É possível não armazenar em cache as atualizações do Windows no servidor WSUS (porque as atualizações ocupam muito espaço em disco) e fazer com que os clientes as recuperem de servidores de atualização baseados na Internet (as atualizações serão armazenadas em cache em clientes usando a Otimização de Entrega) enquanto ao mesmo tempo especificando quais atualizações os clientes podem ou não instalar ao aprovar/recusar atualizações no servidor WSUS? Em caso afirmativo, quais configurações de política de grupo devem ser definidas para que isso aconteça?
Como você provavelmente sabe, agora não é possível escolher atualizações específicas para aprovar ou recusar no WSUS para sistemas operacionais Windows mais antigos. Para servidores, de modo geral, agora existem apenas dois tipos: um roll-up para as atualizações de segurança do mês e um roll-up abrangente que inclui todas as atualizações de segurança e "qualidade".
Para servidores, estou interessado apenas em avaliar e aprovar atualizações de segurança e recusarei todas as atualizações de "qualidade". No entanto, atualizações de qualidade e segurança parecem ser agrupadas na mesma classe e categorias de classificação MSRC. A única maneira de distinguir entre os dois parece ser o próprio título da atualização (ou seja, se o título da atualização inclui ou não "qualidade").
Como os nomes das atualizações de qualidade e segurança são muito semelhantes e não há uma maneira fácil de separá-los completamente na exibição do WSUS, temo que eventualmente eu ou outra pessoa seja descuidado e aprove um atualização de qualidade por engano. A melhor maneira de aliviar o problema é simplesmente recusar automaticamente todas as atualizações de qualidade.
Alguém sabe como fazer isto? Uma solução alternativa poderia ser encontrar uma exibição no WSUS que facilite a distinção entre atualizações de qualidade e segurança, ou não ter atualizações de qualidade do servidor exibidas no WSUS em primeiro lugar.
O servidor WSUS é Windows 2008 R2 e a versão WSUS é 3.2.7600.226.
Recentemente, um usuário desconectou o PC da empresa da rede e usou o tethering USB com seu telefone Android para ignorar totalmente a rede da empresa e acessar a Internet. Acho que não preciso explicar por que isso é ruim. Qual seria a melhor maneira, de custo zero (ou seja, código aberto, usando scripts e política de grupo, etc.) e do ponto de vista técnico (ou seja, o RH já foi notificado, não acho que isso seja um sintoma de algum tipo de um problema de cultura corporativa subjacente mais profundo, etc.), para detectar e/ou impedir que algo assim aconteça novamente? Seria bom ter uma solução para todo o sistema (por exemplo, usando a política de grupo), mas se isso não for possível, fazer algo específico para o PC dessa pessoa também pode ser uma resposta.
Alguns detalhes: o PC é o Windows 7 associado a um domínio do Active Directory, o usuário tem privilégios de usuário comum (não administrador), não há recursos sem fio no PC, desabilitar as portas USB não é uma opção
NOTA: Obrigado pelos ótimos comentários. Eu adicionei alguns detalhes adicionais.
Acho que há muitos motivos para não permitir o tethering, mas, para meu ambiente específico, posso pensar no seguinte: (1) Atualizações de antivírus. Temos um servidor antivírus local que fornece atualizações para computadores conectados à rede. Se você não estiver conectado à rede, não poderá receber as atualizações. (2) Atualizações de software. Temos um servidor WSUS e revisamos cada atualização para aprovar/proibir. Também fornecemos atualizações para outros programas de software comumente usados, como Adobe Reader e Flash, por meio da política de grupo. Os computadores não podem receber atualizações se não estiverem conectados à rede local (a atualização de servidores de atualização externos não é permitida). (3) Filtragem da Internet. Filtramos sites maliciosos e, uh, impertinentes (?).
Mais informações básicas: o RH já foi notificado. A pessoa em questão é uma pessoa de alto nível, então é um pouco complicado. "Dar um exemplo" desse funcionário, embora tentador, não seria uma boa ideia. Nossa filtragem não é severa, acho que a pessoa pode ter procurado sites maliciosos, embora não haja evidência direta (o cache foi limpo). Ele diz que estava apenas carregando o telefone, mas o PC estava desconectado da rede local. Não estou querendo colocar essa pessoa em apuros, apenas possivelmente evitar que algo semelhante aconteça novamente.
É possível desabilitar o HTTP Strict Transport Security no IE 11?
Exemplo de por que alguém gostaria de fazer isso: Um determinado grupo de usuários filtrou o acesso à Internet por meio de um proxy em que apenas os domínios e URLs da lista de permissões são permitidos. Você deseja permitir o acesso a http://www.xyzzy.com/hi/there , mas como o site usa HTTP Strict Transport Security, os usuários estão sendo redirecionados para https://www.xyzzy.com/hi/there . Nessa situação, você seria forçado a permitir o acesso a todos https://www.xyzzy.com .
Eu estava simplesmente me perguntando se as configurações de política de grupo definidas usando os arquivos de modelo administrativo de política de grupo do Office 2010 ( http://www.microsoft.com/en-us/download/confirmation.aspx?id=18968 ) se aplicam a versões posteriores do Office, como o Office 2013, ou se eu precisar baixar novos arquivos de modelo (ou seja, para o Office 2013) e reconfigurar as configurações antigas de 2010 novamente com os novos modelos. Se for esse o caso, existe alguma maneira de copiar as configurações para que eu não precise configurá-las manualmente novamente?
Por padrão, o Squid registra todas as informações de acesso, incluindo 'sucessos' e 'falhas'. Estou interessado em registrar apenas 'falhas'. Em outras palavras, quero fazer algo como registrar apenas códigos de resultado Squid DENIED ou, alternativamente, não registrar transações HTTP bem-sucedidas. Independentemente de como eu defino 'sucesso' e 'falha', preciso ser capaz de definir mais especificamente que tipo de informação de acesso o Squid gravará no arquivo de log. Alguém sabe como fazer isto?
Desejo aplicar as configurações de proxy do Windows em uma base de computador/local/OU usando a política de grupo (a versão do IE no momento é 8, mas será atualizada mais cedo ou mais tarde). Atualmente, tenho objetos de usuário e objetos de computador separados em diferentes OUs na árvore do Active Directory, e essas OUs são subdivididas por categoria (por exemplo, computadores/PhysicalLocation1, computadores/PhysicalLocation2, usuários/BusinessUnit1, usuários/BusinessUnit2, etc.).
Acho que a solução típica para o problema acima é usar o processamento de loopback da política de grupo com o filtro de segurança GPO. No entanto, o problema é que eu quero que SOMENTE quando os usuários acessarem a rede de um computador/local específico, independentemente do usuário, todos passem pelo proxy. Quando os mesmos usuários acessam a rede de um local/OU diferente, eles não passam pelo proxy.
Se eu usar o filtro de segurança GPO para definir o ponto onde o processamento de loopback da política de grupo deve ser aplicado, parece que preciso especificar objetos de usuário (ou seja, o objeto associado à pessoa que faz login no PC com as configurações de proxy) junto com objetos de computador (ou seja, o computador onde as configurações de proxy são aplicadas). O problema disso é que quando o usuário usa um PC diferente em um local onde NÃO quero que as configurações de proxy sejam aplicadas, porque o usuário está no filtro de segurança do GPO, as configurações de proxy acabam sendo aplicadas.
Existe alguma maneira fácil de identificar as configurações de proxy por computador?
Estou fazendo alguns testes com um script/programa de junção de domínio (que também faz mapeamento de perfil), o que significa que tenho repetidamente ingressado/desassociado deste servidor de teste para o domínio (e no processo de mapeamento de perfis locais para contas de domínio) .
O problema: acabei de desvincular o servidor do domínio (novamente). O servidor está em um grupo de trabalho. Não há outras contas locais além da conta do administrador local. Desejo fazer login com a conta de administrador local, mas a conta de administrador local não está sendo exibida na tela de login. Especificamente, há apenas um nome de login sendo exibido e, por algum motivo , está sob o nome de exibição da minha conta de domínio (por exemplo, "Smith John"). Como o servidor não está associado a um domínio, isso não faz sentido.
Ocorreu-me que, como estou fazendo alguns testes de mapeamento de perfil, talvez o nome de exibição da minha conta de domínio tenha sido mapeado para a conta do administrador local. No entanto, se for esse o caso, devo conseguir fazer logon com esta conta usando a senha do administrador local, mas não consigo. Só para constar, também não consigo fazer logon usando a senha da conta de domínio.
Estou pensando que, se puder especificar/digitar manualmente usando o teclado, o nome de logon do administrador (ou seja, MACHINENAME\ADMINISTRATOR), devo conseguir fazer o login. Mas vejo a opção óbvia para fazer isso.
Então eu acho que há duas perguntas aqui. 1) O que está acontecendo aqui? 2) Existe um "truque" para especificar/digitar manualmente um nome de logon quando não há uma maneira óbvia de fazer isso (por exemplo, pressione alguma combinação de teclas para forçar a exibição de um campo de texto que permite inserir o nome de logon)?
Além disso, um pensamento secundário, há uma chance de que a conta do administrador local tenha sido desativada? Isso explicaria o nome de exibição de login incorreto/estranho?
Aqui estão algumas capturas de tela para você ter uma ideia melhor do que está acontecendo:
Esta é a tela que vejo quando acesso meu console local pela primeira vez. Ele está solicitando que eu pressione Ctl+Alt+Del para entrar.
Esta é a tela que vejo depois de pressionar Ctl+Alt+Del. Há uma caixa de entrada para uma senha. Acima da caixa de entrada está o nome de exibição (não o nome netbios) da conta de domínio com a qual fiz logon depois de realizar as uniões de domínio. O servidor está atualmente em um grupo de trabalho (ou seja, não em um domínio). Como você pode ver, não há opções visíveis para fazer login com qualquer outra conta (ao contrário das capturas de tela postadas abaixo). Não há opções visíveis para especificar/digitar manualmente um nome de logon.
Desejo poder definir as configurações de política de grupo do IE 11 no meu cliente Win 7. Eu tenho o IE 11 instalado neste cliente. O cliente ingressou em um domínio misto do Windows Server 2003/2008R2. Quando abro o objeto de política do meu cliente Win 7 e navego para "Configuração do usuário"->"Configurações básicas"->"Painel de controle" e clico com o botão direito do mouse em "Configurações da Internet", vejo apenas a opção de adicionar configurações de política de grupo para IE 5, 6, 7 e 8.
Tentei baixar os modelos ADMX para IE 11 ( https://msdn.microsoft.com/en-us/library/bb530196.aspx ) e instalá-los em %systemroot%\policyDefinitions no cliente, mas nada parece mudar.
Eu li em um tópico diferente ( Preferências de Política de Grupo do Internet Explorer 9 e 10 ausentes ) que preciso do Windows 8 ou do Server 2012 para realizar o que desejo, mas isso parece estranho para mim. Não há máquinas com Windows 8 ou Server 2012 em meu domínio, e comprar/adquirir uma é uma impossibilidade no momento. Além disso, como um aparte, todos os meus servidores têm o IE 8 instalado, incluindo os controladores de domínio, e a atualização para o IE 11 não é possível agora (não sei se isso é um ponto importante ou não).
Tem que haver uma maneira de realizar o que estou tentando fazer. Alguém pode dar uma mão?