Usuario
Problemas WSUS usuarios restringidos

Pregunta
-
Buenos dias
He implementado una plataforma de WSUS 3.0 SP2 sobre Windows Server 2008 y he iniciado la fase de pruebas para ponerla en produccion, me he encontrado con numerosos incidentes para los cuales he encontrado soluciones, hasta que he llegado a este punto. Por cierto recomiendo que quien quiera forzar actualizaciones remotas pruebe el WUmanager de codeplex, es muy chulo y debieran de integrar sus funcionalidades en la consola de WSUS, por cierto da indicaciones de cuando un equipo necesita ser rebotado, pero no funciona lo de rebotar clientes en remoto, no las actualizaciones opcionales, como si no tienes .Net 3.5 o 4, en esos casos se han de instalar convencionalmente y luego la herramienta ya permite forzar los parches.
Bueno a lo que vamos, es una plataforma distribuida el principal se descarga los parches de windows Update, luego son sometidos a aprobacion y los otros 3 servidores de WSUS son replicas, asi balanceo la carga entre varios edificios.
Todo funcionaba bien hasta que llegue a la prueba del usuario restringido, en esta prueba el equipo es movido a la OU donde esta linkada la GPO de pruebas de WSUS y el usuario permanece donde estaba, con la particularidad de que se le quita del grupo de administradores locales de los equipos. A partir de ahi inicie la prueba y detecto segun el cliente 7 parches, segun el servidor de WSUS 27 pendientes. Aplique los 7 parches y me solicito reiniciar, luego reinicie para continuar con los que faltaban y a partir de aqui el proceso a traves del explorador que funcionaba, daba errores redirigiendote continuamente a la siguiente URL:
http://support.microsoft.com/kb/2497281
Le hice caso al mensaje descargue el SP3 para XP y lo ejecute con una cuenta con privilegios administrativos, despues de parchear volvi a intentarlo con el usuario que no es administrador y siempre llego al mismo destino http://support.microsoft.com/kb/2497281.
Probé a iniciar sesión con un usuario con privilegios administrativos y funciona correctamente la detección en Windows Update, pero decido no aplicar los parches que me detecta, puesto que he de conseguir este comportamiento con el usuario restringido.
He seguido las recomendaciones de muchos casos similares documentados en la red, pero no consigo que el problema se resuelva, es como si al usuario restringido le faltase algún permiso en algún sitio y el proceso siempre fuese conducido a la url de error.
Ruego me indiquen que permisos ha de tener un usuario para sin ser administrador pueda instalarse los parches que he aprobado.
La GPO que uso en la OU de pruebas es la siguiente:
Dominio red2003.local Propietario RED2003\Admins. del dominio Creado 24/05/2011 13:14:00 Modificado 18/05/2012 10:11:14 Revisiones de usuario 2 (AD), 2 (sysvol) Revisiones de equipo 21 (AD), 21 (sysvol) Id. único {D9B3620C-F975-465C-836F-2BFD9F9BF86D} Estado de GPO Configuración de usuario deshabilitada VínculoshideUbicación Aplicado Estado de vínculo Ruta Pruebas_WSUS-Vitruvio No Habilitado red2003.local/OUVIT/OUequipos/OURestringidos/Pruebas_WSUS-Vitruvio Pruebas WSUS Laboratorio. No Habilitado red2003.local/OUVIT/Pruebas WSUS Laboratorio.
Esta lista sólo incluye vínculos en el dominio del GPO.Filtrado de seguridadhideLa configuración en este GPO sólo se puede aplicar a los grupos, usuarios y equipos siguientes:Nombre NT AUTHORITY\Usuarios autentificados DelegaciónhideEstos grupos y usuarios tienen los permisos especificados para este GPONombre Permisos válidos Heredado NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS Lectura No NT AUTHORITY\SYSTEM Editar configuración, eliminar, modificar seguridad No NT AUTHORITY\Usuarios autentificados Lectura (de Filtrado de seguridad) No RED2003\Administradores de organización Editar configuración, eliminar, modificar seguridad No RED2003\Admins. del dominio Editar configuración, eliminar, modificar seguridad No Configuración del equipo (habilitada)hideDirectivashidePlantillas administrativashideDefiniciones de directiva (archivos ADMX) recuperados del equipo local.Componentes de Windows/Windows UpdatehideConfiguración del usuario (deshabilitada)hideDirectivashidePlantillas administrativashideDefiniciones de directiva (archivos ADMX) recuperados del equipo local.Componentes de Windows/Windows UpdatehideDirectiva Configuración Comentario <a gpmc_settingdescription="Esta opción permite quitar el acceso a Windows Update.
Si la habilita, se quitarán todas las características de Windows Update. En consecuencia, se bloquea el acceso al sitio web de Windows Update (http://windowsupdate.microsoft.com) desde el hipervínculo de Windows Update en el menú Inicio y en el menú Herramientas de Internet Explorer. También se deshabilitará la actualización automática de Windows; no recibirá notificaciones ni actualizaciones críticas de Windows Update. Asimismo, esta opción impide que el Administrador de dispositivos instale automáticamente actualizaciones de controladores del sitio web de Windows Update.
En caso de que se encuentre habilitada, puede configurar una de las siguientes opciones de notificación:
0 = No mostrar ninguna notificación
Esta opción quitará cualquier acceso a las características de Windows Update y no se mostrarán notificaciones.
1 = Mostrar notificaciones necesarias para reiniciar
Esta opción mostrará las notificaciones sobre las veces que es necesario reiniciar para completar la instalación." gpmc_settingname="Quitar el acceso a todas las características de Windows Update" gpmc_settingpath="Configuración del usuario/Plantillas administrativas/Componentes de Windows/Windows Update" gpmc_supported="Al menos Windows 2000 Service Pack 3 o Windows XP Professional Service Pack 1" href="">Quitar el acceso a todas las características de Windows UpdateDeshabilitado Ruego me indiquen si los cambios de seguridad he de hacerlos manualmente o puedo integrarlos en la politica para que el proceso quede totalmente automatizado.
Gracias por la atencion
--
Pedro Prados
Consultor de sistemas de Satec (Microsoft Gold Partner)