> Resource

D.h.

User1, User2 ... usw.
  -> GL_WSUS_XY_Operatoren
     -> DL_WSUS_XY_Operatoren
        ->  (L_)WSUS-Administratoren (lokale Gruppe auf dem WSUS-Server)
           -> {Rechte im WSUS} (wird von WSUS selbst definiert und umgesetzt)

Die DL-Gruppe kann auch Mitglied in lokalen WSUS-Admin-Gruppen auf mehrerer WSUS-Server sein.

Die WSUS-Admins/Operatoren melden sich mit Ihrer Domänen-Kennung auf dem eigene XP-Client an.
Dort ist lokal die WSUS-Konsole installiert, in der diese den WSUS-Server hinzufügen und entsprechend verwalten können.

Da diese "Operatoren" in der Regel auf WSUS-Replika-Server ihres Standortes zugreifen, sind natürlich diverse Funktionen deaktiviert / nicht verfügbar.
Aber über das Integrieren / Entfernen von Clients und die Analyse deren Updatesituation usw. haben sie schon vollständig Kontrolle.

Das Anpassen des Updateumfangs (Kategorien / Spachen / etc.), die Genehmigungen zur Installation und die Gruppendefinition bleibt ausschließlich beim WSUS-Master-Server im Haupstandort.  Smiley

Gleiches haben wir auch für die "Berichterstatter" realisiert ... es wollen auch Chef's ins WSUS schauen ... warum auch immer.
Diese haben dann nur Analyserechte und können so nix kaputt machen.  Zwinkernd

Und so funzt es wunderprächtig.
Alle wissen was Sie dürfen ... und die Arbeit wird auf mehrere Schultern verteilt.

Mit einem "normalen" Account am Server anmelden ??? - ist das nicht problematisch ???  Schockiert/Erstaunt

Gruß
Dani
  
Zum Seitenanfang
 
Bookmarks: Facebook Google Google+ Linked in Twitter Yahoo
 



Nutzungsbedingungen | Datenschutz
Kontakt | RSS | Feedback | Impressum
Facebook | News einsenden