Archivos por Etiqueta: Windows Server 2003 R2

Windows Server: Grupos y Usuarios Temporarios


Todos conocemos, eso creo, que a las cuentas de usuario se les puede poner una fecha de expiración. Esto se usa fundamentalmente para usuarios temporarios para que luego de una fecha determinada la cuenta se desactive automáticamente

Pero en algunas ocasiones se necesita algo más específico, por ejemplo que una cuenta dure sólo unos minutos o algunas horas, o aún a una hora determinada sea eliminada

Inclusive esto que demostraré, se puede hacer sobre grupos, que no muestra cómo asignarle un día y hora determinados como límite de uso

Me he sorprendido, pues leo que está disponible desde Windows Server 2003. No lo conocía

Sigue leyendo

Anuncios

Windows Server: Utilización de Grupos Restringindos (“Restricted Groups”)–Parte 2 de 2


Continuando la nota anterior “Windows Server: Utilización de Grupos Restringindos (“Restricted Groups”)–Parte 1 de 2” en esta veremos la segunda opción planteada en la anterior, esto es, automatizar mediante GPO que un grupo de Dominio sea agregado a un grupo local de estaciones de trabajo

Esta opción es comunmente utilizada para lograr que un grupo de soporte de estaciones de trabajo, sea administrador local de las mismas, pero sin quitar las cuentas ya incluidas

Sigue leyendo

Windows Server: Utilización de Grupos Restringindos (“Restricted Groups”)–Parte 1 de 2


La utilización de Grupos Restringidos es una solución muy buena cuando hay que controlar la membresía en grupos, ya sea para restringir los miembros de un grupo, como para automatizar la inclusión de cuentas en determinados grupos

Un ejemplo clásico de esto último es cuando se desea que un grupo de soporte de usuarios se incluya en el grupo administradores locales de todas las estaciones de trabajo

Por otra parte, y para dar un ejemplo del primer caso, es cuando por una falta de planificación previa se quieren controlar las cuentas que tendrán privilegios administrativos sobre servidores, quitando las cuentas no apropiadas

Todo esto se puede hacer automáticamente mediante GPOs con Grupos Restringidos

En esta primera nota veremos justamente cómo podemos controlar y limpiar si fuera necesario la membresía de grupos en un ambiente de servidores, aunque sería análogo para máquinas cliente

Y aprovecharé para mostrar algunos detalles muy importantes que a veces provocan confusiones y efectos no deseados

Sigue leyendo

Windows Server: Migrar un Servidor de Archivos


Uno de los temas que muchas veces he visto consultar es sobre la migración de un Servidor de Archivos (“File Server”) y las diferentes opciones. Varias de ellas usando XCOPY, ROBOCOPY, “Backup” y “Restore”, etc. todas posibles para mantener los permisos de Seguridad (NTFS), pero que se “olvidan” de los permisos de Compartido, entonces la pregunta es ¿cómo migrar los compartidos?

Esta migración de servidor, puede ser por cambio de equipamiento, o inclusive por actualización de sistema operativo, o para virtualizar una máquina física, y más posiblidades

Como todavía se escuchan consultas de organizaciones que recién ahora están migrando desde Windows Server 2003, me he propuesto hacer una migración de un Servidor de Archivos con Windows Server 2003 R2, a uno actual con Windows Server 2012 R2, y comprobar que tenemos otra alternativa a las ya nombradas, y gratis, sencilla y eficiente

Sigue leyendo

Active Directory: Agregar Atributos Personalizados


Continuando con el tema de la nota anterior (Active Directory: Mostrar y Editar Atributos Ocultos), en esta nota veremos cómo podemos crear nuestros propios atributos de acuerdo a necesidad

Aunque podemos utilizar uno de los atributos normales para otro uso, siempre y cuando tengan la misma sintaxis, como ejemplo desarrollaré en este caso cómo agregarle a la clase “Users” un atributo como el DNI (Documento Nacional de Identidad), pero el procedimiento sería totalmente análogo para otros casos

Sigue leyendo

Active Directory: Mostrar y Editar Atributos Ocultos


Si han investigado un poco Active Directory seguramente habrán visto que, por ejemplo, una cuenta de usuario tiene disponibles muchos más atributos que los que muestra la aplicación “Active Directory Users and Computer” (Usuarios y Equipos de Active Directory). Algunos no se pueden modificar porque son utilizados internamente, pero muchos otros son informativos y podemos utilizarlos, y además editarlos fácilmente con un pequeño script

Todo comenzó, cuando revisando unas viejas notas encontré un script, que supongo que era para Windows 2000, pero todavía sigue siendo válido, y fue lo que me animó a escribir esta nota

Sigue leyendo

Crear Usuarios en Forma Masiva y Con Atributos


No es una tarea habitual,  pero a veces y sobre todo cuando se crea un nuevo Dominio Active Directory, hay que ejecutar un alta masiva de muchas cuentas de usuario.
Inclusive es una muy buena práctica completar los atributos adicionales de cada uno, ya que esto puede facilitar enormemente posteriormente las búsquedas

Por lo tanto en esta demostración investigaremos y veremos cómo se puede hacer el proceso, ya que la creación manual de usuario por usuario sería en este caso lentísima, y ni que comentar si además hay que configurarle propiedades a cada uno

Además puede darse el caso de tener que cambiar desde un “Dominio viejo” a un “Dominio nuevo”. Para esto se pueden usar aplicaciones como ADMT (“Active Directory Migration Tool”), pero a veces lo único que se necesita es la creación de nuevas cuentas de usuario,  por ejemplo, para crear un Domino “espejo” del productivo

Sigue leyendo

Delegar Administración en Active Directory


Una capacidad muy importante de Active Directory es la habilidad de poder delegar en forma muy granular algunas tareas administrativas en usuarios que no pertenezcan a alguno del los grupos con poderes administrativos irrestrictos, como por ejemplo los administradores

En una organización muy chica probablemente no se haga delegación de tareas, pero es algo casi imprescindible en grandes organizaciones, ya que no todo el que tenga que ejecutar alguna tarea administrativa tiene que tener los “super poderes” de un administrador
A veces, sobre todo en las medianas, no se delegan tareas por desconocimiento de su funcionamiento
Es una opción muy poderosa, que permite delegar definiendo:

  • Qué tarea/s se delegará o delegarán
  • Sobre qué tipo de objetos (usuarios, grupos, GPOs, unidades organizativas, etc.)
  • Sobre qué partes del Dominio (unidades organizativas, el Dominio, etc.)

Esto también responde a una consulta que se escucha con frecuencia: “que sea administrador, pero que no pueda …”. Lo cual es imposible, ya que si pertence al grupo de Administradores (“Administrators”) no hay forma de quitarle privilegios sobre la máquina o el Dominio

Veremos una demostración muy simple, donde sólo es necesario una máquina Controlador de Dominio

Sigue leyendo

La Vista del Cuadro de Tareas (“Taskpad Views”) ¿Sabe Qué Es y Como Crearlas?


La Vista del Cuadro de Tareas (“Taskpad Views”) es uno de los elementos que creo que pasa desapercibido para muchos administradores de Dominios Active Directory, y además Microsoft las ha promocionado muy poco

Son consolas (MMCs) personalizadas, orientadas fundamentalmente a facilitar la administración, y por sobre todo cuando se hace delegación de tareas administrativas

¿Ha visto alguna vez algo así?

Sigue leyendo

Relaciones de Confianza (Trusts) – “Forest Trusts”


Siguiendo con esta serie de notas sobre Relaciones de Confianza (“Trusts”) esta vez vamos a ver en qué casos, cómo se crean y características de las relaciones de confianza entre Bosques del tipo “Forest Trust”

Un caso, aunque no es muy común, es que en una misma organización se tengan varios Bosques (“Forests”) separados, pero que sin embargo tengan que compartir recursos.
El caso, que veo más común, es el de la adquisión de una organización por otra, o unificación de organizaciones, donde cada una tiene su infraestructura de Active Directory ya en funcionamiento

Debemos recordar, que hasta la última versión del sistema operativo (Windows Server 2012 R2) no es posible la unión de dos Bosques (“Forests”) diferentes; esto es, si se crearon Bosques diferentes, se quedarán independientes, cada uno con su propio Esquema (“Schema”), información de Catálogo Global (“Global Catalog”), etc. aunque con ayuda de estas relaciones de confianza “Forest Trusts” aún podemos hacer que compartan recursos. De otra forma habría que hacer un proceso de consolidación que generalmente no es sencillo

Sigue leyendo

Actualizar Dominio Windows 2003 a Windows Server 2012 R2


Estaba pensando en el tema de actualización de Dominios Active Directory y sobre todo en qué posibilidades de actualización desde versiones anteriores podrían hacerse

Tengamos en cuenta que todavía hay en funcionamiento versiones anteriores, inclusive algunas con Windows Server 2003 R2, así que decidí probar

La partida será desde un ambiente de Dominio Windows Server 2003 R2 con nivel funcional Windows 2003.

Sigue leyendo