Autor: Dani Gracia

Consultor sistemas Freelance, colaboro en proyectos como Arquitecto de Directorio Activo, Virtualización, Cloud Computing

Acerca de Dani Gracia

Consultor sistemas Freelance, colaboro en proyectos como Arquitecto de Directorio Activo, Virtualización, Cloud Computing

por ·Sin comentarios

>Bueno, ya han pasado cuatro semanas desde que empezé en mi nuevo trabajo y todo va de maravilla.

He cambiado de empresa, estaba trabajando en CapGemini, y ahora estoy con Alba Technology, y estoy encantado.

La gente de Alba ha sido muy amable conmigo y me han recibido con los brazos abiertos, he de decir que todo han sido facilidades para que mi adaptación fuera lo más rápida posible. Les doy un 10.

Ahora estoy volcado en labores de consultoria (campo que me gusta más que la administración de sistemas) y estoy trabajando en un gran proyecto a nivel internacional.

Diseño de una nueva infra estructura de Directorio Activo y migración de cerca de 30.000 usuarios.

Ya seguiré contando más adelante como va el proyecto, hasta ahora de maravilla.

por ·Sin comentarios

>Recientemente me he topado con un misterioso caso de perdida de herencia de privilegios en cuentas de usuarios.
Cada hora más o menos el usuario xxxxx perdía la herencia de permisos sobre su cuenta de usuario, la restablecias pero de nuevo se perdía.

Hoy vamos a hablar de un viejo conocido de Directorio Activo pero que todavía está provocando muchos quebraderos de cabeza. Seguramente muchos de vosotros os habréis encontrado ya con este problema, pero para los que no, ahí va el post del día.

Imaginemos que se han establecido determinadas ACLs de seguridad sobre ciertos usuarios/grupos en Directorio Activo. Hasta ahí vamos bien y cabría esperar que dichas ACLs permanecieran tal y como las hemos establecido, ¿no? Pues imaginémonos ahora que, pasado cierto tiempo, las ACLs son restablecidas a su configuración original automáticamente para algunos usuarios/grupos. Y tantas veces como las volvamos a establecer, tantas veces que se resetean.

Bien, pues la causa de que se restablezcan los permisos sobre los usuarios o grupos de usuarios protegidos se debe a un mecanismo de protección de Directorio Activo que asegura que las ACLs se establecen correctamente a miembros de grupos sensibles. Este mecanismo se ejecuta cada hora en el PDC Emulator. Se compara la ACL sobre las cuentas de usuario que son miembros de grupos protegidos contra la ACL del siguiente objeto: CN=AdminSDHolder,CN=System,DC=,DC=. Si la ACL es diferente, la ACL sobre el objeto de usuario (o grupo) se sobrescribe para reflejar la configuración de seguridad del objeto AdminSDHolder y se deshabilita la herencia. Este proceso protege estas cuentas especiales para que no sean modificadas por usuarios no autorizados si las cuentas se mueven a un contenedor o Unidad Organizativa donde se hayan delegado a un usuario malicioso credenciales administrativas para modificar cuentas de usuario.

Las cuentas que se consideran “especiales” o protegidas son las que pertenecen a los siguientes grupos:

  • Enterprise Admins
  • Schema Admins
  • Domain Admins
  • Administrators
  • Account Operators
  • Server Operators
  • Print Operators
  • Backup Operators
  • Cert Publishers

Adicionalmente, también se consideran protegidas las siguientes cuentas:

  • Administrator
  • Krbtgt

Este comportamiento se describe en el siguiente artículo:

817433 Delegated permissions are not available and inheritance is automatically disabled

Bien, y ahora ¿qué hacemos para resolver el problema?

En el propio artículo se explican las diferentes alternativas posibles para establecer los permisos deseados sobre usuarios/grupos que pertenezcan a grupos protegidos:

1. Sacar al usuario/grupo sobre el que se resetean los permisos de los grupos protegidos a los que pertenezca. Esta opción es la más recomendable, ya que entonces se establecerían los permisos deseados sobre una cuenta de usuario común y no sobre un usuario que pertenece a un grupo protegido (y sobre el que teóricamente y por razones de seguridad no deberíamos modificar los permisos).

2. Evitar que el proceso monitorice alguno de los grupos protegidos (únicamente se pueden excluir Account Operators, Server Operators, Print Operators y Backup Operators) dejándolos de esa manera “desprotegidos” del chequeo de las ACLs. Esta opción sería probablemente la más adecuada si fuera necesario asignar permisos para un usuario sobre otros usuarios que deben pertenecer a alguno de estos grupos protegidos, pero deben considerarse los riesgos que se van a tomar.

3. Modificar la ACL del contenedor AdminSDHolder para adecuarla a la configuración deseada sobre los usuarios miembros de grupos protegidos (se establecería esta configuración de seguridad para todos los usuarios/grupos pertenecientes a cualquiera de los grupos protegidos). En este caso, habría que tener en cuenta que el usuario al que estáis otorgando los permisos tendría esos permisos sobre todos los grupos/usuarios protegidos, con los riesgos que ello implica.

4. Habilitar la herencia en las propiedades del contenedor AdminSDHolder de tal manera que los usuarios que pertenezcan a cualquiera de estos grupos protegidos hereden la configuración de seguridad de los contenedores en los que estén ubicados (con todo lo que ello conlleva, ya que podrían establecerse permisos sobre estos objetos de usuario para otros usuarios a los que no se les quiere o no se les debería dar esta capacidad == un usuario del HelpDesk podría tener permiso para resetear la contraseña de un Domain Admin, por ejemplo).

Más información sobre AdminSDHolder:

“AdminSDHolder
The Administrator security descriptor holder protects administrative groups through a background task that computes the set of memberships and checks whether their security descriptors are well-known protected security descriptors. If the security descriptor of any administrative account does not match that of AdminSDHolder, the security descriptor is overwritten with the security descriptor of AdminSDHolder. This task is executed only on the domain controller that holds the primary domain controller (PDC) emulator operations master role.”

por ·Sin comentarios

>Windows Server 2008 R2’s AppLocker feature allows additional policy configuration for software use on servers. IT pro Rick Vanover provides an overview of this enhanced functionality.

Windows Server 2008 R2’s AppLocker feature allows additional policy configuration for software use on servers. IT pro Rick Vanover provides an overview of this enhanced functionality.

Starting with Windows Server 2008 R2 for server platforms and Windows 7 for desktop platforms, the Software Restrictions policies functionality has been replaced with AppLocker. With AppLocker and Group Policy, you can define what files to prohibit from being executed; this can include scripts, installation files, and standard executables.

The management goodness of AppLocker is that it can be applied via Group Policy locally or via a domain-based GPO. AppLocker exists in the Computer Configuration section of Group Policy under Windows Settings | Security Settings | Application Control Policies. From there, the AppLocker configuration provides an enhanced Group Policy configuration as shown in Figure A.

Figure A

Click the image to enlarge.

Within this section of Group Policy, you can craft myriad individual configurations, including policies that permit or deny users or groups the ability to run a file, an installation, or a script. Further, you can set this with exceptions and apply it in a granular fashion in Active Directory. If you don’t want a full deny, you can configure AppLocker to only audit the iteration of an installation file, a script, or a standard executable.

The AppLocker feature is new to Windows Server 2008 R2 and will not apply to operating systems older than Windows Server 2008 R2 or Windows 7. For older OSs, you can apply Software Restriction Policies via a separate group policy object.]

Visit Microsoft’s site for more information about AppLocker.

Stay on top of the latest Windows Server 2003 and Windows Server 2008 tips and tricks with our free Windows Server newsletter, delivered each Wednesday. Automatically sign up today!

AppLocker is what I would use. I would create a directory that’s «acceptable» like c:GoodCommands and put all the stuff allowed to run in there. Then, use AppLocker to specify that c:GoodCommands is an acceptable place to run. AppLocker’s «brain» does the rest, and everything else is prevented.

 


por ·Sin comentarios

>Muy buenas,

Aunque parezca mentira, ya han pasado casi dos años desde mi último post. No tengo perdón, pero he estado tan metido en otros proyectos que deje de lado este Blog.

Cuando empecé el blog pensé que sería imposible descuidarlo, que añadiría todo tipo de información, noticias, tunning, mejoras, etc. Pero desgraciadamente no ha sido tan fácil.

He estado preoarando el Acceso a la Universidad el año pasado, y ahora estoy estudiando la carrera de Historia por la UNED.
La semana próxima tengo los exámenes del segundo cuatrimestre, y mi balance a día de hoy es que lo que empezó como un hobby se está convirtiendo en una pesadilla.

Asi que cuando termine los exámenes, planearé el próximo curso con mucha calma y menos asignaturas.

Mi intención es volver a retomar el Blog.

Saludos.

por ·Sin comentarios

>Éste es un pequeño script, que os modifica el Shell, y nos muestra en el menú contextual de cada carpeta la entrada «Command Prompt Here».

Es muy útil para aquellos que trabajan bastante desde la linea de comandos, y necesitan acceso a CMD desde cualquier carpeta del Explorador de archivos.

Con éste código podemos sacar el acceso:
Set objShell = CreateObject(«WScript.Shell»)
objShell.RegWrite «HKCR\Folder\Shell\MenuText\Command\», «cmd.exe /k cd » & chr(34) & «%1» & chr(34)
objShell.RegWrite «HKCR\Folder\Shell\MenuText\», «Command Prompt Here»

un saludo.

por ·Sin comentarios

>
La gran mayoría de los portátiles se mueven en diferentes redes, con lo que toca
configurar continuamente las propiedades de red en ellos. Para trabajar un poco
menos nos puede ayudar el comando «netsh». En la red 1 abrimos un «cmd» y
tecleamos:
netsh dump>red_1.dmp

O si tan sólo quieres la configuración del adaptador de red (que suele ser lo más
habitual):
netsh -c interface dump>red_1.dmp
Cuando queramos restaurar la configuración de esta red, abrimos un «cmd» y
tecleamos:
netsh exec red_1.dmp

Si tenemos a un usuario que se mueve entre dos redes de forma habitual(por ejemplo
entre ,dos sucursales) podemos hacer lo mismo en cada una de ellas, de forma que se
puede restaurar las propiedades de red de forma cómoda. Es más, nos podemos crear
un fichero bat red_1.bat y otro red_2.bat, que contengan la instrucción «netsh exec
fichero_que_corresponda.dmp» y de esa manera el propio usuario (siempre y
cuando tenga privilegios de administrador) podrá cambiar las propiedades de red
según esté en un sitio o en otro simplemente con un doble click y reiniciando a
continuación.
Hay que señalar que este mecanismo no cambia las membresías a dominio.
Si no te vale hacerlo así, tambien hay software de terceros para alternar entre redes,
como, por ejemplo:
Mobile NetSwitch
http://mobilenetswitch.com/Index.htm

por ·Sin comentarios

>EL viernes 14/08/09 se puso a disposición de los Techneters la versión final de la nueva versión de Windows Server 2008, la R2.
Si que trae algunas mejoras que son dignas de ver, por ejemplo las relacionadas con Active Directory.

windows-2008-r2-active-directory-administrative-center2 Active Directory Domain Services in Windows Server 2008 R2 support a new forest functional level. I am not sure if all of the features described here require the R2 functional level. I will try to find out more about this issue soon. The better PowerShell support is probably the most important enhancement. However, my favorite new feature is the new Recycle Bin.

Powershell Cmdlets

They replace the current Active Directory command line tools. There are about 85 Active Directory-related PowerShell cmdlets

Active Directory Administrative Center

windows-server-2008-r2-ad-create-userThe Active Directory Administrative Center is a new task-oriented user interface for the Active Directory Services. You can perform similar tasks as with the Active Directory Users and Computers console (ADUC). It is based on the new PowerShell cmdlets and displays the PowerShell commands that correspond to the tasks performed with the GUI.

Recycle Bin

Accidently deleted Active Directory objects can be restored from the Recycle Bin. (Requires R2 functional level)

GA_googleFillSlot(«Content-Middle»);

Offline Domain Join

windows-2008-r2-djoin.exe Admins can automate the joining of a Windows 7 machine to a domain during deployment with an XML file. The target computer can be offline during the deployment process. The tool that is used to join the domain is djoin.exe.

Managed Service Accounts

If the password of an account that is used as identity for services is changed by an admin, the managed service account feature will update all services automatically. (Requires R2 functional level)

Authentication Assurance

Authentication Assurance provides an authentication mechanism that allows administrators to map specific certificates to security groups using certificate policies. Users logged on with a smart card, USB token, or some other type of certificate logon method can be distinguished in this way. This feature can be used to grant external users access to corporate resources using Active Directory Federated Services. (Requires R2 functional level)

Sander Berkouwer described the new Active Directory features in more detail.

por ·Sin comentarios

>
Con la nueva versión de Server 2008 R2, llega la nueva versión del Hipervisor de Microsoft, el Hyper-V server R2.

Una de sus más importantes mejoras, es que ya no requiere una instalación completa de Windows 2008, aunque sea solo con el ROL. No admite ningún otro ROL que no sea el suyo, y es que cada vez más, el hipervisor de Microsoft está tomando un aspecto mucho más profesional y serio, acorde a su rival más directo VMware.

Exceptuando eso, pocas son las mejoras que aporta con respecto a la versión anterior.
Live migration.
High Availability
Almacenamiento Dinámico, podemos conectar en caliente…
etc.

A %d blogueros les gusta esto: