Normales Thema "Berechtigungs-Hierarchie" in Wsus (Gelesen: 1995 mal)
ArBa
WSUS Neuling
Offline



Beiträge: 7
Mitglied seit: 19.05.11
"Berechtigungs-Hierarchie" in Wsus
13.07.11 um 12:16:51
Beitrag drucken  
Moin,
ich habe eine Frage zur "Berechtigungs-Hierarchie" in Wsus. Wie reagiert Wsus, wenn ein Computer gegensätzliche Berechtigungen erhält?
Als Beispiel:
3 Gruppen: Parent, Child A und Child B
Aufbau:

             /- Child A
Parent <
             \- Child B

Der Computer ist Mitglied in allen 3 Gruppen. Wie reagiert Wsus, wenn ein Patch für "Parent" zur Installation freigegeben wird, aber für Child A abgelehnt?
Welche Berechtigung gewinnt? Meine momentane Beobachtung ist, dass Berechtigungen von Untergruppen höherrangig sind, als die der übergeordneten Gruppe. Bei Gruppen gleicher Tiefe
scheint immer die Freigabe zur Installation zu gewinnen. Ist das aber immer so? ich habe bis jetzt keine genaue Doku dazu gefunden, würde es aber schon gern genau wissen. Ich habe keine Lust auf böse Überraschungen.

Gruß 
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: "Berechtigungs-Hierarchie" in Wsus
Antwort #1 - 13.07.11 um 13:37:41
Beitrag drucken  
Dazu weiß ich auch nichts genaues, ich könnte mir allerdings vorstellen, dass eine Verweigerung immer gewinnt. Wäre zumindest der Windows Standard.
  
Zum Seitenanfang
 
UMeadow
WSUS Spezialist
*****
Offline


I Love WSUS!

Beiträge: 1381
Standort: Berlin
Mitglied seit: 22.01.08
Geschlecht: männlich
Re: "Berechtigungs-Hierarchie" in Wsus
Antwort #2 - 13.07.11 um 17:12:50
Beitrag drucken  
Ich hatte so eine Konstellation z.B. vor dem IE8 Rollout. Der Client war in 2 Gruppen, Test IE8 und seine normale Gruppe. IE8 war für die Testgruppe genehmigt, für alle anderen nicht genehmigt und wurde wie erwartet auf dem Client installiert. Allerdings mit abgelehnten Updates habe ich sowas nie versucht.
Ist Deine Hierarchie dann sinnvoll, für das was Du vorhast.  Smiley
  
Zum Seitenanfang
 
DESoft
WSUS Experte
*****
Offline


I Love WSUS!<br />

Beiträge: 702
Standort: Magdeburg
Mitglied seit: 24.07.08
Re: "Berechtigungs-Hierarchie" in Wsus
Antwort #3 - 14.07.11 um 00:15:59
Beitrag drucken  
Hi

Sunny schrieb on 13.07.11 um 13:37:41:
ich könnte mir allerdings vorstellen, dass eine Verweigerung immer gewinnt. 


Genehmigungen sind hier kumulativ. Verweigerungen haben keinen Vorrang. In der "Vererbungshierarchie" ... hebst Du nur eine vererbte Genehmigung wieder auf, dies wird weiter nach unten vererbt ... die anderen Genehmigungen aus anderen Gruppenzweigen verbleiben.
Summe: Genehmigung erteilt! => Installieren.
Das ist nicht so, wie bei Berechtigung in Windows oder AD DS!!!

UMeadow schrieb on 13.07.11 um 17:12:50:
Ist Deine Hierarchie dann sinnvoll, für das was Du vorhas


Vererbungen haben hier im WSUS schon Sinn.
Bei einer Genehmigung auf eine Übergruppe (z.B. MRT für "Alle Computer") ist die Sache einfach praktisch.
Bei einer für Testung erteilte Genehmigung von neuen Updates auf eine extra Gruppe, werden hier Genehmigungen kumuliert, sofern ein System Mitglied in mehreren Gruppen ist.

Gruß Dani

  
Zum Seitenanfang
 
DESoft
WSUS Experte
*****
Offline


I Love WSUS!<br />

Beiträge: 702
Standort: Magdeburg
Mitglied seit: 24.07.08
Re: "Berechtigungs-Hierarchie" in Wsus
Antwort #4 - 14.07.11 um 00:36:40
Beitrag drucken  
Hi ... hier mal ein Schaubild:

Gruppenhierachie       Genehmigungslage       System-Mitgliedschaften

All Computer              Update genehmigt         Prod  Test  Entw  Schul
=> Produktion           Genehmigung vererbt      
       => Standort A     Genehmigung vererbt     x       x
       => Standort B     Genehmigung vererbt
=> Test                    Update verweigert
       => Entwickler      Verweigerung vererbt              x       x
       => Schulung       Update genehmigt                                     x

=============================================
Summe (Update Installieren?):                         ja      ja     nein    ja


Gruß Dani
  
Zum Seitenanfang
 
DESoft
WSUS Experte
*****
Offline


I Love WSUS!<br />

Beiträge: 702
Standort: Magdeburg
Mitglied seit: 24.07.08
Re: "Berechtigungs-Hierarchie" in Wsus
Antwort #5 - 14.07.11 um 01:11:38
Beitrag drucken  
Hi Arba,

ArBa schrieb on 13.07.11 um 12:16:51:
Der Computer ist Mitglied in allen 3 Gruppen. Wie reagiert Wsus, wenn ein Patch für "Parent" zur Installation freigegeben wird, aber für Child A abgelehnt?


Das Update wird installiert, da mindesten eine Genehmigung (ggf. auch geerbt) vorliegt.

ArBa schrieb on 13.07.11 um 12:16:51:
Meine momentane Beobachtung ist, dass Berechtigungen von Untergruppen höherrangig sind


Die Hierarchie beschreibt keine "Ränge", sie strukturiert nur die Vererbung von Genehmigungen/Verweigerungen. Jede Gruppe muss im übrigen namentlich eindeutig sein.

ArBa schrieb on 13.07.11 um 12:16:51:
Bei Gruppen gleicher Tiefe scheint immer die Freigabe zur Installation zu gewinnen.


Die Tiefe der Gruppe in der Struktur hat keine Bedeutung.
Es zählt nur ob ein System Mitglied in min. einer Gruppe ist, auf der eine Genehmigung vorliegt.
Deswegen wird die Formulierung "Verbot" im WSUS auch nicht eingesetzt! Zwinkernd

ArBa schrieb on 13.07.11 um 12:16:51:
Ich habe keine Lust auf böse Überraschungen.


Nun, das ist einfach. Zwinkernd
Von einem System mit Mitgliedschaften in mehreren Gruppen eine Bericht abrufen. Hier werden alle Updates mit dem kumulierten Genehmigungsstatus aufgelistet.

Wir verwenden bei uns keine Genehmigungsverweigerungen. Unsere angelegten Gruppenstrukturen sind für eine granulierte Steuerung völlig ausreichend. Dabei wird der 3. Zustand "Nicht genehmig" gezielt ausgenutzt.

Gruß Dani 

BTW: Zitat: "Ku|mu|la|tion (Anhäufung) <lat>"
aus "Der Große Duden" 1982 VEB Bibliograhisches Institut Leipzig 
(hier echt mit Anti-Plag  Laut lachend)
  
Zum Seitenanfang
 
ArBa
WSUS Neuling
Offline



Beiträge: 7
Mitglied seit: 19.05.11
Re: "Berechtigungs-Hierarchie" in Wsus
Antwort #6 - 14.07.11 um 10:55:46
Beitrag drucken  
Moin,
erst einmal danke für Eure Antworten.
Ich habe noch ein wenig getestet und kann DESofts Aussagen bestätigen.
Eine Anmerkung habe ich noch zum Punkt „Tiefe“ der Berechtigung.
Beispiel Aufbau:

------------------
-100
       -110
              -111
------------------
-200
       -220
------------------

Nehmen wir an, ein Computer ist Mitglied in allen 5 Gruppen. Dann ist nur die gesetzte Berechtigung  in Gruppe 111 ausschlaggebend. Alle gesetzten Berechtigungen in den anderen 4 Gruppen haben keinen Einfluss auf die Entscheidung (mal abgesehen von Verbergungen).

@UMeadow
Ich habe definierte Standard-Clients und Server. Abweichungen  vom Standard bilde ich über die Untergruppen ab. Als Beispiel, ein Server soll alle Patche mit Ausnahme der Patche für SQL bekommen. Dann wäre er bei mir in der Gruppe „Server“ und in der Untergruppe „noSQL“ von Server .

Gruß
  
Zum Seitenanfang
 
Bookmarks: Facebook Google Google+ Linked in Twitter Yahoo
 



Nutzungsbedingungen | Datenschutz
Kontakt | RSS | Feedback | Impressum
Facebook | News einsenden