|
Как настроить установку без участия пользователей только для одной группы компов?
Есть домен на базе Win 2003. В нем работающий WSUS 3.
Через групповые политики домена настроено, что все компы попадают в группу Все компьютеры/Comp. На самом WSUS я создал отдельную группу Все компьютеры/Server, в нее перенес все сервера. Задача, нужно сделать, чтоб на все копьютеры из группы Все компьютеры/Comp обновления ставились автоматически, без участия пользователей. При этом, в группе Все компьютеры/Server обновления должны ставится только вручную. Как это сделать? |
нужны две политики
например в первой указываешь чтобы обновления ставились в определенное время т.е. днем а во второй указываешь чтобы обновления только скачивались и применяешь их соответсвенно на Comp и Server |
Мысль хорошая, но не катит.
Чтоб ее реализовать нужно 2 OU в домене, а у меня все в одном. |
Логичнее разделить их, вот вам уже и первый прецидент для этого, ну и политики безопасности для серверов всётаки отличаются от пользователей, да и другие...
В вашем случае может быть помогут фильтры... |
Проблема в том, что у меня куча OU. В кажой куче и обычные компы, и сервера.
Разделение идет не по назначению, а по географии. 1 OU - 1 филиал. Согласен, что тогда было бы логичнее ввести разделение на сервер/комп в каждом OU. Но так уже исторически сложилось Буду копать дальше. |
ну тогда сделай две политики на один OU а в безопасности каждой политики пропиши права кому можно а кому нет
|
Хотя это и не рекомендуется, но можешь сделать автоматическое одобрение обновлений для comp(можешь их еще разбить по группам на всус), а на server соответственно одобрять вручную...
|
логически правильное решение - внутри региональной OU создать отдельные OU для компов и серверов, и уже на эти ОУшки дать свои политики по WSUSу.
Правильно сказали выше, делить нужно. Прецендент необходимости разных политик уже есть, дальше будет только сложнее. |
U-russia,
Сделал так. Работаить... Естественно, нормальное разделение на OU является очень желательным для гибкого управления правами. Но в нашей конторе это кривое разделение сложилось года так за 3 до моего прихода. Я с ним имею удовольствие, привести все это в божеский вид задача вполне осуществимая, но на это нужно немало времени и много совместной работы (админов у нас много), чтоб определить какому OU принадлежат конкретные компьютеры и заодно учетки. У меня такие идеи были, но поддержки они не нашли. Так что будем соблюдать традицию: "Пое....сь мы, пое...сь и вы". |
Цитата:
как уже предлагалось выше можно создать группу безопасности и задать применение GP только для неё, но фильтры "тоньше" http://technet.microsoft.com/ru-ru/l...8WS.10%29.aspx GP применяется только если запрос возвращает true Допустим если во вкладке gpmc создать wmi фильтр для пространства имен Root\CimV2 содержащий запрос Select * from Win32_OperatingSystem where Caption = "Microsoft Windows XP Professional" то политика, к которой привязать данный фильтр, примениться только к компьютерам под управлением соответствующей ОС. Вы даже можете применять разные политики к серверам находящимся в разных часовых поясах, или в зависимости от того какой у них монитор : ) такого не достигнешь используя только группы.. за экзотическими и не очень классами wmi сюда http://msdn.microsoft.com/en-us/libr...8VS.85%29.aspx Так что может ваше разделение на OU по территориальному признаку и правельнее.... а вот автоодобрение не очень, а то подхватите какой нибудь свежий IE... ps Вот это запрос может пригодиться для отката специфического обновления Root\cimv2 ; Select * from Win32_QuickFixEngineering where HotFixID = 'q147222' выбирает компьютеры с установленным q147222 вот только надо ещё политику отката правильно сконфигурировать... |
| Время: 04:23. |
Время: 04:23.
© OSzone.net 2001-