Directivas de Grupo (GPO) – Filtrado de Seguridad

En la nota anterior “Directivas de Grupo (GPO) – Herencia, Forzar y Resolución de Conflictos” hemos visto algunas opciones que disponemos para aplicar las configuraciones de una GPO, ya sea en la forma normal, cortando la herencia o forzando la aplicación, como así también cómo se resuelven los conflictos de configuraciones entre diferentes GPOs aplicadas

En esta nota veremos otra opción que nos pemite seleccionar a qué usuario o grupo de usuarios aplicar o no una Directiva de Grupo (GPO)

La aplicación de Directivas de Grupo a grupos de seguridad de Active Directory ha resultado muy confusa para los que hablamos español, ya que la traducción de “Group Policy Object” a “Objeto Directiva de Grupo” a mi entender no es correcta

Sigue leyendo →

Directivas de Grupo (GPO) – Herencia, Forzado y Resolución de Conflictos

Hace ya mucho tiempo, Febrero de 2011 para ser más exactos, escribí un nota explicando cómo se aplican las Directivas de Grupo, más conocidas por GPOs (“Group Policy Objects”), y las opciones más comunes para limitar o forzar la aplicación de las mismas

“Cómo Funcionan las Directivas de Grupo (GPOs)”

En esta primera parte de las dos notas que estoy preparando ahora, veremos con un ejemplo práctico, cómo funciona la herencia de GPOs, cómo se puede evitar esto, o cómo forzar que así no sea, y además cómo se resuelve cuando una GPO conflictua una configuración con otra

Sigue leyendo →

Copiar Perfil de Usuario Local a Usuario de Dominio

Cuando se va a migrar desde Grupo de Trabajo a ambiente de Dominio Active Directory, una de las preocupaciones de los administradores es cómo migrar el perfil del usuario que hasta ese momento es una cuenta local, al del nuevo usuario creado en el Dominio, porque aunque se llamen igual serán dos cuentas diferentes

Copiar el perfil no se trata sólo de la información que este usuario local tenga localmente en su perfil, sino además sus configuraciones

En esta nota veremos una demostración simple de cómo hacer la migración del perfil de usuario con sus datos y configuraciones, aunque aclaro, la configuración de aplicaciones habría que probarla para cada una de ellas por las diferentes formas de instalación que tiene cada una

Sigue leyendo →

Que los Usuarios No Puedan Guardar en el Escritorio y Configuración Centralizada

Continuando con la personalización del escritorio de los usuarios que he comenzado en una nota anterior, en esta veremos cómo llegar a dos objetivos que he visto planteados en muchas ocasiones

• Que los usuarios no puedan guardar o modificar sus escritorios de Windows
• Que los administradores puedan poner accesos directos a aplicaciones o carpetas en todos los escritorios de los usuarios

Es fácil de hacer mediante Directivas de Grupo (GPOs)

Sigue leyendo →

Asignar a Usuarios Fondo de Pantalla

Una pregunta que he visto muchas veces en los foros es cómo un administrador puede asignar a todos los usuarios un fondo de pantalla propio de la empresa y que no lo puedan cambiar

Es una configuración muy fácil de lograr, aunque hay que tener en cuenta que en algunos casos puede aparecer un “bug”

Sigue leyendo →

Instalando Impresoras por Directivas de Grupo (GPOs)

La instalación de impresoras, tanto sea por máquinas, o por usuarios es algo que se puede hacer mediante Directivas de Grupo (GPOs). Me ha parecido interesante desarrollar este tema, no sólo porque he sido consultado muchas veces, sino porque ha cambiado de cómo era en sistemas operativos “viejos”

La nota la plantearé teniendo un servidor que comparte y administra una impresora de red, automatizando la instalación en máquinas cliente de acuerdo al usuario

Si se deseara la instalación por máquina, como mostraré, el procedimiento es casi igual, y se puede adaptar fácilmente

Sigue leyendo →

Servidores DNS: Repartir la Carga usando DHCP

Uno de los temas que he visto varias veces es cómo hacer para que en un ambiente de Dominio Active Directory se pueda repartir la carga de los clientes entre los diferentes Controladores de Dominio con el servicio DNS

Aunque en realidad hay administradores que no conocen cómo el cliente utiliza la configuración de DNS ;)
Cuando en la configuración de DNS en las propiedades de TCP/IPv4 configuramos tanto manualmente como por DHCP, un DNS preferido y un alternativo, cuándo el cliente se dirige a uno o al otro

El cliente siempre usa el que tenga configurado como preferido, y utiliza el alternativo únicamente si el preferido no responde. Una respuesta negativa es una respuesta, cuidado con esto

Entonces, si por ejemplo en mi red tengo dos Controladores de Dominio con el servicio DNS ¿cómo podría hacer para que algunos clientes utilicen como DNS preferido a uno, y otro usen como DNS preferido a otro?

Es fácil, usaremos “DHCP User Classes” y “DHCP Policies”

Sigue leyendo →

Quién Puede Unir Máquinas al Dominio, y Cuántas

Esta nota tiene como fin cumplir con dos objetivos diferentes, uno relativo a seguridad, y otro a delegación de una tarea que normalmente quiere reservarse a sólo los administradores

Vamos la primera ¿Sabe que un usuario normal puede unir máquinas al Dominio? Sí, puede, hasta 10 máquinas puede unir al Dominio, lo cual puede traer incontables problemas, desde la instalación automática de aplicaciones hasta Escritorio Remoto, en ambos casos con consumos de licencias. Y aún sin tener en cuenta que de esta máquina seguramente es administrador local, y lo que puede provocar en la red

Y la segunda, es que a veces los administradores, ahora sí, quieren delegar que algún grupo de usuarios pueda unir una cantidad determinada de máquinas al Dominio, pero no 10, seguramente querrán otro número, esto también lo podemos solucionar fácilmente

Sigue leyendo →

Windows Server 2012 R2: Administrar Directivas (GPOs) de Windows 10

Windows 10 es una versión del sistema operativo cliente que ya hace meses que está disponible en su versión final, inclusive las opciones para empresa, pero sin embargo el equivalente sistema operativo servidor aún no lo está, y aparentemente va a demorar un tiempo más en estar disponible la versión definitiva

Además, en general, la mayoría de los administradores de redes se animan con “nuevas experiencias” en máquinas cliente, pero con los servidores son mucho más cautos :)

Por lo tanto he decidido hacer esta nota para mostrar cómo desde nuestro Dominio con Windows Server 2012 R2, podemos probar y/o aplicar nuevas configuraciones a clientes con Windows 10 Professional o Enterprise

Sigue leyendo →

Windows Server: Administrar desde Windows 10

Una de las opciones que tenemos para administrar nuestros servidores es instalar las herramientas de administración remota, más conocidas como RSAT = “Remote Server Administration Tools”, en un sistema operativo de escritorio

Para poder aprovechar la funcionalidad completa siempre es aconsejable que coincida la versión del sistema operativo entre cliente y servidores, pero como Windows 10 ya salió hace un tiempo, y para Windows Server 2016 todavía aparentemente le falta bastante, he decidido probar la instalación y uso

Sigue leyendo →

Windows Server: Utilización de Grupos Restringindos (“Restricted Groups”)–Parte 2 de 2

Continuando la nota anterior “Windows Server: Utilización de Grupos Restringindos (“Restricted Groups”)–Parte 1 de 2” en esta veremos la segunda opción planteada en la anterior, esto es, automatizar mediante GPO que un grupo de Dominio sea agregado a un grupo local de estaciones de trabajo

Esta opción es comunmente utilizada para lograr que un grupo de soporte de estaciones de trabajo, sea administrador local de las mismas, pero sin quitar las cuentas ya incluidas

Sigue leyendo →

Windows Server: Utilización de Grupos Restringindos (“Restricted Groups”)–Parte 1 de 2

La utilización de Grupos Restringidos es una solución muy buena cuando hay que controlar la membresía en grupos, ya sea para restringir los miembros de un grupo, como para automatizar la inclusión de cuentas en determinados grupos

Un ejemplo clásico de esto último es cuando se desea que un grupo de soporte de usuarios se incluya en el grupo administradores locales de todas las estaciones de trabajo

Por otra parte, y para dar un ejemplo del primer caso, es cuando por una falta de planificación previa se quieren controlar las cuentas que tendrán privilegios administrativos sobre servidores, quitando las cuentas no apropiadas

Todo esto se puede hacer automáticamente mediante GPOs con Grupos Restringidos

En esta primera nota veremos justamente cómo podemos controlar y limpiar si fuera necesario la membresía de grupos en un ambiente de servidores, aunque sería análogo para máquinas cliente

Y aprovecharé para mostrar algunos detalles muy importantes que a veces provocan confusiones y efectos no deseados

Sigue leyendo →

Prohibir el Uso de Aplicaciones–Parte 2 de 2

En la primera parte de estas notas (“Prohibir el Uso de Aplicaciones-Parte 1 de 2”) hemos visto cómo prohibir a un grupo de usuarios la ejecución de aplicaciones que sean parte del sistema operativo, o instaladas por un administrador

En esta segunda parte, veremos como podemos impedir la ejecución de las llamadas “aplicaciones portables”. Esas que no necesitan ningún tipo de instalación y alcanza con tenerlas copiadas en una carpeta, aún dentro de la carpeta Documentos de un usuario

Sigue leyendo →

Prohibir el Uso de Aplicaciones–Parte 1 de 2

Una consulta que he visto muchas veces, es cómo evitar que los usuarios puedan usar determinadas aplicaciones

Este problema lo podemos dividir en dos posibilidades:

• Aplicaciones instaladas por un administrador, o por omisión en el sistema
• Aplicaciones portables, que no necesitan ninguna instalación y por lo tanto cualquier usuario ejecuta desde su carpeta

En esta primera nota, de las dos que prepararé, veremos el primer caso con un ejemplo, dejando la segunda opción para la siguiente nota

Como aclaración  por un comentario que he recibido: la posibilidad de restricción en Windows 7 es sólo para las versiones Enterprise y Ultimate, y para Windows 8  y 8.1 Enterprise

Más información en: Requirements to Use AppLocker

Sigue leyendo →

Copia de Seguridad (“Backup”) – Recuperación del Estado del Sistema (“System State”) de un Controlador de Dominio

En esta tercera nota que complementa las dos anteriores (“Copia de Seguridad (“Backup”) de Controlador de Dominio” y “Copia de Seguridad (“Backup”) – Recuperación Completa de un Controlador de Dominio”) en esta ocasión vamos a ver cómo podemos utilizar la copia de seguridad del Estado del Sistema para recuperar objetos eliminados en Active Directory

Sigue leyendo →

Copia de Seguridad (“Backup”) – Recuperación Completa de un Controlador de Dominio

Continuando la nota anterior “Copia de Seguridad (“Backup”) de Controlador de Dominio” en esta veremos cómo recuperar (“Restore”) un Controlador de Dominio desde una copia de seguridad completa

El ejemplo que estoy desarrollando se trata de una ambiente de Active Directory con un único Controlador de Dominio, así que asegurarse que podemos recuperar la copia hecha es de fundamental importancia

Por limitaciones de mi ambiente virtual, no puedo demostrar la recuperación sobre un hardware diferente, pero es muy importante que hagan esa prueba, ya que si el servidor tiene algunos años, en caso de reemplazo difícilmente lo consigamos con exactamente los mismos componentes

Sigue leyendo →

Copia de Seguridad (“Backup”) de Controlador de Dominio

El tema de mantener copia de seguridad (“Backup”) de Controladores de Dominio es crítico, y aún más para la pequeña organización, donde no se han implementado más de un Controlador de Dominio para tener tolerancia a fallas

Y aún teniendo más de un Controlador de Dominio, siempre es altamente conveniente tener copia de seguridad, por ejemplo para poder solucionar inconvenientes tales como borrados accidentales o también corrupción de datos replicados

Así que me he propuesto hacer tres notas sobre el tema. En esta primera veremos los dos tipos de copia de seguridad, y en las siguiente veremos las opciones de recuperación que nos da cada una

Porque no sólo se trata de hacer copias de seguridad, hay algo de la misma importancia ¿sabe y puede recuperarlas?

El caso que plantearé es el más crítico, esto es, cuando se dispone solamente de un único Controlador de Dominio

Sigue leyendo →

Administración Centralizada de los Administradores Locales – Parte 2 de 2

Habiendo completado todos los procedimientos de la nota anterior (“Administración Centralizada de los Administradores Locales – Parte 1 de 2”) en esta vamos a completar las configuraciones necesariasy demostrar su utilización

Comenzaremos con una forma de saltarse las limitaciones que mencionamos anteriormente como es habilitar la cuenta de administrador y asignarle una contraseña en forma remota

Sigue leyendo →

Administración Centralizada de los Administradores Locales – Parte 1 de 2

Hace un tiempo ya publiqué una nota sobre cómo poder administrar la cuenta administradora local de las máquinas de un Dominio Active Directory (“Habilitar y Renombrar el Administrador Local Usando Group Policies (Directivas de Grupo”). En su momento funcionaba perfectamente, pero una actualización de seguridad de Windows hizo que dejara de ser posible usar ese método (“Microsoft Security Bulletin MS14-025 – Important”)

Esta actualización, evitaba por riesgo de seguridad que la contraseña de usuario esté incluida en una GPO, porque aunque la misma se almacenaba en forma “oscurecida” aún era posible que bajo ciertas circunstancia pueda ser legible

Como una forma de remediar el problema que provoca en la administración centralizada Microsof ha liberado una aplicación adicional que permite volver a hacer la administración centralizada: Local Administrator Password Solution (LAPS)

Vamos a ver su implementación y uso, incluyendo las configuraciones adicionales que hay que hacer

Sigue leyendo →

Cambiar Nombre a un Dominio Active Directory (Parte 2 de 2)

Continuando la nota anterior “Cambiar Nombre a un Dominio Active Directory (Parte 1 de 2” continuaré desarrollando el tema con las configuraciones faltantes y la verificación de operación de los clientes del Dominio

Aunque en la nota anterior vimos todo el proceso de renombrado y actualización del cambio de nombre en las GPOs, todavía nos falta mucho para trabajar con el servicio DNS para dejar todo “como debe ser”

Sigue leyendo →