Bloqueo de Cuentas de Usuario: Cómo Ayudar a Solucionarlo


Cuando en un ambiente de Dominio Active Directory se implementa una directiva de bloqueo de cuentas, suele suceder que alguna cuenta de usuario se bloquea sin que el usuario haya puesto mal la contraseña al iniciar sesión

Los motivos suelen ser variados, aunque generalmente se deben a que el usuario cambió su contraseña, pero quedaron conexiones de red que estaban hechas recordando la contraseña anterio. O inclusive a veces se debe a que hay servicios que se ejectuan con la cuenta de usuario

Cuando esto sucede es importante identificar la causa, y para eso debemos buscar el evento de seguridad que se genera cuando se bloquea la cuenta, para poder identificar desde qué máquina cliente se produjo el bloqueo

Seguir leyendo

Directivas de Grupo (“GPOs”) – Optimizar y Evitar Futuros Problemas


Entiendo que todos, o casi, los que estamos con el tema Active Directory conocemos cómo funcionan las Directivas de Grupo (“Group Policies” , “GPOs”), y sabemos que cada vez que ha salido un “Service Pack” o una versión nueva de un sistema operativo cambian las Plantillas Administrativas (“Administrative Templates”) con nuevas opciones de configuración

Hasta hace un tiempo era fácil mantener las versiones actualizadas de estas Plantillas Administrativas, ya sea porque los cambios no eran muy frecuentes, o porque la versión del sistema operativo de los clientes coincidia con la de los correspondientes servidores Controladores de Dominio

Pero esto ya no es así, hace varios meses que muchos están conviviendo con clientes Windows 10, pero sin embargo los Controladores de Dominio corresponden a versiones anteriores, en el mejor de los casos Windows Server 2012 R2

A lo anterior debemos sumarle que Windows 10 promete actualizaciones más seguidas en el tiempo aunque conserve su nombre. Un ejemplo típico es Windows 10 v1511

Y por último, dentro de unos meses estará disponible la versión definitiva de Windows Server 2016, que no descarto que tenga actualizaciones de la misma forma que Windows 10

Por lo tanto, es importante que veamos cómo podemos y podremos mantener actualizadas las Plantillas Administrativas de la forma más eficiente y con menos esfuerzo

Seguir leyendo

Configuración de Servicios Mediante GPOs


La seguridad de los servicios suele ser un tema que no es fácil de administrar, ya que generalmente éstos se ejecutan con cuentas que tienen privilegios muy amplios y elevados

Por lo dicho, es necesario que el administrador tenga el máximo control posible sobre los mismos

Aunque para una próxima nota dejaré el tema de “Group Managed Service Accounts”, en esta veremos dos opciones que pueden ser útiles:

  • Determinar el tipo de inicio del servicio y quién puede arrancar, pausar y detener un servicio de Windows
  • Configurar el tipo de inicio para un servicio No-Windows

Por supuesto que lo haremos mediante Directivas de Grupo (“GPOs”)

Seguir leyendo

Windows Server: Grupos y Usuarios Temporarios


Todos conocemos, eso creo, que a las cuentas de usuario se les puede poner una fecha de expiración. Esto se usa fundamentalmente para usuarios temporarios para que luego de una fecha determinada la cuenta se desactive automáticamente

Pero en algunas ocasiones se necesita algo más específico, por ejemplo que una cuenta dure sólo unos minutos o algunas horas, o aún a una hora determinada sea eliminada

Inclusive esto que demostraré, se puede hacer sobre grupos, que no muestra cómo asignarle un día y hora determinados como límite de uso

Me he sorprendido, pues leo que está disponible desde Windows Server 2003. No lo conocía

Seguir leyendo

Windows Server 2016-TP5 – Descarga y Más Información


Además de la información que publiqué ayer sobre el tema, hoy he visto que ya está disponible para descarga desde el centro de evaluaciones:

Technet Evaluation Center:
https://www.microsoft.com/en-us/evalcenter/evaluate-windows-server-technical-preview

 

Además hay ya bastante información sobre las novedades:

What’s New in Windows Server 2016 Technical Preview 5:
https://technet.microsoft.com/en-us/library/dn765472%28v=ws.12%29.aspx

 

Un libro de descarga pública:

Free ebook: Introducing Windows Server 2016 Technical Preview | Microsoft Press blog:
https://blogs.msdn.microsoft.com/microsoft_press/2016/04/20/free-ebook-introducing-windows-server-2016-technical-preview/

 

Y por último, hasta han puesto para poder descargar las nuevas plantillas de GPOs (ADMXs)

Download Administrative Templates (.admx) for Windows Server 2016 Technical Preview 5 from Official Microsoft Download Center:
https://www.microsoft.com/en-us/download/details.aspx?id=51957

 

Es evidente que el tiempo se está acercando :)

 

Windows Server 2016 – Technical Preview 5


Para los que tengan susbscripción a MSDN, a partir de hoy tiene disponible para descarga la nueva versión beta de Windows Server 2016 TP5

 

Directivas de Grupo (GPO) – Filtrado de Seguridad


En la nota anterior “Directivas de Grupo (GPO) – Herencia, Forzar y Resolución de Conflictos” hemos visto algunas opciones que disponemos para aplicar las configuraciones de una GPO, ya sea en la forma normal, cortando la herencia o forzando la aplicación, como así también cómo se resuelven los conflictos de configuraciones entre diferentes GPOs aplicadas

En esta nota veremos otra opción que nos pemite seleccionar a qué usuario o grupo de usuarios aplicar o no una Directiva de Grupo (GPO)

La aplicación de Directivas de Grupo a grupos de seguridad de Active Directory ha resultado muy confusa para los que hablamos español, ya que la traducción de “Group Policy Object” a “Objeto Directiva de Grupo” a mi entender no es correcta

Seguir leyendo

Directivas de Grupo (GPO) – Herencia, Forzado y Resolución de Conflictos


Hace ya mucho tiempo, Febrero de 2011 para ser más exactos, escribí un nota explicando cómo se aplican las Directivas de Grupo, más conocidas por GPOs (“Group Policy Objects”), y las opciones más comunes para limitar o forzar la aplicación de las mismas

Cómo Funcionan las Directivas de Grupo (GPOs)

En esta primera parte de las dos notas que estoy preparando ahora, veremos con un ejemplo práctico, cómo funciona la herencia de GPOs, cómo se puede evitar esto, o cómo forzar que así no sea, y además cómo se resuelve cuando una GPO conflictua una configuración con otra

Seguir leyendo

Remote Desktop – Escritorio Remoto: Instalación y Activación de las Licencias (RD-CAL) (Nota 7)


Ahora que siguiendo las seis notas anteriores tenemos toda nuestra infraestructura objetivo instalada, configurada y probada, es el momento ideal para hacer el licenciamiento legal necesario

Es importante dejar este paso para el final, ya que tenedremos tiempo suficiente para hacer todas las pruebas de configuraciones que necesitemos usando las funcionalidades completas por un plazo de 90 días. Luego de ese plazo los clientes dejarán de poder conectarse; y además a los 120 días dejará de funcionar el servicio

La importancia radica en que una vez activado el servidor de licencias e instalada la clave de licencia de clientes, si hubiera que reactivar en una nueva instalación ya habría que ejecutar pasos adicionales

Seguir leyendo

Remote Desktop – Escritorio Remoto: Instalación y Configuración de “RD-Gateway” (Nota 6)


En esta sexta nota, y continuando con la serie, veremos la instalación y configuración de la funcionalidad “Remote Dekstop Gateway” (Puerta de Enlace de Escritorio Remoto), describiremos su funcionalidad y por supuesto demostraremos su utilización

Es muy importante tener en claro cuál es su funcionalidad, y qué tipo de acceso permite, y sobre todo las diferencias con “Remote Desktop Web Access” (Acceso Web a Escritorio Remoto) y el uso de cada uno

Además, y no tan conocido, es que “RD-Gateway” permite que se limite qué usuarios se podrán conectar y a qué equipos podrán acceder, entre otras cosas

Así que en este caso veremos primero que nada estas diferencias

Seguir leyendo

Remote Desktop – Escritorio Remoto: Quitar Advertencias y Preparación para “RD-Gateway” (Nota 5)


En esta quinta nota de la serie, vamos a comenzar a quitar las advertencias de seguridad que aún nos muestra cuando ingresamos por “RD Web Access”

Además y previendo que luego vamos a instalar y configurar “RD Gateway”, para permitir el acceso desde otras redes externas, vamos a hacer unos cambios sobre el certificado digital que identifica a la máquina “rd-wa-cb-gat”

Seguir leyendo

Remote Desktop – Escritorio Remoto: Configuración de las RemoteApps (Nota 4)


En las tres notas anteriores dejamos instalados los roles para Escritorio Remoto, vimos muchas de las configuraciones necesarias, pero en esta vamos a ver algunas de las propiedades de las aplicaciones publicadas, así como además opciones que tiene el administrador sobre las sesiones abiertas

  • Configuraciones adicionales de RemoteApp
  • Enviar mensajes a la sesión de usuario
  • Ver o tomar control remoto de la sesión de usuario
  • Desconectar o cerrar la sesión de usuario

Seguir leyendo

Remote Desktop – Escritorio Remoto: Publicar Aplicaciones “RemoteApps” (Nota 3)


En esta tercera nota y continuando con el tema que venimos desarrollando en esta demostración, ahora veremos dos temas importantes:

  • Publicar aplicaciones via web (RemoteApps)
  • Demostrar la funcionalidad de “Remote Desktop Connection Broker”

Para cumplir estos objetivos veremos primero un panorama de las configuraciones tomadas por omisión, luego crearemos y configuraremos una “Collection” donde publicaremos un par de aplicaciones de prueba, para finalmente, utilizando dos usuarios de prueba observaremos la funcionalidad provista por “Remote Desktop Connection Broker”, que es muy importante, y nada mejor que verlo directamente

Seguir leyendo

Remote Desktop – Escritorio Remoto: Acceso al Escritorio Remoto (Nota 2)


En esta segunda nota de la serie, y con lo hecho en la nota anterior, aunque todavía no tenemos posibilidad de ejecutar aplicaciones remotas (RemoteApp), sin embargo ya tenemos aceso a Escritorio Remoto

Podemos acceder a las sesiones de escritorio del “Escritorio Remoto” tanto utilizando “Remote Desktop Connection” (MSTSC:EXE), como también mediante el explorador web
Seguir leyendo

Remote Desktop – Escritorio Remoto: De Principio a Fin (Nota 1)


En esta primera nota veremos “Remote Desktop” o Escritorio Remoto, que es uno de los temas más requeridos, ya que tiene algunas dificultades de implementación, y aunque en su momento hice el desarrollo completo sobre Windows Server 2008 R2, no lo he hecho nunca completo con todas las funcionalidades posibles en Windows Server 2012 R2. Inclusive en notas anteriores alguna configuración ha quedado con algún tema que no había podido terminar de resolver en ese momento

Así que he decidido comenzar una nueva serie, utilizando todos los componentes posibles, solucionando los inconvenientes que quedaron en notas anteriores, e inclusive agregando la funcionalidad “Remote Desktop Gateway” (Puerta de Enlace de Escritorio Remoto) para permitir un acceso seguro a escritorio o aplicaciones desde Internet que no había sido desarrollada

En esta primera nota crearemos la infraestructura necesaria, y luego iremos viendo paso a paso de acuerdo al progreso para llegar a demostrar cada uno de los componentes posibles del servicio

Seguir leyendo

Nueva Serie de Notas Sobre Escritorio Remoto (“Remote Desktop”)


El tema Escritorio Remoto, es uno que he tratado en varias ocasiones en este blog. La primera serie fue sobre Windows Server 2008 R2 donde he desarrollado el tema en forma completa a través de 12 notas, que comienzan en:

Luego, sobre Windows Server 2012 (no R2) he hecho dos series más, una usando “Quick Start”, y otra “Standard Deployment”

Aunque el objetivo de esta última era hacer un desarrollo completo, al final quedó inconcluso pues algunos roles como “Remote Desktop Gateway” que no fue instalado, y es muy importante para poder ofrecer acceso  a Escritorio Remoto desde Internet
También quedó una advertencia de seguridad que no había podido resolver en ese momento

Seguir leyendo

VMware – Redes en Laboratorio de Pruebas


Los ambientes de prueba, aunque a veces son sencillos, no siempre es el caso. Además uno comienza con una simple configuración que luego va creciendo y complicándose

Las diferentes clases de redes que provee cada aplicación de virtualización a veces generan confusiones, así que en este caso decidí mostrar la configuración de mi ambiente, y explicando cómo y el porqué de cada red

En mi caso todas las máquinas son virtuales, y la aplicación de virtualización es VMware Workstation. Alguno se preguntará el motivo de no usar Hyper-V, y la respuesta es sencilla: hasta Windows Server 2012 R2, Hyper-V no permite anidar virtualización. Se promete para Windows Server 2016, y aunque por ahora en versión beta, lo he probado en “”Nested Virtualization” – [(Virtual en Virtual) en Virtual] en Virtual

La infraestructura de redes es como muestra el siguiente diagrama, pero vamos a ir revisando de a pasos y cómo se llega

Seguir leyendo

Mejorar la Seguridad en Servidores de Archivos


Hace unos días estuve haciendo unas pruebas con las Reglas de Seguridad de Conexión (“Connection Security Rules”) del Cortafuegos, y probando diversas configuraciones llegué a una que me pareció interesante como medida adicional de seguridad para aplicar a un Servidor de Archivos (“File Server”)

Por supuesto que todos conocemos que el control de acceso a carpetas compartidas lo hacemos a través de los correspondientes permisos tanto de Compartido como de Seguridad, pero en algunos casos hay servidores con información muy sensible desde el punto de vista seguridad a los cuales queremos proteger de la mejor forma posible

El objetivo de esta nota es que, independientemente de los permisos de acceso a los recursos, podamos limitar desde qué máquinas cliente se puede acceder a los compartidos de un servidor

Seguir leyendo

DNS: Delegación de Dominios


La delegación de Dominios DNS, y su utilización en Active Directory se hace en forma muy sencilla, ya que el proceso de creación de un Dominio, pregunta si deseamos delegar el Domino, y el sistema se encarga de la configuración necesaria

En cambio, cuando se trata de Dominios no Active Directory, por ejemplo Dominios de Internet, la delegación debe hacerse en forma manual, y tiene algún paso que no es tan intuitivo como parece, por ejemplo, DNS no puede delegar un Dominio del cual ya es autoridad

En esta nota veremos cuáles son los pasos y configuraciones para delegar un Subdominio de un Dominio existente, sin Active Directory

Seguir leyendo

VMWare Workstation: Uso de Redes Virtuales y Ejemplos de Utilización


Como habrán observado la mayoría de los lectores de este blog, en muchas ocasiones utilizo varias redes interconectadas donde están las diferentes máquinas virtuales usadas en las demostraciones, justamente para mostrar cómo se puede aplicar al desarrollo en un ambiente de múltiples sitios geográficamente separados, o por lo menos por Routers

En esta nota veremos primero, un pequeño repaso de la utilización de redes virtuales, principalmente sobre VMware Workstation, y comparando con Hyper-V, para luego mostrar los esquemas desarrollados en varias notas del blog

Seguir leyendo

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 1.141 seguidores