none
Exclusão no WSUS RRS feed

  • Pergunta

  • Caros, estou com a seguinte situação que queria compartilhar com vocês para ver se existe uma solução.

    Vms considerar uma rede windows, onde quero atualizar automaticamente via Wsus minhas ESTACOES e SERVIDORES. Porém existem regras diferentes para estas máquinas.

     

    - Até a parte de qual atualização instalar em um ou em outro está ok, ja que podemos fazer isso pelo WSUS no momento de aprovar a atualização, porém tenho que instalar e reiniciar em horários diferentes, tenho que fazer isso em horário de expediente nas ESTACOES e na madrugada nos SERVIDORES. Pensei em colocar por máquinas a GPO, porém terei que mover para uma "OU" criada cada computador que for entrando na rede, e se formos pensar em automatizar as tarefas esse será um grande problema caso a rede aumente muito.

     

    - Bom então vms voltar a aplicar a regra por usuário. Só que vou ter que tirar o DomainAdmins da regra, já que a mesmo loga no servidor e nas estacoes e portanto nao poderia ter uma regra fixa. E configuramos as politicas de grupo direto na mão mesmo nas máquinas dos Admins e nos servidores.

     

    - Agora eu tenho um outro problema. Como vimos não podemos instalar nem reiniciar as máquinas servidoras em qualquer horário. Só que logamos com os usuários das ESTACOES também nos servidores de TS. E aí? O servidor vai pegar a configuração do usuário dentro da GPO? Vai colocar meu servidor com configuração de estação?

    Bom que vejo como solução seria algo como "exclusões". Configurar o usuário para pegar ou não a configuração da GPO de acordo com a situação. Por exemplo se o DomainAdmin logar em uma máquina do tipo SERVIDOR não pegar a configuração para instalar pela manhã. Ou se o usuário conectar via RDP, que não passe as configurações da GPO para o servidor.

     

    Desde já agradeço a atenção de todos...

    sexta-feira, 29 de agosto de 2008 13:50

Respostas

  • Olá Vicente,

     

    Pois é aqui ainda fica fácil gerenciar, porque cada máquina tem no nome seu estado, então uma vez por semana é só dar uma geral no conteiner Computers, movendo cada um pro seu devido lugar.

     

    Mas o que você pode fazer, inclusive eu estarei fazendo aqui também, é delegar o acesso a suas OU's, assim você deixa alguém responsavel por criar as máquinas antes de coloca-las no dominio.

     

    No meu caso por exemplo, posso colocar o Tecnico de São Paulo com permissão de criar contas de computador na OU SP, dai ele só conseguirá colocar as máquinas que ja tenham conta criada no AD, oriento ele certinho e me livro um pouco destas "muitas" máquinas que aparecem no AD, além do mais, já é um jeito de se fazer auditoria, pois sempre quando se pergunta quem criou aquela máquina de nome estranho ninguém se responsabiliza. para ativar auditorias, são recursos do servidor gastos, usando esta delegação, se aparecer a máquina na minha OU SP, já sei que foi o tecnico de lá.

     

    Com relação a criar contas fora do conteiner Computers eu nunca vi não, vou ficar te devendo.

     

    Abraços.

     

    segunda-feira, 1 de setembro de 2008 14:47

Todas as Respostas

  • Olá Vicente.

     

    Bem...

    1) a principio o correto seria você ter OU's separadas para servidores e estações, até porque o que se aplica a servidores não é o mesmo que se aplica a estações.

     

    2) a GPO deveria ser uma GPO de computadores e não de usuários. Só isso ai já elimina o problema da permissão de aplicação da mesma, e basta a estação estar ligada para que aconteça

     

    Veja o meu caso, por exemplo:

    Tenho duas GPO's...

    uma para servidores onde as atualizações ocorrem sempre aos domingos num horário onde não há nenhuma tarefa extra( Backup, alguma sincronização, algum agendamento) com aplicação e reinicialização automática do servidor.

     

    outra para as demais estações, diária. E olhe que tenho estações demais.

     

    Se houver algum problema o mesmo é tratado como tal....localmente. O que busco na verdade é um nível de conformidade próximo de 100%

     

     

    sexta-feira, 29 de agosto de 2008 17:24
  • Boa Tarde Maxalon,

     

    Obrigado pela ajuda...

     

    Realmente fiz como vc falou criando OUs diferentes para cada tipo de máquina. O problema é o constante crescimento da minha rede, máquinas virtuais que são instaladas, notebooks de funcionários externos, e queria automatizar isso ao máximo possível para não me gerar mais preocupações extras.

     

    Como vc falou funcionou perfeitamente, mas terei que observar sempre o meu AD para transferir as minhas máquinas da "COMPUTERS" para a OU especifica.

    sexta-feira, 29 de agosto de 2008 19:17
  • E ai Vicente beleza?

     

    Realmente você tem que adequar a sua estrutura.

     

    Se você tiver grupos diferentes para cada aplicação ai não tem jeito, tem que ter uma GPO para cada grupo de computadores que esteja administrando, agora caso você só queira separar entre estações de trabalho e servidores, você pode colocar sua GPO a nivel de dominio colocando qualquer máquina no grupo ESTACOES por exemplo, dai cria uma OU para servidores bloqueia a herança e apenas nela coloca sua GPO para o grupo SERVIDORES.

     

    Aqui onde eu trabalho eu tenho um servidor central que baixa as atualizações da internet (Windows XP / Windows 2003 / Office / Exchange / SQL e por ai vai).

     

    Dai eu tenho 1 servidor WSUS donwstream em cada estado brasileiro, que ai vem pegar aqui via WAN uma unica vez, para distribuir em cada estado. Sendo assim eu tenho 27 OU's de estados com 27 GPO's diferentes apontando cada um para o seu servidor da localidade.

     

    E uma GPO isolada para os servidores.

     

    Dai sua gerencia, será na hora de aprovar os patches para cada grupo.

     

    Abraços.

     

     

     

    sexta-feira, 29 de agosto de 2008 19:51
  • Boa tarde Felipe,

     

    Obrigado pela ajuda.

     

    Mas neste caso vc tem que gerenciar também todas as máquinas que chegam na sua rede e entram na COMPUTERS do AD correto? Ou existe alguma forma de eu fazer todas as máquinas novas que entrarem na rede cairem em uma OU diferente ao invés da COMPUTERS?

    sexta-feira, 29 de agosto de 2008 21:03
  • Olá Vicente,

     

    Pois é aqui ainda fica fácil gerenciar, porque cada máquina tem no nome seu estado, então uma vez por semana é só dar uma geral no conteiner Computers, movendo cada um pro seu devido lugar.

     

    Mas o que você pode fazer, inclusive eu estarei fazendo aqui também, é delegar o acesso a suas OU's, assim você deixa alguém responsavel por criar as máquinas antes de coloca-las no dominio.

     

    No meu caso por exemplo, posso colocar o Tecnico de São Paulo com permissão de criar contas de computador na OU SP, dai ele só conseguirá colocar as máquinas que ja tenham conta criada no AD, oriento ele certinho e me livro um pouco destas "muitas" máquinas que aparecem no AD, além do mais, já é um jeito de se fazer auditoria, pois sempre quando se pergunta quem criou aquela máquina de nome estranho ninguém se responsabiliza. para ativar auditorias, são recursos do servidor gastos, usando esta delegação, se aparecer a máquina na minha OU SP, já sei que foi o tecnico de lá.

     

    Com relação a criar contas fora do conteiner Computers eu nunca vi não, vou ficar te devendo.

     

    Abraços.

     

    segunda-feira, 1 de setembro de 2008 14:47
  • Vlw Felipe, dei mais umas pesquisadas aqui e acho que vou ter que fazer dessa forma mesmo.

     

    De qq jeito, muito obrigado pelas orientações.

     

    sexta-feira, 5 de setembro de 2008 17:54