Как запретить обычным пользователям устанавливать обновления на терминальном сервере? Какие настройки для этого нужно изменить и почему это важно?

⇓ Запись видеоурока во ВКонтакте ⇓

По умолчанию, любой пользователь имеет право устанавливать обновления для операционной системы. И с одной стороны, что в этом плохого, нужно же следить за актуальными версиями операционной системы.

Однако, делать это должен исключительно системный администратор и вот почему:

1) Не все обновления одинаково полезные - каждый сталкивался с кривыми обновлениями, которые нарушали работу операционной системы, а если это сервер, то тут риски намного больше, так как от него может завесить работа компании. И нужно быть точно уверенным, что обновление прошло все проверки и является корректным.

2) У обычного пользователя нет разрешения на выключение или перезагрузку сервера, однако, после установки обновлений, система может самостоятельно инициализировать перезагрузку сервера, что не приемлемо, так как на нем могут работать пользователи.

Поэтому, нам необходимо настроить терминальный сервер таким образом, чтобы пользователи не имели возможности устанавливать обновления.

Для начала посмотрим, может ли он действительно устанавливать обновления (Удаленный рабочий стол \ 192.168.0.1 \ sysadmin \ Пуск \ Параметры \ Центр обновлений Windows \ Кнопка "Проверить наличие обновлений" активна)

Так же, пользователь может не идти специально во вкладку загрузки обновлений, сообщение о необходимости установить обновление может вылезти в качестве уведомления, и он может подтвердить их установку.

Поэтому, давайте запретим каким-либо образом обычному пользователю взаимодействовать со службой обновлений Windows.

Для этого, нам необходимо настроить локальную или групповую политику безопасности, если речь идет о каком-то конкретном сервере, то идем в настройку локальной политики безопасности (Выполнить \ gpedit.msc \ Конфигурация пользователя \ Административные шаблоны \ Компоненты Windows \ Центр обновления Widows)

Кстати, если вам интересна тема системного администрирования и вы хотите не просто разбираться в отдельных настройках, а получить полноценные знания - от основ до продвинутых техник, рекомендую обратить внимание на наш комплексный курс по системному администрированию.

В этом курсе вы научитесь не только настраивать права на терминальных серверах, но и работать с сетями, службой обновлений WSUS, безопасностью, виртуализацией и многим другим.

Так же вы можете оформить бесплатный демо-доступ и начать обучение прямо сейчас. Обязательно загляните, уверен, вам понравится!

Здесь мы переходим в раздел "Управление интерфейсом пользователя" находим параметр под названием "Запретить доступ для использования любых средств Центра обновления Windows"

Проверяем под удаленным пользователем, теперь все эти функции не активны. Однако, тут есть один минус, эти функции не активны не только у удаленного пользователя, но и вообще у любого пользователя в системе, даже у администратора (Пуск \ Параметры \ Центр обновлений Windows)

Поэтому, чтобы иметь возможность установить обновления, нужно обратно изменить данный параметр, выполнить все работы по обновлению сервера и вновь указать данную настройку.

Проведя различные эксперименты у меня, не получилось разграничить данные параметры между группой обычных пользователей и администраторов, по большей части из-за того, что данная настройка находится в ветке политик, относящихся к "Параметрам компьютера", а значит влияет на всех пользователей в системе.

Да, вроде как этот параметр есть и в ветке "Параметры пользователя" однако он не отрабатывает таким же образом. Но, через него мы можем отключить уведомления, связанные с обновлениями, включив параметр и указав "0 = не отображать уведомления" так мы тоже сможете уменьшить вероятность того, что пользователь, через уведомление, приступит к обновлению системы, а значит и к потенциальной её перезагрузке.

Вроде как эта настройка так же отключает автоматические обновления, что тоже не плохо, так как лучше под данные задачи выделять определенное время, чтобы должным образом подготовиться к возможным проблемам и перезагрузке сервера.

В общем, если у вас есть, что добавить по этому поводу, буду рад вашим комментариям, а у меня на этом все!

🎓 Курс «Комплексное обучение системному администрированию» - https://pages.it-skills.online/gruppa-obucheniya-kosa.html