Normales Thema Zugriffsberechtigungen für das Snap-In? (Gelesen: 4152 mal)
Araldo.L
WSUS Experte
*****
Offline


I Love WSUS!

Beiträge: 544
Standort: Bayern
Mitglied seit: 11.06.07
Geschlecht: männlich
Zugriffsberechtigungen für das Snap-In?
11.06.07 um 15:47:56
Beitrag drucken  
Hallo Leute,

ich habe in einer kleinen Arbeitsgruppe bisher den WSUS 2.0 SP1 im Einsatz und jetzt mal auf einem Testrechner den WSUS 3.0 installiert. Alles soweit so gut und schön aber eine Frage zur Sicherheit stellt sich mir zu der ich weder hier per Suche noch per Google eine Antwort finden konnte, evtl. auch weil ich in Sachen Windows-Server nicht besonders fit bin, normalerweise setze ich Linux-Rechner als Arbeitsgruppenserver ein.

WSUS 3.0 läuft auf frisch installiertem Server 2003 Enterprise SP2 (kein R2) ohne weitere Software. Nun kann ich auf einem beliebigen Arbeitsplatz im Netz das WSUS-Konsolen-SnapIn installieren und mich ohne Eingabe von Name/Kennwort mit dem Server verbinden. Auf der Übersichtsseite steht dann "Benutzerrolle: Administrator". Das heißt daß jeder Mitarbeiter der in der Lage ist das SnapIn auf seinem Arbeitsplatz zu installieren auch am WSUS herumpfuschen kann? Beim WSUS 2.0 mußte ich ja einen gültigen Benutzernamen nebst Passwort eingeben, da war es also "out of the box" geschützt.

Wie kann ich diese "Benutzerrollen" verwenden so daß nur ein berechtigter Benutzer Änderungen am WSUS vornehmen kann? Updates abholen soll natürlich von allen klappen.
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Zugriffsberechtigungen für das Snap-In?
Antwort #1 - 11.06.07 um 19:55:10
Beitrag drucken  
Araldo.L schrieb on 11.06.07 um 15:47:56:
WSUS 3.0 läuft auf frisch installiertem Server 2003 Enterprise SP2 (kein R2) ohne weitere Software. Nun kann ich auf einem beliebigen Arbeitsplatz im Netz das WSUS-Konsolen-SnapIn installieren und mich ohne Eingabe von Name/Kennwort mit dem Server verbinden. Auf der Übersichtsseite steht dann "Benutzerrolle: Administrator". Das heißt daß jeder Mitarbeiter der in der Lage ist das SnapIn auf seinem Arbeitsplatz zu installieren auch am WSUS herumpfuschen kann? Beim WSUS 2.0 mußte ich ja einen gültigen Benutzernamen nebst Passwort eingeben, da war es also "out of the box" geschützt.


Ist jeder Benutzer Administrator? Auf dem WSUS-Server gibt es eine Gruppe WSUS-Administratoren und WSUS-Reporter. Die erstgenannten dürfen den WSUS komplett administrieren und die Reporter können nur ansehen.
  
Zum Seitenanfang
 
Araldo.L
WSUS Experte
*****
Offline


I Love WSUS!

Beiträge: 544
Standort: Bayern
Mitglied seit: 11.06.07
Geschlecht: männlich
Re: Zugriffsberechtigungen für das Snap-In?
Antwort #2 - 11.06.07 um 22:28:01
Beitrag drucken  
Das "Lustige" ist folgendes: Der Test läuft nicht in einer Domäne sondern als einfache Arbeitsgruppe ohne Active Directory, am Server sind außer dem Administrator keine Benutzer angelegt. Ich habe an einem Arbeitsplatz mit lokalen Adminrechten das SnapIn installiert und konnte mich dann von diesem Arbeitsplatz aus als eingeschränkter Benutzer (mit einer Name-Kennwort-Kombination die es auf dem WSUS3-Server definitiv nicht gibt) ohne weiteres mit dem Server verbinden, ohne Zugangsdaten. Das macht mich doch etwas stutzig! Der Administrator auf dem WSUS hat übrigens auch ein anderes Kennwort als der lokale am Arbeitsplatz, also können auch diese Zugangsdaten das nicht bewirken.

Die Gruppen WSUS-Administratoren und WSUS-Reporter existieren, haben aber keine Mitglieder.
  
Zum Seitenanfang
 
Morpheus
WSUS Junior Member
*
Offline


I love WSUS

Beiträge: 42
Mitglied seit: 07.12.05
Re: Zugriffsberechtigungen für das Snap-In?
Antwort #3 - 13.06.07 um 09:24:31
Beitrag drucken  
Bei mir ist es so, das in beiden Gruppen keine Benutzer eingetragen sind.
Ich kann trotzdem mit der Verwaltungskonsole auf dem WSUS zugreifen und habe die Benutzerrolle des Administrators. Dies geht aber nur, wenn:
1. der Benutzer in der Gruppe der lokalen Administratoren auf dem WSUS ist,
2. der Benutzer ein Domänen-Administrator ist, der logischerweise auch in der Gruppe der lokalen Administratoren auf dem WSUS ist.
Was ich nur nicht verstehe warum ich auf die Verwaltungskonsole auf dem WSUS zugreifen kann, obwohl die Gruppe lokale Administratoren des WSUS nicht in der Gruppe WSUS-Administratoren eingetragen ist!? Die Gruppe WSUS-Administratoren ist ja standardmäßig leer, warum funktioniert der Zugriff trotzdem?
  
Zum Seitenanfang
 
yerma
WSUS Junior Member
*
Offline


I Love WSUS

Beiträge: 30
Standort: 44789 Bochum
Mitglied seit: 01.12.06
Geschlecht: männlich
Re: Zugriffsberechtigungen für das Snap-In?
Antwort #4 - 13.06.07 um 10:50:04
Beitrag drucken  
Morpheus schrieb on 13.06.07 um 09:24:31:
Was ich nur nicht verstehe warum ich auf die Verwaltungskonsole auf dem WSUS zugreifen kann, obwohl die Gruppe lokale Administratoren des WSUS nicht in der Gruppe WSUS-Administratoren eingetragen ist!? Die Gruppe WSUS-Administratoren ist ja standardmäßig leer, warum funktioniert der Zugriff trotzdem?

"Ober sticht Unter" oder so ähnlich. Ich denke, ein (lokaler) "Ober-Administrator" hat automatisch die Möglichkeit, auch die Funktionen der Unter-Administratoren zu nutzen. Ein Administrator ist nicht Mitglied der Gruppe "Sicherungsoperator", darf aber trotzdem sichern. Genauso ist es bei den Druck- und Kontenoperatoren. Die Bezeichnung "WSUS-Administrator" ist vielleicht etwas unglücklich gewählt, "WSUS-Operator" trifft es besser und macht die Funktion der Rolle verständlicher...
  
Zum Seitenanfang
 
Araldo.L
WSUS Experte
*****
Offline


I Love WSUS!

Beiträge: 544
Standort: Bayern
Mitglied seit: 11.06.07
Geschlecht: männlich
Re: Zugriffsberechtigungen für das Snap-In?
Antwort #5 - 13.06.07 um 11:51:55
Beitrag drucken  
Soweit klar. Nur ist bei mir der Benutzername des lokalen PCs überhaupt nicht auf dem WSUS-Server existent, hat also auch keine höherwertigen Adminrechte dort.

D. h. ich kann z.B. ein Notebook ans Netz stecken auf dem das WSUS-Konsolen-SnapIn installiert ist und mich dann unabhängig von irgendwelchen Zugangsdaten (also aus Sicht des Servers als unbekannter oder anonymer User) über das SnapIn mit dem WSUS-Server verbinden und habe dort volle Admin-Berechtigungen. Ich muß auf dem Arbeitsplatz nicht mal Adminrechte haben, es reicht wenn das SnapIn installiert ist. Das kann es ja wohl nicht sein oder?
  
Zum Seitenanfang
 
yerma
WSUS Junior Member
*
Offline


I Love WSUS

Beiträge: 30
Standort: 44789 Bochum
Mitglied seit: 01.12.06
Geschlecht: männlich
Re: Zugriffsberechtigungen für das Snap-In?
Antwort #6 - 13.06.07 um 13:35:20
Beitrag drucken  
Nein, das sollte m.E. nicht so gehen. Mein Beitrag war allerdings auch als Antwort auf Morpheus' Frage gedacht...
  
Zum Seitenanfang
 
Bookmarks: Facebook Google Google+ Linked in Twitter Yahoo
 



Nutzungsbedingungen | Datenschutz
Kontakt | RSS | Feedback | Impressum
Facebook | News einsenden