Remote Desktop: Permitir a Usuarios Normales Utilizar las Heramientas Administrativas en Controlador de Dominio


En la nota anterior vimos cómo configurar un Controlador de Dominio para permitir que un usuario normal pueda conectarse por Remote Desktop (Escritorio Remoto) en modo administración

Pero hemos visto que con la configuración hecha, no alcanza para que pueda ejecutar las herramientas administrativas

En esta nota veremos la configuración adicional, para que pueda utilizarlas, aunque por supuesto si no se ha delegado ninguna tarea administrativa no podrá modificar nada. Pero que sólo pueda ver toda la información del Dominio ya es un riesgo importante de seguridad. En la tercera y última nota de la serie veremos cómo podemos limitar qué consolas y aplicaciones podrá utilizar

Sigue leyendo

Remote Desktop: Permitir a Usuarios Conectarse a un Controlador de Dominio


Esta nota será el comienzo de una serie de tres donde veremos que configuraciones debemos hacer, para que:

  1. Un usuario normal pueda conectarse por Remote Desktop a un Controlador de Dominio
  2. Qué debemos configurar para que pueda usar las herramientas administrativas
  3. Cómo limitar qué herramientas administrativas puede utilizar

En esta primera nota de la serie veremos cómo permitir que un usuario normal pueda conectarse por Remote Desktop (Escritorio Remoto) a un Controlador de Dominio, ya que la configuración es diferente que si se tratara de un servidor miembro

Es importante tener en cuenta que esta configuración no es una buena práctica de seguridad, ni es recomendada, pero muchas veces en pequeñas organizaciones es una configuración que se hace, y tiene pasos adicionales de configuración

Sigue leyendo

Active Directory: Agregar Atributos Personalizados


Continuando con el tema de la nota anterior (Active Directory: Mostrar y Editar Atributos Ocultos), en esta nota veremos cómo podemos crear nuestros propios atributos de acuerdo a necesidad

Aunque podemos utilizar uno de los atributos normales para otro uso, siempre y cuando tengan la misma sintaxis, como ejemplo desarrollaré en este caso cómo agregarle a la clase “Users” un atributo como el DNI (Documento Nacional de Identidad), pero el procedimiento sería totalmente análogo para otros casos

Sigue leyendo

Nueva Reunión: Fundamentos de Clave Pública (PKI)


Como he recibido varios comentarios sobre el horario de la anterior charla sobre el tema, esta vez la voy a hacer nuevamente pero a un horario conveniente para los asistentes de Europa. Teniendo en cuenta que sólo con España tenemos 5 horas de diferencia, el anterior horario no les era nada cómodo

Así que esta vez la haré el 23 de Octubre de 2014 a las 13:00 horas (GMT-3), un horario que pienso puede mejor para muchos asistentes, con una duración estimada de 2 horas

Los temas que trataré incluyen una introducción al sistema de claves simétricas y asimétricas, cifrado y firma digital, características básicas de los certificados digitales, y las diferentes clases de autoridades certificadoras comparando las ventajas e inconvenientes de cada una de ellas

El encuentro será, como la vez anterior, en forma virtual a través de Internet

Utilizaré TeamViewer QuickJoin Free, que es una aplicación que aunque requiere privilegios de administrador local, se puede usar sin instalar nada. Tengo un tutorial hecho, si alguno no la conoce, o si quiere una ayuda para comenzar a usarla les pasaré el enlace

Es necesario en forma imprescindible contar con audio, tanto para poder escuchar como para poder hacer preguntas; siempre trato que sea lo más interactiva posible

No tengo idea de cuántos se inscribirán, pero la idea es mantenerla con pocos asistentes, no más de diez, así podemos desarrollarla mejor. En caso que fueran muchos programaré otra

El que desee asistir, simplemente ponga un comentario en esta nota (no los publicaré) para así poder enviarle por correo electrónico las instrucciones para conectarse

Sólo dos pedidos: puntualidad, y no anotarse si luego no pueden asistir. Agradecido :-)

Gracias

Active Directory: Mostrar y Editar Atributos Ocultos


Si han investigado un poco Active Directory seguramente habrán visto que, por ejemplo, una cuenta de usuario tiene disponibles muchos más atributos que los que muestra la aplicación “Active Directory Users and Computer” (Usuarios y Equipos de Active Directory). Algunos no se pueden modificar porque son utilizados internamente, pero muchos otros son informativos y podemos utilizarlos, y además editarlos fácilmente con un pequeño script

Todo comenzó, cuando revisando unas viejas notas encontré un script, que supongo que era para Windows 2000, pero todavía sigue siendo válido, y fue lo que me animó a escribir esta nota

Sigue leyendo

Dynamic Access Control – 2


Continuando con el tema Dynamic Access Control, y habiendo visto en la nota anterior “Dynamic Access Control – 1” las configuraciones inciales y cómo asignar acceso a recursos mediante “User Claims”, en esta nota veremos la otra opción disponible, como es asignar el acceso mediante propiedades del recurso

En esta nota veremos la creación y administración de propiedades de los recursos en forma manual, más sencillo pero que permite ver el comportamiento, dejando para una futura nota cómo se pueden clasificar automáticamente los recursos, o inclusive cómo asignar el privilegio de acuerdo al equipo en que se incie sesión

Sigue leyendo

Dynamic Access Control – 1


A partir de Windows Server 2012 disponemos de una nueva forma de asignar permisos, además de los conocidos de compartido (“Share”) y de seguridad (“NTFS”), como es Dynamic Access Control

He leído bastante sobre el tema, pero todos los ejemplos de implementación que he visto de parte de Microsoft y algunos sitios, han resultado prácticamente un “copiar y pegar” del mismo ejemplo, que a mi entender es muy poco claro para comprender y comenzar a implementarlo

Por lo tanto he decido hacer una pequeña introducción teórica del tema, e ir desarrollando un ejemplo, desde lo más básico a las posibilidades más avanzadas

Sigue leyendo

Windows Server 2012 (R2): Compartir Carpetas – Permisos de Seguridad Combinados


Hace ya un tiempo hice una nota sobre las nuevas funcionalidades de Windows Server 2012 para compartir carpetas (Windows Server 2012: Compartiendo carpetas – Nuevas funcionalidades), pero en esta ocasión vamos a ver una de las opciones avanzadas como es evaluar permisos basándose en elementos combinados

¿Parece complicado esto? no, no lo es y vamos a aclararlo. Hasta ahora asignábamos los permisos basado en la pertenencia a *un grupo*, ahora podemos también asignar permisos basados en pertenencia simultánea a más de un grupo, esto es, si pertence a Grupo1 tiene sólo lectura, pero si pertence simultáneamente a Grupo1 y Grupo2 tiene modificación

Inclusive veremos en esta nota la posibilidad de obtener los permisos efectivos con simulación de pertenencia a grupos

Sigue leyendo

Comprender y Aprender IPv6


A diferencia de las notas habituales demostrando procedimientos, esta vez será una recomendación de unos videos que creo imperdibles para comprender y aprender sobre el protocolo IPv6 y además en español

Soy un convencido que a todos los que conocemos IPv4, el cambio a IPv6 nos costará bastante, por el hecho que a primera vista pensamos que todo seguirá más o menos igual, sólo que las direcciones serán de 128bit, y esto es un error grave, no sólo es este cambio sino que además hay grandes modificaciones en el funcionamiento

Si a lo anterior le agregamos que durante un tiempo tendremos que interactuar con ambos protocolos, y que además durante ese tiempo también van a tener que interactuar, y permitir conectividad entre ambos, entonces el tema no será fácil

Sigue leyendo

File Server Resource Manager – Administrador de Recursos del Servidor de Archivos: Limitar el Tipo de Archivos en Carpeta


Continuando con el tema de la nota anterior sobre el File Server Resource Manager (Administrador de Recursos del Servidor de Archivos), en esta nota veremos otra de las opciones como es el tipo de archivos que puedan guardar los usuarios en determinadas carpetas

Esta  opción, a mi parecer pesonal, no es lo completa que debería ser, pero entiendo que en algunos casos pueda ayudar

Con tipo de archivo nos referimos a si es de texto, de música, ejecutables, etc. pero el sistema controla solamente por extensión del nombre sin controlar el contenido en sí mismo del archivo, por lo cual un usuario con un poco de conocimientos puede saltarse la protección

De todas formas puede ser útil la opción de monitorización

Sigue leyendo

File Server Resource Manager – Administrador de Recursos del Servidor de Archivos: Limitar el Espacio Usado en Carpetas


Existe un componente del sistema operativo servidor que en mi experiencia pocos han probado o usado, como es el File Server Resource Manager (Administrador de Recursos del Servidor de Archivos)

Este componente presenta varias funcionalidades que pueden ser útiles en algunas circunstancias, como son el motivo de esta nota que es como limitar el espacio que utilizan los usuarios en carpetas. En la próxima nota veremos cómo podemos controlar además el tipo de archivos que puedan guardar

El poder limitar el espacio usado por cada usuario en determinadas carpetas puede ser útil pues es común que existan algunos que tienden a “guardar todo todo”, y por supuesto no hay discos con capacidad que alcance

Sigue leyendo

Crear Usuarios en Forma Masiva y Con Atributos


No es una tarea habitual,  pero a veces y sobre todo cuando se crea un nuevo Dominio Active Directory, hay que ejecutar un alta masiva de muchas cuentas de usuario.
Inclusive es una muy buena práctica completar los atributos adicionales de cada uno, ya que esto puede facilitar enormemente posteriormente las búsquedas

Por lo tanto en esta demostración investigaremos y veremos cómo se puede hacer el proceso, ya que la creación manual de usuario por usuario sería en este caso lentísima, y ni que comentar si además hay que configurarle propiedades a cada uno

Además puede darse el caso de tener que cambiar desde un “Dominio viejo” a un “Dominio nuevo”. Para esto se pueden usar aplicaciones como ADMT (“Active Directory Migration Tool”), pero a veces lo único que se necesita es la creación de nuevas cuentas de usuario,  por ejemplo, para crear un Domino “espejo” del productivo

Sigue leyendo

Reunión: Fundamentos Sistema de Clave Pública (PKI)


Estuve esta semana complicado de tiempo y no he podido publicar una nota como es habitual, pero de todas formas para no perder el vínculo con los muchos subscriptores del blog he decidido, si les interesa, hacer una reunión a través de Internet, sobre el tema de fundamentos del sistema de clave pública

El temario propuesto es una introducción a:

  • Claves simétricas y asimétricas
  • Características de claves
  • Cifrado Digital
  • Firma Digital
  • Certificados Digitales
  • Autoridades Certificadoras

Estimo que conversar sobre estos temas nos llevará aproximadamente 2 horas

Utilizaré TeamViewer QuickJoin Free, que es una aplicación que aunque requiere privilegios de administrador local, se puede usar sin instalar nada. Tengo un tutorial hecho, si alguno no la conoce, o si quiere una ayuda para comenzar a usarla les pasaré el enlace

Es necesario en forma imprescindible contar con audio, y me gustaría probar además el tema de video, porque no hay como verse directamente para comprender y poder resolver dudas, pero los enlaces a Internet a veces … :-)

La idea es hacerla el próximo viernes 29 de Agosto, a la hora 18, o si quieren 6PM, hora de Argentina (GMT-3)

No tengo idea de cuántos se inscribirán, pero la idea es mantenerla con pocos asistentes, no más de diez, así podemos desarrollarla mejor. En caso que fueran muchos programaré otra

El que desee asistir, simplemente ponga un comentario en esta nota (no los publicaré) para así enviarle por correo electrónico las instrucciones

Gracias

Windows Server 2012 (R2) – Instalar .NET Framework 3.5


Tener que instalar .NET Framework 3.5 es un procedimiento que aunque parece igual a cualquier componente que se agregue, tiene una característica que lo hace especial: aunque está disponible en el DVD del producto, el sistema siempre trata de descargarlo desde “Windows Update”

Cualquier otro componente del sistema operativo, salvo “PowerShell v2”, se agrega directamente. Para instalarlos se necesita que la máquina tenga conectividad a Internet para su descarga

O, y este es el objetivo de la nota, podemos indicarle que tome los binarios del “.NET Framework 3.5” desde el DVD de instalación. Aunque por supuesto luego debemos aplicar las últimas actualizaciones

Sigue leyendo

Delegar Administración en Active Directory


Una capacidad muy importante de Active Directory es la habilidad de poder delegar en forma muy granular algunas tareas administrativas en usuarios que no pertenezcan a alguno del los grupos con poderes administrativos irrestrictos, como por ejemplo los administradores

En una organización muy chica probablemente no se haga delegación de tareas, pero es algo casi imprescindible en grandes organizaciones, ya que no todo el que tenga que ejecutar alguna tarea administrativa tiene que tener los “super poderes” de un administrador
A veces, sobre todo en las medianas, no se delegan tareas por desconocimiento de su funcionamiento
Es una opción muy poderosa, que permite delegar definiendo:

  • Qué tarea/s se delegará o delegarán
  • Sobre qué tipo de objetos (usuarios, grupos, GPOs, unidades organizativas, etc.)
  • Sobre qué partes del Dominio (unidades organizativas, el Dominio, etc.)

Esto también responde a una consulta que se escucha con frecuencia: “que sea administrador, pero que no pueda …”. Lo cual es imposible, ya que si pertence al grupo de Administradores (“Administrators”) no hay forma de quitarle privilegios sobre la máquina o el Dominio

Veremos una demostración muy simple, donde sólo es necesario una máquina Controlador de Dominio

Sigue leyendo

Cinco Formas de Compartir Carpetas – Permisos de Compartido, de Seguridad, y Efectivos


Hace ya mucho tiempo publiqué una nota sobre los permisos efectivos cuando se accede a datos en “Permisos – Permisos Efectivos” pero como las consultas continúan y el sistema de permisos no es tan sencillo en ambiente Windows, me he decidido a agregar esta nota que complementa y avanza un poco más sobre el tema

En especial, demostraré el tema de la combinación de los diferentes permisos, y cómo interactua una entidad especial como es “Creator Owner”

Desde la interfaz gráfica, hay cinco formas diferentes de compartir una carpeta, y cada una tiene sus particularidades, y los permisos efectivos pueden ser diferentes en cada caso

Sigue leyendo

Windows Server 2012 R2: Resolución de Nombres de Máquina (Incluye Capturas de Red Explicadas)


Se conoce con “Resolución de Nombres de Máquina” al procedimiento por el cual cuando una máquina quiere contactar a otra, usando el nombre de destino, debe resolver cuál es la dirección IP de la máquina de destino

La posible complicación, es que en realidad, y por omisión, cada máquina perteneciente a un Dominio Active Directory tiene dos nombres que pueden ser diferentes: el nombre NetBIOS, y el “Hostname” que forma parte del FQDN (“Fully Qualified Domain Name”)
Para aclarar y por las dudas, si el “Hostname” es servidor, el FQDN es servidor.dominio.sufijo

Además hay que tener en cuenta que hay métodos para resolución de nombres NetBIOS, y otros diferentes para resolver “Hostnames/FQDNs”; y cada uno tiene un orden en particular que ha cambiado en diferentes versiones del sistema operativo. Y como si fuera poca la complicación, independientemente del nombre que use la aplicación, el sistema si no puede resolver de una forma, intentará por la otra

Vamos a ver el tema, con explicación, de cómo se resuelven los nombres, inclusive con capturas del tráfico de red donde podemos ver realmente cómo trabaja

Sigue leyendo

Windows Server: “Shadow Copies” (Instantáneas) y Versiones Anteriores


En mi experiencia de capacitaciones, he visto que la gran mayoría de los administradores de redes desconocen las “Shadow Copies” (Instantáneas), y es algo que puede ahorrarles mucho tiempo cuando hay que recuperar archivos desde una copia de seguridad (Backup)

El objetivo de la funcionalidad es que el propio usuario, y fácilmente, pueda recuperar archivos borrados o versiones anteriores de datos que han sido modificadas

Aunque en forma muy primitiva la funcionalidad viene desde Windows Server 2000 y está muy mejorada actualmente. En Windows Server 2000 se llamaba “Shadow Copies of Shared Folders” o sea que trabajaba sólo sobre carpetas compartidas; pero a partir de Windows Server 2008 además de no usar más esta denominación está integrado a lo que conocemos como “Versiones Anteriores”

Aunque es importante destacar que no es un reemplazo de las copias de seguridad (Backups), pero que en muchos casos puede evitar tener que ir buscando en que copia están los datos a recuperar. Y además, lo puede hacer el propio usuario muy rápidamente

Sigue leyendo

Solución: Las Máquinas que se Salen del Dominio


Este es un tema que se repite, y no desde hace poco tiempo, con bastante frecuencia, vamos a tratar de que no suceda, y si sucediera cómo solucionarlo

¿Quién no ha recibido nunca cuando va a iniciar sesión, un mensaje que alerta que se ha roto la relación de confianza de la máquina con el Dominio?

Sigue leyendo

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 528 seguidores