我们正在管理一组服务器,有很多人负责这项工作。在过去的几个月里,我们的一些域管理员意外地在我们的机器上安装了更新。
现在我们想禁用管理员在我们的服务器上安装这些更新的能力,并允许组中的特定用户安装这些更新。有人知道实现此目的的方法吗?我搜索了组策略和安全设置,但没有找到实现此目的的方法。
提前感谢所有有用的答案:)
答案1
强制通过 WSUS 进行更新,不进行其他任何操作,并在托管 WSUS 的服务器上保护本地管理员组和 WSUS 管理员组。
为 WSUS 设置了两个安全组:WSUS 管理员和 WSUS 记者。WSUS 管理员可以执行任何 WSUS 任务,而 WSUS 记者具有只读访问权限(查看服务器设置、获取报告等)。确保只有 WSUS 管理员组中的人员才需要执行管理任务。
如果用户没有适当的 WSUS 控制台权限,则在尝试访问 WSUS 控制台时会收到“拒绝访问”消息。您必须是安装了 WSUS 的服务器上的管理员组或 WSUS 管理员组的成员才能使用 WSUS 控制台。
请注意,如果 WSUS 安装在域控制器上,该提示将不起作用。
如果 WSUS 安装在域控制器上,则只有域管理员组的成员可以使用 WSUS 控制台。
答案2
如果您是管理员,您就拥有该框。无法阻止管理员安装更新。这听起来更像是流程问题,而不是技术问题。另一种解决方案是删除域管理员作为实际管理员,并确保这些身份安全。通过确保这些身份安全,您可以更好地控制操作。然后,您可以使用 JEA 执行日常管理任务。