WSUS server

Diskuze k serverovým edicím Microsoft Windows

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod Chipoun 1. 2. 2018 14:22

Ahoj,
mám dotaz na zdejší administrátory, jak se dívají na službu WSUS za těchto podmínek:

-AD a WSUS na Windows server standard 2016

-Máme ve firmě cca 90 lidí, cca 30 (těch 30 se často mění) z nich je nonstop mimo firmu a vyskytnou se v sídle 0-2x do měsíce. Není výjimka, že jsou půl roku... rok mimo. VPN mají, ale zpravidla nepoužívají, protože nepotřebují (Emaily O365) a nebo se připojí jen na minutu dvě pro stažení nějakého souboru ze sítě.

-Na koncových stanicích jsou Win7 (60%), nebo Win10 (40%)


-Internetová konektivita 200/200Mbps, síť po budově 1Gbps


Protože nyní WSUS provozujeme, a máme problémy s tím, že počítače co jsou mimo síť se neaktualizují, uvažuji se na něj vykašlat... Nevýhodu vidím v tom, že nemůžu nasadit až ověřené aktualizace, nicméně nevím jak je to jinde, ale pokud není nějaký průšvih v KB co se dostane do médií, tak to stejně řeším slepým schválením...


Máte nějaké doporučení jak postupovat?

Díky :-)
Chipoun
Mírně pokročilý

Odeslat příspěvekod Milanr1 1. 2. 2018 14:57

Nesdělil jsi edice OS.
Příslušné NB, které se nepřipojí do podnikové sítě min. jednou měsíčně, nelze zařadit do AD a nelze je ani provozovat v režimu WSUS.
Běžné single licence W10 (nepodnikové licence, tj. bez edici Enteprise) stejně na WSUS zvysoka kašlou a připojují se pro instalaci KB k MS serverům (pokud to nezakážeš v registru). :-/
Co s tím?
Chipoun píše:Máte nějaké doporučení jak postupovat?

Můžeš vynutit organizačně (např. příkazem ředitele) připojení těchto NB min. jednou měsíčně do LAN na celý den?
ANO:
zařaď je do AD i do WSUS; pokud to někdo nedodrží, prostě se po měsíci nepřihláší do svého profilu.
NE:
tyto NB neřeš;
ve správě pro vedení zařaď tyto "nepošlušné" NB mimo profi LAN jako nespravované.
Btw:
Nechtěl bych v takové organizaci řešit bezpečnost LAN! :-)
Milan
Milanr1
Pokročilý
Uživatelský avatar

Odeslat příspěvekod meda2016 1. 2. 2018 15:24

@Chipoun -Režim IT se řídí bezpečnostními předpisy, každá významná firma je má zpracované, chce se mi napsat "odborně", ale to je spíš přání. To, co s počítači mohou uživatelé dělat je obvykle také řízeno (politiky). Takže nemá existovat "uživatel dělá to a to a co já admin s tím" ale má existovat "uživatel musí dělat to a to a pokud to nedělá, ohrožuje bezpečnost IT systémů a je s ním sjednávána náprava".
Takže vynutit 1x do týdne noční/denní připojení na VPN kvůli aktualizaci/synchronizaci.
Jinak, jak píše Milanr1, to nejde. Ti lidé musí mít nějakou odpovědnost, jako máš ty, až se stane velký průser. A že znám (dnes čas minulý) zasekané disky soukromými daty a SW spouštěný dětmi o víkendu. A jak je známo, hov*o padá odshora (ovšem rozplácne se dole). Přeji úspěch.
meda2016
Junior

Odeslat příspěvekod Chipoun 1. 2. 2018 15:33

Jde o verze Professional.
u nás se právě k MS nepřipojí. Hlásí, že systém není aktualizovaný, ale nestáhnou je, ani neukáží jaké aktualizace chybí.
Ale nabídnou možnost vyhledat aktualizace najít a nainstalovat z Windows update. Ale musí uživatel jít do aktualizací a zmáčknout to tlačítko.

Blbý je, že "neposlušné" ntb se rychle mění, každý měsíc se někdo ze stavby vrací a zase jiný tam jede třeba na 3 měsíce. A u nás v budově je NTB v AD nutností ať už kvůli group policy, mapování tiskáren, možnost připojení na interní wifi síť, přístup na sdílené složky kde je vše podmíněno počítačem v AD atd.

Milanr1 píše:Můžeš vynutit organizačně (např. příkazem ředitele) připojení těchto NB min. jednou měsíčně do LAN na celý den?
NE:
tyto NB neřeš;
ve správě pro vedení zařaď tyto "nepošlušné" NB mimo profi LAN jako nespravované.

Problém viz výše :-(

Milanr1 píše:Btw:
Nechtěl bych v takové organizaci řešit bezpečnost LAN! :-)


:hm :hm :hm :hm :hm :-S :'(
Chipoun
Mírně pokročilý

Odeslat příspěvekod Chipoun 1. 2. 2018 18:47

Díky pánové za odpovědi. Je to jednodušší než jsem si myslel. Prostě jednoduché řešení neexistuje :-)

Je u nás dost krušná situace a během pár měsíců se uvidí v jaké formě firma pojede dál a zda vůbec.
A pokud pojede dál, tak bude dobrá příležitost na změnu i v tomto ohledu. Určitě lepší než teď, když jsem to převzal v romto stavu...

Mějte se a díky
Chipoun
Mírně pokročilý


Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků