none
Fecha de Aprobación de Actualizaciones y Directivas de Grupo (GPO) RRS feed

  • Pregunta

  • Hola colegas:

    Estoy administrando el Servidor WSUS 3.0 SP2 de mi Empresa.

    Tengo implementado en el “Active Directory” varias GPO asignadas a ciertas Unidades Organizacionales (OU) para darle un tratamiento diferenciado a ciertos segmentos de redes y a ciertos  tipos de Equipos, dígase Servidores, Estaciones de trabajo y Notebooks.

    En la Consola de WSUS tengo creados diversos Grupos de Equipos cada uno con características diferentes, donde cada miembro están bajo las políticas de las diferentes GPO creadas.

    Según varias fuentes en la Web, incluyendo la Ayuda del propio WSUS, se puede establecer una fecha límite de Aprobaciones, es decir, una fecha y una hora concretas para instalar, finalizar o quitar (desinstalar) las actualizaciones y reiniciar el Equipo. 

    La Especialista de Seguridad Informática de la Empresa me plantea lo siguiente:

    • Se tiene que establecer una fecha límite para la aprobación de Actualizaciones para cada grupo de Equipos,  ya que caso contrario se le permite al usuario la opción de elegir que actualizaciones instalar (destildar la casilla de cada tipo de actualización) y que lo haga cuando a él le parezca.

    PRIMERA CUESTION

    En mi modesta opinión, la fecha límite sólo se establece cuando no hay implementada ninguna GPO, pues en la configuración de las Directivas de Grupo se establecen varios parámetros, incluyendo la fecha (día y hora) para la Instalación de las Actualizaciones.

    Para demostrar mi hipótesis realicé la siguiente prueba: A algunos Grupos les asigné una fecha límite y a otros no; los resultados arrojados fueron que todos los los Equipos se rigieron por los parámetros definidos en las diferentes GPO y e hicieron caso omiso a la fecha límite establecido, de esto pude inferir que la Fecha límite no es necesaria cuando hay implementas diversas GPO.

    Les pregunto.

    1. ¿Estoy en lo cierto?
    2. ¿Alguno de ustedes ha tenido alguna experiencia en este aspecto?

    SEGUNDA CUESTIÓN

    Para mí, el establecimiento de una fecha límite para las Aprobaciones, no tiene ninguna relación con la posibilidad de que el usuario pueda seleccionar o no el tipo de actualización que quiera instalar y que lo defina cuando desee, creo que esto tiene más relación con los privilegios que tiene cada Usuario del Dominio, específicamente sí el mismo pertenece al Grupo de Administradores Locales de su Equipo.

    Mi usuario del Dominio es miembro del Grupo "Account Operators", es decir que tengo ciertos privilegios para realizar ciertas tareas en el Dominio y por otra parte, pertenece al grupo Administradores Locales de mi PC. 

    Hice las siguientes pruebas para demostrar mi hipótesis:

    • Me “Logguee” en mi PC con mi usuario del Dominio con privilegios de “Account Operator” y de Administrador local del Equipo y obtuve el siguiente resultado:

    Pude tener la posibilidad de desmarcar la casilla de cada actualización a instalar.

    • Me quité del Grupo de Administradores Locales de mi PC, manteniendo mis privilegios como "Account Operator", me “Logguee” en mi PC y obtuve lo siguiente:

    También pude tener la posibilidad de desmarcar la casilla de cada actualización a instalar.

    Nota:

    No pude realizar la prueba de ”Logguearme” como un usuario común del Dominio para realizar esta prueba, así que no pude comprobar si este tipo de cuenta común tiene la opción de elegir que actualizaciones instalar (destildar la casilla de cada tipo de actualización) y que lo haga cuando a él le parezca.

    1. ¿Qué creen de estas dos CUESTIONES?
    2. ¿Han tenido esta experiencia en su red Empresarial?
    3. ¿Cómo puedo restringir que los Usuarios no tengan la opción elegir que actualizaciones instalar (destildar la casilla de cada tipo de actualización) y que lo haga cuando a él le parezca?

    En espera de sus colaboraciones y recomendaciones.

    Muchas gracias,


    Ing. Yhosvanni Goenaga Fernandez

    lunes, 27 de mayo de 2013 15:08