Normales Thema Admin und Serverreports (Gelesen: 1413 mal)
winipuu
WSUS Full Member
**
Offline


I Love WSUS

Beiträge: 64
Standort: 70176 Stuttgart
Mitglied seit: 11.12.06
Geschlecht: weiblich
Admin und Serverreports
24.11.11 um 13:37:45
Beitrag drucken  
Hallo alle miteinander,

erst mal ein dickes Dankeschön an die Community, meine WSUS-Landschaft läuft perfekt, Dank eurer Hilfe.

Jetzt zu meinem Anliegen: vielleicht ist es möglich, dass ihr mir ein Feedback gibt, wie ihr folgende Situation handhabt:
Wir haben ein "seltsames" Konstrukt zur Genehmigung: genehmigt werden alle KBs in den Security Bullletins, in einem Sheet dokumentiert und die entsprechenden Artikel ins Netz gespeichert (alle freigegebenen Updates müssen dokumentiert werden, lt. Sicherheitsbeauftragten). Seit es die Sicherheitsempfehlungen gibt, genehmige ich hinterher noch die Benötigten. Es gibt auch eine entsprechende Arbeitsanleitung.
Jetzt war ich diesen Monat am Patchday krank und meine Vertretung hat das erledigt und die Benötigten vergessen. Somit gab es keine Server- und XP-Updates, werden halt nächsten Monat nachgezogen. Jetzt hat sich ein Admin bei mir beschwert, dass er am Sonntag im Amt war und keine Updates installieren durfte. Hat natürlich auch Fehlersuche betrieben Richtung Verbindung WSUS, also wirklich übel. Jetzt erwartet er doch wirklich, dass ich die Admins informiere, wenn es keine Updates gibt  Schockiert/Erstaunt
Ich würde jetzt gerne eine lesende Gruppe einrichten, damit die Admins schauen können, ob ihre Kiste überhaupt Updates braucht, bevor sie mit der Fehlersuche beginnen. Was haltet ihr davon?

Umgebung:
AD W2k3 R2 SP2 deu eng; XP SP3; Office 2003 SP3; Win7 Testclients
1.000 Clients, 2 Standorte (wie die konfiguriert sind, weiss ich nicht, dürfte aber jetzt auch keine Rolle spielen).
Mit Gruppenrichtlinien arbeiten wir noch nicht viel, einige Tests laufen aber.

LG
  
Zum Seitenanfang
 
UMeadow
WSUS Spezialist
*****
Offline


I Love WSUS!

Beiträge: 1381
Standort: Berlin
Mitglied seit: 22.01.08
Geschlecht: männlich
Re: Admin und Serverreports
Antwort #1 - 24.11.11 um 15:00:14
Beitrag drucken  
winipuu schrieb on 24.11.11 um 13:37:45:
Updates gibt
Ich würde jetzt gerne eine lesende Gruppe einrichten, damit die Admins schauen können, ob ihre Kiste überhaupt Updates braucht, bevor sie mit der Fehlersuche beginnen. Was haltet ihr davon?

Das kannst Du so machen, die betreffenden Admins müssen sich dann nur die WSUS Verwaltungskonsole installieren.

Siehe auch Hinweis aus WSUSStepbyStep:
Damit Sie alle Features der WSUS-Konsole verwenden können, müssen Sie Mitglied der WSUS-Administratorengruppe oder der lokalen Administratorensicherheitsgruppe auf dem Server sein, auf dem WSUS installiert ist. Für Mitglieder der Sicherheitsgruppe "WSUS-Berichterstatter" ist die Verwaltungskonsole jedoch schreibgeschützt.
  
Zum Seitenanfang
 
winipuu
WSUS Full Member
**
Offline


I Love WSUS

Beiträge: 64
Standort: 70176 Stuttgart
Mitglied seit: 11.12.06
Geschlecht: weiblich
Re: Admin und Serverreports
Antwort #2 - 24.11.11 um 16:39:52
Beitrag drucken  
Danke UMeadow für die schnelle Antwort. Ich hatte eher rdp im Auge (ungern, da ich mir da sinvolle Berechtigungsgruppen hätte ausdenken müssen (bisher haben wir da nur eine, die 3 Mitglieder dürfen "alles")), aber die Verwaltungsconsole ist ein gutes Stichwort.
MBSA ist mir auch noch eingefallen. Habe da noch die 2.1 laufen, werde aber auf 2.2 updaten und mir das mal anschauen.
Bisher ist nur eines sicher: alle 120 Server überprüfe ich nicht (habe auch nicht auf allen Berechtigung und das ist gut so). Dafür ist der verantwortlich, der die Updates installiert, oder?

LG
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Admin und Serverreports
Antwort #3 - 24.11.11 um 17:15:24
Beitrag drucken  
winipuu schrieb on 24.11.11 um 16:39:52:
Danke UMeadow für die schnelle Antwort. Ich hatte eher rdp im Auge (ungern, da ich mir da sinvolle Berechtigungsgruppen hätte ausdenken müssen (bisher haben wir da nur eine, die 3 Mitglieder dürfen "alles")), aber die Verwaltungsconsole ist ein gutes Stichwort.


UMeadow hat schon Recht, die WSUS.MSC installieren und die Admins in die Gruppe der Reporter packen, schon können Sie alles sehen, aber nichts ändern.

RDP willst Du sicherlich nicht.

winipuu schrieb on 24.11.11 um 16:39:52:
MBSA ist mir auch noch eingefallen. Habe da noch die 2.1 laufen, werde aber auf 2.2 updaten und mir das mal anschauen.
Bisher ist nur eines sicher: alle 120 Server überprüfe ich nicht (habe auch nicht auf allen Berechtigung und das ist gut so). Dafür ist der verantwortlich, der die Updates installiert, oder?


Vergiss den MBSA, der muß aktuell sein und muß auch ins Internet können um ein aktuelles CAB File downloaden zu können.
  
Zum Seitenanfang
 
winipuu
WSUS Full Member
**
Offline


I Love WSUS

Beiträge: 64
Standort: 70176 Stuttgart
Mitglied seit: 11.12.06
Geschlecht: weiblich
Re: Admin und Serverreports
Antwort #4 - 24.11.11 um 22:19:42
Beitrag drucken  
Sunny schrieb on 24.11.11 um 17:15:24:
RDP willst Du sicherlich nicht.


Da hast Du sicherlich recht, es reicht, wenn wir 3 den Master über RDP administrieren, da der in der DMZ steht und der Firewaller den Port nicht freigibt.

Sunny schrieb on 24.11.11 um 17:15:24:
UMeadow hat schon Recht, die WSUS.MSC installieren und die Admins in die Gruppe der Reporter packen, schon können Sie alles sehen, aber nichts ändern.


Dies wäre möglich, da ich seit 2 Monaten den Lan-WSUS produktiv habe und dann funkt keine Firewall mehr dazwischen.

Aber:
Sunny schrieb on 24.11.11 um 17:15:24:
Vergiss den MBSA, der muß aktuell sein und muß auch ins Internet können um ein aktuelles CAB File downloaden zu können. 


Ich hatte es mir auch nicht vorgestellt, den MBSA auf den Servern zu installieren, sondern auf den Arbeitsstationen der Admins und die dürfen ins Internet.
Und da könnte ich auch mit Erfahrung bezüglich Commanline-Aufruf aufwarten.
Auch das ist kein Geheimnis: ich mache ja auch Benutzerbetreuung 3rd-Level und habe deshalb Workstation-Admin-Rechte. Denn WSUS mache ich, seit er bei uns eingeführt wurde. Leider war da bei den Clients noch der SUS eingetragen und die WSUS-Einstellungen wurden per Netinstall verteilt. Zu dem Zeitpunkt gab es einen neuen Netinstallclient, den damals die Benutzer über eine bat selbst installieren mussten *Horror*.
Ich habe mir damals eine Bat, kein Script, geschrieben für den MBSA und per Task einmal im Monat laufen lassen. 1 Zeile, wohlbemerkt. Nach 4 Monaten hatten alle Clients die "neue" Einstellung.
Für einzelne Überprüfungen gibt es ein 2tes bat, welche die Rechnernamen / IP-Adressen aus einem einfachen Textfile holt.
Also so einfach ist die Entscheidung nicht.
Läuft vielleicht auf individuelle Lösungen raus, mal schauen. RDP ist auf jeden Fall gestorben, das werde ich nicht mal zur Diskussion stellen.

Finde ich aber toll, das Feedback. Hat mir viel weitergeholfen, denn manchmal sieht man den Wald vor lauter Bäumen nicht mehr.

Dann wünsche ich eine gute Nacht und ich werde natürlich weiter berichten.

LG
Waltraud
  
Zum Seitenanfang
 
UMeadow
WSUS Spezialist
*****
Offline


I Love WSUS!

Beiträge: 1381
Standort: Berlin
Mitglied seit: 22.01.08
Geschlecht: männlich
Re: Admin und Serverreports
Antwort #5 - 25.11.11 um 10:15:54
Beitrag drucken  
winipuu schrieb on 24.11.11 um 22:19:42:
Leider war da bei den Clients noch der SUS eingetragen und die WSUS-Einstellungen wurden per Netinstall verteilt. Zu dem Zeitpunkt gab es einen neuen Netinstallclient, den damals die Benutzer über eine bat selbst installieren mussten *Horror*.
Ich habe mir damals eine Bat, kein Script, geschrieben für den MBSA und per Task einmal im Monat laufen lassen. 1 Zeile, wohlbemerkt. Nach 4 Monaten hatten alle Clients die "neue" Einstellung. 

Bei der Anzahl Clients und Server habt ihr aber hoffentlich jetzt die Einstellungen per GPO realisiert?  Smiley
MBSA halte ich für das, was Du bezweckst für unpraktisch. Verwaltungskonsole ist aus meiner Sicht  die einfachere Variante und wahrscheinlich auch genauer.
Viel Erfolg bei Deinen Bemühungen.  Smiley
  
Zum Seitenanfang
 
Bookmarks: Facebook Google Google+ Linked in Twitter Yahoo
 



Nutzungsbedingungen | Datenschutz
Kontakt | RSS | Feedback | Impressum
Facebook | News einsenden