1 Reply Latest reply on Nov 24, 2014 4:03 AM by Frank.Scholer

    APM: Patches Produktiv/Test zuweisen

    maerty Apprentice
      Ich würde gerne ein Konzept realisieren bei dem ich manuell die Patches aktiviere. Zu erst auf test, dann auf produktiv.
      Wir haben zwei, bis auf das Policy Target, identische Patch Management Rules. Auf beide Ziele werden deaktivierte Patchpolicys zugewiesen.
      Die produktive Regel weist alle Policys deaktiviert auf die OU zu, unter der alle Computerobjekte liegen. Die Test-Regel weist die selben Policys ebenfalls deaktiviert auf eine statische Test-Gruppe zu. In der Gruppe befinden sich ausgewählte Rechner, welche sich in der OU befinden, auf die die produktiven Policys zugewiesen sind.
      Wenn ich die Policys auf der Test-Gruppe aktiviere, bleiben sie am Rechnerobjekt deaktiviert. Anscheinend wirkt die Policy auf der OU über die der Gruppe.
      Lässt sich meine Idee auf der Basis einer Testgruppe realisieren oder muss ich die Test-Rechnerobjekte aus der OU in eine Test-OU verschieben und hier die Zuweisungen vornehmen?
        • 1. Re: APM: Patches Produktiv/Test zuweisen
          Frank.Scholer Master
          Hallo,

          Lässt sich meine Idee auf der Basis einer Testgruppe realisieren oder muss ich die Test-Rechnerobjekte aus der OU in eine Test-OU verschieben und hier die Zuweisungen vornehmen?


          Ich denke, es besteht im Großen und Ganzen recht hohe Einigkeit darüber, dass es "best practise" ist, für das Patch Management mit einer Schema-Erweiterung und dynamischen Gruppen zu arbeiten.

          Das heißt, du legst dir ne Schema-Erweiterung für Computer-Objekte an, in der Regel als Drop-Down-Liste, mit der festgelegt wird, welche "Rolle" ein Computer im Bereich des Patch Managements einnehmen soll (Test-System, Pilot-System, Produktions-System) und definierst dir dann im Root (unter "Managed Users & Computers") entsprechende dynamische Gruppen, die auf den Wert dieser Eigenschaft filtern... diese Gruppen nimmst du dann als Ziel deiner Patch-Policies.

          Da dynamische Gruppen hierarchisch angelegt werden können, kannst du auch eine "Root-Gruppe" z.B. "Patch- Management" (mit Kriterium "Betriebsart = Aktiv" oder Ähnliches) definieren und darunter deine verschiedenen Rollen-Gruppen - macht das Ganze etwas übersichtlicher.

          Der "Trick" dabei ist, dass die verschiedenen Rollen sich gegenseitig ausschließen (ein Rechner ist also per Definition in genau 1 Rollen-Gruppe) und du daher keine Probleme mit sich widersprechenden Zuweisungen und Vererbungen hast...

          HTH, Gruß Frank