Adicionando e organizando clientes no WSUS

2

Eu configurei o WSUS em uma caixa do Windows Server 2008 e o tenho trabalhando apenas com minha máquina relatando isso. Agora que estou pronto para fazer essa grande escala em toda a empresa, estou tentando descobrir qual é a melhor maneira de realmente adicionar e agrupar os computadores clientes. Está configurado para usar a Política de Grupo para adicionar clientes. Eu criei um novo objeto de política de grupo estritamente para definir as configurações do WSUS.

A minha pergunta é, você pode aplicar isso a computadores baseados no objeto User AD ou tem que ser pelo objeto Computer AD? A razão pela qual eu pergunto é que no AD temos nossos 100 usuários agrupados por departamento, no entanto todos os computadores são apenas desorganizados em Domain \ Computers. A tarefa que estou enfrentando é que não queremos todos os nossos computadores conectados ao WSUS (como os programadores, por exemplo). Então, neste caso, posso usar apenas os grupos que já fizemos, que consistem em membros do "Usuário", ou preciso criar um novo grupo para cada departamento e adicionar seus respectivos computadores ao grupo? (isto é, um grupo "Usuários financeiros" e um grupo "Finanças-Computadores").

    
por Safado 13.04.2011 / 17:50

2 respostas

3

Você precisará organizar seus computadores. Não há como obter a identidade de um usuário para ditar a política do WSUS; o que acontece quando alguém faz login? Ou quando ninguém está logado?

O processamento de loopback permite que os GPOs vinculados por computador sejam aplicados ao usuário, mas não funciona ao contrário.

Configure uma política para todo o domínio para bloquear todos os computadores no servidor do WSUS. Use a segmentação do lado do cliente e faça com que a política global segmente os computadores em um grupo que não receberá patches aprovados regularmente.

Em seguida, tenha políticas mais específicas do lado do cliente-alvo em grupos para os quais você está regularmente aprovando patches. Os programadores podem não querer que você atualize o software, mas isso não significa que você não deva colocá-los no inventário para ver o quanto eles estão atrasados. A abordagem "não veja o mal" é imprudente.

    
por 13.04.2011 / 18:04
2

Você deve ter seus computadores organizados em UOs no AD por essa mesma razão. Eu começaria a fazer um inventário físico e mapeá-lo dessa maneira para o AD. Em seguida, aplique o GPO (ele é baseado em computador, não baseado em usuário) nessas UOs.

    
por 13.04.2011 / 17:55