por ·1 comentario

Hola a todos,

En la entrada de hoy no es que vaya a reinventar la rueda ni mucho menos, pero desde hace años veo cierta confusión a la hora de identificar los distintos grupos de AD, sus funcionalidades, y su alcance.

image

 

Existen muchas referencias en la Web, y en el sitio de Microsoft, sobre los grupos, pero casi nunca queda muy claro, además hay que leer bastante para tener perfectamente clara la manera de trabajar con los grupos de seguridad, las buenas prácticas a la hora de anidarlos, y sobre todo como utilizarlos en entornos de múltiples dominios, y o con relaciones de confianza.

Hoy me quiero centrar sobre todo en la parte relativa a los entornos con relación de confianza, en distintos dominios o Forests.

Casi todas las semanas recibo alguna consulta ya sea a través del Blog, Twitter, o de algún compañero o amigo, relacionada con que tipo de grupos usar para dar acceso a Dominio A en Dominio B, o en periodos de Coexistencia en migraciones de usuarios complejas, donde queremos que un usuario acceda a los recursos de un dominio distinto.

La información que podemos encontrar por la web se resume en este cuadro:

 Groups

Lo más importante es entender la funcionalidad de los grupos, en la tabla de arriba que la he sacado de Microsoft, y es la típica tabla donde nos explican que es, que hace, y los posibles miembros de cada grupo, no queda muy claro en muchas ocasiones si un grupo admite miembros de otro Forest, o solo de otros usuarios de Dominios distintos al suyo, pero dentro de su mismo Forest. A parte de los nombres que con el nombre de los grupos casi nadie sabe su finalidad.

Domain Local: La finalidad de este grupo es acceder a recursos de su propio Dominio, por eso es Dominio Local. Por lo tanto ya tenemos claro que un grupo de dominio local solo puede dar acceso a objetos de su propio dominio.

Global Group: Por el contrario los grupos de dominio Global se conciben para dar acceso a recursos dentro de cualquier dominio de su Forest, o incluso en dominios o forest con relación de confianza.

Universal Groups: Para dar acceso a cualquier recurso dentro del mismo Forest, o Forest de confianza.

Una vez aclarada la finalidad, ahora hay que entender cuales son los posibles miembros … porque claro, ojala todo fuera tan sencillo como entender la finalidad de cada grupo, además debemos conocer que usuarios, y grupos admite cada uno de ellos.

Entornos de Coexistencia, relaciones de confianza, y acceso entre forests, y Bosques de recursos.

Centrándome ya en el origen de esta entrada, me gustaría analizar detalladamente las situaciones que vivimos, y las necesidades que se nos presentan en entornos con relación de confianza, periodos de Coexistencia mientras vivimos una migración de AD entre entornos, o simplemente cuando instalamos un Forest de recursos, y debemos implementar un modelo de delegación, o de acceso a los recursos.

Voy a dar por hecho que ya hemos llegado a esta situación, que ya hemos establecido conectividad entre los distintos Dominios, relación de confianza, etc., y que por necesidades del proyecto, del servicio, o porque se ha definido así en la arquitectura o diseño del entorno, debemos dar acceso a recursos de nuestro dominio, a identidades (usuarios) de dominios externos.

Pongamos que tenemos como dominio destino donde residen los recursos a acceder contoso.com, y como dominios de origen bank.com y datum.es. Desde los dominios origen nos solicitan tener acceso a una granja de servidores llamada SW1.

Este tipo de situaciones se suelen solventar de dos posibles vías, la primera a mi modo de entender no es correcta, y la segunda si:

  • Dando acceso directamente en el recurso de contoso.com a usuario origen, Grupo Universal, o Grupo Global origen. Desgraciadamente en muchas ocasiones, y motivado por las prisas se da acceso directamente a los objetos de origen en SW1, sin crear en contoso ningún tipo de grupo que controle esta delegación de permisos. Esto a la larga es un gran error, ya que no controlamos quien tiene acceso, y con el tiempo se olvida que alguien dio acceso de manera local a SW1.

grupodn

  • Creando en contoso.com un grupo Domain Local, con los permisos necesarios sobre la granja SW1 (la forma de dar los permisos, o accesos es indiferente), el grupo podría llamarse DL_SW1_DATUM. Ahora faltaría hacer miembros de ese grupo domain local a los usuarios o grupos de datum. En teoría habrá cierta comunicación entre datum y contoso, y se habrá definido que se genere un grupo nuevo en Datum con los usuarios que deben tener acceso a SW1, ese grupo puede ser Global o Universal. Este es el método correcto ya que nosotros controlamos a través de grupos de seguridad los accesos a nuestra granja SW1, además la nomenclatura lo deja claro haciendo mención al dominio de origen, luego se podría incluir en la nomenclatura alguna mención al tipo de acceso, pero eso ya entra en la forma de trabajar, y en los modelos de administración de cada organización, a mi me gusta crear grupos en base a roles, y tipos de permisos.

GroupsD

Resumiendo un poco, los únicos grupos que admiten miembros de otros Forests (bosques) son los Domain Local Groups. En esta imagen he intentado resumir que el único grupo que admite miembros de otros bosques es Domain local, y los que se pueden usar para anidar en Domain Local de otros forests son Universales y Globales.

Groups_Mem

Un saludo

Daniel Graciá

por ·Sin comentarios

Hola a todos,

Recientemente he recibido varias consultas relacionadas con un problema a la hora de configurar un fondo de escritorio mediante GPO a máquinas Windows 8, y Windows 8.1.

En los foros de Microsoft TechNet también he contestado últimamente a consultas relacionadas con este problema.

https://social.technet.microsoft.com/Forums/es-ES/8ef62cfb-2922-42f0-a5de-4e38db72daa4/gpo-wallpaper-windows-8-y-81?forum=wsgpes

 

PROBLEMA:

Cuando desplegamos por medio de GPO un fondo de escritorio para equipos Windows 8, y WIndows 8.1, los equipos cliente procesan dicha GPO, pero aparece un fondo de pantalla negro, que no es el que hemos definido en la configuración de la GPO. Es muy frustrante pues es un comportamiento totalmente anómalo, los pasos siempre son los mismos, revisión de la GPO, que se aplique sobre la OU que debe, que el fondo de pantalla, en su ruta de red esté accesible para los usuarios que deben tenerlo, que se procese la GPO, en resumen se de administradores que han intentado durante días encontrar el fallo… Pero … ¿está el fallo en la GPO?

 

 

CAUSA:

Bien, en este punto no está muy clara la causa, pero sí que se sabe que hay un tipo de problema con sistemas Windows 7, 8, y 8.1 con esta configuración por GPO, no es algo que suceda en el 100% de los casos, pero en organizaciones con cientos de equipos basados en estos sistemas operativos es frustrante ver como no somos capaces de configurar algo tan básico, y sencillo como un fondo de escritorio corporativo.

Buscando información por la Technet, y otras fuentes, hay un sin fin de entradas relacionadas con este problema, y podemos encontrar muchas soluciones, demasiadas.

El problema está relacionado con una entrada del registry en los equipos cliente, dicha entrada es la siguiente HKEY_CURRENT_USER\Control Panel\Desktop\ Debe existir un registro del tipo REG_SZ llamado WallPaper que apunta a la ruta del wallpaper.

En los equipos afectados por el problema del fondo de pantalla en negro pueden suceder varias cosas:

  • No existe dicha entrada.
  • Existe pero hace mención a un fichero de fondo de pantalla que no es el que hemos definido, y la GPO no puede actualizar dicha información.

 

 

SOLUCION:

La solución que he encontrado, y ha funcionado en todos los casos es la siguiente:

1. Creamos la GPO que aplica el Wallpaper que deseamos sea el fondo de pantalla de los equipos. La configuración de la GPO en mi caso es básica solo quiero que una imagen que tengo en una unidad de red accesible en modo lectura por los usuarios que deben tener acceso, se configure como fondo de pantalla, para ello llamamos a la GPO Wallpaper_Corporativo, la editamos y vamos hasta la ruta donde se encuentra la configuración del Wallpaper, la ruta es la siguiente User Configuration > Policies > Administrative Templates > Desktop > Desktop

2015-02-18_10-15-30

Antes de aplicar la GPO sobre el usuario en cuestión vemos que fondo de escritorio tiene su PC sin la GPO.

2015-02-18_10-10-56

2. Una vez creada la GPO, la vinculamos a la OU donde se encuentra el usuario sobre el que queremos que se aplique. En mi caso utilizo una OU donde se encuentra el usuario sobre el que quiero se aplique el fondo de pantalla.

2015-02-18_10-49-15

3. Ahora accedemos a un PC con dicho usuario que es TEST1, si el fondo de pantalla aparece negro hay que seguir estos pasos:

  1. Crear una GPO para crear una clave de registry, a la que daremos la ruta del fondo de pantalla.

2015-02-18_10-59-19

  1. Vincularla también sobre la OU donde se encuentran los usuarios que queremos tengan ese fondo.
  2. Reiniciamos el PC, y en el siguiente reinicio aparecerá el fondo que hemos definido.

2015-02-18_11-01-51

En ocasiones tampoco funciona creando la clave del registry, por lo que primero debemos definir que se elimine la clave del registry que hace mención al Wallpaper, y luego crearla de nuevo con la GPO.

Como he dicho no sucede en todos los equipos, pero cuando ocurre genera muchos problemas.

Salu2!

Daniel Graciá

por ·Sin comentarios

Hola a todos,

Hoy vamos a hablar y ver conceptos relacionados con una promoción, y despromoción fallida de un Controlador de dominio, y como limpiar el directorio activo con los datos que hacen referencia a ese DC que ya no lo es. Esta entrada viene a raíz de una consulta que se hizo en los foros de Microsoft Technet https://social.technet.microsoft.com/Forums/es-es/home

AD

La consulta en cuestión https://social.technet.microsoft.com/Forums/forefront/es-ES/673101b2-9247-4ff3-b42a-bcc6440a2280/quitar-manualmente-un-dc?forum=wsades decía lo siguiente:

Hola a todos.

Tengo un dominio, que migre de server 2003 a sever 2008 con adprep, etc…

Los nuevos servidores DC son Server 2008 y tienen los roles, catalogo global, etc…

Todo iba bien, pero aun tenia los DC viejos con Server 2003 com DC.

Resulta que ha habido un corte de la corriente electrica, y uno de los Sever 2003 que era DC se ha roto del todo. Era un HP que no tengo ya en garantia, y que tenia pesado retirar, por lo que no me merece la pena pagar por arreglarlo.

El caso es que como no le hice dcpromo, tengo que quitarlo a mano de AD.

Hace tiempo encontre un articulo sobre como hacer esto con Windows Server 2003, pero ahora hacerlo en Server 2008, ¿alguna idea de donde puedo encontrar un articulo sobre este problema?

Gracias.

Este es un claro ejemplo de utilización del procedimiento metadata cleanup, pero para explicar los procedimientos de Metada Cleanup …antes deberemos saber como llegamos al punto de querer realizar estos procedimientos.

¿Por qué?

Dentro de los posibles ¿Por ques? … no hay una razón lógica por así decirlo, si llegamos al punto de hacer un metadata cleanup, es porque algo ha fallado, y ese algo ha podido ser:

  • Promoción fallida de un nuevo Controlador de dominio, en mitad del proceso falla, o incluso ocurre algo que no sabemos.
  • La despromoción de un controlador de dominio falla o no se completa correctamente.

Mi intención no es analizar esos posibles fallos, simplemente que sepamos que en esos dos casos, puede quedar información referente a un DC que ya no existe en el dominio, y generar bastantes problemas.

vader

No es un tema baladí, y los que nos dedicamos a esto desde hace años sabemos que la ley de Murphy suele cumplirse, y si algo malo puedo ocurrir a veces ocurre, aquello que estaba planificado como un simple procedimiento fuera de horas se convierte en un problema, hasta que te suena el móvil y te comunican que el procedimiento se ha complicado, que no se puede eliminar el DC, o sigue figurando como DC en AD DS, que una promoción a Controlador de dominio de un servidor miembro ha fallado, y ya no deja hacerlo DC, si cunde el pánico el problema puede ir a mayores, ya que a veces por nerviosismo, o por impaciencia no se suele dar el tiempo necesario para la replicación, al análisis del problema, revisión de eventos, y se cometen errores.

Consejo: siempre hay que analizar los problemas en frío, no se deben tomar decisiones precipitadas, el Directorio Activo, DNS y otros servicios basados en la replicación, y topología de redes deben entenderse como servicios que han de replicar su información a través de distintos medios.

Analizar los eventos: es fundamental analizar los eventos, eso puede marcar la diferencia entre un buen administrador de sistemas, y uno mediocre, todo absolutamente todo queda reflejado en los visores de eventos, simplemente hay que saber leerlo.

Cuando hemos decidido que queremos eliminar DCs de nuestra organización tenemos claro que hemos de desinstalar los servicios de AD DS, y seguir los pasos que nos indica el asistente para quitar ese DC del actual dominio, es algo bastante sencillo, cada vez más, con cada nueva versión de Windows Server.

En teoría es un procedimiento muy sencillo, y casi nunca falla, pero en algunas ocasiones falla, y el estado en el que queda ese Controlador de dominio es extraño … eso que quiere decir, que ya no es un controlador de dominio, pero sigue figurando en la base de datos de DA como tal, no podemos eliminarlo, ni hacer nada sobre ese objeto, ha quedado en un estado inconsistente, y lo peor de todo puede generar problemas, de replicación, de autenticación, DNS … todo lo que se pueda ocurrir.

Llegados a este punto solo queda recurrir al temido METADATA CLEANUP … la verdad es que a este procedimiento siempre se le ha tenido mucho respeto, no es que sea algo complicado de ejecutar, ni que genere problemas, el problema es que si te equivocas de nombre de controlador de dominio … eliminas un DC que no es, y eso si que sería un desastre.

Bueno volviendo al tema que nos ocupa, no me enrollo más, Microsoft tiene muchos recursos donde detalla perfectamente como ejecutar este procedimiento, el tema del Metadata Cleanup ha variado bastante desde las versiones de Windows Server 2000 y 2003 hasta nuestros días.

Procedimiento Windows Server 2000, 2003 y 2003 SP1

Para las versiones de servidor Windows 2000 y 2003 hay un procedimiento, y a partir de 2003 SP1 otro.

http://support.microsoft.com/kb/216498/es-es?wa=wsignin1.0

El procedimiento para esta versión pasa por la utilización de la herramienta Ntdsutil.exe, no nos asustemos esta utilidad se instala automáticamente en todos los DCs.

Con la versión Windows Server 2003 SP1 Ntdsutil.exe además de eliminar los datos del DC, también elimina las conexiones de File Replication Service (FRS), e intenta transferir, o hace seize de los roles FSMO que tuviera el DC en cuestión a otro, esto lo hace de manera automática.

¿Que necesito para ejecutar el procedimiento?

  • Un DC desde el cual ejecutar Ntdsutil.exe.
  • Credenciales de Enterprise Admin, eso es ser miembro del grupo Enterprise Admins

¿Cual es el procedimiento?

Bien, una vez estemos conectados en un DC con una cuenta de dominio, que sea miembro del grupo Enterprise Admins, y seguimos los pasos indicados en la guía de referencia http://support.microsoft.com/kb/216498/es-es?wa=wsignin1.0

 

Procedimiento Windows Server 2008, 2012

Procedimiento Windows Server 2008 / Windows 2012

Con estas dos versiones de Sistema Operativo se han introducido diversas maneras de realizar el metadata cleanup, algunas de un amanera más sencilla, aunque la forma de hacerlo por linea de comandos sigue vigente, y yo es la que sigo usando.

  • Metadata Cleanup Ntdsutil.exe: es el método que hemos visto antes para Windows 2000, y 2003. Existen varias formas de hacerlo con los comandos al completo, con abreviaturas … es el método clásico de hacerlo.
  • GUI Desde la consola de AD Users and Computers eliminamos el objeto Domain Controller, que por defecto estará ubicado en la OU de Domain Controllers, pulsamos botón derecho sobre el DC, y eliminar.

image

Confirmamos que si y nos mostrará la siguiente ventana, donde marcaremos que este Controlador de dominio está permanentemente offline. De esta manera le estamos forzando a hacer el Metadata cleanup.

image

Si era Global Catalog el asistente nos volverá a preguntar si estamos seguros de realizar dicha operación, le indicamos que si, y se ejecuta el proceso.

 

Tareas posteriores / Confirmación

Lo lógico tras llevar a cabo una tarea como puede ser un Metadata Cleanup es comprobar que todo ha salido bien, y que no queda rastro de nuestro DC. En este punto vuelvo a insistir en que hay que dejar que la replicación de las particiones de DA se lleve a cabo, o forzarla, eso dependerá de cada uno de vosotros, de cada uno de vuestros entornos, en entornos internacionales, está claro que la replicación lleva más tiempo.

Las comprobaciones suelen ser sencillas, y pasan por comprobar lo siguiente:

  • Active Directory Sites and Services: Aunque las NTDS references son eliminadas en el propio procedimiento, no está de más revisar dentro del site donde se encontraba vuestro DC que no existe ninguna referencia a DC eliminado, si existiera se puede borrar.
  • DNS: Este punto es quizás el más importante, y es donde puede haber un mayor número de registros de nuestro DC eliminado. Hay que chequearlo a fondo y no dejar ninguna referencia a nuestro DC eliminado.
  • AD Users and Computers: Este punto es lógico, no es más que revisar que nuestro DC ya no aparece.

 

Referencias:

http://support.microsoft.com/kb/216498/es-es?wa=wsignin1.0

https://technet.microsoft.com/en-us/library/cc816907(v=ws.10).aspx

 

Un saludo,

DGM

por ·Sin comentarios

Hola a todos,

En la entrada de hoy en el Blog vamos a hablar de como desfragmentar (compactar) nuestra base de datos de AD DS de manera offline, sin necesidad de reiniciar el Controlador de dominio, aunque yo diría que más que centrarnos en como hacer la defragmentation, vamos a incidir más en algo que que está muy poco documentado, y es en CUANDO hacerlo, lo interesante sería tener constancia previa de cuanto espacio ganaríamos compactando nuestra base de datos, ¿verdad?, pues hay un procedimiento para que el sistema nos informe de cuanto ocupa nuestra base de datos de AD, y cuanto espacio está libre en realidad de todo lo ocupado, que sería la parte que se liberaría.

Esta tarea entraría en las denominadas “Tareas de mantenimiento de nuestro Directorio Activo” aunque sinceramente hay entornos en los cuales no es necesario llevarlo a cabo, y otros en los que si.

Un poco de historia respecto a la base de datos NTDS.DIT

Dentro del funcionamiento normal de la propia base de datos, se ejecuta de forma automática, y transparente para el usuario una desfragmentación cada 12 horas, la cual denominamos Online defragmentation y se lleva a cabo un par de veces al día. Pero claro la online defragmentation no es tan “potente” por así decirlo que la offline, en la Online se libera el espacio de los objetos eliminados de manera rápida, para ser reutilizados por nuevos objetos de AD DS, y en la medida de lo posible que no crezca la propia base de datos, pero no sirve para cuando se eliminan gran cantidad de objetos, en esos casos digamos que la desfragmentación Online no es tan efectiva.

image

image

¿Que hacemos al llevar a cabo la Defragmentation?

Con la denominada desfragmentación de la base de datos de AD DS, lo que hacemos es compactar de nuevo la base de datos, liberar espacio que se ha ido ocupando de más, y chequear la integridad de la base de datos.

Como he dicho al principio de la entrada, en la mayor parte de los escenarios no es necesario llevar a cabo está acción, pero hay otros entornos por ejemplo los que vienen de hacer un upgrade de los Controladores de dominio a una versión reciente de Windows Server, entornos muy grandes que han sufrido grandes variaciones donde si puede ser interesante desfragmentar la base de datos, también un tamaño desproporcionado del fichero ntds.dit es síntoma inequívoco de que hace falta compactar, aunque deberemos tener en cuenta que los Controladores de dominio que son además Catálogo Global tienen mayor tamaño de base de datos que el resto de DCs que no lo son, por lo que en ese caso la diferencia de tamaño de unos DCs respecto a otros está justificada.

¿Cuando debo realizar este procedimiento?

Como ya he comentado al comienzo de la entrada, la defragmentation online se lleva a cabo cada 12 horas, pero no cubre una acción en profundidad, es algo muy superficial, no siempre libera espacio. Durante los años de trabajo en un entorno con Directorio Activo la base de datos ntds.dit va aumentando de tamaño, cualquier objeto suma, aunque luego se eliminen van generando o consumiendo espacio, que la base de datos no es capaz de liberar por si sola en numerosas ocasiones, como en el borrado de objetos pasado el tombstone lifetime (tiempo en el que realmente se eliminan los objetos y ya no pueden ser recuperados.

Windows Server 2000 – 60 days
Windows Server 2003 – 60 days
Windows Server 2003 SP1 – 180 days
Windows Server 2003 R2 – 60 days
Windows Server 2003 R2 SP2 – 180 days
Windows Server 2008 – 180 days
Windows Server 2008 R2 – 180 days
Windows Server 2012 – 180 days
Windows Server 2012 R2 – 180 days

Para saber realmente cuando, o mejor dicho que espacio puedo liberar del fichero ntds.dit llevando a cabo la defragmentation hemos de modificar una clave del registry que nos mostrará de manera anticipada que ganancia obtenemos, y si realmente nos merece la pena hacer las defragmentation.

Para ello nos conectamos al DC sobre el que queremos ver el espacio a liberar, y modificamos la siguiente entrada del registro:

HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ NTDS \ Diagnostics

Como siempre ejecutamos regedit, y navegamos hasta la ruta

2015-01-27_11-56-14

Como podemos observar, el valor por defecto de la entrada 6 Garbage Collection es 0, nosotros debemos modificarlo a 1. Con esta simple acción incrementaremos el Logging del proceso Garbage Collection el cual se ejecuta junto con la defragmentation online. Ahora deberíamos esperar a que la proxima defragmetation online se lleve a cabo (ya hemos comentado que sucede un par de veces al día cada 12 horas), y entonces podremos estudiar el log Active Directory Domain Services.

Dentro del log buscaremos el event id 1646, por normal general aparece junto a los event ids 700 and 701.

SNAGHTML129584ae

Como se puede ver en el log en mi ejemplo (es un dominio recién instalado para pruebas) de los 18MB que ocupa la base de datos, si la compactásemos ahora mismo ganaríamos o liberaríamos 4MB, con lo que se quedaría en 14MB.

En entornos reales de producción, podréis observar como se puede ahorrar bastante espacio en la BBDD, y además mejorar el rendimiento de una manera muy leve.

El procedimiento como tal para hacer la compactación es sencillo, y se puede seguir en el siguiente enlace de Microsoft: https://technet.microsoft.com/en-us/library/cc794920%28v=ws.10%29.aspx

Saludos

DGM

por ·Sin comentarios

Hola a todos,

Recientemente ha surgido en los foros Microsoft Technet https://social.technet.microsoft.com/Forums/es-ES/home?forum=wslegacyes una consulta que decía lo siguiente:

Quería que a través de GPO se mapearan unidades de red según el grupo al que pertenezcan las máquinas

Bien al principio creía que no se podría hacer, porque a nivel de GPO en la configuración de Computer Configuration no se puede hacer, luego pensando … recordé que las Group Policy Preferences permiten hacer cosas muy interesantes, y entre una de ellas nos permite hacer mapeos a nivel de máquina, o especificando un atributo LDAP, es algo muy versatil y que desgraciadamente no se le saca el potencial que tiene.

Para el caso que nos aplica, necesitamos primero comprender lo que se pretende hacer:

  • Mapear recurso de red a ciertas máquinas que pertenecen a un grupo específico, da igual quien se siente en dicha máquina.

¿Que necesitamos?

  • Identificar las máquinas sobre las que queremos que se haga el mapeo de red.
  • Crear un grupo de seguridad en AD e incluir dichas máquinas en el grupo.
  • Crear una GPO, y enlazarla a nivel de dominio, o a las OUs donde estén los usuarios de la organización, ya que la OU se configura a nivel de User Configuration.

En primer lugar he creado un grupo de seguridad. y he añadido la cuenta de máquina/s sobre las que quiero que se apliquen los mapeos, para mis pruebas he creado un grupo con dos cuentas de máquina.

image

Creamos una GPO con la siguiente configuración:

User Configurations\Preferences\Windows Settings\Drive Aquí con el botón derecho del ratón indicamos New Mapped Drive.

Indicamos Create, le damos la ruta del recurso de red que queremos hacer un mapeo, y una letra de unidad en mi caso la W. Aquí se puede indicar que el sistema escoja la primera letra disponible.

image

En la pestaña Common, tenemos las opciones para decir sobre que grupo de máquinas vamos a aplicar el mapeo, marcamos Item-level targeting, y hacemos click en Targeting

image

Dentro de targeting nos encontramos con todas las opciones disponibles, hacemos click sobre New Item, y como podéis observar existe una amplia variedad de opciones sobre las que aplicar el Targeting, en nuestro caso vamos a utilizar un Security Group de AD.Muy importante marcar Computer in Group.

image

image

Si vamos a crear varios mapeos se puede hacer dentro de la misma GPO.

image

Y con este procedimiento se mapearían unidades de red a máquinas mediante una GPO asignada a usuarios.

Lo más importante es tener claro que la GPO debe aplicarse sobre una OU de usuarios (los usuarios que van a hacer login en dichas máquinas), pero el filtro dentro de la GPO se hace en base a un Secutiry Group que contiene las máquinas sobre las queremos hacer el mapeo.

Como habéis podido observar en Targeting / New Item hay muchísimas posibilidades para hacer los mapeos, por una query LDAP, por nombre DNS, NetBIOS, etc …

Un saludo,

DGM

por ·Sin comentarios

Hola a todos,

Creo bastante oportuno hablar un poco acerca de esta propiedad de las que podemos dotar a nuestros Controladores de dominio.

Algunas abreviaturas para seguir este artículo, y disculpar por las definiciones en Inglés pero me parece más correcto así:

AD DS: Active Directory Domain Services

DC: Domain Controller

GC: Global Catalog

DNS: Domain Name System

UPNs: User Principal Names (daniel@contoso,com)

FSMO: Flexible Single Master Operations

 

La importancia de un buen diseño de AD DS es fundamental para el correcto funcionamiento de nuestro entorno, hay que tener en cuenta muchas variables, requerimientos, seguridad, topología geográfica, y un sin fin de variables que pueden hacer que nuestro diseño sea de una manera determinada, y apropiada para nuestra organización, o clientes.  Lo cierto es que a día de hoy parece que AD DS es de los productos más sencillos de desplegar, todos conocemos la errónea creencia del Siguiente, siguiente y siguiente y ya tienes un Dominio … y nada más lejos de la realidad los que nos dedicamos de verdad a esto sabemos que un mal diseño de AD DS puede afectar al negocio de tu cliente, y generar una auténtica catástrofe en entornos grandes que son Productivos.

En la arquitectura de AD DS hay bastantes factores a tener en cuenta, el núcleo por así decir sobre el que se sustenta nuestro AD DS es el servicio DNS, del que ya he escrito algunas entradas, y seguiré profundizando en sucesivas entradas, y otro factor muy importante es la topología de nuestro entorno, y por esa razón creo conveniente la entrada de hoy. En los foros de Microsoft en los cuales colaboro siempre que puedo, veo muchas consultas relacionadas con Global Catalog, y Universal Group Member Caching, pues bien veamos en profundidad que es cada una, que aportan, cuando usarlos y cuando no. 

Global Catalog

La definición sobre que es un GC sería algo así como un DC que almacena una copia completa de todos los objetos de su AD (aquí se refiere a los objetos de su propio dominio …del que forma parte el DC), y una copia parcial de todos los objetos de otros dominios en el bosque. Por lo tanto tiene replicas parciales de todas las particiones de dominios del bosque, estás réplicas parciales son distribuidas mediante replicación Multimaster (al igual que AD DS).

Por lo tanto podríamos decir que GC nos ofrece una funcionalidad crítica, y que pasa desapercibida en numerosas ocasiones.

Pero … ¿que hace exactamente un GC, o mejor dicho como aplica en el día a día su propia definición?

Tiene tres principales usos que serían:

Logon: Otra función es la de poder resolver los UPNs a la hora de hacer logon por ejemplo, como sabéis a la hora de validarnos en AD DS podemos hacerlo de varias maneras, las más común es hacerlo mediante domain_name\username, y otra es hacerlo mediante el UPN, el UPN usa formato de dirección de correo electrónico tipo daniel@contoso.com. El GC en este caso es el encargado de resolver o traducir el UPN a username.

Membresía de Grupos Universales : los grupos universales son un grupo de seguridad, y para refrescar un poco la memoria sobre ellos los grupos universales nos permiten aplicar permisos sobre cualquier recurso de nuestro dominio, y pueden contener objetos de cualquier dominio con el que tengamos relación de confianza. La membresía de los grupos Universales es almacenada en los GC, y replicada a través del forest.

image Os estaréis preguntando que tiene de especial esta funcionalidad del GC … los grupos universales están en AD DS… Si hacemos un poco de memoria en AD DS, cuando se introdujeron los grupos universales en AD DS en la versión Windows Server 2000 modo de funcionalidad Windows 2000 Nativo, resultaba que que si nuestro AD DS contaba con muchos grupos Universales, esto podía afectar al tráfico de red que generaban, ya que la información era replicada cada vez que se modificaba alguna propiedad de un objeto. En Windows 2003 se introdujo una mejora que fue la replicación de la membresía de grupos universales reduciendo drásticamente la carga de replicación.

Cuando un usuario se autentica, el DC debe poder ver los miembros de los grupos universales para determinar si permite autenticar a ese usuario en el dominio o no, por consiguiente debe existir al menos un GC en el AD DS, y por esa razón siempre el primer DC que se instala es GC. Si un GC está disponible localmente por ejemplo en el mismo site que el DC que intenta localizarlo contactará con el, si hubiera un GC en una ubicación remota el DC contactará con el GC remoto seguramente a través de una red WAN, y eso afectará al rendimiento, y al tiempo que se tarda en autenticar al usuario, por esa razón es muy importante tener un GC al menos en cada site.

Búsquedas en AD DS: El GC se encarga de procesar las peticiones de búsquedas sobre nuestro AD DS, esto que quiere decir, en definitiva quiere decir que cuando hacemos una búsqueda en AD DS el encargado de recibir dicha petición, y procesarla es el GC. Pongamos como ejemplo que abro una consola de Active directory users and computers, y haga una búsqueda cualquiera, la petición de búsqueda será enviada a un GC a través del puerto TCP 3268 (puerto específico para GC), y el GC procesará la petición.  ¿Cómo sabe a que GC enviar la consulta? Como ya hemos comentado al principio,el servicio DNS es fundamental en nuestra infraestructura de AD DS, y se basa en el para poder funcionar, y localizar los distintos servicios dentro de AD DS, los GC tienen un registro SRV denominado _gc que les identifica como GC, por lo tanto el servidor DNS identifica un GC, y se le envía la petición TCP por el puerto 3268.

image

Recomendaciones:

  • Tener al menos 2 GC por motivos de alta disponibilidad.
  • A día de hoy es altamente recomendado que todos los DCs sean GC en entornos denominados single-domain forest, ya que todos los DCs tienen la única partición de dominio en el forest. También lo es en entornos multi-domain.
  • Infrastructure Operation Master FSMO… no hacer GC a un DC que tiene el rol FSMO Infrastructure Master, a menos que todos los DCs sean GC, o el bosque tenga un único dominio.
  • ¿Existe alguna aplicación que requiera de un GC? Por ejemplo Exchange requiere el uso de GC, en esos casos hay que tener en cuenta el uso de GCs.

image Esto es solo una pequeña introducción a los GC, podemos investigar tanto como queramos, y en base a la estructura de la empresa el diseño será de una manera u otra, lo que está claro es que hay que toma tiempo para estudiar cada caso, los requerimientos, la topología, y el mejor diseño adaptado.

Algo de bibliografía

¿Qué es un GC? http://technet.microsoft.com/en-us/library/cc728188(v=ws.10).aspx

Scope de grupos en AD DS http://technet.microsoft.com/en-us/library/cc755692%28v=ws.10%29.aspx

Ubicación de GC http://technet.microsoft.com/en-us/library/cc732877%28v=ws.10%29.aspx

 

Lo dejamos aquí en esta entrada, profundizaremos más en sucesivas.

Un saludo,

DGM

por ·Sin comentarios

Primera entrada del 2014!

Como sabemos los Sufijos de User Principal Name (UPN) son la parte del UPN que comienza por símbolo @.

De tal manera que por ejemplo en el UPN DaniGracia@contoso.com, el sufijo UPN es el nombre de dominio contoso.com.

Los UPN hacen posible que los usuarios se autentiquen en el dominio usando una cuenta que incluya el nombre de sus dominios, sería algo parecido a una dirección de correo, tal y como hemos visto en el ejemplo anterior, y es algo fácil de recordar, aunque resulta muy útil en entornos complejos o bosques con múltiples dominios, donde los usuarios pueden autenticarse en diferentes dominios, y no deben usar diferentes credenciales, o estar pendientes sobre que dominio de la organización deben hacer la autenticación.

Veamos un ejemplo supongamos que el usuario Dani Gracia tiene una cuenta de usuario en el dominio sistemas.contoso.com, pero quiere iniciar sesión en un equipo que pertenece al dominio portatiles.contoso.com, lo más sencillo sería iniciar sesión usando el UPN de Dani Gracia que en este caso sería danigracia@contoso.com, estoy seguro que muchos dirían en la pantalla de inicio de sesión seleccionamos el dominio sistemas.contoso.com, o también escribiriamos Sistemas\DaniGracia … pero lo cierto es que lo más rápido y funcional en estos casos es escribir el UPN del usuario.

Alguno se preguntará … pero por qué en el UPN no he puesto DaniGracia@sistemas.contoso.com ?  Es sencillo, por defecto todos los usuarios tienen como sufijo UPN el nombre del dominio raíz, y el de su propio dominio, incluso si sus cuentas pertenecen a dominios hijo.

Hay una manera fácil de configurar los sufijos UPN alternativos que pueden utilizar los usuarios del dominio o bosque. Desde la consola de Directorio Activo de Relaciones de Confianza, tenemos la posibilidad de añadir o eliminar los sufijos UPN alternativos.

image

Estos sufijos alternativos aparecerán en las propiedades de directorio activo de usuario.

Otras utilidades de los Sufijos Alternativos:

Más info sobre los UPN

http://technet.microsoft.com/en-us/library/cc772007.aspx

 

DGM

por ·Sin comentarios

W2012r2

A raíz del anterior post relacionado con las novedades de Windows Server 2012 R2 publico esta entrada, que se centra en una de las novedades, la denominada Workplace Join.

Como ya habíamos comentado con anterioridad los tiempos están cambiando, y Microsoft ha introducido una serie de nuevas características en la parte de AD DS para satisfacer la demanda de los usuarios, y de las nuevas tecnologías.

A día de hoy hay una gran demanda por integrar nuestros dispositivos personales a la red empresarial, o al menos acceder con ellos a ciertos de los servicios. Windows Server 2012 R2 introduce novedades en esta materia, y los siguientes conceptos en este terreno:

  • Los Admins de IT podrán controlar quien puede tener acceso a los recursos de la organización, basándose Aplicación, Usuario, dispositivo y ubicación.
  • Los empleados podrán acceder a las aplicaciones y datos desde cualquier lugar, y en teoría desde cualquier dispositivo (esto … a día de hoy no es así, porque hay limitaciones en sistemas Android, solo está soportado en dispositivos Windows y dispositivos iOS), y usar SSO (Single sign-on) para acceder a aplicaciones de la organización.

Workplace Join

Pero ¿qué es Workplace Join?

Es una herramienta que nos permitirá unir nuestros dispositivos personales, a nuestros equipos en nuestra organización, de manera que podamos acceder a nuestros recursos y servicios en la compañía. Al unir los dispositivos estos pasan a ser dispositivos conocidos en AD DS y proveen algo parecido a un segundo factor de autenticación y SSO. El dispositivo en cuestión genera atributos en AD DS que pueden ser recuperados desde AD DS para permitir accesos basados en el a aplicaciones. Con W 2012 R2, dispositivos basados en Windows 8.1 y iOS pueden ser unidos mediante Workplace Join. Se rumorea que se está trabajando en incluir Andoid, y hasta Windows 7, pero habrá que esperar.

DRS (Device Registration Service) se incluye con AD FS (Federation Services) role en W2012 R2, es el servicio que hace posible Workplace Join.

image

Workplace join login Windows 8.1

El funcionamiento es el siguiente; cuando un dispositivo es unido mediante Workplace Join, DRS genera o provisiona un objeto de ese dispositivo (Device objet) en AD DS y entrega un certificado en dicho dispositivo para garantizar su validez.

Como ya se puede ver intuimos que vamos a necesitar un AD FS, y una CA o al menos certificados para empezar a implementar esta nueva funcionalidad, y un IIS con Windows Identity Foundation.

 

Desde mi punto de vista está tecnología aun está por depurar, no dudo que Microsoft en breve espacio de tiempo nos de algo mejorado y con mayor compatibilidad, hemos visto que los OS soportados en los dispositivos de usuario son muy pocos.

A nivel de AD DS y de la administración se incluye una variable más en la ecuación de la administración del día a día, y es el acceso basado en dispositivos Workplace Join, lo cual puede generar dudas en los primeros compases.

Pero, a nivel de seguridad, ¿confiamos plenamente en estos dispositivos? Y los usuarios, ¿Confian en hacer un workplace de sus dispositivos en la organización?

Iremos viendo con el paso de los meses si esta tecnología satisface las necesidades de algunas organizaciones, o por el contrario debe seguir mejorando.

Os dejo algo de información:

http://blogs.technet.com/b/keithmayer/archive/2013/11/09/why-r2-step-by-step-solve-byod-challenges-with-workplace-join.aspx#.Uq7ggPTuLfs

 

DGM

por ·1 comentario

Estaba leyendo acerca de las novedades en la versión R2 (lo se … voy un poco rezagado, pero lo importante es ponerse al día) y me ha gustado leer que en esta versión por fin se empieza a dar real importancia a lo que está tan de moda hoy en día BYOD (Bring your own device), y que otros fabricantes han tomado cierta ventaja.

Y es que, no nos engañemos, hoy en día queremos estar conectados desde cualquier dispositivo a nuestras redes, y por qué no, a la oficina o a nuestros datos corporativos. Aquí entramos en el problema para los administradores de sistemas, que siempre hemos recelado de accesos desde fuera de nuestra red (en teoría controlada por nuestro antivirus, políticas de seguridad, etc.) ya que no tenemos control sobre ese sistema, si cumple con nuestras políticas de seguridad, antivirus, etc.

Hoy en día la cantidad de dispositivos que pueda tener el usuario final se ha incrementado significativamente, desde el PC o laptop en casa, hemos pasado a Tablets, Smartphones (todos con una buena variedad de sistemas operativos).

En Windows Server 2012 R2 los administradores IT ya pueden asociar dispositivos con la cuenta de AD DS, y usar esta asociación como segundo factor en la autenticación.

Single sign-on (SSO) desde dispositivos asociados a AD DS, algo realmente demandado, y que genera cierto recelo a la hora de permitirlo, la seguridad del entorno es primordial, más adelante veremos como funciona. Workplace Join

Multi-factor Access Control y Multi-factor Authentication (MFA) con estas tecnologías podemos gestionar el acceso de los usuarios que estén trabajando desde cualquier ubicación, y accedan a los datos corporativos desde sus propios dispositivos. 

Web Application Proxy, nos da la oportunidad de permitir el acceso o conectividad a aplicaciones o servicios, por parte de usuarios desde cualquier lugar.

Como se puede apreciar Microsoft ha centrado las mejoras en hacer de AD DS un servicio de Directorio más global, y abierto a otros fabricantes. La idea sería poder estar trabajando desde casa con tu Tablet Android o tu IPAD y tener acceso a tus datos empresariales, o incluso llevar tu Tablet a la oficina y poder trabajar sin problemas. Aun no se logra por completo en esta R2 de W2012, pero poco a poco vamos apreciando un cambio de tendencia en el SO de Microsoft, y esperemos que en breve se permita una total integración de este tipo de dispositivos en AD DS.

En las siguientes entradas trataré de ir comentado en profundidad estas novedades, y ver su uso práctico en el día a día de las organizaciones, si aportan algo o no.

 

DGM

por ·Sin comentarios

Yo soy un clásico y la verdad siempre uso el siguiente comando para descubrir los Roles FSMO de los entornos en los que trabajo NETDOM QUERY FSMO, pero hay que ir adaptándose a los nuevos tiempos y a Powershell, para ir acostumbrándonos a usarlo.

 

Usaremos los comandos Get-ADForest y Get-ADDomain

Get-AdForest <domain_name> | Format-Table SchemaMaster,DomainNamingMaster

Get-ADDomain <domain-name> | Format-Table PDCEmulator,RIDMaster,InfrastructureMaster

Le damos un formato tipo tabla para que la salida de datos quede de manera más ordenada.

DGM

por ·Sin comentarios

Si, este es el nombre de un nuevo grupo de Directorio Activo en Windows Server 2012, la traducción vendría a decir lo siguiente: Controladores de Dominio que pueden ser clonados.

Este grupo indicará que Controladores de dominio pueden ser clonados, se encuentra en el contenedor Usuarios. El proceso de clonar controladores de dominio, no se basa únicamente en agregar un Controlador de Dominio a dicho grupo (ojala) tiene más pasos y requerimientos.

Si queréis profundizar en el tema, os dejo algunos enlaces con toda la información necesaria para entenderlo e implementarlo.

http://blogs.technet.com/b/askpfeplat/archive/2012/10/01/virtual-domain-controller-cloning-in-windows-server-2012.aspx

http://technet.microsoft.com/en-us/library/jj574223.aspx

 

DGM

por ·Sin comentarios

Comienzan las vacaciones y con ellas el tiempo libre para preparar mi próxima certificación; MCSE Server Infrastructure http://www.microsoft.com/learning/en-us/mcse-server-infrastructure-certification.aspx

En mi caso necesito superar los exámenes 70-413 y 70-414.

70-413 http://www.microsoft.com/learning/en-us/exam-70-413.aspx

La preparación la realizaré con el siguiente material:

DGM