Hyper-V Server 2016 Gratis – Administración Gráfica Remota del Servidor en Grupo de Trabajo

En las dos notas anteriores habíamos dejado instalado y configurado Hyper-V Server en una máquina, y además hemos configurado en otra máquina la administración remota de Hyper-V

• Hyper-V Server 2016 Gratis – Instalación en Grupo de Trabajo
• Hyper-V Server 2016 Gratis – Administración Gráfica Remota de Hyper-V en Grupo de Trabajo

En esta veremos cómo podemos mejorar la administración remota con “Computer Management” y “Disk Management” con lo cual tendremos control casi completo, pero a través de interfaz gráfica

Sigue leyendo →

Hyper-V Server 2016 Gratis – Administración Gráfica Remota de Hyper-V en Grupo de Trabajo

Continuando esta serie de notas, y luego de la instalación y configuración hecha en la nota anterior (“Hyper-V Server 2016 Gratis – Instalación en Grupo de Trabajo”) continuaremos en esta con la configuración necesaria para poder administrar y configurar Hyper-V en forma gráfica y remota desde un Windows 10

Aprovecho para comentar el motivo por el que me parece interesante el tema que estamos desarrollando, y hay varios motivos en una pequeña red que no usa Dominio

Esto es aplicacble ya sea a una muy pequeña empresa, o sin los recursos suficientes para la adquisición y administración de varios servidores, como así también para una red de pruebas, o inclusive un ambiente doméstico para pruebas

Hyper-V Server, tiene varias ventajas sumamente importantes, primero que nada es gratis, y para las máquinas virtuales que utilicemos para pruebas siempre se pueden usar las versiones de evaluación que se pueden descargar gratuitamente

Por otra parte, es importante para tener en cuenta que al ser una versión reducida y sin interfaz gráfica, ocupa mucho menos espacio de disco y por supuesto es mucho más “liviano” de ejecutar, y por si fuera poco, por las características anteriores requiere menos actualizaciones. Pero siempre mantiene todas las características técnicas propias de Hyper-V

Aunque por lo anterior no siempre es cómodo trabajar únicamente con línea de comandos, así que por eso estoy haciendo esta nota

Sigue leyendo →

Hyper-V Server 2016 Gratis – Instalación en Grupo de Trabajo

Aunque anteriormente he hecho varias notas sobre la versión poco conocida y gratuita de Hyper-V Server 2012, en esta ocasión el objetivo es hacerlo sobre Hyper-V Server 2016, y a diferencia del anterior en ambiente de Grupo de Trabajo

Para el que no lo conozca, Hyper-V Server es una versión gratuita de Windows Server, sin interfaz gráfica y en cuanto a roles limitado a Hyper-V. De una forma simplificada, es una versión “Core” con Hyper-V ya instalado

Los motivos fundamentales son porque la configuración para administrar Hyper-V remotamente es diferente, y además porque en ambiente de Grupo de Trabajo la configuración es más compleja que en ambiente de Dominio como había mostrado anteriormente

Sigue leyendo →

SIDs, GUIDs, DACLs, ACEs ¿Qué Son y Cómo Se Relacionan?

A diferencia de la mayoría de las notas de este blog esta vez no voy a mostrar ningún procedimiento paso a paso, sino que vamos a revisar algunos conceptos básicos de seguridad en ambiente de red

Me enfocaré en los conceptos, términos y siglas de ambiente Microsoft ya que es lo que conozco con un poco de profundidad

Conocer cómo funcionan los procesos de autenticación y autorización en ambiente Microsoft es fundamental para comprender ciertos procesos y no incurrir en errores básicos como por ejemplo que “si se llama igual” es “el mismo”

Además de comprender algunos funcionamientos servirá para interpretar algunas de las siglas y términos usados comunmente

Sigue leyendo →

Directivas de Grupo (GPO) – Filtrado de Seguridad

En la nota anterior “Directivas de Grupo (GPO) – Herencia, Forzar y Resolución de Conflictos” hemos visto algunas opciones que disponemos para aplicar las configuraciones de una GPO, ya sea en la forma normal, cortando la herencia o forzando la aplicación, como así también cómo se resuelven los conflictos de configuraciones entre diferentes GPOs aplicadas

En esta nota veremos otra opción que nos pemite seleccionar a qué usuario o grupo de usuarios aplicar o no una Directiva de Grupo (GPO)

La aplicación de Directivas de Grupo a grupos de seguridad de Active Directory ha resultado muy confusa para los que hablamos español, ya que la traducción de “Group Policy Object” a “Objeto Directiva de Grupo” a mi entender no es correcta

Sigue leyendo →

Directivas de Grupo (GPO) – Herencia, Forzado y Resolución de Conflictos

Hace ya mucho tiempo, Febrero de 2011 para ser más exactos, escribí un nota explicando cómo se aplican las Directivas de Grupo, más conocidas por GPOs (“Group Policy Objects”), y las opciones más comunes para limitar o forzar la aplicación de las mismas

“Cómo Funcionan las Directivas de Grupo (GPOs)”

En esta primera parte de las dos notas que estoy preparando ahora, veremos con un ejemplo práctico, cómo funciona la herencia de GPOs, cómo se puede evitar esto, o cómo forzar que así no sea, y además cómo se resuelve cuando una GPO conflictua una configuración con otra

Sigue leyendo →

Olvidé la Contraseña ¿Y ahora?

No es muy común, pero a veces sucede, y no sólo a un usuario hogareño, sino que hasta lo he visto más de una vez con el administrador de un Dominio

Todo se puede solucionar, pero primero hablemos de lo que en realidad es importante: la seguridad física

Si no hay seguridad física en cuanto al acceso a una máquina, todo lo demás que se pueda hacer se puede volver inservible

Si el problema le sucede a un usuario normal de Dominio es muy fácil de resolver con el procedimiento normal, pero si en cambio le sucede a un usuario hogareño que tiene un único usuario administrador, estará en problemas, hasta ahora :-)

Como comentaba antes, también le sucede a algún administrador de Dominio que no sigue las buenas prácticas, como son no usar la cuenta predefinida de administrador, o tener una única cuenta con privilegios administrativos sobre el Dominio

Mostraré el proceso en el caso más grave como es la del administrador de Dominio, pero con una pequeña modificación sirve para administradores locales de máquina

Sigue leyendo →

Windows Server 2016 – Lab – Administración Centralizada desde Cliente (RD y RSAT)

En una nota anterior hemos visto cómo centralizar la administración de los servidores desde otro servidor (“Windows Server 2016 – Lab – Administración Centralizada”) pero en esta nota veremos opciones para hacer lo mismo pero desde un cliente con sistema operativo de escritorio

Veremos primero cómo hacerlo con Escritorio Remoto (“Remote Desktop”) que tiene la ventaja de poder hacerlo desde cualquier versión de cliente que tenga el cliente de Escritorio Remoto, y a continuación veremos cómo podemos instalar en un cliente las RSAT (Remote Server Administration Tools)

Personalmente siempre prefiero usar la primera opción porque es independiente de la versión del sistema operativo cliente, pero aunque hay quien prefiere la segunda en este caso debemos recordar que para tener total funcionalidad deben coincidir las versiones de sistemas operativos, esto es, para administrar con RSAT un Windows Server 2016 el cliente debe ser Windows 10

Además y como un pequeño truco veremos cómo podemos habilitar Escritorio Remoto en forma remota, y esto vale para cualquier máquina, incluso para sistemas operativos cliente o versiones anteriores

Sigue leyendo →

Windows Server 2016 – Lab – Administración Centralizada

En las notas anteriores muestro como estoy configurando un ambiente de pruebas para Windows Server 2016, ya está creado el Dominio y hay dos máquinas miembros del Dominio, ambas con Windows Server 2016, sólo que una tiene interfaz gráfica (SRV1), y la otra no (CORE1)

En esta nota vamos a ver cómo podemos administrarlas centralizadamente desde DC1, tanto por “Computer Management” como agregar y configurar funcionalidades

Sigue leyendo →

Primer Inicio de Sesión por VPN

Trasladar una máquina de la red de la empresa fuera de la red, como todos sabemos, no causa problemas de inicio de sesión con una cuenta de usuario de Dominio, esto es así porque si el usuario ya había iniciado sesión en ese equipo, entonces localmente hay “cacheada” una copia de la contraseña, por lo cual no ofrece ningún problema inciar sesión con una cuenta del Dominio

Pero ¿qué sucede si se tratara de un usuario que nunca inció sesión anteriormente en dicho equipo? la respuesta es que no podrá hacerlo, ya que no se puede contactar a un Controlador de Dominio

La solución no es compleja: se debería poder tener una conexión VPN a la red del Dominio para permitir la autenticación y autorización del usuario, aún antes del incio de sesión

Esto implica tener que hacer un agregado a la pantalla de incio de sesión que permita el inicio a través de VPN

Sigue leyendo →

Remote Desktop – Escritorio Remoto: Configuración del Licenciamiento (RD-CALs) en Grupo de Trabajo (“Workgroup”)

Continuando la nota anterior “Remote Desktop – Escritorio Remoto: Instalación Básica en Grupo de Trabajo (“Workgroup”)” en esta vamos a proceder a la configuración del licenciamiento de Escritorio Remoto, que no es tan sencilla como en ambiente de Dominio Active Directory, una parte se hace a través de la Directiva Local de Seguridad

Además, al estar en Grupo de Trabajo, sólo se puede licenciar por dispositivo, y no por usuario

Recuerdo que Escritorio Remoto requiere licenciamiento aparte de las CALs (“Client Access Licenses”) que permiten acceder al servidor. Para Escritorio Remoto se deben adquirir RD-CALs (“Remote Desktop CALs”), y además instalar y activar el servicio de licenciamiento

Sigue leyendo →

Remote Desktop – Escritorio Remoto: Instalación Básica en Grupo de Trabajo (“Workgroup”)

Muchas veces he visto la consulta sobre la utilización de Remote Dekstop – Escritorio Remoto en ambiente de Grupo de Trabajo. No es que no se pueda, sino que el procedimiento de instalación es diferente, y la funcionalidad reducida con respectoa a la implementación en ambiente de Dominio Active Directory

No se pueden utilizar los procedimientos “normales” de instalación y configuración denominados “Quick Start” y “Standard Deployment” que he documentado en notas anteriores, hay que hacerlo de forma diferente

Además veremos cómo podemos solucionar el mensaje de advertencia sobre el certificado no confiable del servidor que da por omisión

Sigue leyendo →

Bloqueo de Cuentas de Usuario: Cómo Ayudar a Solucionarlo

Cuando en un ambiente de Dominio Active Directory se implementa una directiva de bloqueo de cuentas, suele suceder que alguna cuenta de usuario se bloquea sin que el usuario haya puesto mal la contraseña al iniciar sesión

Los motivos suelen ser variados, aunque generalmente se deben a que el usuario cambió su contraseña, pero quedaron conexiones de red que estaban hechas recordando la contraseña anterio. O inclusive a veces se debe a que hay servicios que se ejectuan con la cuenta de usuario

Cuando esto sucede es importante identificar la causa, y para eso debemos buscar el evento de seguridad que se genera cuando se bloquea la cuenta, para poder identificar desde qué máquina cliente se produjo el bloqueo

Sigue leyendo →

Directivas de Grupo (“GPOs”) – Optimizar y Evitar Futuros Problemas

Entiendo que todos, o casi, los que estamos con el tema Active Directory conocemos cómo funcionan las Directivas de Grupo (“Group Policies” , “GPOs”), y sabemos que cada vez que ha salido un “Service Pack” o una versión nueva de un sistema operativo cambian las Plantillas Administrativas (“Administrative Templates”) con nuevas opciones de configuración

Hasta hace un tiempo era fácil mantener las versiones actualizadas de estas Plantillas Administrativas, ya sea porque los cambios no eran muy frecuentes, o porque la versión del sistema operativo de los clientes coincidia con la de los correspondientes servidores Controladores de Dominio

Pero esto ya no es así, hace varios meses que muchos están conviviendo con clientes Windows 10, pero sin embargo los Controladores de Dominio corresponden a versiones anteriores, en el mejor de los casos Windows Server 2012 R2

A lo anterior debemos sumarle que Windows 10 promete actualizaciones más seguidas en el tiempo aunque conserve su nombre. Un ejemplo típico es Windows 10 v1511

Y por último, dentro de unos meses estará disponible la versión definitiva de Windows Server 2016, que no descarto que tenga actualizaciones de la misma forma que Windows 10

Por lo tanto, es importante que veamos cómo podemos y podremos mantener actualizadas las Plantillas Administrativas de la forma más eficiente y con menos esfuerzo

Sigue leyendo →

Copiar Perfil de Usuario Local a Usuario de Dominio

Cuando se va a migrar desde Grupo de Trabajo a ambiente de Dominio Active Directory, una de las preocupaciones de los administradores es cómo migrar el perfil del usuario que hasta ese momento es una cuenta local, al del nuevo usuario creado en el Dominio, porque aunque se llamen igual serán dos cuentas diferentes

Copiar el perfil no se trata sólo de la información que este usuario local tenga localmente en su perfil, sino además sus configuraciones

En esta nota veremos una demostración simple de cómo hacer la migración del perfil de usuario con sus datos y configuraciones, aunque aclaro, la configuración de aplicaciones habría que probarla para cada una de ellas por las diferentes formas de instalación que tiene cada una

Sigue leyendo →

Que los Usuarios No Puedan Guardar en el Escritorio y Configuración Centralizada

Continuando con la personalización del escritorio de los usuarios que he comenzado en una nota anterior, en esta veremos cómo llegar a dos objetivos que he visto planteados en muchas ocasiones

• Que los usuarios no puedan guardar o modificar sus escritorios de Windows
• Que los administradores puedan poner accesos directos a aplicaciones o carpetas en todos los escritorios de los usuarios

Es fácil de hacer mediante Directivas de Grupo (GPOs)

Sigue leyendo →

Asignar a Usuarios Fondo de Pantalla

Una pregunta que he visto muchas veces en los foros es cómo un administrador puede asignar a todos los usuarios un fondo de pantalla propio de la empresa y que no lo puedan cambiar

Es una configuración muy fácil de lograr, aunque hay que tener en cuenta que en algunos casos puede aparecer un “bug”

Sigue leyendo →

Notificación de Eventos Remotamente

Muchas veces los administradores de una red desean ser notificados de eventos significativos que se producen en los servidores que proveen determinado servicio. Básicamente el objetivo es no tener que estar revisando el Visor de Eventos de varios servidores, sino que directamente ante algún evento que se pueda configurar, el administrador sea notificado en su estación de trabajo, e inclusive de esta forma podemos centralizar el control

Esto se puede configurar de forma sencilla, quizás el inconveniente es que no es algo instantáneo sino que pasan unos minutos entre la ocurrencia del evento y la notificación

Sigue leyendo →

Quién Puede Unir Máquinas al Dominio, y Cuántas

Esta nota tiene como fin cumplir con dos objetivos diferentes, uno relativo a seguridad, y otro a delegación de una tarea que normalmente quiere reservarse a sólo los administradores

Vamos la primera ¿Sabe que un usuario normal puede unir máquinas al Dominio? Sí, puede, hasta 10 máquinas puede unir al Dominio, lo cual puede traer incontables problemas, desde la instalación automática de aplicaciones hasta Escritorio Remoto, en ambos casos con consumos de licencias. Y aún sin tener en cuenta que de esta máquina seguramente es administrador local, y lo que puede provocar en la red

Y la segunda, es que a veces los administradores, ahora sí, quieren delegar que algún grupo de usuarios pueda unir una cantidad determinada de máquinas al Dominio, pero no 10, seguramente querrán otro número, esto también lo podemos solucionar fácilmente

Sigue leyendo →

Windows Server: Utilización de Grupos Restringindos (“Restricted Groups”)–Parte 2 de 2

Continuando la nota anterior “Windows Server: Utilización de Grupos Restringindos (“Restricted Groups”)–Parte 1 de 2” en esta veremos la segunda opción planteada en la anterior, esto es, automatizar mediante GPO que un grupo de Dominio sea agregado a un grupo local de estaciones de trabajo

Esta opción es comunmente utilizada para lograr que un grupo de soporte de estaciones de trabajo, sea administrador local de las mismas, pero sin quitar las cuentas ya incluidas

Sigue leyendo →