Jump to content

Grundsatzfrage: Updates per GPO und deaktivierte Computer


Recommended Posts

Hallo zusammen,

 

ein Kollege kam mit einer interessanten Grundsatzfrage auf mich zu:

 

Es existiert für Clients eine GPO die die Windows Updates steuert. Installation und Zwangsneustart nach x Tagen - funktioniert soweit wie es soll. Die Frage ist nun, was mit einem Rechner passiert, der z.B. 60 Tage aus war und dessen Computerkonto im AD deaktiviert wurde. Eine Useranmeldung ist ja nicht mehr möglich, aber würde der Rechner Windows Updates installieren und neustarten? Bis jetzt habe ich dazu im Netz noch nichts gefunden.

 

VG

srkonus

Link to post

Die Grundsatzfrage wäre ja, warum wird ein Computer nach 60 Tagen im AD deaktiviert? ;)

 

Warum sollte eine Useranmeldung nicht mehr möglich sein? Per cached credentials geht das. Darf halt bei der Anmeldung nicht per Netzwerk verbunden sein. Die Updates könnten theoretisch also auch noch runtergeladen werden und werden dann nach den Vorgaben installiert. Wo seht ihr das Problem?

Link to post
vor 1 Minute schrieb NorbertFe:

Die Grundsatzfrage wäre ja, warum wird ein Computer nach 60 Tagen im AD deaktiviert? ;)

 

Warum sollte eine Useranmeldung nicht mehr möglich sein? Per cached credentials geht das. Darf halt bei der Anmeldung nicht per Netzwerk verbunden sein. Die Updates könnten theoretisch also auch noch runtergeladen werden und werden dann nach den Vorgaben installiert. Wo seht ihr das Problem?

 

Der Computer wäre deaktiviert, weil jemand dies manuell durchgeführt hat :-)

Die Idee ist, das Rechner nach z.B. 60-90 Tagen im AD deaktiviert werden. Nur, werden dann, wenn der Rechner doch wieder eingeschaltet wird, die fehlenden Windows Updates installiert?

Link to post
vor 5 Minuten schrieb srkonus:

Der Computer wäre deaktiviert, weil jemand dies manuell durchgeführt hat :-)

 

Und warum? Langeweile? Falsches Verständnis? Man deaktiviert doch keine Accounts, wenn man nicht weiß, ob die noch benötigt werden. Also ja kann man, aber der Sinn erschließt sich mir nur bedingt.

 

vor 5 Minuten schrieb srkonus:

Die Idee ist, das Rechner nach z.B. 60-90 Tagen im AD deaktiviert werden. Nur, werden dann, wenn der Rechner doch wieder eingeschaltet wird, die fehlenden Windows Updates installiert?

Hab ich doch oben geschrieben. Und was hindert euch, die dann einfach im AD wieder zu aktivieren?

Link to post
vor 6 Minuten schrieb srkonus:

Theoretisch die Sicherheit erhöhen

Der Benutzer "Computer$" hat default so gut wie keine Berechtigungen und ein langes Passwort das er regelmäßig ändert. Das im Gegensatz zu einem Benutzer dessen Passwort i.d.R. kurz, selten geändert und viele Berechtigungen inne hat. Theoretisch sollte der Fokus geändert werden.

Edited by MurdocX
  • Like 1
Link to post
vor 13 Stunden schrieb srkonus:

s existiert für Clients eine GPO die die Windows Updates steuert. Installation und Zwangsneustart nach x Tagen - funktioniert soweit wie es soll. Die Frage ist nun, was mit einem Rechner passiert, der z.B. 60 Tage aus war und dessen Computerkonto im AD deaktiviert wurde. Eine Useranmeldung ist ja nicht mehr möglich, aber würde der Rechner Windows Updates installieren und neustarten? Bis jetzt habe ich dazu im Netz noch nichts gefunden.

Der Rechner würde genau die GPO-Settings behalten, die er beim letzten erfolgreichen GPUpdate bekommen hat. Auch wenn das 60 Tage her ist... Und wenn da drinsteht, von welchem WSUS er wann wie Updates installieren soll, würde er das unverändert tun.

 

So gesehen: "Ja". Nur (steht ja oben schon mehrfach) warum?

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...