10
Nicht aktuellen Rechnern den Zugang verweigern
Hallo,
kennt jemand eine Möglichkeit, wie man Rechnern, die nicht aktuell sind (eine gewisse Anzahl an Updates stehen aus) den Zugang zu bestimmten Diensten verweigert.
Eventuell auch den kompletten Netzwerkzugang sperren.
Am besten so, dass der Benutzer eine Meldung bekommt und sich dann, weil er nicht weiter kommt, endlich mal mit seiner Kiste beim Admin meldet.
Beispielsweise Notebooks die schon ewig nicht mehr am Firmennetz waren oder es nur selten sind und einen Fehler haben. Weshalb sie sich nicht mehr ordentlich beim WSUS melden.
gruß ganymed
kennt jemand eine Möglichkeit, wie man Rechnern, die nicht aktuell sind (eine gewisse Anzahl an Updates stehen aus) den Zugang zu bestimmten Diensten verweigert.
Eventuell auch den kompletten Netzwerkzugang sperren.
Am besten so, dass der Benutzer eine Meldung bekommt und sich dann, weil er nicht weiter kommt, endlich mal mit seiner Kiste beim Admin meldet.
Beispielsweise Notebooks die schon ewig nicht mehr am Firmennetz waren oder es nur selten sind und einen Fehler haben. Weshalb sie sich nicht mehr ordentlich beim WSUS melden.
gruß ganymed
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 321048
Url: https://administrator.de/contentid/321048
Printed on: April 19, 2024 at 10:04 o'clock
10 Comments
Latest comment
Hallo,
OS nur geraten.
Gruß,
Peter
Zitat von @ganymed:
kennt jemand eine Möglichkeit, wie man Rechnern, die nicht aktuell sind (eine gewisse Anzahl an Updates stehen aus) den Zugang zu bestimmten Diensten verweigert. Eventuell auch den kompletten Netzwerkzugang sperren.
https://technet.microsoft.com/de-de/library/cc732912(v=ws.11).aspxkennt jemand eine Möglichkeit, wie man Rechnern, die nicht aktuell sind (eine gewisse Anzahl an Updates stehen aus) den Zugang zu bestimmten Diensten verweigert. Eventuell auch den kompletten Netzwerkzugang sperren.
OS nur geraten.
Gruß,
Peter
Moin,
von wie vielen PC sprichst Du?
Oder anders rum: Im WSUS kannst Du doch genau die PC identifizieren, die Probleme haben oder sich ewig nicht angemeldet haben.
Diese Leute musst Du dann ggfs. aktiv angehen.
Gruss
von wie vielen PC sprichst Du?
Oder anders rum: Im WSUS kannst Du doch genau die PC identifizieren, die Probleme haben oder sich ewig nicht angemeldet haben.
Diese Leute musst Du dann ggfs. aktiv angehen.
Gruss
Hallo Pjordorf,
gut geraten. Das sieht nach erstem überfliegen auch gut aus. Weißt du evtl. auch genauer, ob da Richtlinien wie 30 Tage nicht gemeldet oder Anzahl x Updates offen eingestellt werden können?
gut geraten. Das sieht nach erstem überfliegen auch gut aus. Weißt du evtl. auch genauer, ob da Richtlinien wie 30 Tage nicht gemeldet oder Anzahl x Updates offen eingestellt werden können?
Hallo sabines,
es sind meist nicht viele und immer die selben Kandidaten.
Klar sehe ich die im WSUS und ich gehe sie auch aktiv an.
Aber einige ignorieren meine Aufforderung immer wieder und nun möchte ich sie ein wenig erziehen, dass sie von selbst tätig werden.
es sind meist nicht viele und immer die selben Kandidaten.
Klar sehe ich die im WSUS und ich gehe sie auch aktiv an.
Aber einige ignorieren meine Aufforderung immer wieder und nun möchte ich sie ein wenig erziehen, dass sie von selbst tätig werden.
Hey,
wie sind den deine GPO´s für den WSUS derzeit eingerichtet?
wie sind den deine GPO´s für den WSUS derzeit eingerichtet?
Hallo wuurian,
worauf zielt deine Frage ab? Die GPOs auf den Rechnern greifen, die Rechner verbinden sich auch mit dem WSUS.
Klar kommt es hin und wieder mal zu Fehlern aber die sind behebbar. Nur muss ich der Rechner auch habhaft werden und das ist leider nicht immer der Fall. Darum meine Frage nach der Möglichkeit die Nutzer zu drängen, die Rechner regelmäßig ans Netz zu hängen und sich die Updates auch zu holen.
worauf zielt deine Frage ab? Die GPOs auf den Rechnern greifen, die Rechner verbinden sich auch mit dem WSUS.
Klar kommt es hin und wieder mal zu Fehlern aber die sind behebbar. Nur muss ich der Rechner auch habhaft werden und das ist leider nicht immer der Fall. Darum meine Frage nach der Möglichkeit die Nutzer zu drängen, die Rechner regelmäßig ans Netz zu hängen und sich die Updates auch zu holen.
Hey ganymed,
wollte dadrauf hinaus, ob du deinen Benutzern die Auswahl gibst, die Updates zu installieren bzw. nicht zu installieren.
Wenn aber die Rechner einfach nicht benutzt werden...davon kann ich dir auch ein Lied singen..
Ich schau dann persönlich vorbei, start die Kiste, lass die Updates laden & installieren.
Habe sonst leider auch keine Idee.
Bei uns ist es halt recht überschaubar, weiß nicht wie es bei dir ist.
Gruß
wuurian
wollte dadrauf hinaus, ob du deinen Benutzern die Auswahl gibst, die Updates zu installieren bzw. nicht zu installieren.
Wenn aber die Rechner einfach nicht benutzt werden...davon kann ich dir auch ein Lied singen..
Ich schau dann persönlich vorbei, start die Kiste, lass die Updates laden & installieren.
Habe sonst leider auch keine Idee.
Bei uns ist es halt recht überschaubar, weiß nicht wie es bei dir ist.
Gruß
wuurian
1
Wenn die Rechner sich die Updates geholt haben kommen die Benutzer beim herunterfahren nicht wirklich drum herum die auch zu machen.
Das funktioniert recht gut. Klar hab ich auch so an die 5-10 Kisten die mal länger abgeschaltet sind, aber auch die habe ich recht gut im Griff.
Problematisch sind hauptsächlich die Notebooks die die Leute auch zu Hause nutzen und die auch nicht alle per Tunnel angebunden sind.
Es geht auch nicht allein um Windows Updates auch die Softwareverteilung für andere Software die ich verwende muss ja manchmal Zugriff haben.
Und der Virenscanner holt sich seine Signaturen zwar auch direkt aus dem Netz, wenn er keine Verbindung bekommt. Dennoch sollte der Rechner sich auch da immer mal wieder melden, sonst sieht man nicht wenn's Probleme gibt. Wenn ich das mit der Vorgeschlagenen Lösung "Netzwerkrichtlinienserver" in den Griff bekomme wäre das super.
Das funktioniert recht gut. Klar hab ich auch so an die 5-10 Kisten die mal länger abgeschaltet sind, aber auch die habe ich recht gut im Griff.
Problematisch sind hauptsächlich die Notebooks die die Leute auch zu Hause nutzen und die auch nicht alle per Tunnel angebunden sind.
Es geht auch nicht allein um Windows Updates auch die Softwareverteilung für andere Software die ich verwende muss ja manchmal Zugriff haben.
Und der Virenscanner holt sich seine Signaturen zwar auch direkt aus dem Netz, wenn er keine Verbindung bekommt. Dennoch sollte der Rechner sich auch da immer mal wieder melden, sonst sieht man nicht wenn's Probleme gibt. Wenn ich das mit der Vorgeschlagenen Lösung "Netzwerkrichtlinienserver" in den Griff bekomme wäre das super.
Ich beziehe mich jetzt auf mein gefährliches Halbwissen, welches ich für die MCSA Server2012 Prüfung gelernt habe. Meine Aussagen sollen nur als Denkansatz fungieren.
Ich meine es gibt über NAP die Möglichkeit, bestimmte Regeln zu definieren. Werden diese nicht erfüllt, erhält User X zb. keine IP-Adresse. Somit ist der User nicht mehr in der Lage, im Netz zu "hantieren".
Des Weiteren kenne ich solche "Einschränkungen" bei GPO Filtern.
Ich stelle mir das bspw. so vor, dass wenn die Windows Version nicht < Version XYZ2386 ist, dass der User nicht ins Netz kommt. Diesen müsste man natürlich immer wieder anpassen, da nach einer gewissen Zeit die Versionen wieder ansteigen (bei der Masse an Updates).
Vielleicht hilft es dir ja weiter.
OffTopic:
Finde deinen Ansatz aber gut! Wir werden dazu gezwungen, Updates zu installieren und/oder Software zu updaten. Ich schiebe das auch immer auf, da diese Meldungen immer dann kommen, wenn man gerade keine Zeit dazu hat. Kann jeden Admin aber verstehen, der sich aufgrund fehlender Bugfixes mit Problemen rumschlagen muss, die längst erledigt wären, wenn das OS aktuell wäre.
Ich meine es gibt über NAP die Möglichkeit, bestimmte Regeln zu definieren. Werden diese nicht erfüllt, erhält User X zb. keine IP-Adresse. Somit ist der User nicht mehr in der Lage, im Netz zu "hantieren".
Des Weiteren kenne ich solche "Einschränkungen" bei GPO Filtern.
Ich stelle mir das bspw. so vor, dass wenn die Windows Version nicht < Version XYZ2386 ist, dass der User nicht ins Netz kommt. Diesen müsste man natürlich immer wieder anpassen, da nach einer gewissen Zeit die Versionen wieder ansteigen (bei der Masse an Updates).
Vielleicht hilft es dir ja weiter.
OffTopic:
Finde deinen Ansatz aber gut! Wir werden dazu gezwungen, Updates zu installieren und/oder Software zu updaten. Ich schiebe das auch immer auf, da diese Meldungen immer dann kommen, wenn man gerade keine Zeit dazu hat. Kann jeden Admin aber verstehen, der sich aufgrund fehlender Bugfixes mit Problemen rumschlagen muss, die längst erledigt wären, wenn das OS aktuell wäre.
Hallo,
http://www.tecchannel.de/a/praxis-netzwerkzugriffsschutz-nap-in-windows ...
Gruß,
Peter
Zitat von @ganymed:
ob da Richtlinien wie 30 Tage nicht gemeldet oder Anzahl x Updates offen eingestellt werden können?
Schau selbst. NPA ist ja oben im Link zum NPS schon genannt worden, sowie hier im Forum. https://technet.microsoft.com/de-de/library/cc754378(v=ws.11).aspxob da Richtlinien wie 30 Tage nicht gemeldet oder Anzahl x Updates offen eingestellt werden können?
http://www.tecchannel.de/a/praxis-netzwerkzugriffsschutz-nap-in-windows ...
Gruß,
Peter
