Windows Server 2012 (R2): Crear un Dominio – Instalación del Primer Controlador de Dominio


Cuando se hacen notas para un blog como este, una pregunta que uno se hace es “¿a qué nivel de conocimientos apunto?” Hasta ahora en general me he inclinado por un nivel medio de conocimientos previos, ya que hice algunas notas apuntando al que tenga conocimientos avanzados y no fueron muy populares

Así que en esta ocasión, comenzaré con algo básico, como es la creación de un Dominio Active Directory desde el comienzo

Haré dos notas correlativas, en esta primera crearemos el Dominio, y en la segunda agregaremos un Controlador de Dominio adicional al Dominio existente. En esta última veremos la configuración inicial necesaria, y verificaremos que fue agregado exitosamente, y nombraremos las condiciones para que provea tolerancia a fallas sobre el servicio

Sigue leyendo

3a. Reunión: Conceptos Fundamentales para Conocer Active Directory


Como he recibido muchos pedidos para asistir a las anteriores reuniones sobre los conceptos fundamentales de Active Directory, e inclusive han quedado algunos pedidos que no he podido aceptar, he decidido volver a efectuarla

Será sobre los mismos temas que las veces anteriores:

  • Diferencias entre Dominios Active Directory y Grupos de Trabajo
  • Funciones de los Controladores de Dominio
  • Consideraciones previas a la creación de Dominios
  • Consideraciones sobre ambientes de múltiples Dominios
  • Estructura por omisión de un Dominio Active Directory
  • Concepto de relaciones de confianza
  • Qué es la partición Esquema (“Schema”)
  • Qué es la partición Configuración (“Configuration”)
  • Información y funciones del Catálogo Global (“Global Catalog”)
  • Definición de Árbol de Dominios (“Tree”)
  • Definición de Bosque de Dominios (“Forest”)
  • Características propias del Dominio Raíz (“Root Domain”)

Tengo pensado realizarla el Jueves 27 de Noviembre próximo a las 14:00 horas (GMT-3) con una duración aproximada de 2 horas

El encuentro será, como otras veces, en forma virtual a través de Internet
Utilizaré TeamViewer QuickJoin Free, que es una aplicación que aunque requiere privilegios de administrador local, se puede usar sin instalar nada. Tengo un tutorial hecho, si alguno no la conoce, o si quiere una ayuda para comenzar a utilizarla, por favor, hágamelo saber en el pedido de asistencia

Es necesario en forma imprescindible contar con audio, tanto para poder escuchar como para poder hacer preguntas; siempre trato que sea lo más interactiva posible. También pueden pregunta con el sistema de “chat” de la aplicación

No sé cuántos se inscribirán, pero la idea es mantenerla con pocos asistentes, no más de diez, así podemos desarrollarla mejor. En caso que fueran muchos programaré otra

El que desee asistir, simplemente ponga un comentario en esta nota (no los publicaré) para así poder enviarle por correo electrónico las instrucciones para conectarse

Sólo dos pedidos: puntualidad, y no anotarse si luego no pueden asistir. Agradecido :-)

Gracias

Cambiar un Servidor o su Nombre y Actualizar los Accesos Directos


En algunas ocasiones, debemos cambiar el nombre de un servidor, o simplemente redirigir los accesos directos a un nuevo servidor, o inclusive deseamos consolidar diferente servicios provistos por diferentes servidores en uno solo

La consecuencia de cualquiera de los casos anteriores es tener que cambiar todos los accesos directos que pueden estar incluidos en muchos lugares, scripts, inclusive mapeos de carpetas compartidas en scripts

Lo primero que se puede ocurrir como solución es crear en DNS un Alias (CNAME) pero esto en sistemas operativos “viejos” era un problema y requería configuración adicional en todas las máquinas que usaran los accesos directos. Actualmente no es así, y vamos a demostrarlo

Sigue leyendo

Reunión: Conceptos Fundamentales para Conocer Active Directory


Continuando con las reuniones virtuales que comenzamos a hacer a través de este blog, he pensando en hacer una nueva, esta vez específicamente sobre Active Directory

Debido a la facilidad de uso de la interfaz gráfica y los asistentes de configuración, veo en las consultas de foros y por los términos de búsqueda con la que se llega a este blog, que aunque muchos instalan, configuran y operan Active Directory, realmente no hay una buena comprensión de los fundamentos del sistema. Por lo tanto he decidido hacer una reunión donde trataremos los conceptos fundamentales del mismo; comprendiendo “la base” lo demás es mucho más sencillo

Los temas a desarrollar incluyen:

  • Diferencias entre Dominios Active Directory y Grupos de Trabajo
  • Funciones de los Controladores de Dominio
  • Consideraciones previas a la creación de Dominios
  • Consideraciones sobre ambientes de múltiples Dominios
  • Estructura por omisión de un Dominio Active Directory
  • Concepto de relaciones de confianza
  • Qué es la partición Esquema (“Schema”)
  • Qué es la partición Configuración (“Configuration”)
  • Información y funciones del Catálogo Global (“Global Catalog”)
  • Definición de Árbol de Dominios (“Tree”)
  • Definición de Bosque de Dominios (“Forest”)
  • Características propias del Dominio Raíz (“Root Domain”)

Tengo pensado realizarla el Jueves 20 de Noviembre próximo a las 13:00 horas (GMT-3) con una duración aproximada de 2 horas

El encuentro será, como otras veces, en forma virtual a través de Internet
Utilizaré TeamViewer QuickJoin Free, que es una aplicación que aunque requiere privilegios de administrador local, se puede usar sin instalar nada. Tengo un tutorial hecho, si alguno no la conoce, o si quiere una ayuda para comenzar a usarla les pasaré el enlace

Es necesario en forma imprescindible contar con audio, tanto para poder escuchar como para poder hacer preguntas; siempre trato que sea lo más interactiva posible. También pueden pregunta con el sistema de “chat” de la aplicación

No tengo idea de cuántos se inscribirán, pero la idea es mantenerla con pocos asistentes, no más de diez, así podemos desarrollarla mejor. En caso que fueran muchos programaré otra

El que desee asistir, simplemente ponga un comentario en esta nota (no los publicaré) para así poder enviarle por correo electrónico las instrucciones para conectarse

Sólo dos pedidos: puntualidad, y no anotarse si luego no pueden asistir. Agradecido :-)

Gracias

[Actualización]
He recibido muchos pedidos de asistencia, así que para mantener una cantidad reducida de asistentes y hacerla lo más interactiva posible, he agregado además hacerla también el 19-11-2014 en el mismo horario. Por lo tanto quedaría una para el 19 y otra el 20
De acuerdo a la cantidad de solicitudes veré si agrego otra fecha

[Nueva Actualización]
Gracias a todos los que ya me han solicitado asistir, inclusive ya he completado la cantidad máxima de asistentes tanto para el día 19 como para el día 20-11-2014
Por cuestiones de mi agenda en este momento no puedo programar una fecha, pero si siguen inscribiéndose en unos días agendaré una próxima. Avisaré por este medio cuando tenga nueva fecha
¡Gracias nuevamente!

 

 

Cambiar la Configuración Regional Usando Group Policies (Directivas de Grupo)


Una consulta que he escuchado varias veces es el cambio de la configuración regional en forma masiva en máquinas cliente

En lugar de tener que hacer que cada usuario lo tenga que configurar individualmente, este procedimiento puede automatizarse a través de Group Policies (GPOs) y es muy sencillo, si uno conoce un pequeño “truco” ;)
De todas formas, como veremos, a mi entender tiene una falla

Sigue leyendo

Habilitar y Renombrar el Administrador Local Usando Group Policies (Directivas de Grupo)


Una muy buena medida de seguridad en todas las últimas versiones de Windows cliente, es que la cuenta predefinida de Administrador (“Administrator”) por omisión queda deshabilitada

Pero a veces es conveniente, por diferentes motivos tenerla habilitada, pero para mitigar los riesgos podemos cambiarle el nombre a esta cuenta

Aunque es fácil hacerlo manualmente en cada máquina, si lo anterior lo debemos hacer en muchas máquinas, entonces puede ser algo tedioso. Pero lo podemos hacer en forma masiva a través de Directivas de Grupo (“Group Policies = GPO)

Sigue leyendo

Remote Desktop: Limitar a un Usuario Normal las Herramientas Administrativas que Puede Utilizar


En las dos notas anteriores vimos cómo configurar para permitir que un usuario normal pueda acceder por Remote Desktop (Escritorio Remoto) en modo administración a un Controlador de Dominio, y además cómo permitirle utilizar las herramientas administrativas

En esta ocasión veremos cómo podemos limitar qué herramientas puede utilizar, ya que el hecho de que pueda, aunque sólo sea ver información, es un problema de seguridad

Como había comentado en la nota anterior, supondré un caso como es: una persona de confianza que sólo debe poder acceder al “Event Viewer” (Visor de Sucesos)

Sigue leyendo

Remote Desktop: Permitir a Usuarios Normales Utilizar las Heramientas Administrativas en Controlador de Dominio


En la nota anterior vimos cómo configurar un Controlador de Dominio para permitir que un usuario normal pueda conectarse por Remote Desktop (Escritorio Remoto) en modo administración

Pero hemos visto que con la configuración hecha, no alcanza para que pueda ejecutar las herramientas administrativas

En esta nota veremos la configuración adicional, para que pueda utilizarlas, aunque por supuesto si no se ha delegado ninguna tarea administrativa no podrá modificar nada. Pero que sólo pueda ver toda la información del Dominio ya es un riesgo importante de seguridad. En la tercera y última nota de la serie veremos cómo podemos limitar qué consolas y aplicaciones podrá utilizar

Sigue leyendo

Remote Desktop: Permitir a Usuarios Conectarse a un Controlador de Dominio


Esta nota será el comienzo de una serie de tres donde veremos que configuraciones debemos hacer, para que:

  1. Un usuario normal pueda conectarse por Remote Desktop a un Controlador de Dominio
  2. Qué debemos configurar para que pueda usar las herramientas administrativas
  3. Cómo limitar qué herramientas administrativas puede utilizar

En esta primera nota de la serie veremos cómo permitir que un usuario normal pueda conectarse por Remote Desktop (Escritorio Remoto) a un Controlador de Dominio, ya que la configuración es diferente que si se tratara de un servidor miembro

Es importante tener en cuenta que esta configuración no es una buena práctica de seguridad, ni es recomendada, pero muchas veces en pequeñas organizaciones es una configuración que se hace, y tiene pasos adicionales de configuración

Sigue leyendo

Active Directory: Agregar Atributos Personalizados


Continuando con el tema de la nota anterior (Active Directory: Mostrar y Editar Atributos Ocultos), en esta nota veremos cómo podemos crear nuestros propios atributos de acuerdo a necesidad

Aunque podemos utilizar uno de los atributos normales para otro uso, siempre y cuando tengan la misma sintaxis, como ejemplo desarrollaré en este caso cómo agregarle a la clase “Users” un atributo como el DNI (Documento Nacional de Identidad), pero el procedimiento sería totalmente análogo para otros casos

Sigue leyendo

Nueva Reunión: Fundamentos de Clave Pública (PKI)


Como he recibido varios comentarios sobre el horario de la anterior charla sobre el tema, esta vez la voy a hacer nuevamente pero a un horario conveniente para los asistentes de Europa. Teniendo en cuenta que sólo con España tenemos 5 horas de diferencia, el anterior horario no les era nada cómodo

Así que esta vez la haré el 23 de Octubre de 2014 a las 13:00 horas (GMT-3), un horario que pienso puede mejor para muchos asistentes, con una duración estimada de 2 horas

Los temas que trataré incluyen una introducción al sistema de claves simétricas y asimétricas, cifrado y firma digital, características básicas de los certificados digitales, y las diferentes clases de autoridades certificadoras comparando las ventajas e inconvenientes de cada una de ellas

El encuentro será, como la vez anterior, en forma virtual a través de Internet

Utilizaré TeamViewer QuickJoin Free, que es una aplicación que aunque requiere privilegios de administrador local, se puede usar sin instalar nada. Tengo un tutorial hecho, si alguno no la conoce, o si quiere una ayuda para comenzar a usarla les pasaré el enlace

Es necesario en forma imprescindible contar con audio, tanto para poder escuchar como para poder hacer preguntas; siempre trato que sea lo más interactiva posible

No tengo idea de cuántos se inscribirán, pero la idea es mantenerla con pocos asistentes, no más de diez, así podemos desarrollarla mejor. En caso que fueran muchos programaré otra

El que desee asistir, simplemente ponga un comentario en esta nota (no los publicaré) para así poder enviarle por correo electrónico las instrucciones para conectarse

Sólo dos pedidos: puntualidad, y no anotarse si luego no pueden asistir. Agradecido :-)

Gracias

Active Directory: Mostrar y Editar Atributos Ocultos


Si han investigado un poco Active Directory seguramente habrán visto que, por ejemplo, una cuenta de usuario tiene disponibles muchos más atributos que los que muestra la aplicación “Active Directory Users and Computer” (Usuarios y Equipos de Active Directory). Algunos no se pueden modificar porque son utilizados internamente, pero muchos otros son informativos y podemos utilizarlos, y además editarlos fácilmente con un pequeño script

Todo comenzó, cuando revisando unas viejas notas encontré un script, que supongo que era para Windows 2000, pero todavía sigue siendo válido, y fue lo que me animó a escribir esta nota

Sigue leyendo

Dynamic Access Control – 2


Continuando con el tema Dynamic Access Control, y habiendo visto en la nota anterior “Dynamic Access Control – 1” las configuraciones inciales y cómo asignar acceso a recursos mediante “User Claims”, en esta nota veremos la otra opción disponible, como es asignar el acceso mediante propiedades del recurso

En esta nota veremos la creación y administración de propiedades de los recursos en forma manual, más sencillo pero que permite ver el comportamiento, dejando para una futura nota cómo se pueden clasificar automáticamente los recursos, o inclusive cómo asignar el privilegio de acuerdo al equipo en que se incie sesión

Sigue leyendo

Dynamic Access Control – 1


A partir de Windows Server 2012 disponemos de una nueva forma de asignar permisos, además de los conocidos de compartido (“Share”) y de seguridad (“NTFS”), como es Dynamic Access Control

He leído bastante sobre el tema, pero todos los ejemplos de implementación que he visto de parte de Microsoft y algunos sitios, han resultado prácticamente un “copiar y pegar” del mismo ejemplo, que a mi entender es muy poco claro para comprender y comenzar a implementarlo

Por lo tanto he decido hacer una pequeña introducción teórica del tema, e ir desarrollando un ejemplo, desde lo más básico a las posibilidades más avanzadas

Sigue leyendo

Windows Server 2012 (R2): Compartir Carpetas – Permisos de Seguridad Combinados


Hace ya un tiempo hice una nota sobre las nuevas funcionalidades de Windows Server 2012 para compartir carpetas (Windows Server 2012: Compartiendo carpetas – Nuevas funcionalidades), pero en esta ocasión vamos a ver una de las opciones avanzadas como es evaluar permisos basándose en elementos combinados

¿Parece complicado esto? no, no lo es y vamos a aclararlo. Hasta ahora asignábamos los permisos basado en la pertenencia a *un grupo*, ahora podemos también asignar permisos basados en pertenencia simultánea a más de un grupo, esto es, si pertence a Grupo1 tiene sólo lectura, pero si pertence simultáneamente a Grupo1 y Grupo2 tiene modificación

Inclusive veremos en esta nota la posibilidad de obtener los permisos efectivos con simulación de pertenencia a grupos

Sigue leyendo

Comprender y Aprender IPv6


A diferencia de las notas habituales demostrando procedimientos, esta vez será una recomendación de unos videos que creo imperdibles para comprender y aprender sobre el protocolo IPv6 y además en español

Soy un convencido que a todos los que conocemos IPv4, el cambio a IPv6 nos costará bastante, por el hecho que a primera vista pensamos que todo seguirá más o menos igual, sólo que las direcciones serán de 128bit, y esto es un error grave, no sólo es este cambio sino que además hay grandes modificaciones en el funcionamiento

Si a lo anterior le agregamos que durante un tiempo tendremos que interactuar con ambos protocolos, y que además durante ese tiempo también van a tener que interactuar, y permitir conectividad entre ambos, entonces el tema no será fácil

Sigue leyendo

File Server Resource Manager – Administrador de Recursos del Servidor de Archivos: Limitar el Tipo de Archivos en Carpeta


Continuando con el tema de la nota anterior sobre el File Server Resource Manager (Administrador de Recursos del Servidor de Archivos), en esta nota veremos otra de las opciones como es el tipo de archivos que puedan guardar los usuarios en determinadas carpetas

Esta  opción, a mi parecer pesonal, no es lo completa que debería ser, pero entiendo que en algunos casos pueda ayudar

Con tipo de archivo nos referimos a si es de texto, de música, ejecutables, etc. pero el sistema controla solamente por extensión del nombre sin controlar el contenido en sí mismo del archivo, por lo cual un usuario con un poco de conocimientos puede saltarse la protección

De todas formas puede ser útil la opción de monitorización

Sigue leyendo

File Server Resource Manager – Administrador de Recursos del Servidor de Archivos: Limitar el Espacio Usado en Carpetas


Existe un componente del sistema operativo servidor que en mi experiencia pocos han probado o usado, como es el File Server Resource Manager (Administrador de Recursos del Servidor de Archivos)

Este componente presenta varias funcionalidades que pueden ser útiles en algunas circunstancias, como son el motivo de esta nota que es como limitar el espacio que utilizan los usuarios en carpetas. En la próxima nota veremos cómo podemos controlar además el tipo de archivos que puedan guardar

El poder limitar el espacio usado por cada usuario en determinadas carpetas puede ser útil pues es común que existan algunos que tienden a “guardar todo todo”, y por supuesto no hay discos con capacidad que alcance

Sigue leyendo

Crear Usuarios en Forma Masiva y Con Atributos


No es una tarea habitual,  pero a veces y sobre todo cuando se crea un nuevo Dominio Active Directory, hay que ejecutar un alta masiva de muchas cuentas de usuario.
Inclusive es una muy buena práctica completar los atributos adicionales de cada uno, ya que esto puede facilitar enormemente posteriormente las búsquedas

Por lo tanto en esta demostración investigaremos y veremos cómo se puede hacer el proceso, ya que la creación manual de usuario por usuario sería en este caso lentísima, y ni que comentar si además hay que configurarle propiedades a cada uno

Además puede darse el caso de tener que cambiar desde un “Dominio viejo” a un “Dominio nuevo”. Para esto se pueden usar aplicaciones como ADMT (“Active Directory Migration Tool”), pero a veces lo único que se necesita es la creación de nuevas cuentas de usuario,  por ejemplo, para crear un Domino “espejo” del productivo

Sigue leyendo

Reunión: Fundamentos Sistema de Clave Pública (PKI)


Estuve esta semana complicado de tiempo y no he podido publicar una nota como es habitual, pero de todas formas para no perder el vínculo con los muchos subscriptores del blog he decidido, si les interesa, hacer una reunión a través de Internet, sobre el tema de fundamentos del sistema de clave pública

El temario propuesto es una introducción a:

  • Claves simétricas y asimétricas
  • Características de claves
  • Cifrado Digital
  • Firma Digital
  • Certificados Digitales
  • Autoridades Certificadoras

Estimo que conversar sobre estos temas nos llevará aproximadamente 2 horas

Utilizaré TeamViewer QuickJoin Free, que es una aplicación que aunque requiere privilegios de administrador local, se puede usar sin instalar nada. Tengo un tutorial hecho, si alguno no la conoce, o si quiere una ayuda para comenzar a usarla les pasaré el enlace

Es necesario en forma imprescindible contar con audio, y me gustaría probar además el tema de video, porque no hay como verse directamente para comprender y poder resolver dudas, pero los enlaces a Internet a veces … :-)

La idea es hacerla el próximo viernes 29 de Agosto, a la hora 18, o si quieren 6PM, hora de Argentina (GMT-3)

No tengo idea de cuántos se inscribirán, pero la idea es mantenerla con pocos asistentes, no más de diez, así podemos desarrollarla mejor. En caso que fueran muchos programaré otra

El que desee asistir, simplemente ponga un comentario en esta nota (no los publicaré) para así enviarle por correo electrónico las instrucciones

Gracias

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 569 seguidores