El Blog de Quilez

Un usuario me preguntaba si era posible automatizarlo. Esta es la respuesta que le dí:

Esto lo puedes hacer mediante un script .vbs que ejecutarás en el servidor.
Lo puedes poner en el escritorio, editarlo para cambiar la password y ejecutarlo.  La complejidad de la clave debe coincidir con la que tengas establecida en la GPO del dominio, donde además tendrás que establecer la frecuencia mínima del cambio de contraseña a 1 día (deberás probarlo, pues quizá tengas que reducirlo a 0 para que te permita el cambio todos los días a la misma hora, ya que si lo ejecutas de forma manual es posible que no hayan transcurrido 24 horas exactas desde el cambio del día anterior). El script sería similar al siguiente:
Set clave = «LaContraseña99!#» Set objUser = GetObject _ («LDAP://cn=usuario1,ou=visitantes,dc=dominio,dc=local«) objUser.SetPassword clave Set objUser = GetObject _ («LDAP://cn=usuario2,ou=visitantes,dc=dominio,dc=local«) objUser.SetPassword clave

y así. Esto si les quieres poner la misma clave a todos. Por supuesto, si son muchos el código se puede hacer más elegante, con un bucle que lea los nombres de usuarios de la OU y les vaya cambiando las claves. Si en vez de que tengan todos la misma las quieres diferentes, en lugar de especificarla al principio les pones en cada línea la que quieras.
Y si lo quieres automatizar, podrías crear un fichero de texto con las claves de todo el mes en el que cada línea tenga el día del mes y las claves correspondientes a los usuarios, separadas por comas. Al principio del script haces una lectura del fichero en la que busques la línea cuyo primer campo coincida con el día del mes en que estás, y el segundo campo sería la contraseña a establecer a los usuarios. De esta forma puedes programar la ejecución del .vbs todos los días a primera hora y sólo tendrás que actualizar una vez al mes el fichero de contraseñas. Quedaría algo así como lo siguiente:

Const ForReading = 1 strComputer = «.»

Set objWMIService = GetObject(«winmgmts:\\» & strComputer & «\root\cimv2»)

Set colItems = objWMIService.ExecQuery(«Select * from Win32_LocalTime»)

For Each objItem in colItems

hoy = objItem.Day

Next
Set objFSO = CreateObject(«Scripting.FileSystemObject»)

Set objTextFile = objFSO.OpenTextFile _

(«c:\scripts\passwords.txt», ForReading)

Do Until objTextFile.AtEndOfStream

strNextLine = objTextFile.Readline arrClaves = Split(strNextLine , «,»)

If arrClaves(0) = hoy then

clave1 = arrClaves(1)

clave2 = arrClaves(2)

clave3 = arrClaves(3)

clave4 = arrClaves(4)

End If

Next

Loop

Set objUser = GetObject _

(«LDAP://cn=usuario1,ou=visitantes,dc=dominio,dc=local«)

objUser.SetPassword clave1

Set objUser = GetObject _

(«LDAP://cn=usuario2,ou=visitantes,dc=dominio,dc=local«)

objUser.SetPassword clave2 …

En la GPO del dominio, ve a la rama Configuración de usuario – Plantillas administrativas – Sistema – Scripts y habilita la política «Ejecutar scripts de inicio de sesión heredados de forma oculta». Cuando habla de «heredados» se refiere a los archivos .bat o .cmd, ya que los .vbs o .js no los muestra por defecto (si te fijas, hay otra política al lado para permitir ver estos últimos en caso de necesidad.

El eterno error causa de buena parte de los problemas en el Directorio Activo es usar una incorrecta configuración DNS, generalmente poniendo como servidores DNS los de un proveedor de internet. Si esto además lo hacemos en un DC, éste no se va a publicar correctamente en la zona DNS del dominio. Para solventarlo hay que hacer lo siguiente:

Ve a la configuración tcpip del servidor y te aseguras de que como servidor DNS principal se tiene a su propia dirección ip y no tienes ningún otro
servidor DNS que no sea un DC del dominio (y mucho menos servidores DNS de internet). En la misma configuración, pulsando el botón de avanzadas, te vas a la solapa DNS y en la parte inferior le escribes como sufijo DNS, el nombre de tu dominio (midominio.com), y le marcas las dos casillas de registrarse en DNS y de usar ese sufijo para registrarse. A continuación mira las propiedades de la zona DNS y te aseguras de que permite actualizaciones dinámicas y que está almacenada en Active Directory (esto último no es imprescindible, pero sí más que aconsejable). Si la tuvieras de otra forma cámbialo. Una vez hecho, abre una ventana de comando y teclea lo siguiente:
IPCONFIG /REGISTERDNS

NET STOP NETLOGON

NET START NETLOGON
Tras esto cierras la ventana de comando y en la consola de administración del servidor DNS ya te tendrá que aparecer la zona _msdcs y los registros correspondientes.

Este programa de desfragmentación lo llevo usando desde hace años, y la verdad es que con cada versión nueva que sacan al mercado me gusta más. Y la mayor razón de esto es que una vez lo instalas en un equipo (hay disponibles versiones tanto para clientes como para servidores) no notas que está ahí, sino que va haciendo su trabajo de forma transparente para el usuario, y sin que se note pérdida ninguna de rendimiento en el sistema.

Desde hoy 15 de marzo de 2011 está disponible para todos aquellos usuarios del programa que tienen un contrato de mantenimiento en vigor (haciendo login en la web Channel Partner). Para el resto de usuarios estará disponible el próximo 22 de marzo.

En la página de Diskeeper se puede encontrar información detallada sobre el programa (todavía sobre la versión 2010, en unos pocos aparecerá información sobre la nueva).

http://www.diskeeper.com

A continuación indico las principales características que se pueden encontrar en las distintas versiones de Diskeeper:

Operación automática:

Diskeeper está diseñado para operar sin intervención del usuario. Tan solo hay que instalar diskeeper y dejarle que tome el control. Por supuesto, se puede configurar para que el programa se ejecute de forma manual, pero seguro que tenemos mejores cosas que hacer, y características como Intelliwrite o la desfragmentación automática están diseñadas precisamente para eso.

Intelliwrite (prevención de la fragmentación):

Intelliwrite es una tecnología que previene que llegue a tener lugar la mayor parte de la fragmentación de archivos, resultando en una mejora del rendimiento de Windows. Básicamente lo que hace es interactuar con el sistema de archivos de tal forma que fuerza a que los archivos que se escriben en el disco lo hagan de forma continua, en lugar de por partes (causa principal de la fragmentación). Esta característica ya estaba disponible en Diskeeper 2010, y puedo decir que, tras un año instalado en la máquina en la que estoy escribiendo, no he notado ningún tipo de pérdida de rendimiento en las escrituras en disco.

Desfragmentación automática:

En este modo, altamente recomendado que esté activado, Diskeeper trabaja de forma automática en segundo plano, manteniendo los discos en estado óptimo. La desfragmentación instantanea elimina inmediatamente cualquier fragmentación que no haya sido prevenida por Intelliwrite, evitando además tener que realizar análisis completos de los discos que consuman gran cantidad de tiempo.

I-FAAST:

Esta característica solo funciona con volúmenes NTFS, y además solo está disponible para las versiones Profesional, Pro Premier, Server y Enterprise Server. Lo que hace al estar habilitada en un volumen es realizar evaluaciones de rendimiento del mismo de forma transparente, de tal forma que toma nota de las características de rendimiento del mismo y de como se escriben y leen los archivos del mismo, teniendo en cuenta que no se escribe de la misma forma en el disco en cualquier situación de uso (no es lo mismo descargar de forma secuencial archivos grandes por un único usuario que tener varios usuarios escribiendo muchos archivos al mismo tiempo a través de la red), y que esta forma de uso puede cambiar en el tiempo. I-FAAST analiza este uso y hace que Diskeeper se adapte a estas situaciones cambiantes.

Desfragmentación al inicio del Sistema:

Con ella podemos consolidar el espacio usado por los directorios o carpetas, agrupándolos en un mismo espacio contiguo en el disco. También permite la desfragmentación del fichero de paginación y de la MFT de los volúmenes NTFS.

Hyperfast:

Hyperfast es una tecnología propia de Diskeeper que está enfocada a la desfragmentación de los discos SSD. Éstos, en su tecnología actual, sufren de un problema que consiste en que cuantas más escrituras se hacen en el disco más se reduce la vida del mismo, notándose con el tiempo una reducción en el rendimiento. Esto es debido a que cuando se escribe en una parte del disco sin datos, se hace directamente, pero si ya hay datos en esa zona, se produce un proceso de borrado-escritura que disminuye el rendimiento y enlentece el acceso al disco. Para ello, Hyperfast es una tecnología específica de optimización para este tipo de discos que busca minimizar estos ciclos de borrado-escritura al desfragmentar, evitando la pérdida de rendimiento y alargando la longevidad del disco.

Por fin está disponible para descarga en todos los idiomas, y en versiones para Windows 7, Vista, Server 2008 y 2008 R2 (las versiones de servidor son las mismas que en su equivalente versión de cliente), y en versiones tanto de 32 como de 64 bits.

Se pueden descargar desde el siguiente enlace

http://windows.microsoft.com/es-ES/internet-explorer/downloads/ie-9/worldwide-languages

Microsoft ha liberado ya el Service Pack 1 para todas las versiones de Windows 7 y Windows Server 2008 R2. Desde el siguiente enlace se pueden descargar los archivos, y en MSDN y Technet están disponibles las imágenes ISO de las versiones integradas.

http://www.microsoft.com/downloads/es-es/details.aspx?FamilyID=c3202ce6-4056-4059-8a1b-3a9b77cdfdda

Se trata de una nueva plataforma en la que se pueden testear las aplicaciones desarrolladas con tecnologías de Microsoft´, de forma rápida y sencilla.

Esta es la información con la que se puede acceder a la misma

El día 29 de Octubre se lanzo Microsoft Partner Network (MPN). Después de más de un año en transición, los nuevos niveles y los nuevos requisitos por competencias se exigirán a partir de esa fecha para los partners nuevos y para aquellos que tengan que renovar a partir de la fecha de lanzamiento del nuevo Partner Network (hasta la fecha de renovación se mantendrá el nivel y beneficios que se ostentará en el MSPP). MPN sustituye al antiguo Micrososft Partner Program (MSPP) que se lanzó hace 8 años.

Este cambio potencia la especialización de nuestro canal y la diferenciación, y responde a la demanda de nuestros clientes y partners. El programa tiene los siguientes niveles: Gold, Silver, Subscription y Community, y 30 competencias (Virtualización, Business inteligence, Application Platform, ISVs…).

Hay cambios en cuanto a los requisitos de las competencias tanto para el nivel Silver (antiguo Certified) como para el nivel Gold. Desde el punto de vista de los ISVs supone la incorporación de nuevas certificaciones de productos válidas para los dos niveles.

Para conseguir la competencia ISVs en el nivel Silver se solicitará una aplicación certificada con uno de los siguientes test:

– Windows 7 Platform Ready

– Windows Server 2008 R2 Platform Ready

– Windows Azure Platform Ready

– SQL Azure Platform Ready

– Microsoft Surface Test

Los test que hasta ahora tuvierais hechos serán validos para la competencia hasta Mayo de 2011, pero es momento de ir alineándose con los nuevos requisitos. Ya puedes realizar los nuevos Test a través de Microsoft Platform Ready de forma rápida, sencilla y sin ningún coste para el partner.

http://www.microsoftplatformready.com/spain/home.aspx

Date de alta en Microsoft Platform Ready con tu usuario y contraseña del programa de partners, da de alta todas tus aplicaciones, independientemente de la fase en la que estén (desarrollo, pruebas, producción, etc) y aprovecha los recursos de MPR (recursos de desarrollo, realiza test de certificación, material de marketing, etc).

Si realizas algunos de los test, estos automáticamente volcaran en MPN y podrás asociarlo a la competencia para la que sean válidos.

A parte de ISVs, hay otras competencias que permitirán la certificación de una aplicación para obtenerla en su nivel Silver.

· Application Integration  =  Windows Server 2008 R2 Platform Ready

· Data Platform  =  SQL Server 2008 R2 Platform Ready

· Business Intelligent  =  SQL Server 2008 R2 Platform Ready

· Content Management   =  Sharepoint Server 2010 Platform Ready (proximamente disponible)

· Unified Communication  =  Unified Communicatios Platform Ready ( aun no disponible)

Para aquellos que queráis optar a la competencia Gold de ISVs los test que se solicitaran son:

– Certified for Windows Server 2008 R2 o

– Windows 7 Logo Test

Como es sabido, los discos SATA pueden funcionar tanto en un modo en que solo usan las funciones de los discos PATA de siempre, como, en las placas con chipset Intel, en un modo (AHCI, Advanced Host Controller Interface) en el que se tiene acceso a nuevas funcionalidades de los discos SATA como son NCQ (Native Command Queue) o la conexión/desconexión de discos en caliente (muy usado con discos eSATA).

Debido a que los fabricantes de placas quieren maximizar la compatibilidad, en muchos casos los valores por defecto de la BIOS configuran éstas para que los discos SATA se comporten como discos IDE tradicionales, con lo que perdemos estas características avanzadas del interfaz SATA, y, en algunos casos, algo de rendimiento (esto no siempre es apreciable).

En estos casos, si nos lanzamos a instalar Windows sin haber mirado antes como están estos valores en la BIOS, y están en modo de emulación IDE, la instalación de Windows se configurará para cargar estos drivers en el arranque del sistema, y no los AHCI correspondientes a los SATA en modo avanzado.

Si después nos damos cuenta y tras reiniciar cambiamos el valor en la BIOS de IDE a AHCI, nos llevaremos la sorpresa de que nos sale una pantalla azul con el código de error 0x0000005B, ya que Windows no puede leer del disco duro al no tener activado el driver AHCI, ahora necesario tras el cambio en la BIOS.

Sin embargo, la solución es fácil: primero volvemos a editar la BIOS y dejar la configuración de discos como antes, en modo emulación IDE (o como lo llama la BIOS, que puede también ponerlo como PATA o similar).

Una vez vuelto a arrancar Windows, editamos el registro y nos posicionamos en la siguiente clave:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\msahci

localizamos el valor REG_DWORD “Start” y cambiamos su valor a “0” (seguramente estará en “3”).

A continuación reiniciamos el equipo y editamos la BIOS, configurando, ahora sí, los discos en modo AHCI y dejando que Windows reinicie ya con los discos en este modo.

Si en lugar de controladora AHCI de Intel estamos usando un RAID o una controladora diferente, antes del cambio tenemos que localizar cual es la rama del registro bajo CurrentControlSet\services correspondiente al controlador (para RAIDs de Intel suele ser iaStor o iaStorV), y modificar el mismo valor “Start” a “0” como hemos hecho en el caso de AHCI.

Si queremos realizar modificaciones en el registro, dentro del perfil de cada uno de los usuarios existentes en el equipo, e incluso modificar el perfil por defecto para que esos valores estén presentes en los perfiles de los usuarios que en el futuro inicien sesión, tenemos que obrar del siguiente modo:

en un archivo con extensión .cmd se escribe el código que pongo más abajo, lógicamente adaptado a las necesidades y se tienesque ejecutar como administrador, por ejemplo con el comando psexec de las pstools, lanzándolo con la siguiente línea:

psexec -i -s  c:\ruta\archivo.cmd

El archivo.cmd tiene que tener el siguiente contenido o similar, con tantas líneas como sea necesario:

for /f "tokens=1,2* delims=\" %%i in (' reg query HKU ') do reg add HKU\%%j\Prueba /f
for /f "tokens=1,2* delims=\" %%i in (' reg query HKU ') do reg add HKU\%%j\Prueba /v ejemplo /t REG_DWORD /d 100 /f

La primera de las líneas recorre todas las claves existentes bajo HKEY_USERS, poniendo en la variable %%j el nombre de la clave de cada usuario y creando bajo ella una nueva subclave "Prueba"

La segunda línea hace el mismo recorrido, y crea dentro de la subclave Prueba un nuevo valor DWORD de nombre "ejemplo" y lo rellena con el dato "100"

El parámetro /f es para que no pregunte si ya existe

El comando psexec se puede descargar del siguiente enlace, y se copia a la carpeta windows o a una que esté en el path, o bien, si no se quiere que esté en los equipos de los usuarios, se puede colocar en una carpeta compartida en la red.

http://technet.microsoft.com/es-es/sysinternals/bb897553.aspx

He hecho pruebas con estas líneas y me ha funcionado creando en cada rama de usuario la carpeta y el valor correspondientes. No obstante, aconsejo que todas las pruebas se hagan con una máquina de pruebas que se pueda reinstalar sin problemas en caso de fallo. El comando REG te permite retocar muchas cosas en el registro, y con el psexec -s lo ejecutas con todos los permisos del mundo, así que hay que asegurarse de que hace justo lo que quieres antes de lanzarlo a todos los equipos de tu dominio.

Para ejecutarlo en todos los equipos puedes asignarlo como login script, y hacer primero que se copie a la carpeta windows de cada equipo el psexec con:

copy "\\servidor\recurso\psexec.exe" "%systemroot%\"

Ese problema es muy común en los servidores de archivos, cuando se comparten carpetas en red y los usuarios se mapean directamente a subcarpetas. En este caso, cuando ellos crean a través de la letra de unidad un archivo en una estructura de carpetas larga, y usan nombres largos de archivo, pueden acercarse a los 256 caracteres máximo de ruta + nombre de archivo. El explorador en el cliente lo permite, ya que no se sobrepasa el máximo.

Ahora, si desde el propio servidor se abre el explorador y se intenta llegar a la misma ruta, es muy fácil que se sobrepasen los 256 caracteres, y de ahí los problemas de no poder abrir, mover o borrar esos ficheros.

Donde en el cliente era

R:\musica\autores\…\lista de los autores españoles del siglo XIX.docx

en el servidor se convierte en algo como

D:\usuarios\profesores facultad informática\Luis Alvarez\musica\autores\…\lista de los autores españoles del siglo XIX.docx

con lo que se ve claramente como se produce el problema.

La solución pasa por conectarte a esa carpeta a través de una ruta de red, mapeando con una letra de unidad y accediendo al archivo a través de la misma, con lo que ya podrás reducir la longitud del nombre, moverlo a otra carpeta o borrarlo sin problemas.