Categoría: Active Directory

por ·Sin comentarios

Con esta sencilla query LDAP desde la consola de AD podemos listar todos los objetos computers que tengan SO desde Windows 2000 Professional hasta Windows 8, en todas sus versiones.

 

(objectCategory=Computer) (|(operatingSystem=*Professional*) (operatingSystem=*Vista*) (operatingSystem=*7*)(operatingSystem=*8*))

 

 

DGM

por ·Sin comentarios

Hoy vamos a ver el procedimiento para actualizar nuestro Directorio Activo desde versiones 2003 y 2008 a Windows Server 2012.

La idea es introducir un controlador de dominio con sistema operativo Windows Server 2012. Como sabéis siempre que se quiere promocionar un controlador de dominio (el primero) con versión de sistema operativo superior al resto de los controladores, hay que hacer una preparación de nuestro entorno, para que se pueda llevar a cabo la operación. La famosa extensión del esquema.

Todos los que hemos realizado extensiones de esquema (son requeridas para muchos productos) sabemos que es un procedimiento “simple” pero que si falla pues da muchos problemas. No es la primera vez que he trabajado con clientes que por una mala experiencia en una ampliación de esquema, han dejado sus sistemas obsoletos por no volver a repetirlo.

Están las recomendaciones de realizarlos directamente sobre el controlador de dominio que pose el rol de Schema Master, hacerlo por consola y no por escritorio remoto, hacer un backup previo, etc, etc.

http://technet.microsoft.com/es-es/library/dd464018%28v=ws.10%29.aspx

Ese procedimiento se lleva a cabo mediante el comando adprep (que encontraremos en el DVD de instalación del producto).

Adprep tiene tres funciones principales:

  • /forestprep es la opción que se ejecuta en primer lugar, y es la que prepara y extiende nuestro esquema de Directorio Activo con nuevos objetos y clases de atributos, que la nueva versión que estamos desplegando incluye.
  • /domainprep genera una serie de objetos incluidos con la nueva versión en el directorio activo, cambios de seguridad.
  • /rodcprep hace cambios de seguridad a nivel de bosque, para que puedan tener acceso de lectura los controladores de dominio de solo lectura RODC.

Tabla con las diferente versiones de esquema en función del sistema operativo:

image

    Uno de los objetivos del equipo de Directorio activo que participó en esta nueva versión de Windows Server, era simplificar de manera significativa la ampliación de esquema. Digamos que deseaban hacerlo más simple, querían eliminar la sensación de miedo que rodeaba a la ejecución del comando adprep y también dotarlo de mayor rapidez.
    Lo han logrado, en Windows Server 2012

adprep

    ha sido integrado dentro del proceso de promoción a controlador de dominio.
    Para los nostálgicos se sigue manteniendo la posibilidad de hacerlo de la manera tradicional, ya sabéis desde el disco de instalación vamos a la carpeta \support\adprep, y ahora ya no hay Adprep32, solo Adprep (que es de 64-bit).
    A tener en cuenta que ahora podemos especificar diferentes credenciales, para

adprep /forestprep

    debemos suministrar credenciales de Enterprise Admins (administradores de empresa). Para

adprep /domainprep

      o

/rodcprep

    debemos suministrar credenciales de Domain admins. Lo podemos hacer usando los parámetros /user y /userdomain.
    Vamos a ver un ejemplo práctico. Contamos con un dominio que tiene un controlador de dominio Windows 2008 R2 y un servidor miembro Windows Server 2012. Vamos a instalar el Rol de Servicios de Dominio de directorio activo y luego lo promocionaremos a Controlador de dominio sin necesidad de ejecutar previamente ADPREP, ya que lo hará el propio asistente de la promoción a controlador de dominio.
    Como podéis observar ahora mismo nuestra versión de esquema es 47, Windows 2008 R2

image

    Ya contamos con nuestro servidor Windows Server 2012 como servidor miembro del dominio

image

    Instalaos el rol de Servicios de Dominio Active Directory

image

    Ahora veremos como en el paso de la promoción a controlador de dominio, el asistente nos informa que a de preparar tanto el bosque como el dominio para poder promocionar nuestro Windows server 2012

image

Aquí el mensaje

image

Actualizando el forest

image

Actualizando el dominio

image

Ya podemos ver como ha subido la versión del esquema

image

 

Saludos

DGM

por ·Sin comentarios

Anteriormente vimos que era la papelera de reciclaje de Directorio Activo, que características tenía y como se activaba.

Hoy vamos a ver un ejemplo práctico de como usarla.

El activarla, veremos que cuando borremos un objeto, aparece en nuestra estructura de OUs, una nueva OU llamada Deleted Objects.

image

Esta OU es la Papelera de Reciclaje de Directorio Activo.

Veamos un ejemplo de como usarla para recuperar objetos:

  • Tenemos esta OU llamada Marketing:

image

  • Y hemos borrado por accidente el usuario Michael Button que como podéis ver era miembro de los siguientes grupos:

image

  • Al eliminarlo nos hemos dado cuenta que ha sido por error. En ese caso accedemos al Active Directory Administrative Center, y a la OU llamada Deleted Objects:

image

  • Como podéis ver nuestro usuario eliminado por error se encuentra dentro de la OU, y podemos realizar una serie de acciones sobre el objeto.
    • Restore
    • Restore To
    • Locate Parent
  • Restore: Recupera el objeto dentro de la misma OU que estaba en el momento de borrado. Con los mismos atributos. Eso si ya no marca el usuario con la protección contra borrado accidental.
  • Restore To: Nos permite elegir la OU sobre la cual restauraremos el usuario en cuestión.

image

  • Locate Parent: Nos redirige a la ubicación donde el objeto residía antes de se eliminación.

La restauración de un objeto en si es bastante sencilla.

Ahora vamos a ver el ejemplo de eliminar una OU por completo, con objetos dentro. Volvemos a usar nuestra OU de Marketing:

image

La eliminamos por completo, y la queremos recuperar con todos sus objetos dentro, como se puede apreciar en la captura de pantalla, el AD Administrative Center nos muestra todos los objetos eliminados en modo plano, al mismo nivel, así que si queremos recuperar todos los objetos de Marketing, nos va a llevar un par de acciones.

image

Si intentamos restaurar con la opción Restore al usuario Michael Button, nos salta un error porque la OU padre en la que se encontraba el objeto ha sido eliminada.

image

Para este tipo de casos hay dos opciones:

  1. Usar la opción de Restore To
  2. Restaurar toda la estructura de OUs.

Esto dependerá de lo que necesitemos recuperar, nosotros en este caso vamos a recuperar primero la OU Marketing y luego los objetos.

Otro truco para saber que OU iba anidada en que OU, es usar Locate Parent. En la captura previa la OU Directors, se encontraba dentro de Marketing. Pero quizás a la hora de restaurar no lo recordemos. Pues bien, situándonos encima de la OU Directors ( en Deleted Objects), si pulsamos sobre Locate Parent, nos localiza a su OU padre, que es Marketing.

Una vez recuperada la OU Marketing, podemos seleccionar todos los objetos eliminados que sabemos estaban dentro de Marketing, y lanzar Restore, todos se recuperarán dentro de la OU Marketing.

 

DGM

por ·Sin comentarios

Vamos a ver otra de las “novedades” de Windows Server 2012, no es que tengamos acceso a la papelera de reciclaje de Directorio Activo que ya lo teníamos en Windows Server 2008 R2, sino que tenemos acceso mediante interfaz gráfica.

Como sabeis la Papelera en Directorio se introdujo con Windows 2008 R2, y solo podíamos acceder a ella mediante Powershell y Ldp.exe.

Ahora la novedad es que en Windows Server 2012 también podemos acceder a ella mediante el Centro Administrativo de Directorio Activo (Active Directory Administrative Center) si, esa utilidad que muy pocos administradores saben que existe y mucho menos sacarle partido.

Por lo tanto esta nueva característica seguramente que nos simplificará bastante el trabajo y el tiempo a la hora de restaurar objetos eliminados de nuestro Directorio.

Características:

  • Por defecto viene deshabilitada, hay que habilitarla de manera manual. Una vez habilitada no podemos deshabilitarla.
  • Como supondréis requiere un nivel funcional de bosque Windows 2008 R2.
  • No podemos restaurar sub objetos de un objeto de una vez. Por ejemplo hemos borrado una OU y dentro tenemos usuarios, grupos y equipos. Si recuperamos la OU no recuperamos automáticamente todos los objetos que hay dentro de ella. Eso requerirá otra recuperación.
  • La papelera de reciclaje incrementa el tamaño de la base de datos de Directorio Activo (NTDS.DIT).
  • Debemos ser miembros del grupo Enterprise Admin para usar la papelera.
  • Los objetos son recuperables o permanecen en la papelera 180 días por defecto (tombstone lifetime by default in Windows Server 2012).
  • Una vez que hemos habilitado la papelera de reciclaje en Directorio Activo, los objetos eliminados pueden ser localizados en la OU Deleted Objects.

¿Cómo habilitamos la Papelera de Reciclaje de Directorio Activo?

  1. Accedemos desde uno de nuestros Controladores de Dominio o de manera remota a uno de ellos.
  2. Abrimos Active Directory Administrative Center. Desde Server Manager / Tools image
  3. Seleccionamos el dominio sobre el que queremos trabajar. image
  4. Y en el panel de la derecha hacemos click sobre Enable Recycle Bin image

Y ya hemos habilitado la Papelera de Reciclaje de Directorio Activo.

Ahora veremos algunas pruebas de como ver los objetos eliminados y como recuperarlos.

 

DGM

por ·Sin comentarios

Esta es una de las novedades que trae Windows Server 2012 en la parte de directorio activo.

Como era normal no podían coexistir en el mismo forest dos controladores de dominio con el mismo nombre, SID …

Usábamos el método de una imagen o plantilla de un sistema, y luego la sisprepeabamos y promovíamos a controlador de dominio.

En Windows Server 2012 han introducido unas nuevas características en virtualización para que a nivel de controladores de dominio virtuales no suceda lo descrito arriba y podamos clonarlos.

  • Ahora podemos clonar los DCs de manera segura, con el consiguiente ahorro de tiempo a la hora de realizar la operación.
  • Una restauración accidental de un DC snapshot ya no afecta al entorno como antes.

¿Que hace falta?

  • Debemos generar un fichero de configuración DcCloneConfig.xml que será el que tenga los valores o parámetros de configuración.
  • Copiar el fichero DcCloneConfig.xml donde resida nuestra base de datos de AD DS normalmente la encontraremos en C:\Windows\NTDS
  • Un Controlador de dominio virtual Windows Server 2012, lo paramos y lo exportamos o copiamos. La plataforma o hypervisor será Hyper-V, pueden ser otros fabricantes pero antes habría que asegurarse que soportan VM-Generation ID, sino lo soporta y seguimos adelante con el proceso la nueva máquina virtual arrancará en DSRM (En modo de restauración de DA).
  • Generamos un nuevo controlador de dominio virtual, pero lo generamos importando el anterior, y será promocionado automáticamente como Controlador de dominio.

Roles no soportados para la clonación:

  • Dynamic Host Configuration Protocol (DHCP)
  • Active Directory Certificate Services (AD CS)
  • Active Directory Lightweight Directory Services (AD LDS)

De momento lo dejamos aquí, pronto publicaré una guía para llevarlo a cabo.

Información de referencia en este sitio: http://technet.microsoft.com/de-de/library/hh831734.aspx

por ·Sin comentarios

Hola muy buenas tardes,

Trabajando esta semana en el diseño de las zonas DNS, ha salido a la luz el Efecto Isla, hacía años que no escuchaba este término, he de decir que generó muchos quebraderos de cabeza a los administradores.

A día de hoy, he visto que aún hay técnicos que configuran la parte cliente de sus DNS Servers apuntando a un DNS server distinto de si mismo, y como secundario a si mismo.

El efecto Isla se dió a conocer con la versión de servidor Windows 2000. De echo recuerdo algún que otro ADRAP en los clientes para los que he trabajado, y las recomendaciones para W2003 según el PFE seguían siendo las mismas.

http://support.microsoft.com/kb/275278/en-us#top

EL problema viene dado cuando un DNS server que alberga la zona  _msdcs. ForestDnsName (Root domain), apunta a si mismo como DNS server en la configuración DNS cliente del TCP, no tiene un registro CNAME (el cual especifica el GUID del Domain Controller)  en dicha zona, estos registros CNAME son absolutamente necesarios para qeu la replicación funcione correctamente.

Cada vez que un DC replica con otro DC, este envia un aquery a la zona root (_msdcs. ForestDnsName ) en busca del GUID del otro DC contra el que quiere replicar, si esta query falla, la replicación también. Por consiguiente el DC poco a poco va quedando sin replicación, y se aisla del resto, ya que su contenido no ha recibido ni enviado las últimas modificaciones. Esto provoca inconsistencia en ese DC, y si un servicio, aplicación o usuarios usan ese DC, no están trabajando sobre la correcta versión de la base de datos de AD.

En teoria Microsoft solucionó este problema en W2003, de tal manera que el DC que intenta buscar el CNAME del otro DC para comenzar la replicación no lo encuentra, ahora preguntará por otros registros CNAME, por lo que la replicación sucederá.

 

Saludos

Dani Gracia

 

por ·Sin comentarios

>Recientemente me he topado con un misterioso caso de perdida de herencia de privilegios en cuentas de usuarios.
Cada hora más o menos el usuario xxxxx perdía la herencia de permisos sobre su cuenta de usuario, la restablecias pero de nuevo se perdía.

Hoy vamos a hablar de un viejo conocido de Directorio Activo pero que todavía está provocando muchos quebraderos de cabeza. Seguramente muchos de vosotros os habréis encontrado ya con este problema, pero para los que no, ahí va el post del día.

Imaginemos que se han establecido determinadas ACLs de seguridad sobre ciertos usuarios/grupos en Directorio Activo. Hasta ahí vamos bien y cabría esperar que dichas ACLs permanecieran tal y como las hemos establecido, ¿no? Pues imaginémonos ahora que, pasado cierto tiempo, las ACLs son restablecidas a su configuración original automáticamente para algunos usuarios/grupos. Y tantas veces como las volvamos a establecer, tantas veces que se resetean.

Bien, pues la causa de que se restablezcan los permisos sobre los usuarios o grupos de usuarios protegidos se debe a un mecanismo de protección de Directorio Activo que asegura que las ACLs se establecen correctamente a miembros de grupos sensibles. Este mecanismo se ejecuta cada hora en el PDC Emulator. Se compara la ACL sobre las cuentas de usuario que son miembros de grupos protegidos contra la ACL del siguiente objeto: CN=AdminSDHolder,CN=System,DC=,DC=. Si la ACL es diferente, la ACL sobre el objeto de usuario (o grupo) se sobrescribe para reflejar la configuración de seguridad del objeto AdminSDHolder y se deshabilita la herencia. Este proceso protege estas cuentas especiales para que no sean modificadas por usuarios no autorizados si las cuentas se mueven a un contenedor o Unidad Organizativa donde se hayan delegado a un usuario malicioso credenciales administrativas para modificar cuentas de usuario.

Las cuentas que se consideran “especiales” o protegidas son las que pertenecen a los siguientes grupos:

  • Enterprise Admins
  • Schema Admins
  • Domain Admins
  • Administrators
  • Account Operators
  • Server Operators
  • Print Operators
  • Backup Operators
  • Cert Publishers

Adicionalmente, también se consideran protegidas las siguientes cuentas:

  • Administrator
  • Krbtgt

Este comportamiento se describe en el siguiente artículo:

817433 Delegated permissions are not available and inheritance is automatically disabled

Bien, y ahora ¿qué hacemos para resolver el problema?

En el propio artículo se explican las diferentes alternativas posibles para establecer los permisos deseados sobre usuarios/grupos que pertenezcan a grupos protegidos:

1. Sacar al usuario/grupo sobre el que se resetean los permisos de los grupos protegidos a los que pertenezca. Esta opción es la más recomendable, ya que entonces se establecerían los permisos deseados sobre una cuenta de usuario común y no sobre un usuario que pertenece a un grupo protegido (y sobre el que teóricamente y por razones de seguridad no deberíamos modificar los permisos).

2. Evitar que el proceso monitorice alguno de los grupos protegidos (únicamente se pueden excluir Account Operators, Server Operators, Print Operators y Backup Operators) dejándolos de esa manera “desprotegidos” del chequeo de las ACLs. Esta opción sería probablemente la más adecuada si fuera necesario asignar permisos para un usuario sobre otros usuarios que deben pertenecer a alguno de estos grupos protegidos, pero deben considerarse los riesgos que se van a tomar.

3. Modificar la ACL del contenedor AdminSDHolder para adecuarla a la configuración deseada sobre los usuarios miembros de grupos protegidos (se establecería esta configuración de seguridad para todos los usuarios/grupos pertenecientes a cualquiera de los grupos protegidos). En este caso, habría que tener en cuenta que el usuario al que estáis otorgando los permisos tendría esos permisos sobre todos los grupos/usuarios protegidos, con los riesgos que ello implica.

4. Habilitar la herencia en las propiedades del contenedor AdminSDHolder de tal manera que los usuarios que pertenezcan a cualquiera de estos grupos protegidos hereden la configuración de seguridad de los contenedores en los que estén ubicados (con todo lo que ello conlleva, ya que podrían establecerse permisos sobre estos objetos de usuario para otros usuarios a los que no se les quiere o no se les debería dar esta capacidad == un usuario del HelpDesk podría tener permiso para resetear la contraseña de un Domain Admin, por ejemplo).

Más información sobre AdminSDHolder:

“AdminSDHolder
The Administrator security descriptor holder protects administrative groups through a background task that computes the set of memberships and checks whether their security descriptors are well-known protected security descriptors. If the security descriptor of any administrative account does not match that of AdminSDHolder, the security descriptor is overwritten with the security descriptor of AdminSDHolder. This task is executed only on the domain controller that holds the primary domain controller (PDC) emulator operations master role.”

por ·Sin comentarios

>EL viernes 14/08/09 se puso a disposición de los Techneters la versión final de la nueva versión de Windows Server 2008, la R2.
Si que trae algunas mejoras que son dignas de ver, por ejemplo las relacionadas con Active Directory.

windows-2008-r2-active-directory-administrative-center2 Active Directory Domain Services in Windows Server 2008 R2 support a new forest functional level. I am not sure if all of the features described here require the R2 functional level. I will try to find out more about this issue soon. The better PowerShell support is probably the most important enhancement. However, my favorite new feature is the new Recycle Bin.

Powershell Cmdlets

They replace the current Active Directory command line tools. There are about 85 Active Directory-related PowerShell cmdlets

Active Directory Administrative Center

windows-server-2008-r2-ad-create-userThe Active Directory Administrative Center is a new task-oriented user interface for the Active Directory Services. You can perform similar tasks as with the Active Directory Users and Computers console (ADUC). It is based on the new PowerShell cmdlets and displays the PowerShell commands that correspond to the tasks performed with the GUI.

Recycle Bin

Accidently deleted Active Directory objects can be restored from the Recycle Bin. (Requires R2 functional level)

GA_googleFillSlot(«Content-Middle»);

Offline Domain Join

windows-2008-r2-djoin.exe Admins can automate the joining of a Windows 7 machine to a domain during deployment with an XML file. The target computer can be offline during the deployment process. The tool that is used to join the domain is djoin.exe.

Managed Service Accounts

If the password of an account that is used as identity for services is changed by an admin, the managed service account feature will update all services automatically. (Requires R2 functional level)

Authentication Assurance

Authentication Assurance provides an authentication mechanism that allows administrators to map specific certificates to security groups using certificate policies. Users logged on with a smart card, USB token, or some other type of certificate logon method can be distinguished in this way. This feature can be used to grant external users access to corporate resources using Active Directory Federated Services. (Requires R2 functional level)

Sander Berkouwer described the new Active Directory features in more detail.

A %d blogueros les gusta esto: