Windows Brown Resolver
Soluciones diarias a los problemas que nos plantea Microsoft
Cuando creas un controlador de dominio en una máquina virtual no utilizas un disco físico sino que utilizas como ya sabemos un disco .vhd, es decir, un disco virtual. Hemos de saber que un controlador de dominio es el típico escenario a ser virtualizado, normalmente con hyperV si trabajamos con Microsoft o un con otra tecnología.
» Leer más: Proteger controladores de dominio que son Maquinas Virtuales
Security configuration Wizard. Windows Server 2008
Este asistente de Windows sirve para ajustar la configuración de seguridad de un servidor cerrando puertos o parando por ejemplo servicios que no son usados por una máquina. Instalar roles, características, configurar claves del registro y todo de una sola vez utilizando un archivo .xml. Idoneo para servidores recien instalados que requieren una post-instalación incluso realizando la configuración en remoto.
Este asistente de seguridad es: scwcmd.exe
Cuantas veces nos hemos encontrado en la situación necesaria de recuperar un objeto en nuestro directorio activo. El sistema LDAP (Directorio Activo) de Microsoft tiene un sistema para la recuperación de objetos que han sido borrados.
Los objetos borrados de forma accidental son almacenados en un contenedor oculto llamado: Tombstone container, mientras los objetos estén en este contenedor pueden ser recuperados.
Hay diferentes formas de recuperar un objeto, siendo estas desde herramientas externas o bien desde el propio sistema operativo. Personalmente te aconsejo los software de terceros creados por empresas que no son Microsoft ya que son mucho más sencillas que las propias que integra el sistema operativo.
» Leer más: Recuperación de objetos borrados en Directorio Activo
¿ Qué es ?
Esta es una herramienta que tiene la misma función que la snap-in de analisis de seguridad para políticas ( GPOs ) en Directorio Activo y en máquinas. Sirve para comprobar las políticas utilizando plantillas como ejemplo de manera que puedas saber que se está aplicando o no en un servidor comprobando si las políticas se han aplicado correctamente o no.
Realmente, es como la consola gráfica, lo que hace es comparar una plantilla de política con las politicas (GPOs), que tiene aplicadas una máquina.
.
» Leer más: SecEdit.exe Analisis de seguridad con línea de comandos para GPOs en Directorio Activo
El análisis de seguridad de Microsoft puede agregarse en la consola MMC como puedes ver a continuación:
Esta consola tiene la función de poder analizar una política comparándola con otra de manera que puedas determinar de forma muy sencilla si la política en un destino es diferente de tú plantilla y por lo tanto descubrirás que políticas están cambiadas desde cuando tú la aplicaste. Es un método últil para saber si alguien ha cambiado las políticas desde que las aplicaste o saber si hay políticas nuevas que están provocando comportamientos extraños en algún servidor.
Para comenzar con su utilización lo primero que debes hacer, es crear una base de datos donde guardes tú configuración de seguridad, esta almacenará tús plantillas de seguridad.
Como todos sabemos la plantillas de politica pueden crearse para ahorrarnos el trabajo luego más tarde, ya hay plantillas las cuales puedes descargar de Microsoft y son especiales para diferentes tipos de restricciones de seguridad.
Abre una mmc y agrégate el snap-in “Security Templates”
Hay una serie de herramientas que se pueden usar para administrar el directorio activo y los servidores DNS.
Muchas de las herramientas que te muestro, también serán utilizadas para la administración del AD LDS o directorio ligero.
Esta herramienta administra las relaciones de confianza entre dominios. Los niveles de funcionalidad del dominio y los sufijos principales.
Modificación del esquema de Active Direcory o Light Active Directory.
Para que funcione y puedas agregarla en una mmc debes registrar la librería de system32 llamada Schmmgmt.dll
Puedes utilizarla para configurar y administrar los “scopes” y la replicación de los escenarios de tu infraestructura de directorio activo.
Configura y administra de forma centralizada las características y roles del dominio en cuanto a FSMO o RODC (Read Only Domain Controler)
» Leer más: Herramientas de Administración del Directorio Activo
Imagína que tenemos una política aplicada y queremos que dicha política no se aplique a determinadas máquinas, por lo que necesitamos hacer un filtro y luego aplicar ese filtro de manera que a determinadas máquinas o usuarios no se les aplique.
En primer lugar creamos un grupo por ejemplo: excepcion_Standart_de_GPO1
Tenemos que meter en este grupo las máquinas o usuarios que queremos excluir en la aplicación de la política. Por lo tanto es a nivel de política de dominio, por lo que vamos a trabajar sobre esta:
Ahora sobre la GPO de dominio nos vamos a la pestaña “Delegation” aquí damos al botón abajo a la derecha “Avanzadas” y agregamos el grupo que hemos creado. Marcaremos el check “Denegar” para la entrada de seguridad “Apply group Policy”.
La configuración de dengación es más restrictiva que la de lectura, es decir, que aunque haya un grupo en la pestaña “delegation” que permita aplicar la política a las máquinas, al existir uno más restrictivo, el resultado será DENEGACIÓN.
IvanZito
Muchas veces nos encontramos en la obligación de tener que cambiar políticas locales de las máquinas y además tenemos que controlar estas desde el dominio, para que cuando un usuario no esté conectado al dominio un portátil tenga una configuración especial.
Vamos a realizar un ejemplo típico donde nuestro usuario está con el portátil desconectado e inicia sesión con su portátil, aquí se le muestra un fondo de escritorio que no es corporativo y nuestro usuario da una imagen ante nuestros clientes poco corporativa.
Deseamos que cuando utilice su portátil y no esté conectado al dominio, su escritorio no pueda tener ningún wallpapers o tenga uno corporativo.
Lo primero que hay que hacer es un grupo donde alberguemos todas las máquinas del departamento o por ejemplo como hemos realizado a continuación, meter todos los portátiles del departamento finanzas:
Una vez que tenemos nuestro grupo preparado. Debemos crear la política que luego vamos a utilizar, para ello en el administrador de políticas GPMC creamos una nueva política para forzar el escritorio del usuario que queramos:
Para nuestra configuración es necesario no sólo configurar la política del escritorio, tenemos que configurar una política llamada: “User Group Policy loopback Proccesing Mode”. Esta política hace que se haga un “merge” (una fusión) de la política de dominio con las políticas locales. Realizándose una mezcla de los dos scopes: Dominio y Local
La explicación de las opciones de la política sería la siguiente:
Replace: La configuración definida por el usuario en su máquina en los objetos de política o en su Shell, reemplaza la configuración de políticas que nosotros estamos aplicando en el dominio o las que normalmente se le aplica. Esto quiere decir que vale más lo que el usuario haya configurado que nuestra política de dominio.
Merge: La configuración final del usuario es una fusión de las políticas locales y las políticas de dominio. Cuando el usuario no está logado en el dominio se realiza la fusión o “merge” de dichas políticas. Si hay conflicto en las políticas se aplica la configuración del usuario.
Este tipo de política se aplicará a cualquier usuario que haga logon en la máquina.
Configurarémos entonces: “User Group Policy loopback Proccesing Mode”
Ahora asigna tú política a la OU donde están las máquinas o la unidad organizativa donde están las máquinas a las que quieres aplicar la política y abajo en Scope, selecciona el grupo que has creado con los portátiles, así sólo se aplicará a las máquinas del grupo y no a los demás:
IvanZito
Una vez que tenemos nuestro grupo preparado. Debemos crear la política que luego vamos a utilizar, para ello en el administrador de políticas GPMC creamos una nueva política para forzar el escritorio del usuario que queramos:
Algunas veces hemos necesitado hacer algún filtro en las políticas para que no se apliquen a algunas máquinas concretas o algunas con algunas características especial. Bien, aparecen para ayudarnos los llamados Filtros WMI para aplicar las políticas a las máquinas con las características deseadas o bien no aplicar a determinadas máquinas.
Es necesario hacer consultas WQL que son parecidas a las consultas SQL pero sobre los objetos WMI.
Cuando seleccionamos el “Scope” de una política ( el grupo de objetos a los que queramos aplicar), podemos utilizar dichos filtros de manera que nuestra política sólo se aplique a las OUs, Sites o Dominos que queramos.
Primero tenemos que crear un filtro que será luego el Scope que utilizará la política.
Creamos nuevo filtro desde el administrador de políticas, GPM:
Ahora crea el filtro:
Ahora sobre una política ya definida, utiliza la pestaña Scope para aplicar a la política el filtro:
Con esto, conseguirás que esta política sólo se aplique a las máquinas con SP3.
IvanZito
Carlos Arroba
Iván Ruiz
 |
 |
