Problemas WSUS usuarios restringidos

• Pregunta

• 

  

  0

  Inicie sesión para votar

  Buenos dias

  He implementado una plataforma de WSUS 3.0 SP2 sobre Windows Server 2008 y he iniciado la fase de pruebas para ponerla en produccion, me he encontrado con numerosos incidentes para los cuales he encontrado soluciones, hasta que he llegado a este punto. Por cierto recomiendo que quien quiera forzar actualizaciones remotas pruebe el WUmanager de codeplex, es muy chulo y debieran de integrar sus funcionalidades en la consola de WSUS, por cierto da indicaciones de cuando un equipo necesita ser rebotado, pero no funciona lo de rebotar clientes en remoto, no las actualizaciones opcionales, como si no tienes .Net 3.5 o 4, en esos casos se han de instalar convencionalmente y luego la herramienta ya permite forzar los parches.

  Bueno a lo que vamos, es una plataforma distribuida el principal se descarga los parches de windows Update, luego son sometidos a aprobacion y los otros 3 servidores de WSUS son replicas, asi balanceo la carga entre varios edificios. 

  Todo funcionaba bien hasta que llegue a la prueba del usuario restringido, en esta prueba el equipo es movido a la OU donde esta linkada la GPO de pruebas de WSUS y el usuario permanece donde estaba, con la particularidad de que se le quita del grupo de administradores locales de los equipos. A partir de ahi inicie la prueba y detecto segun el cliente 7 parches, segun el servidor de WSUS 27 pendientes. Aplique los 7 parches y me solicito reiniciar, luego reinicie para continuar con los que faltaban y a partir de aqui el proceso a traves del explorador que funcionaba, daba errores redirigiendote continuamente a la siguiente URL:

  http://support.microsoft.com/kb/2497281

  Le hice caso al mensaje descargue el SP3 para XP y lo ejecute con una cuenta con privilegios administrativos, despues de parchear volvi a intentarlo con el usuario que no es administrador y siempre llego al mismo destino  http://support.microsoft.com/kb/2497281.

  Probé a iniciar sesión con un usuario con privilegios administrativos y funciona correctamente la detección en Windows Update, pero decido no aplicar los parches que me detecta, puesto que he de conseguir este comportamiento con el usuario restringido.

  He seguido las recomendaciones de muchos casos similares documentados en la red, pero no consigo que el problema se resuelva, es como si al usuario restringido le faltase algún permiso en algún sitio y el proceso siempre fuese conducido a la url de error.

  Ruego me indiquen que permisos ha de tener un usuario para sin ser administrador pueda instalarse los parches que he aprobado.

  La GPO que uso en la OU de pruebas es la siguiente:

  
  

  Dominio	red2003.local
  Propietario	RED2003\Admins. del dominio
  Creado	24/05/2011 13:14:00
  Modificado	18/05/2012 10:11:14
  Revisiones de usuario	2 (AD), 2 (sysvol)
  Revisiones de equipo	21 (AD), 21 (sysvol)
  Id. único	{D9B3620C-F975-465C-836F-2BFD9F9BF86D}
  Estado de GPO	Configuración de usuario deshabilitada

  Vínculoshide

  Ubicación	Aplicado	Estado de vínculo	Ruta
  Pruebas_WSUS-Vitruvio	No	Habilitado	red2003.local/OUVIT/OUequipos/OURestringidos/Pruebas_WSUS-Vitruvio
  Pruebas WSUS Laboratorio.	No	Habilitado	red2003.local/OUVIT/Pruebas WSUS Laboratorio.

  
  Esta lista sólo incluye vínculos en el dominio del GPO.

  Filtrado de seguridadhide

  La configuración en este GPO sólo se puede aplicar a los grupos, usuarios y equipos siguientes:

  Nombre
  NT AUTHORITY\Usuarios autentificados

  Delegaciónhide

  Estos grupos y usuarios tienen los permisos especificados para este GPO

  Nombre	Permisos válidos	Heredado
  NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS	Lectura	No
  NT AUTHORITY\SYSTEM	Editar configuración, eliminar, modificar seguridad	No
  NT AUTHORITY\Usuarios autentificados	Lectura (de Filtrado de seguridad)	No
  RED2003\Administradores de organización	Editar configuración, eliminar, modificar seguridad	No
  RED2003\Admins. del dominio	Editar configuración, eliminar, modificar seguridad	No

  Configuración del equipo (habilitada)hide

  Directivashide

  Plantillas administrativashide

  Definiciones de directiva (archivos ADMX) recuperados del equipo local.

  Componentes de Windows/Windows Updatehide

  Directiva	Configuración	Comentario
  Si habilita esta configuración de directiva, cuando haya software destacado disponible, aparecerá un mensaje de notificación en el equipo del usuario. Este podrá hacer clic en la notificación para abrir la aplicación Windows Update y obtener más información acerca del software, o bien instalarlo. El usuario también podrá hacer clic en "Cerrar este mensaje" o en "Mostrármelas más tarde" para aplazar la notificación según convenga. En Windows 7, esta configuración de directiva controlará las notificaciones detalladas solo para aplicaciones opcionales. En Windows Vista, esta configuración de directiva controlará las notificaciones detalladas para aplicaciones y actualizaciones opcionales. Si deshabilita o no establece esta configuración de directiva, los usuarios de Windows 7 recibirán mensajes de notificación detallados para aplicaciones opcionales y los usuarios de Windows Vista no recibirán mensajes de notificación detallados para aplicaciones ni para actualizaciones opcionales. De forma predeterminada, esta configuración de directiva está deshabilitada. Si no usa el servicio Microsoft Update, la configuración de directiva de notificaciones de software no surte efecto. Si la configuración de directiva "Configurar Actualizaciones automáticas" está deshabilitada o no está configurada, no surte efecto la configuración de directiva Activar notificaciones de software. " gpmc_settingname="Activar notificaciones de software" gpmc_settingpath="Configuración del equipo/Plantillas administrativas/Componentes de Windows/Windows Update" gpmc_supported="Al menos Windows Vista" href="">Activar notificaciones de software	Habilitado
  Configurar actualización automática: 4 - Descargar automáticamente y programar la instalación Las siguientes opciones solo se requieren y se aplican si el valor 4 está seleccionado. Día de instalación programado: 0 - Todos los días Hora de instalación programada: 13:00
  Directiva	Configuración	Comentario
  Establecer el servicio de actualización de la intranet para detectar actualizaciones: http://vitdc0004.red2003.local:8530 Establecer el servidor de estadísticas de la intranet: http://vitdc0004:8530 (por ejemplo, http://IntranetUpd01)
  Directiva	Configuración	Comentario
  Comprobar actualizaciones con el siguiente intervalo (horas): 1
  Directiva	Configuración	Comentario
  Nombre de grupo de destino para este equipo Usuarios del dominio
  Directiva	Configuración	Comentario
  Si el estado se establece como Deshabilitado, Actualizaciones automáticas no reiniciará el equipo automáticamente durante una instalación programada si un usuario tiene una sesión iniciada. En su lugar, Actualizaciones automáticas notificará al usuario que debe reiniciar el equipo. Tenga en cuenta que el equipo debe reiniciarse para que las actualizaciones surtan efecto. Si el estado se establece como Deshabilitado o No configurado, las actualizaciones automáticas avisarán al usuario de que el equipo se va a reiniciar dentro de 5 minutos para completar la instalación. Nota: esta directiva solo se aplica cuando Actualizaciones automáticas se configura para realizar instalaciones programadas de actualizaciones. si la directiva "Configurar Actualizaciones automáticas" está deshabilitada, esta directiva no se aplicará." gpmc_settingname="No reiniciar automáticamente con usuarios que hayan iniciado sesión en instalaciones de actualizaciones automáticas" gpmc_settingpath="Configuración del equipo/Plantillas administrativas/Componentes de Windows/Windows Update" gpmc_supported="Al menos Windows 2000 Service Pack 3 o Windows XP Professional Service Pack 1" href="">No reiniciar automáticamente con usuarios que hayan iniciado sesión en instalaciones de actualizaciones automáticas	Habilitado
  Si el estado se establece en Habilitado, Actualizaciones automáticas instalará automáticamente estas actualizaciones una vez que se descarguen y estén listas para instalarse. Si el estado se establece en Deshabilitado, estas actualizaciones no se instalarán inmediatamente. Nota: si la directiva "Configurar Actualizaciones automáticas" está deshabilitada, esta directiva no se aplicará." gpmc_settingname="Permitir la instalación inmediata de Actualizaciones automáticas" gpmc_settingpath="Configuración del equipo/Plantillas administrativas/Componentes de Windows/Windows Update" gpmc_supported="Al menos Windows 2000 Service Pack 3 o Windows XP Professional Service Pack 1" href="">Permitir la instalación inmediata de Actualizaciones automáticas	Habilitado
  Si el estado se establece en Habilitado, se producirá un reinicio programado tras el número de minutos especificado después de completarse la instalación. Si el estado se establece en Deshabilitado o No configurado, el tiempo de espera predeterminado es de 15 minutos. Nota: esta directiva solo se aplica cuando Actualizaciones automáticas se configura para realizar instalaciones programadas de actualizaciones. Si la directiva "Configurar Actualizaciones automáticas" está deshabilitada, esta directiva no se aplicará." gpmc_settingname="Retrasar el reinicio para las instalaciones programadas" gpmc_settingpath="Configuración del equipo/Plantillas administrativas/Componentes de Windows/Windows Update" gpmc_supported="Al menos Windows 2000 Service Pack 3 o Windows XP Professional Service Pack 1" href="">Retrasar el reinicio para las instalaciones programadas	Habilitado
  Esperar el siguiente período antes de continuar con un reinicio programado (minutos): 30
  Directiva	Configuración	Comentario
  Esperar el siguiente período antes de volver a pedir la intervención del usuario con un reinicio programado (minutos): 60
  Directiva	Configuración	Comentario
  Esperar después de que el sistema se inicie (minutos): 15

  Configuración del usuario (deshabilitada)hide

  Directivashide

  Plantillas administrativashide

  Definiciones de directiva (archivos ADMX) recuperados del equipo local.

  Componentes de Windows/Windows Updatehide

  Directiva	Configuración	Comentario
  <a gpmc_settingdescription="Esta opción permite quitar el acceso a Windows Update. Si la habilita, se quitarán todas las características de Windows Update. En consecuencia, se bloquea el acceso al sitio web de Windows Update (http://windowsupdate.microsoft.com) desde el hipervínculo de Windows Update en el menú Inicio y en el menú Herramientas de Internet Explorer. También se deshabilitará la actualización automática de Windows; no recibirá notificaciones ni actualizaciones críticas de Windows Update. Asimismo, esta opción impide que el Administrador de dispositivos instale automáticamente actualizaciones de controladores del sitio web de Windows Update. En caso de que se encuentre habilitada, puede configurar una de las siguientes opciones de notificación: 0 = No mostrar ninguna notificación Esta opción quitará cualquier acceso a las características de Windows Update y no se mostrarán notificaciones. 1 = Mostrar notificaciones necesarias para reiniciar Esta opción mostrará las notificaciones sobre las veces que es necesario reiniciar para completar la instalación." gpmc_settingname="Quitar el acceso a todas las características de Windows Update" gpmc_settingpath="Configuración del usuario/Plantillas administrativas/Componentes de Windows/Windows Update" gpmc_supported="Al menos Windows 2000 Service Pack 3 o Windows XP Professional Service Pack 1" href="">Quitar el acceso a todas las características de Windows Update	Deshabilitado

  Ruego me indiquen si los cambios de seguridad he de hacerlos manualmente o puedo integrarlos en la politica para que el proceso quede totalmente automatizado.

  Gracias por la atencion

  --

  Pedro Prados

  Consultor de sistemas de Satec (Microsoft Gold Partner)

  viernes, 18 de mayo de 2012 8:43

  Responder

  |

  Citar