srkonus 10 Geschrieben 28. September 2021 Melden Teilen Geschrieben 28. September 2021 Hallo zusammen, ein Kollege kam mit einer interessanten Grundsatzfrage auf mich zu: Es existiert für Clients eine GPO die die Windows Updates steuert. Installation und Zwangsneustart nach x Tagen - funktioniert soweit wie es soll. Die Frage ist nun, was mit einem Rechner passiert, der z.B. 60 Tage aus war und dessen Computerkonto im AD deaktiviert wurde. Eine Useranmeldung ist ja nicht mehr möglich, aber würde der Rechner Windows Updates installieren und neustarten? Bis jetzt habe ich dazu im Netz noch nichts gefunden. VG srkonus Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 28. September 2021 Melden Teilen Geschrieben 28. September 2021 Die Grundsatzfrage wäre ja, warum wird ein Computer nach 60 Tagen im AD deaktiviert? ;) Warum sollte eine Useranmeldung nicht mehr möglich sein? Per cached credentials geht das. Darf halt bei der Anmeldung nicht per Netzwerk verbunden sein. Die Updates könnten theoretisch also auch noch runtergeladen werden und werden dann nach den Vorgaben installiert. Wo seht ihr das Problem? Zitieren Link zu diesem Kommentar
srkonus 10 Geschrieben 28. September 2021 Autor Melden Teilen Geschrieben 28. September 2021 vor 1 Minute schrieb NorbertFe: Die Grundsatzfrage wäre ja, warum wird ein Computer nach 60 Tagen im AD deaktiviert? ;) Warum sollte eine Useranmeldung nicht mehr möglich sein? Per cached credentials geht das. Darf halt bei der Anmeldung nicht per Netzwerk verbunden sein. Die Updates könnten theoretisch also auch noch runtergeladen werden und werden dann nach den Vorgaben installiert. Wo seht ihr das Problem? Der Computer wäre deaktiviert, weil jemand dies manuell durchgeführt hat Die Idee ist, das Rechner nach z.B. 60-90 Tagen im AD deaktiviert werden. Nur, werden dann, wenn der Rechner doch wieder eingeschaltet wird, die fehlenden Windows Updates installiert? Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 28. September 2021 Melden Teilen Geschrieben 28. September 2021 vor 5 Minuten schrieb srkonus: Der Computer wäre deaktiviert, weil jemand dies manuell durchgeführt hat Und warum? Langeweile? Falsches Verständnis? Man deaktiviert doch keine Accounts, wenn man nicht weiß, ob die noch benötigt werden. Also ja kann man, aber der Sinn erschließt sich mir nur bedingt. vor 5 Minuten schrieb srkonus: Die Idee ist, das Rechner nach z.B. 60-90 Tagen im AD deaktiviert werden. Nur, werden dann, wenn der Rechner doch wieder eingeschaltet wird, die fehlenden Windows Updates installiert? Hab ich doch oben geschrieben. Und was hindert euch, die dann einfach im AD wieder zu aktivieren? Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 28. September 2021 Melden Teilen Geschrieben 28. September 2021 vor 58 Minuten schrieb NorbertFe: Wo seht ihr das Problem? In der Frage, ob die Policy noch angewandt wird, wenn beim ersten Kontakt zum DC dieser sagt "ich mag dich nicht, Computer, geh weg". Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 28. September 2021 Melden Teilen Geschrieben 28. September 2021 Wie lange braucht man, um das zu verifizieren? ich würde sagen 10 Minuten? ;) 1 Zitieren Link zu diesem Kommentar
MurdocX 953 Geschrieben 28. September 2021 Melden Teilen Geschrieben 28. September 2021 vor 1 Stunde schrieb srkonus: Die Idee ist, das Rechner nach z.B. 60-90 Tagen im AD deaktiviert werden. Soll die Idee die Sicherheit erhöhen oder kommt sie aus einer unbekannten Anforderung heraus? Zitieren Link zu diesem Kommentar
srkonus 10 Geschrieben 28. September 2021 Autor Melden Teilen Geschrieben 28. September 2021 vor 4 Minuten schrieb MurdocX: Soll die Idee die Sicherheit erhöhen oder kommt sie aus einer unbekannten Anforderung heraus? Theoretisch die Sicherheit erhöhen Zitieren Link zu diesem Kommentar
MurdocX 953 Geschrieben 28. September 2021 Melden Teilen Geschrieben 28. September 2021 (bearbeitet) vor 6 Minuten schrieb srkonus: Theoretisch die Sicherheit erhöhen Der Benutzer "Computer$" hat default so gut wie keine Berechtigungen und ein langes Passwort das er regelmäßig ändert. Das im Gegensatz zu einem Benutzer dessen Passwort i.d.R. kurz, selten geändert und viele Berechtigungen inne hat. Theoretisch sollte der Fokus geändert werden. bearbeitet 28. September 2021 von MurdocX 1 Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 28. September 2021 Melden Teilen Geschrieben 28. September 2021 vor 13 Stunden schrieb srkonus: s existiert für Clients eine GPO die die Windows Updates steuert. Installation und Zwangsneustart nach x Tagen - funktioniert soweit wie es soll. Die Frage ist nun, was mit einem Rechner passiert, der z.B. 60 Tage aus war und dessen Computerkonto im AD deaktiviert wurde. Eine Useranmeldung ist ja nicht mehr möglich, aber würde der Rechner Windows Updates installieren und neustarten? Bis jetzt habe ich dazu im Netz noch nichts gefunden. Der Rechner würde genau die GPO-Settings behalten, die er beim letzten erfolgreichen GPUpdate bekommen hat. Auch wenn das 60 Tage her ist... Und wenn da drinsteht, von welchem WSUS er wann wie Updates installieren soll, würde er das unverändert tun. So gesehen: "Ja". Nur (steht ja oben schon mehrfach) warum? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.