SUS et les droits d'aministrateur ...

[olicel]

salut, <BR> <BR>J'ai deployer SUS sur mon reseau et configuré les postes avec les GPO de l'ordinateur et non de l'utilisateur. <BR> <BR>Mais j'ai remarqué que l'install des patchs et le DL ne se fait que lorsqu'un administrateur se connect au poste. C'est normal ca ? <BR>Ca m'etonnerais parce qu'alors SUS ca ne sert pas a grand chose ... <BR> <BR> <BR>Olivier

[ArchY]

effectivement ce n'est pas normal et la seule raison que je vois à ca c'est que les update (sur iis) sont protégés par des droits NTFS pour admins... <BR>Il suffit juste de protéger le rep SUSAdmin avec les droits admin pas le reste

[olicel]

scuse moi pour la reponse un peu tardive mais j'etais en vacances <IMG SRC="images/smiles/icon_biggrin.gif"> <BR> <BR>J'ai pas bien compris tu me dis de rendre le repertoire accessible en lecture je suppose pour le groupe "tout le monde" c ca ? <BR> <BR>J'ai aussi un autre soucis avec SUS ... le DL des patchs se fait de maniere transparente par contre l'installation ne se fait pas automatiquement, le petit icone de windows update apparait en bas a droite et demande si je veux installer la MAJ. il n'i a pas moyen de rendre ca auto ? je precise que j'ai bien configuré dans les GPO les bons parametres du fichier wuai.adm de SUS <BR> <BR>Olivier

[kerozene]

ne jamais donner des droits à l'utilisateur "Tous le monde" !!! <BR> <BR>Préférer, et de loin , l'utilisateur "utilisateur du domaine".... y'a quand même moins de risque !

[olicel]

ok pour utilisateurs du domaine <IMG SRC="images/smiles/icon_wink.gif"> c'est ce que j'aurais fait de toute facon <BR>Mais tu as raison de preciser ca. <BR> <BR>Par contre meme en faisant ca, ca n'a pas l'air de marcher ... <BR>Avant par defaut il m'avait mis tout les droits a "tout le monde" j'ai donc virer ca et j'ai mis tout les droits a "admins" et lecture aux "utilisateurs du domaine".

[kerozene]

ne faut t'il pas que les utilisateurs soient admins locaux de leurs poste ???

[olicel]

et bien justement si ils doivent etre admins locaux du poste c'est vraiment pas tres pratique comme truc... <BR> <BR>Je ne veux surtout pas rendre admin locaux mes utilisateurs. <BR>Quelqu'un a deployer SUS ete pourrait confirmer cette bizarrerie ... <BR> <BR>Je vais quand meme essayer en rendant un user admins locaux pour tester <BR> <BR>Olivier

[mozo]

Certaines applications requièrent des droits particuliers. <BR> <BR>Sans être administrateurs, tes utilisateurs peuvent être "utilisateurs avec pouvoirs". <BR> <BR>"Les membres du groupe Utilisateurs avec pouvoirs peuvent créer des comptes d'utilisateurs, mais ne peuvent modifier et supprimer que les comptes qu'ils ont créés. Ils peuvent créer des groupes locaux et supprimer les utilisateurs des groupes locaux qu'ils ont créés. Ils peuvent également supprimer les utilisateurs des groupes Utilisateurs avec pouvoir, Utilisateurs et Invités. <BR> <BR>Ils ne peuvent pas modifier les groupes Administrateurs et Opérateurs de sauvegarde, ni prendre possession de fichiers, sauvegarder ou restaurer des répertoires, charger ou décharger des pilotes de périphériques, ni gérer les journaux de sécurité et d'audit." <BR> <BR>Ca résoud bien des choses. <BR> <BR> <BR> <IMG SRC="images/smiles/icon_smile.gif">

[Helmut]

Bonjour, <BR>J'ai testé dans tous les sens et ca ne marche que si l'utilisateur est admin local. <BR>Dans une entreprise c'est justement ce qu'on ne veut pas <IMG SRC="images/smiles/icon_bawling.gif"> <BR>

[ArchY]

je l ai deployé la semaine dernière sur un parc de 150 postes, aucun des utilisateurs n'est admin de sa machine, et les MAJ se sont faite automatiquement. <BR> <BR>Je vais checker et faire des screenshot des droit que j'ai mit en place

[olicel]

a oui ca se serait vraiment tres sympa. <BR>Parce que moi c'est pareil... ca ne marche que l'utilisateur est admin local <IMG SRC="images/smiles/icon_frown.gif"> <BR>tu peux nous mettre aussi la config de tes GPO de windows update. <BR> <BR>Merci <BR> <BR>Olivier

[Helmut]

· Built-in security: Only users with local administrative privileges can interact with Automatic Updates. This prevents unauthorized users from tampering with the installation of critical updates. Before installing a downloaded update, Automatic Updates verifies that Microsoft has digitally signed the files <BR> <BR>Vu chez microsoft.com. <BR>Ca ne présage rien de bon tout ça <IMG SRC="images/smiles/icon_frown.gif">

[olicel]

j'ai deja lu des trucs semblable un peu partout, mais j'ai eu des echos, comme sur ce forum, de gens qui avaient installé SUS sans cette contrainte. <BR> <BR>Pour l'instant j'en suis toujours au meme point. <BR>Meme en admin, quand le DL des patchs a ete effectue j'ai toujours l'icone windows update qui me dit qu'une nouvelle mise a jour a ete trouvé... il n'y a pas moyen de rendre cette installation automatique ? <BR> <BR>Ou alors trouver les patchs microsoft sous forme de .msi ? pour les passer par GPO. <BR> <BR>Olivier

[ArchY]

<!-- BBCode Start --><IMG SRC="http://sthirion.nerim.net/ipcop/snap002.jpg" BORDER="0"><!-- BBCode End --> <BR> <BR><!-- BBCode Start --><IMG SRC="http://sthirion.nerim.net/ipcop/snap003.jpg" BORDER="0"><!-- BBCode End --> <BR> <BR><!-- BBCode Start --><IMG SRC="http://sthirion.nerim.net/ipcop/snap004.jpg" BORDER="0"><!-- BBCode End --> <BR> <BR><!-- BBCode Start --><IMG SRC="http://sthirion.nerim.net/ipcop/snap005.jpg" BORDER="0"><!-- BBCode End --> <BR> <BR><!-- BBCode Start --><IMG SRC="http://sthirion.nerim.net/ipcop/snap006.jpg" BORDER="0"><!-- BBCode End -->

[LorD_JLP]

Bonjour à tous ! <BR> <BR>J'ai lu les différents post et je me suis dit que vous pourriez peut-être me répondre (j'ai déjà effectué un post à ce sujet d'ailleurs ...) <BR> <BR>Voilà mon soucis : Je suis sur un domaine 2K et depuis avoir "bricolé" les stratégies de sécurité, les mises à jour via Live Update ne sont plus possibles : "Signature numérique non trouvé" apparait lors de l'installation, et les patchs ne sont pas appliqués ... <BR> <BR>Je vais essayer de déployer les patchs via SUS (95 pages de doc à lire avant ...) et en modifiant les stratégies via AD ... Mais sans grand espoir vu que AD a déjà été vérifié, sans pour autant sembler comporter des erreurs de configuration ... <BR> <BR>Si quelqu'un a une idée, merci d'avance (cela devient très bloquant !) <IMG SRC="images/smiles/icon_confused.gif">