Windows Intune: Rol de Administrador de Contraseñas

viernes, 14 de junio de 2013 Comments off

Hola a todos,

En esta pequeña serie de los diferentes Rol que existen en Windows Intune, vamos a ver el Rol de Administrador de Contraseñas, que, junto al Administrador de Windows Intune, será el único miembro administrador en Windows Intune, que podrá restrablecer la contraseña de un Administrador.

La creación de usuario, ya hemos visto anteriormente que es muy fácil. Este Rol, tiene la propiedad de poder cambiar la constraseña de los usurios administradores de Windows Intune, menos del Administrador Global.

No puede realizar ningún cambio en los usuario y/o grupos de seguridad creados en Intune.

Si se intenta realizar un restablecimiento de una cuenta, la cual no tenemos permisos para realizar dicha acción, se enviará un correo indicándolo 😉 así que cuidadín XD.

Windows Intune

Un Saludo,

Categories: Cloud, Microsoft Intune Tags:

Windows Intune: Rol Administrador de Facturación

viernes, 7 de junio de 2013 Comments off

Hola a todos,

Siguiendo con la temática de Windows Intune, voy a continuar con otro artículo, en este caso, no técnico, pero no por eso, menos importante.

La definición de los diferentes Roles que podemos tener en la plataforma Cloud de Microsoft, es muy importante, por que definirá las acciones a realizar por diferentes personas y/o departamentos de nuestra organización.

Uno de los Roles que normalmente, se podría no configurar, pero, que es necesario, es el Rol del Administrador de Facturación, que al fin y al cabo, es el que pagará a Microsoft los servicios Cloud.

Desde el usuario que se ha dado de alta el servicio de Windows Intune, y que por lo tanto, es el Administrador Global, deberemos realizar el alta de usuario siguiendo un sencillo Wizard, via web.

Siempre que vayamos a crear un usuario con un Rol de adminsitración, deberemos informar del Nombre y Apellidos del mismo.

Windows Intune

 Deberemos de informar de un correo electrónico para las notificaciones que pueda recibir este usuario.

Es obligatorio seleccionar la ubicación del usuario, esto es, por que podría haber limitaciones del servicio según la ubicación geográfica.

Windows Intune

Seleccionamos el grupo (si procede), al cual va a pertenecer el usuario creado, y seguidamente, continuamos configurando el correo electrónico de soporte. Este correo, sirve para recuperar la cuenta en caso de que se tenga que reiniciar la contraseña, y se pueden indicar hasta un máximo 5 correos electrónicos separados por punto y coma «;».

Windows Intune

Finalmente, nos indica un resumen de la creación del usuario y de la primera contraseña que tiene para ser cambiada al realizar el inicio de sesión.

Windows Intune

Para acceder al servicio,  administrarlo y realizar el cambio de contraseña, accederemos al portal: https://account.manage.microsoft.com.

Windows Intune

¿Que podemos hacer y que no?

Con la siguiente captura de pantalla, se puede ver muy fácilmente.

Windows Intune

La parte de administración (señalada en recuadro rojo), es dónde podemos crear, modificar y borrar usuarios y grupos de seguridad del sistema. Este Rol, sólo tendrá permisos de lectura, ya que por definición de Rol, sólo podrá gestionar y administrar las suscripciones y solicitudes de servicio.

La parte de Suscripción y Soporte técnico, es la que podrá realizar la administración este Rol.

Tenemos que tener en cuenta, que el Administrador de Facturación, comparte ROL con otros servicios en nube de Microsoft, como puede ser Office365, por lo que la información que podamos obtener desde estas pantallas puede variar según los servicios ya contratados.

  • Administrar: Nos indican la cantidad de licencias que tenemos contratadas y el contacto con el Partner de referencia si lo hubieramos informado. Desde aquí también accederemos a la pantalla de compra.
    Windows Intune
  • Licencias: Nos muestra todas las licencias que tiene la organización.
    Windows Intune
  • Comprar: Nos muestra la información de las suscripciones que tenemos opción a adquirir.
    Windows Intune

 

  • Solicitud de servicio: Nos proporcionan 2 links imporantes: Link a la comunidad Technet de microsoft, en donde posiblemente podamos solucionar el 80% de nuestras consultas. y otro link que nos enlaza con la web de soporte de Microsoft Online Services: https://support.microsoftonline.com/default.aspx?productkey=intunesupp Windows Intune
  • Estado del servicio: Nos reenvia a la web de supervisión de servicios de Microsoft Online Services de Windows Intune, en donde podremos ver las posibles incidencias que puede haber en el servicio, y que acciones se están llevando a cabo.
    Windows Intune

Hasta aquí una breve explicación del Rol de Administrador de Facturación.

Categories: Cloud, Microsoft Intune Tags:

Windows Intune En la empresa: Primeras dudas

jueves, 6 de junio de 2013 Comments off
  • Hola a todos,

Después de leer y de ver todo el contenido de Windows Intune publicado por mis compañeros, me ha entrado la curiosidad de profundizar un poco más en esta «nueva» plataforma.

  • ¿Qué es Windows Intune?
    • Es una plataforma en la nube que se encarga de facilitarnos la administración de los equipos de nuestra organización.
  • Pero ya tengo herramientas que realizan esa función, como por ejemplo SCOM, ¿Qué me aporta Intune?
    • La posibilidad de administrar/gestionar aquellos equipos que están fuera de tu red, y que para realizar estas tareas, necesitarías montar RODC en la ubicación remota.
      Con Windows Intune, se instala un agente, y este empieza reporta los eventos, y tareas que hayamos configurado.
  • No lo veo claro, ¿Algún sitio/escenario en donde se vea claro donde aplicar Windows Intune?
    • Actualmente, trabajo en un entorno hospitalario, y algunas empresas ceden equipos PC/Servers a unidades médicas que están trabajando en algún proyecto. Normalmente, como norma interna, a estos equipos, se les asisla en una DMZ, que tengan salida a internet y el departamento IT del hospital, no se hace cargo de ningún mantenimiento.
      Algunas de estas empresa, cada mes, mandan a un técnico (viajando hasta 6h en coche, para 1h de trabajo) a revisar el nivel de parcheado, AV y eventos que haya ocurrido en el sistema. Pues con Windows Intune, esta tarea se podría realizar desde sus oficinas, ya que Windows Intune, al tener el motor de SCOM, es capaz de lanzar acciones a partir de ciertos eventos, así como también, poder desplegar software y actualizaciones de producto.
    • Otro ejemplo, es en la empresa de mi cuñado, han tenido que abrir una oficina técnica en Bruselas, y allí, para realizar cierres de mes y alguna comunicación con la central (Rubí), han tenido que contratar VPN vía software, para la comunicación de los equipos, y su personal de IT, pierden mucho tiempo (por la calidad del ancho de banda de la línea de red), en conectarse al equipo y realizar un mantenimiento e instalación/actualización de aplicaciones. De igual manera que en el caso anterior, Windows Intune, facilitaría el trabajo del personal IT, y tendría un ahorro de costes en hombre/tiempo significativo.
  • Vale, OK! ¿Cómo se instala?
    • La plataforma de gestión no se instala, simplemente te conectas a una URL de Microsoft y la utilizas (previo proceso de alta). Para los equipos a gestionar en remoto, se conectan a una URL y se bajan un paquete que instala el agente de Intune.
  • ¿Alguna consideración para tener en cuenta?
    • SI!! El alta del servicio se debería de realizar con un usuario de la organización que sea genérico y con cuenta de correo electrónico. Como por ejemplo, el administrador del dominio.
    • ¿por que?
      • Fácil! Por que este primer usuario que da de alta Windows Intune, será el Administrador Global de Windows Intune (y cualquier producto Cloud de Microsoft). Así que para evitar futuros incidentes, mejor proceder de esta manera.
  • Por lo que has comentado, existe un Administrador, hay algún grupo más del que tenga que tener en cuenta?
    • En Windows Intune, existen los grupos, que son creados por los administradores y otros perfiles que detallaré ahora, pero como grupos, sólo existe un Usuario de Windows Intune. Y el resto, los creamos nosotros.
      Los perfiles que he comentado, los identificaremos como ROL, y existen 5:

      • Administrador Global: Es único en la organización de Windows Intune (no pueden existir 2 administradores globales en Windows Intune), y es el ROL maestro, por lo tanto, puede realizar cualquier acción del resto de Roles.
      • Administrador de facturación: Tiene varias funciones, realiza compras, administra suscripciones e incidencias y supervisa el estado del servicio. En una empresa, este Rol estaría en el Departamento de Compras.
      • Administrador de servicio:  Verificar que el servicio esté operativo. También se puede personalizar un usuario que tenga este Rol desde el Portal de administración de empresa.
      • Administrador de contraseñas: Tiene la función de poder restablecer cualquier contraseña de la organización, incluyendo al resto de Administradores. En una empresa, este Rol estaría en el Departamento de seguridad-IT.
      • Administrador de control de usuarios: Tiene la función de poder restablecer las contraseñas de los usuarios, sólo puede restablecer la contraseña del administrador de Contraseñas (del resto de administradores no puede). Puede generar usuario en Windows Intune, excepto otros administradores (sólo podría el administrador global). En una empresa, sería el departamento de soporte al usuario/HelpDesk.

Ahora, si que te he llamado la atención, te comento que puedes saber más de otros compañeros:

Héctor Martínez: @hmartineztobar http://hmartineztobar.es/blog/windows-intune-desde-0-parte-1/

Luisa Cinque: @lcinque http://blogs.itpro.es/soportesinerrores

Un Saludo y hasta la próxima

Categories: Cloud, Microsoft Intune Tags:

Modificar atributos masivamente en objetos de Directorio Activo

viernes, 26 de abril de 2013 Comments off

Hola a todos,

Me han pedido que realice unos cambios en cerca de 3000 objetos usuarios de directorio activo, entre los que están:
1- Cambiar el estado del usuario a Deshabilitado
2- Modificar un atributo del usuario para ocultarlo de la Libreta de direcciones de Exchange.

El punto 1, basicamente, lo solucioné con un Script que consultaba los atributos LastLogonTimeStamp y LastLogon, y manualmente se deshabilitaban aquellos que eran usuarios no genéricos, que tienen nomenclatura similar los usuario normales.

Para saber estos usuarios, desde la consola de administración de Directorio Activo, se ha realizado una búsqueda personalizada en la cual se indica que los atributos LastLogonTimeStamp sea vacío (nunca ha realizado logon en el dominio) o sea anterior a una fecha determinada, en nuestro caso 01/01/2012.

(&((objectCategory=person)(objectClass=user)(|(lastLogonTimestamp<=1325376000)(!lastLogonTimestamp=*))))

Para indicar el valor de TimeStamp, he utilizado la calculadora WEB:

Una vez que he tenido los usuario en Disable, ha tocado ocultar aquellos usuarios que el departamento de RRHH ha indicado por baja en la empresa.

Para poder realizar las acciones sobre el check a marcar:
Atributo HideExchange

Corresponde al atributo del objeto: msExchHideFromAddressLists, que podemos visualizar al abrir el objeto de usuario con la herramienta adsiedit.msc.
Para iniciar las pruebas mediante powershell, probé con visualizar los usuarios que tuviesen el check marcado (true), es decir, que no se ven en la libreta de direcciones o desmarcado (false).

Get-QADUser -Disabled -oa @{‘msExchHideFromAddressLists’=$true}

Para poder modificar tenía 2 formas, una más «elegante que otra», ya que en un Script podía trabajar con Logs de los usuarios modificados.

Sin Logs y a lo loco 😉

Get-QADUser -Disabled | Set-QADUser -oa @{‘msExchHideFromAddressLists’=$true}

Con Logs y más elegante

get-qaduser -searchroot «OU=Disable,DC=domain,DC=local» -IncludedProperties MSExchHideFromAddressLists | where-object {-not $_.MSExchHideFromAddressLists} | set-qaduser -objectAttributes @{MSExchHideFromAddressLists=$true} -Confirm | Tee-Object -FilePath «Ocultos_Exchange.txt»

Pero, como esto hubiese sido muy fácil, este cambio no querían realizarlo de forma masiva sobre toda la OU de DISABLE, e ir haciendo estas modificaciones, previo aviso, otra vez, del departamento de RRHH.

Después de todo esto, y hablando con compañero, me indicaron una herramienta que ha estado toda la vida ahí, y ha sido para mí una gran desconocida 😉

AD MODIFIY: http://admodify.codeplex.com/

Es una herramienta que nos permite, mediante una consulta previa sobre AD, modificar cualquier atributo de manera visual.

Abrimos la herramienta con permisos de modificación en AD, y pulsamos en MODIFY ATTRIBUTES
AD MODIFY

Seleccionamos el dominio sobre el cual queremos actuar y sobre que equipo con el rol de Directorio Activo, queremos actuar.
AD MODIFY

En mi caso, no me hará falta realizar una consulta sobre AD, ya que los elementos a modificar los tengo en el OU de Disable\Users. Navegaré hasta la OU y pulsaremos en ADD TO LIST.

Seleccionamos los objetos que queremos modificar.
AD MODIFY

Y ahora, y de forma visual, podemos modificar el atributo que queremos sin ningún tipo de problema 😉
AD MODIFY

Un Saludo,

Manu

Categories: Herramientas, Microsoft, Server Tags:

Recovery SCCM 2007

viernes, 26 de abril de 2013 Comments off
  • Hola a todos,

He tenido que recuperar un System Center Configuration Manager 2007 R2, con error de hardware e irrecuperable. Se ha tenido que proceder a instalar nuevamente una plataforma de similares característica al servidor origen:

  • Windows Server 2008 R2 Enterprise
  • MS-SQL 2005 Standard x32
  • 2 x vCPU
  • 6Gb vRAM
  • 300Gb vHDD

Para poder recuperar la plataforma de SCCM, lo más similar posible a la que teníamos en producción, es necesario el haber realizado el SiteBackup y tener una copia del FileSystem del servidor.

Una vez instalado el sistema operativo y SQL Server, procederemos a iniciar el restore de SCCM.

Es recomendable el recuperar de la copia de seguridad los directorios:

  • SMSData
  • SMSPKGC$
  • SMSPKGSIG
  • SMSSIG$

Y los directorios, si es posible, de donde guardemos los binarios de los paquetes de instalación de las aplicaciones paquetizadas (por si acaso).

Copiaremos los ficheros de la BBDD de SCCM al directorio de SQL-Server

  • copy [UNIDAD]:\SiteBackup\SMS_Site\SiteDBServer\ *.mdf [UNIDAD]:\Program Files (x86)\Microsoft SQL Server\MSSQL.1\MSSQL\Data\
  • copy [UNIDAD]:\SiteBackup\SMS_Site\SiteDBServer\ *.ldf [UNIDAD]:\Program Files (x86)\Microsoft SQL Server\MSSQL.1\MSSQL\Data\

Y una vez copiado, realizar el attach de la BBDD.
SCCM
Navegamos hasta el directorio «\Program Files (x86)\Microsoft SQL Server\MSSQL.1\MSSQL\Data\» y seleccionamos el fichero que previamente hemos copiado: SMS_Site.mdf
SCCM.

Ahora, tendremos que abrir el desplegable de la BBDD e ir hacia las opciones de seguridad para visualizar los usuarios que existían anteriormente, ya que tendremos que utilizar uno de estos (y que tenga permisos de dbowner), para realizar el posterior proceso de Site Recovery Wizard.

Tendremos que añadir un usuario de la BBDD con permisos de DBOWNER, a la seguridad de SQL-Server.
SCCM

Y posteriormente asegurarnos de que también está en la seguridad de la BBDD
SCCM

Para hacer el SiteRecovery, tendremos que tener en cuenta de que las BBDD de SCCM ya la tenemos en la ubicación correcta, por lo tanto, deberemos de marchar un «check» para que no vuelva a realizar el Attach de la BBDD.
SCCM

Al marcar la opción vemos que no es requerido volver a copiar y presentar la BBDD en SQL-SERVER, por lo tanto, nos indica que la acción es Not Requiered.
SCCM

Si se gerenase algún tipo de error, o quisieramos ver el log de las acciones que se van realizado, deberemos ir a: [UNIDAD]:\Program Files (x86)\Microsoft Configuration Manager\AdminUI\AdminUILog y abrir el fichero: RepairWizard.log.

En la selección de los paquetes, es recomendable el que compruebe la accesibilidad de cada uno de ellos, es un proceso que no tarda demasiado.
SCCM

Reiniciaremos el servidor y abriremos la consola de gestión de SCCM.
Ahora tocará la parte más tediosa, ya que el servidor SCCM deberá de comprobar a todos los agentes que tiene informados, por lo que este proceso, consumirá bastantes recursos del servidor durante bastante tiempo. Así que comprobamos de que en la consola tenemos informados collections que tengamos creadas, advertisements y lo dejaremos para que realice las tareas en Background que hagan falta.

Consulta para obtener los usuario de un grupo de AD

jueves, 28 de marzo de 2013 Comments off

Hola a todos,

A raíz del post SCRIPT – saber todos los usuarios que pertenecen a un directorio, me han sugerido que indique que línea lanzo para extraer la información de los grupos en directorio activo.

Dicha sentencia es la siguiente:

dsquery group -samid «GRUPO_AD » | dsget group -members -expand | dsget user -samid -display > FICHERO_TEXTO.txt

Categories: Herramientas, Microsoft, Server Tags:

MWC2013

martes, 26 de febrero de 2013 Comments off

Hola a todos,

He tenido la oportunidad de acercarme a Mobile World Congress 2013, que se está celebrando durante esta semana en Barcelona.

Acreditación MWC2013

En el Hall2 y Hall3, son los pabellones, que normalmente las cadenas nos muestran por TV, es decir, los dispositivos móviles, tables y los recién llegaos Phablets, pero realmente, para mí los mejores Halls son los últimos, en donde podemos encontrar el APP-Planet y fabricantes de Networking.

Manu en la entrada de MWC 2013

En el poco tiempo que he podido estar, me he parado en un stand obligado. Citrix ByteMobile, en el cual, muestras la soluciones XenMobile, englobadas dentro las nuevas soluciones MDM. Estas son soluciones de monitorización, gestión y administración de dispositivos móviles.

MDM - XenMobile

Y en el Hall8, el dedicado para las APPs, y empresas de desarrollo, me he encontrado con una gran solución de autentificación y cifrado y autentificado de SMS y Correos electrónicos, Made-IN Spain 😉 Se trata de lleida.net.

Lleida.Net

Espero poder ir otro día y estar más tiempo para disfrutar de los dispositivos presentados, o las novedades de Windows Phone 8, que en este Mobile World Congress es Platinum Partner.

Categories: Cloud Tags:

Evento Windows server 2012 Rocks – MVP

viernes, 11 de enero de 2013 1 comentario

Hola a todos,

Los MVP (Most Value Professionals) de Microsoft están de gira, y en Barcelona, la ha organizado nuestro gran amigo Marc (@MarcITPro), junto con Luisa Cinque (@lcinque), y como no podía ser de otra menera, la liaron parda 😉

Marc y Luisa

El evento se inició con la presentación de los ponentes y nos pusimos manos a la obra con Server Manager de Windows Server 2012, explicando las características de administración, transformando un ServerCore a un MinShell y finalizando con la explicación de la nueva característica de ClusterAware.

Una vez finalizada esta presentación por parte de Marc, le tocaba el turno a Luisa, que la pobre estaba muy nerviosa, y pensaba en todo momento que le tocaría pagar el cordero 🙂 Empezó con una breve presentación sobre ella y continuó entrado a trapo con Hyper-V v3.0, que es la nueva versión del hipervisor de Microsoft, y de sus nuevas caracerísticas (vSwitch, network share para alojar VM, etc). Nos deleitó con el movimiento de almacenamiento de una máquina virtual, creación de un Timing de red, siendo estás diferentes fabricantes (nueva característica de WinServer 2012).

Y llegó el momento esperado: Clonación de DC, para esto, propuso la clonación de un RODC, y realizó la demo completa, desde el copiado del fichero XML que podemos encontrar, hasta el copiado de máquinas y modificación de los ficheros de configuración.

Proceso de clonación de DC

Una vez finalizado la clonación, Luisa, dió paso otra vez a Marc que nos explicó el procedimiento que hay que realizar para instalar Windows Server 2012 en una unidad USB y arrancar el sistema operativo desde USB, con la tecnología de WindowsToGo. Mientras tanto, Luisa, aprovechaba para cargarse su portatil (no a caso hecho 🙂 ), y pudimos ver las opciones y procedimiento de recovery de Windows Server 2012.

Al finalizar el evento, aprovachamos la comunidad de ITPRO y compañeros de fatigas para ir a refrescar el gaznate como se debe de hacer 😉

Categories: Microsoft, Windows Server 2012 Tags: ,

SCRIPT – saber todos los usuarios que pertenecen a un directorio

martes, 18 de diciembre de 2012 Comments off

Hola a todos,

Esta vez os voy a dejar un Script que he tenido que montar para saber los usuarios que tienen acceso a unos directorios compartidos. Esta petición sería muy complicada, si no fuera, por que uno de los directorios en cuestión es un maldito saco roto con 15 grupos de directorio activo, con herencias cortadas, etc.

El Script que se lanza, genera 1 fichero que indicamos nosotros, en este caso, logACL o el nombre del directorio a extraer la información, y tantos ficheros Grupo_AD/user como permisos tienen.

Para lanzar el Script, tenemos que pasar como parámetro, el directorio a realizar el escaneo, y el fichero en donde indicará todas las ACL del directorio y subdirectorios.

cscript ListACLFolders.vbs DIR_ACL_FIND LogACL.csv

Nos generará un CSV, o fichero plano de texto con los siguientes campos:

  • Día
  • Hora
  • Directorio
  • Grupo o usuario
  • Permisos comunes
  • Permisos especiales
  • Tipo de acceso
  • Herencia
  • Errores

Deberemos de modificar la variable strDirectory dentro del proceso ShowSubACL para indicarle en donde vamos a guardar los grupos de acceso de cada directorio.

El SCRIPT:

On Error Resume Next
Const ForAppending = 8
‘Commom Permissions
Const FOLDER_FULL_CONTROL = 2032127
Const FOLDER_MODIFY = 1245631
Const FOLDER_READ_ONLY = 1179785
Const FOLDER_READ_CONTENT_EXECUTE =  1179817
Const FOLDER_READ_CONTENT_EXECUTE_WRITE =  1180095
Const FOLDER_WRITE = 1179926
Const FOLDER_READ_WRITE = 1180063
‘Special Permissions
Const FOLDER_LIST_DIRECTORY = 1
Const FOLDER_ADD_FILE = 2
Const FOLDER_ADD_SUBDIRECTORY = 4
Const FOLDER_READ_EA = 8
Const FOLDER_WRITE_EA = 16
Const FOLDER_EXECUTE = 32
Const FOLDER_DELETE_CHILD = 64
Const FOLDER_READ_ATTRIBUTES = 128
Const FOLDER_WRITE_ATTRIBUTES = 256
Const FOLDER_DELETE = 65536
Const FOLDER_READ_CONTROL = 131072
Const FOLDER_WRITE_DAC = 262144
Const FOLDER_WRITE_OWNER = 524288
Const FOLDER_SYNCHRONIZE = 1048576
Const FOLDER_INHERITED_ACE = 16
Const SE_DACL_PRESENT = 4
Const ACCESS_ALLOWED_ACE_TYPE = 0
Const ACCESS_DENIED_ACE_TYPE  = 1

strComputer = «.»
strTargetPath = WScript.Arguments.Item(0)
strOutFile = WScript.Arguments.Item(1)
strdrop = «»

Set objFSO = CreateObject(«Scripting.FileSystemObject»)
Set objOutFile = objFSO.OpenTextFile(strOutFile, ForAppending, True)

objOutFile.Writeline «Date;Time;Folder;Group / User Name;Commom Permission’s;Special Permission’s;Access Type;Inheritance;Error’s»

ShowSubACL objFSO.GetFolder(strTargetPath)
ShowSubfolders objFSO.GetFolder(strTargetPath)

objOutFile.Close

Sub ShowSubFolders(Folder)
 On Error Resume Next
    For Each Subfolder in Folder.SubFolders
  ShowSubACL(Subfolder.Path)
  
  ShowSubFolders Subfolder
  If Err.Number = 0 Then
   strErros = «No Error’s»
  ElseIf Err.Number = 451 Then
   strErros = «No Error’s»
   Err.clear
  Else
   strErros = «Cod.: » & Err.Number & » Desc.: » & Err.description
   objOutFile.Writeline Date() & «;» & Time() & «;» & FolderPerm & «;» & «» & «» & «» & «;» & «» & «;» & «» & «;» & «»  & «;» & «» & «;» & strErros
   Err.clear
  End If
    Next
End Sub

Sub ShowSubACL(FolderPerm)
 On Error Resume Next
 strCPerm = «»
 strSPerm = «»
 strTypePerm = «»
 strInherit = «»
 strErros = «»
 Dim WshShell, strDirectory, strFile
 Set WshShell = WScript.CreateObject(«Wscript.Shell»)
 Set objWMIService = GetObject(«winmgmts:»)
 Set objFolderSecuritySettings = objWMIService.Get(«Win32_LogicalFileSecuritySetting='» & FolderPerm & «‘»)
 intRetVal = objFolderSecuritySettings.GetSecurityDescriptor(objSD)
 intControlFlags = objSD.ControlFlags
 strDirectory = «DIRECTORIO_EN_DONDE_GUARDAR_LOS_GRUPOS_CON_USUARIOS»
 Set objFSO = CreateObject(«Scripting.FileSystemObject»)
 If intControlFlags AND SE_DACL_PRESENT Then
  arrACEs = objSD.DACL
  If Err.Number = 0 Then
   strErros = «No Error’s»
  Else
   strErros = «Cod.: » & Err.Number & » Desc.: » & Err.description
   objOutFile.Writeline Date() & «;» & Time() & «;»»» & FolderPerm  & «»»;» & «» & «» & «» & «;» & «» & «;» & «» & «;» & «»  & «;» & «» & «;» & strErros
   Err.clear
  End If
  For Each objACE in arrACEs
   
 
   ‘ACL Type
   If objACE.AceType = ACCESS_ALLOWED_ACE_TYPE Then strTypePerm = «Allowed»
   If objACE.AceType = ACCESS_DENIED_ACE_TYPE Then strTypePerm = «Denied»
   
   ‘Inherit
   If objAce.AceFlags AND FOLDER_INHERITED_ACE Then
    strInherit = «Yes»
   Else
    strInherit = «No»
   End if
   
   ‘Commom Permissions
   If objACE.AccessMask = FOLDER_FULL_CONTROL Then
    strCPerm = «Full Control»
   ElseIf objACE.AccessMask = FOLDER_MODIFY Then
    strCPerm = «Modify»
   ElseIf objACE.AccessMask = FOLDER_READ_CONTENT_EXECUTE_WRITE Then
    strCPerm = «Read & Execute / List Folder Contents (folders only) + Write»
   ElseIf objACE.AccessMask = FOLDER_READ_CONTENT_EXECUTE Then
    strCPerm = «Read & Execute / List Folder Contents (folders only)»
   ElseIf objACE.AccessMask = FOLDER_READ_WRITE Then
    strCPerm = «Read + Write»
   ElseIf objACE.AccessMask = FOLDER_READ_ONLY Then
    strCPerm = «Read Only»
   ElseIf objACE.AccessMask = FOLDER_WRITE Then
    strCPerm = «Write»
   Else
    strCPerm = «Special»
   End If
   
   ‘Special Permissions
   strSPerm = «»
   If objACE.AccessMask and FOLDER_EXECUTE Then strSPerm = strSPerm & «Traverse Folder/Execute File, »
   If objACE.AccessMask and FOLDER_LIST_DIRECTORY Then strSPerm = strSPerm & «List Folder/Read Data, »
   If objACE.AccessMask and FOLDER_READ_ATTRIBUTES Then strSPerm = strSPerm & «Read Attributes, »
   If objACE.AccessMask and FOLDER_READ_EA Then strSPerm = strSPerm & «Read Extended Attributes, »
   If objACE.AccessMask and FOLDER_ADD_FILE Then strSPerm = strSPerm & «Create Files/Write Data, »
   If objACE.AccessMask and FOLDER_ADD_SUBDIRECTORY Then strSPerm = strSPerm & «Create Folders/Append Data»
   If objACE.AccessMask and FOLDER_WRITE_ATTRIBUTES Then strSPerm = strSPerm & «Write Attributes, »
   If objACE.AccessMask and FOLDER_WRITE_EA Then strSPerm = strSPerm & «Write Extended Attributes, »
   If objACE.AccessMask and FOLDER_DELETE_CHILD Then strSPerm = strSPerm & «Delete Subfolders and Files, »
   If objACE.AccessMask and FOLDER_DELETE Then strSPerm = strSPerm & «Delete, »
   If objACE.AccessMask and FOLDER_READ_CONTROL Then strSPerm = strSPerm & «Read Permissions, »
   If objACE.AccessMask and FOLDER_WRITE_DAC Then strSPerm = strSPerm & «Change Permissions, »
   If objACE.AccessMask and FOLDER_WRITE_OWNER Then strSPerm = strSPerm & «Take Ownership, »
   If objACE.AccessMask and FOLDER_SYNCHRONIZE Then strSPerm = strSPerm & «Synchronize, »
   If trim(strSPerm) <> «» then strSPerm =  left(strSPerm, len(strSPerm)-2)

   If UCase(strdrop) = UCase(«/dropInherit») and objAce.AceFlags AND FOLDER_INHERITED_ACE Then
 
   Else 
    objOutFile.Writeline Date() & «;» & Time() & «;»»» & FolderPerm & «»»;»»» & objACE.Trustee.Domain & «» & objACE.Trustee.Name & «»»;» & strCPerm & «;» & strSPerm & «;» & strTypePerm  & «;» & strInherit & «;» & strErros
 
   
    strFile = strDirectory & «» & objACE.Trustee.Name &».TXT»
    If objFSO.FileExists(strFile) Then
    Else
       desquerygroup = «dsquery group -samid » & chr(34) & objACE.Trustee.Name & chr(34) & » | dsget group -members -expand | dsget user -samid -display> » & strFile
       wshShell.Run  «cmd.exe /C » & desquerygroup
       
    End if
   End if 
  Next
 End If
End Sub

un Saludo!

Windows Assessment and Deployment Kit

lunes, 15 de octubre de 2012 Comments off

Hola a todos,

Vamos a ver una de las herramientas que más se utilizan en el departamento IT de una organización mediana/grande y que sin ella, sería imposible afrontar proyectos de migración de versiones de Windows Desktop.

Windows Assessment and Deployment Kit, es un conjunto de herramientas que nos brinda Microsoft y para validar, personalizar e instalar sistemas operativos Microsoft en nuestra plataforma.

Con la salida de Windows 8 y Windows 2012, se han actualizado alguna de estas herramientas, al igual que SCCM 2012 que se ha actualizado con SP1 para desplegar Windows 8 y 2012.

ADK incorpora las siguientes herramientas:

La plataforma en donde se tiene que instar son las siguientes:

  • Windows 8
  • Windows 7
  • Windows Server 2012
  • Windows Server 2008 R2
  • Windows Server 2008

Se requiere Microsoft .NET Framework 4.
Aunque se recomienda, instalarlo en un entorno servidor (Windows Server 2008 R2 o Windows Server 2012).