srkonus 10 Posted September 28, 2021 Report Share Posted September 28, 2021 Hallo zusammen, ein Kollege kam mit einer interessanten Grundsatzfrage auf mich zu: Es existiert für Clients eine GPO die die Windows Updates steuert. Installation und Zwangsneustart nach x Tagen - funktioniert soweit wie es soll. Die Frage ist nun, was mit einem Rechner passiert, der z.B. 60 Tage aus war und dessen Computerkonto im AD deaktiviert wurde. Eine Useranmeldung ist ja nicht mehr möglich, aber würde der Rechner Windows Updates installieren und neustarten? Bis jetzt habe ich dazu im Netz noch nichts gefunden. VG srkonus Quote Link to comment
NorbertFe 1,011 Posted September 28, 2021 Report Share Posted September 28, 2021 Die Grundsatzfrage wäre ja, warum wird ein Computer nach 60 Tagen im AD deaktiviert? ;) Warum sollte eine Useranmeldung nicht mehr möglich sein? Per cached credentials geht das. Darf halt bei der Anmeldung nicht per Netzwerk verbunden sein. Die Updates könnten theoretisch also auch noch runtergeladen werden und werden dann nach den Vorgaben installiert. Wo seht ihr das Problem? Quote Link to comment
srkonus 10 Posted September 28, 2021 Author Report Share Posted September 28, 2021 vor 1 Minute schrieb NorbertFe: Die Grundsatzfrage wäre ja, warum wird ein Computer nach 60 Tagen im AD deaktiviert? ;) Warum sollte eine Useranmeldung nicht mehr möglich sein? Per cached credentials geht das. Darf halt bei der Anmeldung nicht per Netzwerk verbunden sein. Die Updates könnten theoretisch also auch noch runtergeladen werden und werden dann nach den Vorgaben installiert. Wo seht ihr das Problem? Der Computer wäre deaktiviert, weil jemand dies manuell durchgeführt hat Die Idee ist, das Rechner nach z.B. 60-90 Tagen im AD deaktiviert werden. Nur, werden dann, wenn der Rechner doch wieder eingeschaltet wird, die fehlenden Windows Updates installiert? Quote Link to comment
NorbertFe 1,011 Posted September 28, 2021 Report Share Posted September 28, 2021 vor 5 Minuten schrieb srkonus: Der Computer wäre deaktiviert, weil jemand dies manuell durchgeführt hat Und warum? Langeweile? Falsches Verständnis? Man deaktiviert doch keine Accounts, wenn man nicht weiß, ob die noch benötigt werden. Also ja kann man, aber der Sinn erschließt sich mir nur bedingt. vor 5 Minuten schrieb srkonus: Die Idee ist, das Rechner nach z.B. 60-90 Tagen im AD deaktiviert werden. Nur, werden dann, wenn der Rechner doch wieder eingeschaltet wird, die fehlenden Windows Updates installiert? Hab ich doch oben geschrieben. Und was hindert euch, die dann einfach im AD wieder zu aktivieren? Quote Link to comment
cj_berlin 784 Posted September 28, 2021 Report Share Posted September 28, 2021 vor 58 Minuten schrieb NorbertFe: Wo seht ihr das Problem? In der Frage, ob die Policy noch angewandt wird, wenn beim ersten Kontakt zum DC dieser sagt "ich mag dich nicht, Computer, geh weg". Quote Link to comment
NorbertFe 1,011 Posted September 28, 2021 Report Share Posted September 28, 2021 Wie lange braucht man, um das zu verifizieren? ich würde sagen 10 Minuten? ;) 1 Quote Link to comment
MurdocX 750 Posted September 28, 2021 Report Share Posted September 28, 2021 vor 1 Stunde schrieb srkonus: Die Idee ist, das Rechner nach z.B. 60-90 Tagen im AD deaktiviert werden. Soll die Idee die Sicherheit erhöhen oder kommt sie aus einer unbekannten Anforderung heraus? Quote Link to comment
srkonus 10 Posted September 28, 2021 Author Report Share Posted September 28, 2021 vor 4 Minuten schrieb MurdocX: Soll die Idee die Sicherheit erhöhen oder kommt sie aus einer unbekannten Anforderung heraus? Theoretisch die Sicherheit erhöhen Quote Link to comment
MurdocX 750 Posted September 28, 2021 Report Share Posted September 28, 2021 (edited) vor 6 Minuten schrieb srkonus: Theoretisch die Sicherheit erhöhen Der Benutzer "Computer$" hat default so gut wie keine Berechtigungen und ein langes Passwort das er regelmäßig ändert. Das im Gegensatz zu einem Benutzer dessen Passwort i.d.R. kurz, selten geändert und viele Berechtigungen inne hat. Theoretisch sollte der Fokus geändert werden. Edited September 28, 2021 by MurdocX 1 Quote Link to comment
daabm 806 Posted September 28, 2021 Report Share Posted September 28, 2021 vor 13 Stunden schrieb srkonus: s existiert für Clients eine GPO die die Windows Updates steuert. Installation und Zwangsneustart nach x Tagen - funktioniert soweit wie es soll. Die Frage ist nun, was mit einem Rechner passiert, der z.B. 60 Tage aus war und dessen Computerkonto im AD deaktiviert wurde. Eine Useranmeldung ist ja nicht mehr möglich, aber würde der Rechner Windows Updates installieren und neustarten? Bis jetzt habe ich dazu im Netz noch nichts gefunden. Der Rechner würde genau die GPO-Settings behalten, die er beim letzten erfolgreichen GPUpdate bekommen hat. Auch wenn das 60 Tage her ist... Und wenn da drinsteht, von welchem WSUS er wann wie Updates installieren soll, würde er das unverändert tun. So gesehen: "Ja". Nur (steht ja oben schon mehrfach) warum? Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.