мы администрируем набор серверов, и у нас есть много людей для этого. В последние месяцы некоторые администраторы домена случайно установили обновления на наши машины.
Теперь мы хотим отключить возможность администраторов устанавливать эти обновления на наши серверы и разрешить их для определенного набора пользователей в группе. Кто-нибудь знает, как это сделать? Я просмотрел групповую политику и настройки безопасности, но не нашел для этого возможности.
Заранее спасибо за все полезные ответы :)
Если вы администратор, то ящик принадлежит вам. Невозможно запретить администратору устанавливать обновления. Это больше похоже на проблему процесса, чем на техническую проблему. Еще одно решение - удалить администраторов домена как настоящих администраторов и сохранить их личность в безопасности. Сохраняя эти данные в безопасности, вы можете лучше контролировать операции. Затем вы можете использовать JEA для повседневных административных задач.
Принудительно выполните обновление через WSUS и ничего больше и защитите на сервере, на котором размещается WSUS, локальную группу администраторов и группу администраторов WSUS.
Для WSUS настроены две группы безопасности: администраторы WSUS и репортеры WSUS. Администраторы WSUS могут выполнять любую задачу WSUS, в то время как репортеры WSUS имеют доступ только для чтения (просмотр настроек сервера, получение отчетов и т. Д.). Убедитесь, что единственные люди в группе администраторов WSUS - это те, кому нужно выполнять административные задачи.
Если у пользователей нет соответствующих разрешений для консоли WSUS, они получают сообщение «Доступ запрещен» при попытке доступа к консоли WSUS. Вы должны быть членом группы администраторов или группы администраторов WSUS на сервере, на котором установлен WSUS, чтобы использовать консоль WSUS.
Имейте в виду, что если WSUS установлен на контроллере домена, этот совет не работает.
Если WSUS установлен на контроллере домена, только член группы администраторов домена может использовать консоль WSUS.