Hola colegas:
Estoy administrando el Servidor WSUS 3.0 SP2 de mi Empresa.
Tengo implementado en el “Active Directory” varias GPO asignadas a ciertas Unidades Organizacionales (OU) para darle un tratamiento
diferenciado a ciertos segmentos de redes y a ciertos tipos de Equipos, dígase Servidores, Estaciones de trabajo y Notebooks.
En la Consola de WSUS tengo creados diversos Grupos de Equipos cada uno con características diferentes, donde cada miembro están bajo las políticas
de las diferentes GPO creadas.
Según varias fuentes en la Web, incluyendo la Ayuda del propio WSUS, se puede establecer una fecha límite de Aprobaciones, es decir, una fecha
y una hora concretas para instalar, finalizar o quitar (desinstalar) las actualizaciones y reiniciar el Equipo.
La Especialista de Seguridad Informática de la Empresa me plantea lo siguiente:
- Se tiene que establecer una fecha límite para la aprobación de Actualizaciones para cada grupo de Equipos, ya que caso contrario se
le permite al usuario la opción de elegir que actualizaciones instalar (destildar la casilla de cada tipo de actualización) y que lo haga cuando a él le parezca.
PRIMERA CUESTION
En mi modesta opinión, la fecha límite sólo se establece cuando no hay implementada ninguna GPO, pues en la configuración de las Directivas de
Grupo se establecen varios parámetros, incluyendo la fecha (día y hora) para la Instalación de las Actualizaciones.
Para demostrar mi hipótesis realicé la siguiente prueba: A algunos Grupos les asigné una fecha límite y a otros no; los resultados arrojados fueron
que todos los los Equipos se rigieron por los parámetros definidos en las diferentes GPO y e hicieron caso omiso a la fecha límite establecido, de esto pude inferir que la Fecha límite no es necesaria cuando hay
implementas diversas GPO.
Les pregunto.
- ¿Estoy en lo cierto?
- ¿Alguno de ustedes ha tenido alguna experiencia en este aspecto?
SEGUNDA CUESTIÓN
Para mí, el establecimiento de una fecha límite para las Aprobaciones, no tiene ninguna relación con la posibilidad de que el usuario pueda seleccionar
o no el tipo de actualización que quiera instalar y que lo defina cuando desee, creo que esto tiene más relación con los privilegios que tiene cada Usuario del Dominio, específicamente sí el mismo pertenece al Grupo de Administradores Locales de su Equipo.
Mi usuario del Dominio es miembro del Grupo "Account Operators", es decir que tengo ciertos privilegios para realizar ciertas tareas
en el Dominio y por otra parte, pertenece al grupo Administradores Locales de mi PC.
Hice las siguientes pruebas para demostrar mi hipótesis:
- Me “Logguee” en mi PC con mi usuario del Dominio con privilegios
de “Account Operator” y de Administrador local del Equipo y obtuve el siguiente resultado:
Pude tener la posibilidad de desmarcar la casilla de cada actualización a instalar.
- Me quité del Grupo de Administradores Locales de mi PC, manteniendo mis privilegios como "Account Operator", me “Logguee” en
mi PC y obtuve lo siguiente:
También pude tener la posibilidad de desmarcar la casilla de cada actualización a instalar.
Nota:
No pude realizar la prueba de ”Logguearme” como un usuario común del Dominio para realizar esta prueba, así que no pude comprobar si
este tipo de cuenta común tiene la opción de elegir que actualizaciones instalar (destildar la casilla de cada tipo de actualización) y que lo haga cuando a él le parezca.
- ¿Qué creen de estas dos CUESTIONES?
- ¿Han tenido esta experiencia en su red Empresarial?
- ¿Cómo puedo restringir que los Usuarios no tengan la opción elegir que actualizaciones
instalar (destildar la casilla de cada tipo de actualización) y que lo haga cuando a él le parezca?
En espera de sus colaboraciones y recomendaciones.
Muchas gracias,
Ing. Yhosvanni Goenaga Fernandez
