Archivos en la Categoría: Active Directory – Directorio Activo

Remote Desktop – Escritorio Remoto: Instalación Simple y Personalizada en Dominio


Hace ya tiempo que he escrito notas sobre “Remote Desktop – Escritorio Remoto”, su instalación y configuración, pero he observado que en muchos casos se necesita una instalación más simple, o aún personalizada de la instalación

Esto es lo que haré en esta nota, y que luego aprovecharé en otras subsiguientes mostrando cómo podremos mejorar la seguridad y limitar muy específicamente qué aplicaciones y configuraciones podrán hacer los usuarios, como así también qué le podremos ocultar en la sesión  remota del servidor

Para el que quiera repasar el tema pongo los enlaces a las tres series anteriores en el blog:

 

Sigue leyendo

Bitlocker en Controladores de Dominio: Configuración y Recuperación


Los Controladores de Dominio son máquinas que hay que asegurar de forma especial, ya que contienen “lo más valioso de la red” como son los usuarios y sus correspondientes contraseñas, ademas de informacio importante derl Dominio

Bitlocker es un método muy seguro para proteger los datos a nivel de volumen de disco, pero esta seguridad tienen un precio, ya que si no se implementa adecuadamente se corre el riesgo de justamente perder “lo más valioso de la red”

Complementando la informacion de esta nota pueden consultar: «Bitlocker: Recuperar Acceso a Datos»

Como un ejercicio de práctica de laboratorio decidí hacer esta nota donde implementaré el cifrado del volumen en un Controlador de Dominio, y luego simulando una pérdida de la máquina, cómo deshabilitar Bitlocker en el disco en otro equipo de forma de poder transladar la información a una nueva máquina

Sigue leyendo

BGInfo – Mostrar Información en el Escritorio (GPO)


Por usar cada vez con más frecuencia Escritorio Remoto para administración de servidores y clientes, es muy útil que el fondo del escritorio muestre información de la máquina y que no se provoquen confusiones sobre en qué máquina estamos trabajando

Hay un utilitario, desde hace ya muchos años, que permite colocar información sobre el papel tapiz del escritorio, incluyendo datos de sistema operativo, red, usuario, y más

Este utilitario gratuito es BGInfo, que se puede utilizar gratuitamente y descargar desde: https://technet.microsoft.com/en-us/sysinternals/bginfo.aspx

Aunque está preparado para ejecutar individualmente en cada máquina vamos a ver cómo podemos implementarlo automáticamente en un conjunto de máquinas utilizando GPOs, y además centralizando su configuración

Sigue leyendo

Bloqueo de Cuentas de Usuario: Cómo Ayudar a Solucionarlo


Cuando en un ambiente de Dominio Active Directory se implementa una directiva de bloqueo de cuentas, suele suceder que alguna cuenta de usuario se bloquea sin que el usuario haya puesto mal la contraseña al iniciar sesión

Los motivos suelen ser variados, aunque generalmente se deben a que el usuario cambió su contraseña, pero quedaron conexiones de red que estaban hechas recordando la contraseña anterio. O inclusive a veces se debe a que hay servicios que se ejectuan con la cuenta de usuario

Cuando esto sucede es importante identificar la causa, y para eso debemos buscar el evento de seguridad que se genera cuando se bloquea la cuenta, para poder identificar desde qué máquina cliente se produjo el bloqueo

Sigue leyendo

Directivas de Grupo (“GPOs”) – Optimizar y Evitar Futuros Problemas


Entiendo que todos, o casi, los que estamos con el tema Active Directory conocemos cómo funcionan las Directivas de Grupo (“Group Policies” , “GPOs”), y sabemos que cada vez que ha salido un “Service Pack” o una versión nueva de un sistema operativo cambian las Plantillas Administrativas (“Administrative Templates”) con nuevas opciones de configuración

Hasta hace un tiempo era fácil mantener las versiones actualizadas de estas Plantillas Administrativas, ya sea porque los cambios no eran muy frecuentes, o porque la versión del sistema operativo de los clientes coincidia con la de los correspondientes servidores Controladores de Dominio

Pero esto ya no es así, hace varios meses que muchos están conviviendo con clientes Windows 10, pero sin embargo los Controladores de Dominio corresponden a versiones anteriores, en el mejor de los casos Windows Server 2012 R2

A lo anterior debemos sumarle que Windows 10 promete actualizaciones más seguidas en el tiempo aunque conserve su nombre. Un ejemplo típico es Windows 10 v1511

Y por último, dentro de unos meses estará disponible la versión definitiva de Windows Server 2016, que no descarto que tenga actualizaciones de la misma forma que Windows 10

Por lo tanto, es importante que veamos cómo podemos y podremos mantener actualizadas las Plantillas Administrativas de la forma más eficiente y con menos esfuerzo

Sigue leyendo

Configuración de Servicios Mediante GPOs


La seguridad de los servicios suele ser un tema que no es fácil de administrar, ya que generalmente éstos se ejecutan con cuentas que tienen privilegios muy amplios y elevados

Por lo dicho, es necesario que el administrador tenga el máximo control posible sobre los mismos

Aunque para una próxima nota dejaré el tema de “Group Managed Service Accounts”, en esta veremos dos opciones que pueden ser útiles:

  • Determinar el tipo de inicio del servicio y quién puede arrancar, pausar y detener un servicio de Windows
  • Configurar el tipo de inicio para un servicio No-Windows

Por supuesto que lo haremos mediante Directivas de Grupo (“GPOs”)

Sigue leyendo

Windows Server: Grupos y Usuarios Temporarios


Todos conocemos, eso creo, que a las cuentas de usuario se les puede poner una fecha de expiración. Esto se usa fundamentalmente para usuarios temporarios para que luego de una fecha determinada la cuenta se desactive automáticamente

Pero en algunas ocasiones se necesita algo más específico, por ejemplo que una cuenta dure sólo unos minutos o algunas horas, o aún a una hora determinada sea eliminada

Inclusive esto que demostraré, se puede hacer sobre grupos, que no muestra cómo asignarle un día y hora determinados como límite de uso

Me he sorprendido, pues leo que está disponible desde Windows Server 2003. No lo conocía

Sigue leyendo

Mejorar la Seguridad en Servidores de Archivos


Hace unos días estuve haciendo unas pruebas con las Reglas de Seguridad de Conexión (“Connection Security Rules”) del Cortafuegos, y probando diversas configuraciones llegué a una que me pareció interesante como medida adicional de seguridad para aplicar a un Servidor de Archivos (“File Server”)

Por supuesto que todos conocemos que el control de acceso a carpetas compartidas lo hacemos a través de los correspondientes permisos tanto de Compartido como de Seguridad, pero en algunos casos hay servidores con información muy sensible desde el punto de vista seguridad a los cuales queremos proteger de la mejor forma posible

El objetivo de esta nota es que, independientemente de los permisos de acceso a los recursos, podamos limitar desde qué máquinas cliente se puede acceder a los compartidos de un servidor

Sigue leyendo

Copiar Perfil de Usuario Local a Usuario de Dominio


Cuando se va a migrar desde Grupo de Trabajo a ambiente de Dominio Active Directory, una de las preocupaciones de los administradores es cómo migrar el perfil del usuario que hasta ese momento es una cuenta local, al del nuevo usuario creado en el Dominio, porque aunque se llamen igual serán dos cuentas diferentes

Copiar el perfil no se trata sólo de la información que este usuario local tenga localmente en su perfil, sino además sus configuraciones

En esta nota veremos una demostración simple de cómo hacer la migración del perfil de usuario con sus datos y configuraciones, aunque aclaro, la configuración de aplicaciones habría que probarla para cada una de ellas por las diferentes formas de instalación que tiene cada una

Sigue leyendo

Que los Usuarios No Puedan Guardar en el Escritorio y Configuración Centralizada


Continuando con la personalización del escritorio de los usuarios que he comenzado en una nota anterior, en esta veremos cómo llegar a dos objetivos que he visto planteados en muchas ocasiones

  • Que los usuarios no puedan guardar o modificar sus escritorios de Windows
  • Que los administradores puedan poner accesos directos a aplicaciones o carpetas en todos los escritorios de los usuarios

Es fácil de hacer mediante Directivas de Grupo (GPOs)

Sigue leyendo

Asignar a Usuarios Fondo de Pantalla


Una pregunta que he visto muchas veces en los foros es cómo un administrador puede asignar a todos los usuarios un fondo de pantalla propio de la empresa y que no lo puedan cambiar

Es una configuración muy fácil de lograr, aunque hay que tener en cuenta que en algunos casos puede aparecer un “bug”

Sigue leyendo

Instalando Impresoras por Directivas de Grupo (GPOs)


La instalación de impresoras, tanto sea por máquinas, o por usuarios es algo que se puede hacer mediante Directivas de Grupo (GPOs). Me ha parecido interesante desarrollar este tema, no sólo porque he sido consultado muchas veces, sino porque ha cambiado de cómo era en sistemas operativos “viejos”

La nota la plantearé teniendo un servidor que comparte y administra una impresora de red, automatizando la instalación en máquinas cliente de acuerdo al usuario

Si se deseara la instalación por máquina, como mostraré, el procedimiento es casi igual, y se puede adaptar fácilmente

Sigue leyendo

Servidores DNS: Repartir la Carga usando DHCP


Uno de los temas que he visto varias veces es cómo hacer para que en un ambiente de Dominio Active Directory se pueda repartir la carga de los clientes entre los diferentes Controladores de Dominio con el servicio DNS

Aunque en realidad hay administradores que no conocen cómo el cliente utiliza la configuración de DNS ;)
Cuando en la configuración de DNS en las propiedades de TCP/IPv4 configuramos tanto manualmente como por DHCP, un DNS preferido y un alternativo, cuándo el cliente se dirige a uno o al otro

El cliente siempre usa el que tenga configurado como preferido, y utiliza el alternativo únicamente si el preferido no responde. Una respuesta negativa es una respuesta, cuidado con esto

Entonces, si por ejemplo en mi red tengo dos Controladores de Dominio con el servicio DNS ¿cómo podría hacer para que algunos clientes utilicen como DNS preferido a uno, y otro usen como DNS preferido a otro?

Es fácil, usaremos “DHCP User Classes” y “DHCP Policies”

Sigue leyendo

Quién Puede Unir Máquinas al Dominio, y Cuántas


Esta nota tiene como fin cumplir con dos objetivos diferentes, uno relativo a seguridad, y otro a delegación de una tarea que normalmente quiere reservarse a sólo los administradores

Vamos la primera ¿Sabe que un usuario normal puede unir máquinas al Dominio? Sí, puede, hasta 10 máquinas puede unir al Dominio, lo cual puede traer incontables problemas, desde la instalación automática de aplicaciones hasta Escritorio Remoto, en ambos casos con consumos de licencias. Y aún sin tener en cuenta que de esta máquina seguramente es administrador local, y lo que puede provocar en la red

Y la segunda, es que a veces los administradores, ahora sí, quieren delegar que algún grupo de usuarios pueda unir una cantidad determinada de máquinas al Dominio, pero no 10, seguramente querrán otro número, esto también lo podemos solucionar fácilmente

Sigue leyendo

Windows Server 2012 R2: Administrar Directivas (GPOs) de Windows 10


Windows 10 es una versión del sistema operativo cliente que ya hace meses que está disponible en su versión final, inclusive las opciones para empresa, pero sin embargo el equivalente sistema operativo servidor aún no lo está, y aparentemente va a demorar un tiempo más en estar disponible la versión definitiva

Además, en general, la mayoría de los administradores de redes se animan con “nuevas experiencias” en máquinas cliente, pero con los servidores son mucho más cautos :)

Por lo tanto he decidido hacer esta nota para mostrar cómo desde nuestro Dominio con Windows Server 2012 R2, podemos probar y/o aplicar nuevas configuraciones a clientes con Windows 10 Professional o Enterprise

Sigue leyendo

Windows Server: Administrar desde Windows 10


Una de las opciones que tenemos para administrar nuestros servidores es instalar las herramientas de administración remota, más conocidas como RSAT = “Remote Server Administration Tools”, en un sistema operativo de escritorio

Para poder aprovechar la funcionalidad completa siempre es aconsejable que coincida la versión del sistema operativo entre cliente y servidores, pero como Windows 10 ya salió hace un tiempo, y para Windows Server 2016 todavía aparentemente le falta bastante, he decidido probar la instalación y uso

Sigue leyendo

Windows Server: Utilización de Grupos Restringindos (“Restricted Groups”)–Parte 2 de 2


Continuando la nota anterior “Windows Server: Utilización de Grupos Restringindos (“Restricted Groups”)–Parte 1 de 2” en esta veremos la segunda opción planteada en la anterior, esto es, automatizar mediante GPO que un grupo de Dominio sea agregado a un grupo local de estaciones de trabajo

Esta opción es comunmente utilizada para lograr que un grupo de soporte de estaciones de trabajo, sea administrador local de las mismas, pero sin quitar las cuentas ya incluidas

Sigue leyendo

Windows Server: Utilización de Grupos Restringindos (“Restricted Groups”)–Parte 1 de 2


La utilización de Grupos Restringidos es una solución muy buena cuando hay que controlar la membresía en grupos, ya sea para restringir los miembros de un grupo, como para automatizar la inclusión de cuentas en determinados grupos

Un ejemplo clásico de esto último es cuando se desea que un grupo de soporte de usuarios se incluya en el grupo administradores locales de todas las estaciones de trabajo

Por otra parte, y para dar un ejemplo del primer caso, es cuando por una falta de planificación previa se quieren controlar las cuentas que tendrán privilegios administrativos sobre servidores, quitando las cuentas no apropiadas

Todo esto se puede hacer automáticamente mediante GPOs con Grupos Restringidos

En esta primera nota veremos justamente cómo podemos controlar y limpiar si fuera necesario la membresía de grupos en un ambiente de servidores, aunque sería análogo para máquinas cliente

Y aprovecharé para mostrar algunos detalles muy importantes que a veces provocan confusiones y efectos no deseados

Sigue leyendo

Prohibir el Uso de Aplicaciones–Parte 2 de 2


En la primera parte de estas notas (“Prohibir el Uso de Aplicaciones-Parte 1 de 2”) hemos visto cómo prohibir a un grupo de usuarios la ejecución de aplicaciones que sean parte del sistema operativo, o instaladas por un administrador

En esta segunda parte, veremos como podemos impedir la ejecución de las llamadas “aplicaciones portables”. Esas que no necesitan ningún tipo de instalación y alcanza con tenerlas copiadas en una carpeta, aún dentro de la carpeta Documentos de un usuario

Sigue leyendo

Prohibir el Uso de Aplicaciones–Parte 1 de 2


Una consulta que he visto muchas veces, es cómo evitar que los usuarios puedan usar determinadas aplicaciones

Este problema lo podemos dividir en dos posibilidades:

  • Aplicaciones instaladas por un administrador, o por omisión en el sistema
  • Aplicaciones portables, que no necesitan ninguna instalación y por lo tanto cualquier usuario ejecuta desde su carpeta

En esta primera nota, de las dos que prepararé, veremos el primer caso con un ejemplo, dejando la segunda opción para la siguiente nota

Como aclaración  por un comentario que he recibido: la posibilidad de restricción en Windows 7 es sólo para las versiones Enterprise y Ultimate, y para Windows 8  y 8.1 Enterprise

Más información en: Requirements to Use AppLocker

Sigue leyendo