ganymed
Goto Top

Nicht aktuellen Rechnern den Zugang verweigern

Hallo,

kennt jemand eine Möglichkeit, wie man Rechnern, die nicht aktuell sind (eine gewisse Anzahl an Updates stehen aus) den Zugang zu bestimmten Diensten verweigert.
Eventuell auch den kompletten Netzwerkzugang sperren.
Am besten so, dass der Benutzer eine Meldung bekommt und sich dann, weil er nicht weiter kommt, endlich mal mit seiner Kiste beim Admin meldet.
Beispielsweise Notebooks die schon ewig nicht mehr am Firmennetz waren oder es nur selten sind und einen Fehler haben. Weshalb sie sich nicht mehr ordentlich beim WSUS melden.

gruß ganymed

Content-ID: 321048

Url: https://administrator.de/forum/nicht-aktuellen-rechnern-den-zugang-verweigern-321048.html

Ausgedruckt am: 22.12.2024 um 05:12 Uhr

Pjordorf
Lösung Pjordorf 15.11.2016 um 14:51:14 Uhr
Goto Top
Hallo,

Zitat von @ganymed:
kennt jemand eine Möglichkeit, wie man Rechnern, die nicht aktuell sind (eine gewisse Anzahl an Updates stehen aus) den Zugang zu bestimmten Diensten verweigert. Eventuell auch den kompletten Netzwerkzugang sperren.
https://technet.microsoft.com/de-de/library/cc732912(v=ws.11).aspx

OS nur geraten.

Gruß,
Peter
sabines
sabines 15.11.2016 um 14:51:48 Uhr
Goto Top
Moin,

von wie vielen PC sprichst Du?
Oder anders rum: Im WSUS kannst Du doch genau die PC identifizieren, die Probleme haben oder sich ewig nicht angemeldet haben.
Diese Leute musst Du dann ggfs. aktiv angehen.

Gruss
ganymed
ganymed 15.11.2016 um 15:08:28 Uhr
Goto Top
Hallo Pjordorf,

gut geraten. Das sieht nach erstem überfliegen auch gut aus. Weißt du evtl. auch genauer, ob da Richtlinien wie 30 Tage nicht gemeldet oder Anzahl x Updates offen eingestellt werden können?
ganymed
ganymed 15.11.2016 um 15:11:30 Uhr
Goto Top
Hallo sabines,

es sind meist nicht viele und immer die selben Kandidaten.
Klar sehe ich die im WSUS und ich gehe sie auch aktiv an.
Aber einige ignorieren meine Aufforderung immer wieder und nun möchte ich sie ein wenig erziehen, dass sie von selbst tätig werden.
wuurian
wuurian 15.11.2016 um 15:22:54 Uhr
Goto Top
Hey,

wie sind den deine GPO´s für den WSUS derzeit eingerichtet?
ganymed
ganymed 15.11.2016 aktualisiert um 15:59:25 Uhr
Goto Top
Hallo wuurian,

worauf zielt deine Frage ab? Die GPOs auf den Rechnern greifen, die Rechner verbinden sich auch mit dem WSUS.
Klar kommt es hin und wieder mal zu Fehlern aber die sind behebbar. Nur muss ich der Rechner auch habhaft werden und das ist leider nicht immer der Fall. Darum meine Frage nach der Möglichkeit die Nutzer zu drängen, die Rechner regelmäßig ans Netz zu hängen und sich die Updates auch zu holen.
wuurian
wuurian 15.11.2016 um 16:06:28 Uhr
Goto Top
Hey ganymed,

wollte dadrauf hinaus, ob du deinen Benutzern die Auswahl gibst, die Updates zu installieren bzw. nicht zu installieren.

Wenn aber die Rechner einfach nicht benutzt werden...davon kann ich dir auch ein Lied singen..

Ich schau dann persönlich vorbei, start die Kiste, lass die Updates laden & installieren.


Habe sonst leider auch keine Idee.

Bei uns ist es halt recht überschaubar, weiß nicht wie es bei dir ist.

Gruß

wuurian
ganymed
ganymed 15.11.2016 um 16:22:38 Uhr
Goto Top
Wenn die Rechner sich die Updates geholt haben kommen die Benutzer beim herunterfahren nicht wirklich drum herum die auch zu machen.
Das funktioniert recht gut. Klar hab ich auch so an die 5-10 Kisten die mal länger abgeschaltet sind, aber auch die habe ich recht gut im Griff.
Problematisch sind hauptsächlich die Notebooks die die Leute auch zu Hause nutzen und die auch nicht alle per Tunnel angebunden sind.
Es geht auch nicht allein um Windows Updates auch die Softwareverteilung für andere Software die ich verwende muss ja manchmal Zugriff haben.
Und der Virenscanner holt sich seine Signaturen zwar auch direkt aus dem Netz, wenn er keine Verbindung bekommt. Dennoch sollte der Rechner sich auch da immer mal wieder melden, sonst sieht man nicht wenn's Probleme gibt. Wenn ich das mit der Vorgeschlagenen Lösung "Netzwerkrichtlinienserver" in den Griff bekomme wäre das super.
Holle1991
Holle1991 15.11.2016 aktualisiert um 18:31:09 Uhr
Goto Top
Ich beziehe mich jetzt auf mein gefährliches Halbwissen, welches ich für die MCSA Server2012 Prüfung gelernt habe. Meine Aussagen sollen nur als Denkansatz fungieren.

Ich meine es gibt über NAP die Möglichkeit, bestimmte Regeln zu definieren. Werden diese nicht erfüllt, erhält User X zb. keine IP-Adresse. Somit ist der User nicht mehr in der Lage, im Netz zu "hantieren".

Des Weiteren kenne ich solche "Einschränkungen" bei GPO Filtern.

Ich stelle mir das bspw. so vor, dass wenn die Windows Version nicht < Version XYZ2386 ist, dass der User nicht ins Netz kommt. Diesen müsste man natürlich immer wieder anpassen, da nach einer gewissen Zeit die Versionen wieder ansteigen (bei der Masse an Updates).

Vielleicht hilft es dir ja weiter.


OffTopic:
Finde deinen Ansatz aber gut! Wir werden dazu gezwungen, Updates zu installieren und/oder Software zu updaten. Ich schiebe das auch immer auf, da diese Meldungen immer dann kommen, wenn man gerade keine Zeit dazu hat. Kann jeden Admin aber verstehen, der sich aufgrund fehlender Bugfixes mit Problemen rumschlagen muss, die längst erledigt wären, wenn das OS aktuell wäre.
Pjordorf
Pjordorf 15.11.2016 um 23:26:09 Uhr
Goto Top
Hallo,

Zitat von @ganymed:
ob da Richtlinien wie 30 Tage nicht gemeldet oder Anzahl x Updates offen eingestellt werden können?
Schau selbst. NPA ist ja oben im Link zum NPS schon genannt worden, sowie hier im Forum. https://technet.microsoft.com/de-de/library/cc754378(v=ws.11).aspx
http://www.tecchannel.de/a/praxis-netzwerkzugriffsschutz-nap-in-windows ...

Gruß,
Peter