El Blog de Quilez

2.- DE GRUPO DE TRABAJO A DOMINIO

El trabajo en Dominio supone un cambio radical en el concepto de uso de los recursos de la red. En lugar de que cada equipo de la red sea una Unidad de Administración, éstos pasan a ser meros componentes de una única entidad, el dominio, que es en conjunto lo que podríamos llamar una Unidad de Administración Global. De esta forma, en un único punto de administración podemos definir todos los parámetros que necesitemos de comportamiento de todos los recursos que pertenezcan al dominio, y hacer que estos parámetros se distribuyan en la forma que queramos por todos los equipos del mismo.

Tareas tan simples como establecer la longitud de la contraseña de los usuarios, en un grupo de trabajo implica configurarlo en todos y cada uno de los ordenadores, y cada vez que queramos cambiar un parámetro tendremos que volver a pasar por todos los equipos. En un dominio, lo definimos es un único sitio y hacemos que se distribuyan estas modificaciones.

Otra gran ventaja que nos va a proporcionar un dominio es la gestión única de las cuentas de usuario. En un grupo de trabajo, éstas se definen localmente en cada uno de los equipos, en una base de datos de usuarios local. En un dominio, las cuentas se definen en una base de datos centralizada, lo que nos permitirá en todo momento saber el estado de cada una de ellas, y gestionar una política de cuentas común. Una gran dificultad en los grupos de trabajo es compartir recursos en red a usuarios de otros equipos. Para validarse, es preciso hacerlo definiendo en cada equipo el acceso con las credenciales de un usuario y contraseña del equipo que comparte. Si posteriormente en éste se cambia la contraseña, hay que realizar la modificación en todos y cada uno de los equipos que acceden a ese recurso. En un dominio, sin embargo, en el que desde todos los equipos del mismo se puede leer la base de datos de usuarios común, se comparten los recursos con permisos a los usuarios del dominio, y simplemente con estar en la lista de usuarios con permisos ya se puede acceder al recurso compartido, sin tener más que hacer.

Un concepto importante a la hora de trabajar en dominio es el de la pertenencia al mismo. En un grupo de trabajo, tan sólo con conectar un equipo físicamente a la red y ponerle una configuración de red adecuada, ya está en igualdad de oportunidades que los demás para poder acceder a los recursos de la red. En dominio, el primer paso que hay que hacer para poder acceder a todos los recursos del mismo es establecer la pertenencia al dominio del equipo. Es decir, que salvo determinados accesos a recursos compartidos, para aprovechar la inmensa mayoría de lo que nos ofrece un dominio es preciso primero pertenecer al mismo, proceso que podemos hacer que sea totalmente controlado por quién se hace.

El concepto de dominio en las redes Microsoft apareció de la mano de Windows NT, como una base de datos plana en la que definíamos usuarios y equipos, y roles tanto para los usuarios como para los equipos. Este primer concepto de dominio se mantuvo hasta Windows NT 4.0, y con Server 2000 cambió al modelo vigente hasta ahora con Server 2008, el Directorio Activo, en el que nos vamos a centrar.

¿Y por qué este cambio al Directorio Activo? Como he dicho antes, la base de datos de un dominio NT era plana, lo que quiere decir que todos los usuarios y equipos se definen y ven en una única lista, todos juntos. Para dominios pequeños no supone gran problema, pero si empieza a crecer el número de usuarios y equipos, la dificultad de su gestión aumenta de forma considerable. Por otro lado, si queremos relacionar recursos de nuestro dominio con otros dominios de nuestra misma organización, es preciso realizar expresamente una serie de operaciones para poder establecer las relaciones de confianza adecuadas, y en ningún momento vamos a poder gestionar una política común a todos los dominios de nuestra organización.

Con el concepto de Directorio Activo (AD = Active Directory) disminuyen en gran manera esas dificultades; por un lado, en un dominio vamos a poder organizar los recursos en una estructura similar a un árbol de carpetas de archivos, y establecer parámetros comunes a los componentes de cada rama. Por otro lado, la estructura ya no va a estar ligada solamente a un único dominio, sino que comenzaremos definiendo una superestructura común para toda nuestra organización, en la que colgarán todos los dominios que necesitemos para nuestras empresas y departamentos, permitiendo por un lado tener organismos con administración independiente de los demás (cada dominio), pero manteniendo un margen de gestión común a todos los elementos de nuestra organización.

3.- CONCEPTOS

A esta superestructura que va a albergar todos los recursos de nuestra organización la vamos a llamar bosque (o bosque de dominios). Puede tener un único dominio o varios, según nuestras necesidades. El bosque se caracteriza por tener un esquema (que ahora veremos lo que es) común para todos los dominios del mismo, y gestiona las relaciones entre todos los componentes de cualquier dominio perteneciente al mismo.

El sistema más simple es el de un bosque compuesto por un dominio único. Realmente ésta es la situación más común, ya que gracias a la alta capacidad de organización de un dominio en el Directorio Activo, ha disminuido en gran manera la necesidad en las empresas de mantener dominios independientes para sus componentes.

Este primer dominio del bosque, que se crea al mismo tiempo que este último, es lo que llamaremos «Dominio Raíz del Bosque». Es un dominio más, similar a todos los que posteriormente podamos añadir al bosque, pero tiene dos diferencias fundamentales con el resto: la primera, que una vez creado ya no se puede eliminar mientras queden otros dominios en el bosque, y la segunda, que en éste dominio raíz se gestionan de forma única para todos los dominios del bosque el esquema común y la nomenclatura de todos los dominios del bosque (controla los nombres para evitar que en un momento dado pudiéramos crear un dominio con un nombre ya existente en el bosque).

El bosque está compuesto de objetos. Desde cada dominio definido en el bosque hasta el último usuario o impresora son objetos componentes de esta estructura. Cada uno de estos objetos tiene una serie de atributos, que definen las características de los mismos. Así, por ejemplo para un usuario determinado, le habremos definido un nombre, apellidos, teléfono y un sinfín de atributos más que le identificarán en bosque de forma única.

El esquema es una base de datos del Directorio Activo donde se definen los distintos tipos de objetos que podremos crear en el bosque. A cada uno de estos tipos le llamaremos «Clase», y en ella estarán definidos todos los atributos que luego rellenaremos con los datos propios que identifican al objeto. Por poner un ejemplo, en el esquema tenemos la clase «User», la cual tiene definidos, entre muchos otros, los atributos «Name» y «Phone». Cuando desde la herramienta adecuada decimos al sistema que cree una cuenta de usuario, el sistema crea en AD un objeto usuario basado en la clase «User», con espacio para albergar todos los atributos que lo identifican. En el momento de crear el usuario, rellenamos los datos de aquellos atributos que son obligatorios, y tanto entonces como en cualquier momento podemos ampliar la información rellenando aquellos que no lo son. El hecho de que el esquema sea común a todos los dominios del bosque hace que cuando creamos una cuenta de usuario en un dominio, ésta tiene exactamente los mismos atributos y con las mismas características que las creadas en cualquiera de los otros dominios.

El esquema es algo dinámico. Cuando creamos un bosque, por ejemplo, con un servidor 2003, este Sistema Operativo trae una determinada versión del esquema, por lo que los atributos de los objetos que creemos serán los que estén definidos en esa versión. Posteriormente podemos instalar en el bosque un software, como Exchange, que amplía el esquema para añadir clases completamente nuevas, y añade nuevos atributos a clases ya existentes (por ejemplo, para añadir atributos relacionados con el correo a la clase «User»). Una vez hecha esta modificación del esquema, los objetos nuevos y los creados con anterioridad pasarán a disponer de estos nuevos atributos, con lo que habremos aumentado la funcionalidad de nuestra organización.

Generalmente, cada nueva versión de sistema operativo servidor viene preparada con una versión nueva del esquema de AD, más completa que las anteriores, y siempre conteniendo todo lo anterior más lo nuevo. Cuando creamos un bosque nuevo con la última versión, su Directorio Activo tiene automáticamente el último esquema definido. Sin embargo, si a un bosque definido con el esquema de una versión determinada de Windows, por ejemplo Server 2003, queremos añadirle determinadas funcionalidades correspondientes a versiones más modernas (2003 R2 ó 2008), como que pueda albergar controladores de dominio con Server 2008, nos será preciso en primer lugar ampliar el esquema actual con la versión correspondiente a la última versión que necesitemos tener.

Una vez hemos creado el primer dominio, es posible añadir más dominios al bosque. Sin embargo, lo más importante en esto es realizar a priori una planificación exhaustiva de lo que necesitamos. Tan malo es crear un único dominio mal organizado como empezar a crear subdominios sin ton ni son, que luego complican en exceso la administración centralizada de los mismos.

El concepto que tenemos que tener más en cuenta a la hora de decidir nuestra estructura de dominios es el de la administración única de los objetos de los mismos. Y por única no quiero decir que la haga un solo administrador, pues se pueden delegar permisos de administración a partes del dominio, sino que se tiene una política de administración conjunta para todo el dominio (mismas políticas de contraseñas, administradores centrales del dominio, gestión de las políticas comunes y particulares, etc). Cuando realmente necesitamos tener independencia total, aunque manteniendo la pertenencia al bosque, es cuando crearemos dominios adicionales en el bosque.

Una vez hemos decidido una estructura de dominios en el bosque, vemos que la topología de los mismos es función de la nomenclatura que establezcamos. Partiendo siempre del nombre que hayamos dado al dominio raíz, en el ejemplo «gericom.es», si necesitamos mantener el mismo como sufijo de otros, hablaremos de subdominios (p.e. sevilla.gericom.es), o dominios padres e hijos. Entre todos los que cuelgan de un mismo padre forman lo que en AD se llama un árbol de dominios. En el caso de que queramos crear dominios con una nomenclatura que no esté ligada al dominio raíz, éstos formarán nuevos árboles de dominios (que pueden ser árboles de un único dominio) dentro del bosque.

Un primer detalle a tener en cuenta con esta estructura de dominios es que, dando los permisos adecuados, cualquier usuario de cualquier dominio puede acceder a cualquier recurso ofrecido en cualquiera de los dominios del bosque.

Fijémonos en el gráfico anterior, y en particular en los nombres dados a los dominios. La estructura de nombres coincide con el tipo de nomenclatura de dominios DNS. Aunque son cosas distintas, la estructura de nombres de dominio en el Directorio Activo está totalmente ligada a una estructura de dominios DNS del mismo nombre. De hecho, gran parte de las funcionalidades del Directorio Activo dependen totalmente del servicio DNS y su correcta configuración.

Por fin, en esta estructura podemos definir el dominio como un conjunto de equipos, usuarios y otros recursos que se administran como una entidad única. Debe disponer de al menos un servidor Windows que realice las funciones de Controlador de Dominio, que es un servidor que aloja los servicios correspondientes al Directorio Activo en el dominio.

Hasta ahora hemos hablado de una estructura lógica del bosque, en la que, por ahora, hemos organizado los recursos en una estructura de dominios, pero hay que notar que esta estructura no tiene absolutamente ninguna relación con la estructura física de nuestra red. Del mismo modo podemos tener objetos de un mismo dominio repartidos por múltiples redes, como elementos de distintos dominios dentro de la misma red, con todas las combinaciones que queramos.

Por ello, para reflejar en el AD la estructura física de nuestra red aparece el concepto de Sitio de AD. Un Sitio es un conjunto formado por una o varias subredes que estén unidos entre sí por enlaces de alta capacidad. Nos permitirán por un lado gestionar de forma eficiente las réplicas del AD entre los servidores del propio o distintos Sitios, y también permiten que el inicio de sesión de los usuarios se realice en controladores de dominio del propio Sitio del equipo del usuario de forma preferente.

4.- CREAR EL PRIMER DOMINIO

Ahora que ya hemos visto algunos conceptos, es el momento de crear nuestro primer dominio. Para ello necesitamos una máquina adecuada y el software servidor, sea Server 2000, 2003 ó 2008. De todos los servidores que montemos en un dominio, al menos uno tiene que configurarse como Controlador de Dominio (DC, de Domain Controller), aunque es más seguro disponer de más de uno, más aún si tenemos nuestro dominio repartido en varias redes o Sitios de AD. A los servidores del dominio que no sean DC,s les llamaremos «Servidor Miembro».

Para que un servidor pueda ser promovido a Controlador de Dominio es preciso que tenga instalados los archivos necesarios para ello. En Server 2000 y 2003 lo están por defecto, mientras que en Server 2008 es necesario primero usar el asistente de instalación de roles para añadir los servicios del Directorio Activo. Por otro lado, he comentado antes que el Directorio Activo depende al cien por cien de una estructura DNS, por lo que será preciso crear ésta de forma adecuada. Aunque podemos hacerlo a mano, la verdad es que lo mejor es dejar que el propio asistente instale y configure el servicio «Servidor DNS» en el equipo durante el propio proceso de promoción. De hecho, en Server 2008, si le instalamos el rol de servicios de AD, veremos que ni siquiera nos va a permitir instalar el rol de servidor DNS por nuestra cuenta, sino que lo hará él mismo cuando promocionemos el servidor.

Con el servidor iniciado, y configurada su tarjeta de red con una dirección IP fija y poniéndole como servidor DNS principal a sí mismo, pinchamos en Inicio – Ejecutar y tecleamos el comando «dcpromo».

Tras comprobar que se han instalado previamente los archivos correspondientes al rol de servidor de directorio activo, se inicia el asistente. Para controlar todos los aspectos seleccionaremos la instalación en modo avanzado.

Nos muestra una advertencia de compatibilidad con determinados clientes antiguos, que generalmente podremos ignorar. Si nos afecta, el artículo indicado tiene información más completa.

Lo primero que nos pregunta el asistente es qué es lo que queremos hacer. Desde crear un bosque nuevo, a añadir un nuevo controlador de dominio a uno ya existente, crear un subdominio, o crear un nuevo árbol en un bosque existente.

En nuestro caso, como estamos creando el bosque desde cero, seleccionaremos la opción de crear un dominio nuevo en un bosque nuevo.

El resto de opciones en esta pantalla está muy claro: si queremos añadir más controladores de dominio a un dominio que ya existe para tener redundancia usaremos la opción de la segunda imagen; para crear un árbol de dominios nuevo que pertenezca a un bosque existente, la tercera y para crear un subdominio de otro que ya existe la cuarta.

El siguiente paso es dar un nombre FQDN (Full Quallified Domain Name) al bosque, que coincide con el nombre del dominio raíz. Debemos usar un nombre con puntos intermedios, ya que en caso contrario aparecen algunos problemas secundarios posteriormente, y procuraremos que el nombre sea representativo de nuestra organización.

Una vez hecho esto, tenemos que seleccionar el nombre NETBIOS del dominio. Nos ofrece por defecto la primera parte del nombre FQDN, pero podemos poner cualquier nombre que cumpla las reglas de nombres NETBIOS, y por supuesto, que no esté ya en uso.

Como vemos, y a pesar de que ya cuando se lanzó Windows 2000 con el Directorio Activo se pretendía eliminar progresivamente NETBIOS y basar todo en resolución de nombres DNS, la realidad es que todavía hay muchas aplicaciones que se basan en resolución de nombres NETBIOS. Es posible montar un entorno cien por cien DNS, pero a la hora de la verdad está limitado, ya que no tendremos certeza de que funcionen correctamente aplicaciones que requieran resolución NETBIOS (hay antivirus de red que se basan en esto para gestionar los clientes en que están instalados, por ejemplo), y algunas ni se instalarán (El propio Microsoft System Center Configuration Manager basa gran parte de su código en NETBIOS).

La siguiente decisión que tenemos que tomar es la elegir el nivel funcional, tanto del bosque como del primer dominio. Por explicarlo en pocas palabras, un dominio o un bosque proporciona unas determinadas funcionalidades en función de la versión de sistema operativo servidor en la que se basan. A más moderno el sistema operativo, más funcionalidades aporta su directorio activo. El total de funcionalidades correspondientes a un sistema operativo en un dominio se consigue cuando todos los DCs del dominio tienen al menos ese sistema operativo, y el de un bosque se consigue cuando todos sus dominios tienen el nivel funcional correspondiente o superior.

Si montamos un dominio nuevo con un servidor 2008, lo lógico es seleccionar el nivel funcional de Server 2008 tanto para el dominio como para el bosque, salvo que necesitemos instalar expresamente un DC con un sistema operativo anterior (recalco lo de que sea un DC, ya que los servidores miembro pueden tener cualquier versión anterior).

Si partimos de un bosque con dominios en nivel 2000, éstos sólo podrán tener DCs con Windows 2000 o superior, pero aunque tengamos en el dominio DCs con 2003 ó 2008, las funcionalidades del dominio seguirán siendo las correspondientes a Windows 2000. En el momento en que hayamos migrado o actualizado todos los DCs de un dominio del bosque al menos a Server 2003 podremos modificar el nivel funcional del dominio al de Server 2003, o al de Server 2008 si ya sólo tenemos DCs con este Sistema Operativo. La operación de cambiar el nivel funcional se denomina «elevar» el nivel funcional del dominio, y una vez hecha no tiene vuelta atrás.

Para elevar el nivel funcional del bosque a Server 2003 es preciso que todos los dominios del bosque tengan el nivel funcional 2003 o superior, y para nivel funcional 2008, todos los dominios del bosque tienen que tener nivel funcional 2008. Más tarde veremos cómo se realiza la operación de elevar el nivel de dominios y bosque.

Y para el dominio, seleccionamos el nivel que deseemos

La siguiente decisión es determinar si queremos que el controlador de dominio sea servidor DNS. Para el primer DC es lo más aconsejable, aunque no imprescindible, y para el resto de DCs lo mejor es hacer primero una planificación detallada de cómo queremos nuestra topología de servidores DNS en la red.

El primer DC del bosque tiene obligatoriamente el rol de Catálogo Global del bosque (GC), que es una funcionalidad adicional de los DCs que hacemos que sean GC por la que además de toda la información de todos los objetos correspondientes a su dominio, también albergan un subconjunto de los atributos de todos los objetos de todos los dominios del bosque.

Por fin, y sólo en los servidores 2008, aparece la posibilidad de que el DC sea de tipo RODC (Read Only Domain Controller), muy útil en situaciones como la de enviar un DC a una sede remota con conexión intermitente en la que no queremos que se pueda modificar nada del directorio, sino tan sólo usarlo. Como se ve en la figura, obviamente en primer DC de un dominio tiene que ser obligatoriamente de tipo lectura/escritura, de ahí que la opción esté desactivada.

Al pulsar «siguiente», el equipo ha detectado que tiene direcciones ip dinámicas, y nos avisa que deben ser estáticas. En Server 2000 y 2003 no suele aparecer el mensaje, ya que generalmente habremos puesto previamente una dirección ip fija (aunque si se nos ha olvidado, es el momento de solventarlo). Sin embargo, en Server 2008 nos aparece casi siempre, aunque le hayamos puesto una ipv4 fija, ya que éste también considera las ipv6, y salvo que lo sepamos y le hayamos configurado una ipv6 fija, normalmente no la tendrá configurada así y nos avisará, aunque sin especificar. Si no vamos a usar ipv6 en nuestra red, podemos ignorar el mensaje y decirle que sí, que siga aunque tenga una ip asignada dinámicamente. Eso sí, asegurarse primero de que la ipv4 sí se la hemos configurado fija.

Si detecta que nuestra configuración DNS está integrada en una topología DNS existente, intentará ubicarse en ella. Esto, que cuando creamos el bosque por primera vez no suele tener mayor importancia, es trascendental cuando estamos creando dominios secundarios o nuevos árboles en un bosque existente. Si no es capaz de detectarlo el propio asistente y crear las delegaciones adecuadas, tendremos que crearlas a mano en los servidores DNS que estén por encima en la cadena DNS.

En el caso del primer dominio del bosque, obviamos el mensaje y le decimos que continúe.

Lo siguiente es elegir la ubicación de los archivos del AD. Está recomendado usar discos distintos para cada una de las opciones con el objeto de mejorar el rendimiento (usar distintas particiones del mismo disco no mejora nada), pero la realidad es que salvo en ADs muy grandes y con muchas modificaciones y con gran frecuencia, lo normal es que se puedan poner todos en la misma partición sin que se note en el rendimiento.

La siguiente pregunta es la contraseña para cuando queramos reiniciar el servidor en el modo de restauración de los servicios de directorio. Esta contraseña no tiene nada que ver con la del usuario administrador, y sirve sólo para iniciar en el modo indicado. Este modo de arranque, sólo disponible en los DCs, sirve para realizar tareas de mantenimiento, como, por ejemplo, una restauración del AD en modo autoritativo.

El asistente nos muestra un resumen de lo indicado, tras lo cual comenzarán los trabajos de promoción del servidor a Controlador de Dominio, tal como indican las imágenes a continuación.

Una vez finaliza el proceso nos muestra el mensaje de haberlo hecho, tras lo cual reiniciaremos el servidor.

Tras el reinicio ya podremos iniciar sesión con un usuario administrador del dominio. En el caso del primer DC del bosque, su contraseña coincide con la del usuario «administrador» local que tuviéramos en el equipo antes de promocionarlo.

Es muy cómodo que al pinchar con el botón derecho del ratón sobre cualquier archivo nos aparezca una opción que lo edite automáticamente con el block de notas. Para ello no hay más que añadir un valor al registro, por ejemplo creando un archivo con extensión .reg con el siguiente contenido y combinándolo con el registro.

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\*\shell]

[HKEY_CLASSES_ROOT\*\shell\Block_Notas]

[HKEY_CLASSES_ROOT\*\shell\Block_Notas\command] @=»notepad.exe %1″

Usar VBScript para hacer scripts de inicio de sesión es mucho más potente que ejecutar archivos .bat con comandos de DOS. Para asignar estos scripts a los usuarios lo podemos hacer de varias maneras, en función de si son W2000 o posteriores, o si tenemos equipos con NT4 y Windows 9x en nuestro dominio.

En Usuarios y Equipos de AD podemos editar las propiedades de cada usuario, y en su perfil le podemos especificar un archivo de inicio de sesión, que habremos colocado previamente en el recurso NETLOGON de un DC. Este archivo se le ejecutará siempre que inicie sesión. Sin embargo, hemos de tener en cuenta que los equipos previos a Windows 2000 no pueden ejecutar directamente archivos con extensión .vbs, por lo que si tenemos este tipo de equipos lo que hemos de hacer es poner como script de inicio de sesión un archivo .bat, que también colocaremos en el NETLOGON, y que contendrá una linea como la siguiente para lanzar el .vbs

WSCRIPT %0\..\miscript.vbs

También podemos aprovechar ese archivo bat para ejecutar comandos DOS, como para sincronizar de forma sencilla la hora con un DC. Esto en W2000 no es necesario, pero los Windows 98 no se sincronizan automáticamente con el dominio, por lo que nos vendrá bien. Podemos hacerlo con la siguiente linea, que en los W2000 en que no inicie sesión un administrador no se ejecutará, aunque tampoco parará el script.

NET TIME \\SERVIDOR /SET /YES

El archivo .vbs nos va a permitir hacer muchas cosas, y personalizar el script según nuestras necesidades, pero lo más básico que haremos con él es conectar unidades de red en nuestro equipo asignándoles letras de unidad. Un  ejemplo de código para empezar que pondríamos en el archivo miscript.vbs que lanza el .bat sería como sigue

‘********************************************** Option Explicit Dim oNet, sUser, startTime

On Error Resume Next

‘ Objeto Red Set oNet = CreateObject(«WScript.Network»)

‘ Obtenemos el login de usuario. En Windows 9x, el usuario puede no estar todavía autentificado ‘ cuando el script comienza a ejecutarse; En ese caso reitera cada 1/2 segundo sUser = oNet.UserName          ‘En minúsculas

startTime = Now

Do While sUser = «»

If DateDiff(«s», startTime, Now) > 600 Then

Wscript.Quit

Wscript.Sleep 500

sUser = oNet.UserName

Loop

‘ Mapeado de la unidad F particular de cada usuario

oNet.RemoveNetworkDrive «U:»

oNet.MapNetworkDrive «U:», «\\servidor\usuarios\» & sUser

oNet.RemoveNetworkDrive «X:»

oNet.MapNetworkDrive «X:», «\\servidor\comunes\»

‘**********************************************

Notar que en los equipos con Windows 2000 o superior es necesario eliminar el mapeo de la unidad antes de volver a asignarla, pues si no lo ignora y deja la asignación anterior que hubiese con esa letra.

Por fin, si no tenemos equipos con Windows 9x o NT4 podemos especificar directamente el archivo .vbs como script de inicio de sesión, y también podemos asignar este tipo de archivos mediante GPO (configuración de usuario – secuencia de comandos: inicio de sesión / cierre de sesión), procedimiento por el que podemos asignar más de un script.

Con el siguiente código conseguimos poner en una variable «dirip» la dirección IP actual que tenemos.

for /f «tokens=1,2* delims=:» %%i in (‘ ipconfig ^| find «IP» ‘) do set dirip=%%j

set dirip=%dirip:~1%

Si no queremos usar programas complejos como el Microsoft Operations Manager, podemos recurrir a la herramienta pslist, que se puede descargar gratuitamente de http://www.sysinternals.com/ProcessesAndThreadsUtilities.html , y crear un bat que tenga el siguiente código:
for /f «tokens=1,2* delims= » %%i in (‘ pslist wmplayer ^| find «wmplayer» ‘) do set prog=%%i if %prog% == wmplayer goto fin net send pc01 «WMP no está cargado en memoria» :fin
Primero hay que ejecutar pslist en una ventana de comando y ver entre todos los procesos cual es el nombre del que se quiere monitorizar. En el código del ejemplo he puesto el wmplayer, que es el reproductor de Windows Media. Sustituya wmplayer por el nombre del proceso, y pc01 por el nombre del equipo en que se quiera recibir la alerta (el servicio messenger tiene que estar habilitado y arrancado en los dos equipos). Ahora tan sólo hay que usar el programador de tareas para que el bat se ejecute periódicamente en el equipo que tiene el programa. También se puede aprovechar que pslist se puede ejecutar en remoto y cambiar el código al siguiente, en el que además si el proceso no está en memoria, lo carga:
for /f «tokens=1,2* delims= » %%i in (‘ pslist \\EQUIPOREMOTO wmplayer ^| find «wmplayer» ‘) do set prog=%%i if %prog% == wmplayer goto fin net send pc01 «WMP no está cargado en memoria» start wmplayer.exe :fin

En el Directorio Activo, todos los controladores de dominio son iguales (al menos lo eran hasta Server 2008), a diferencia de NT4 en que un servidor era el principal (PDC) y el resto eran copias de sólo lectura de la base de datos del dominio (los BDC). Sin embargo, hay una serie de roles que sólo pueden ser ejercidos por un único DC, al tratarse de funciones que requieren ser únicas en el bosque o dominio. Por así decirlo, el DC que ostenta en un momento dado un rol maestro realiza funciones de moderador o director de esa función. Un rol maestro puede transferirse de un DC a otro, incluso forzarse el cambio caso de desastre del DC que lo ostenta, pero en ningún momento puede haber más de un DC con el mismo rol. A estos roles se les conoce como FSMO (Flexible Single Master Operations). Los tipos de roles maestros de operaciones son cinco, dos a nivel bosque y tres en cada dominio del mismo.

1) Bosque: A este nivel, y localizados siempre en algún DC del dominio ra´´iz del bosque (el primero que montas cuando lo creas) hay dos, el maestro de esquema y el maestro de nombres de dominio.

– Maestro de Esquema: es el DC que dirige todas las operaciones de cambio en el esquema del AD (la definición de clases de objeto, con sus atributos). Cuando se hace una modificación al esquema, siempre se realiza sobre el maestro de esquema (aunque la consola la lancemos desde otro DC), y a continuación se replica a todos los DCs del bosque. Esto permite asegurar que el esquema sea único para todo el AD.

– Maestro de Nombres de Dominio: El DC que ostenta este rol es el que controla que los nombres propuestos para nuevos dominios en el bosque no estén en uso, y además que la topología de nombres sea la correcta (por ejemplo, si tenemos un árbol con un dominio de nombre «españa.es», no podremos crear otro árbol de nombre «sevilla.españa.es», sino que tendrá que ser un subdominio del anterior. 2) Dominio: En cada dominio del bosque hay tres roles maestros, que pueden ser ejercidos por el mismo o por distintos DCs del dominio. Son los siguientes:

– Emulador de PDC: Entre otras, realiza todas aquellas tareas que los equipos anteriores a Windows 2000 esperaban que se realizasen en un PDC de NT4. Entre otras cosas, cuando un DC recibe una modificación de la contraseña de un usuario, al primero que se lo replica es al PDC, quien además ejerce de árbitro cuando se produce una autenticación incorrecta de la contraseña de un usuario (antes de generar el mensaje de error, el DC en que se valida la contraseña errónea le pregunta al PDC por si éste ya hubiera recibido un cambio de la contraseña).   Por otro lado, el PDC de un dominio es la cabeza jerárquica en el mismo para la sincronización de tiempo (los clientes sincronizan con el DC con que se validan, y éstos con el PDC de su dominio). A su vez, el PDC del dominio raíz del bosque es la cabeza jerárquica de sincronización de tiempo para todos los PDCs de los dominios del bosque. Normalmente, éste PDC y no otro es el que configuraremos para sincronizar con una fuente externa de tiempo fiable (si es que lo necesitamos).   También, cuando editamos una GPO desde cualquier equipo, por defecto se hace contra la copia almacenada en el PDC del dominio y se guardan los cambios en el mismo, tras lo cual se replican al resto de DCs.

– RID Master (Relative Identifier Master): Como he comentado antes, al ser todos iguales, en cualquier DC del dominio se pueden crear objetos del AD.  Al crear un objeto de tipo usuario, grupo o equipo se le asigna un identificador único de seguridad en el dominio (SID). Este identificador consta de una parte única para todo el dominio y de otra variable dentro del mismo, que le asigna el DC en que se crea el objeto. Para evitar que dos DCs distintos generen el mismo SID para un objeto, el DC que hace de RID master asigna al resto de DCs del dominio un número de IDs (un RID Pool), de tal forma que son distintos en cada DC. Cuando a un DC se le está acabando el número de IDs disponibles, solicita al RID Master que le asigne un nuevo pool de RIDs. Si el RID Master cayese y no forzásemos que otro DC pasase a llevar este rol, llegaría un momento en que no se podrían crear más objetos en el dominio por falta de IDs.

– Maestro de Infraestructura: Es el DC responsable de actualizar en otros dominios de su mismo bosque aquellos objetos del dominio propio que son referenciados por objetos de otros dominios. Por poner un ejemplo claro que lo explique, podemos tener un grupo de usuarios en un dominio, al que pertenecen cuentas de usuario de otros dominios. Si en un momendo dado cambiamos el nombre al grupo, el Maestro de Infraestructura es el encargado de notificar a los de otros dominios de este cambio. En un dominio, el Maestro de Infraestructura no puede ser al mismo tiempo Catálogo Global, salvo en el caso de un bosque de dominio único, debido al modo como ese DC consulta a los de otros dominios sobre los cambios de este tipo.

Los cambios de servidor para cada rol maestro se pueden hacer de dos formas: con las distintas herramientas gráficas de administración del AD (Usuarios y Equipos de AD, Sitios y Servicios de AD, Dominios y Confianzas de AD y cargando en una consola mmc el complemento de esquema), o bien con la herramienta de linea de comandos «ntdsutil». Para que te aparezca esta última tienes que instalar las support tools del CD del servidor. Además, con las herramientas gráficas se puede cambiar un rol de servidor siempre que tanto el de origen como el de destino estén en linea. Si el original hubiese caído, el forzamiento del cambio (seize) sólo se puede hacer con ntdsutil, siguiendo los pasos que describe el siguiente artículo:  http://support.microsoft.com/kb/255504

Por fin, hay otro rol que no se define como tal como Maestro de Operaciones, que es el de Catálogo Global. En cada dominio tiene que haber al menos uno (el primero que promocionamos al crear un dominio lo será automáticamente, pero al resto se lo tendremos que especificar expresamente en las propiedades del DC en Sitios y Servicios de AD). Un Catálogo Global es un DC del dominio que además de tener toda la información de los atributos de todos los objetos de su propio dominio, tiene un subconjunto de los atributos de todos los objetos de todos los dominios del bosque. La réplica de estos datos se realiza de forma independiente entre los Catálogos Globales. Por defecto, el AD tiene marcado en su esquema cuales son los atributos de cada clase de objeto que se tienen que replicar entre Catálogos Globales, pero esto lo podemos modificar si fuera necesario editando las propiedades de cada atributo en el maestro de esquema del bosque. Existen unas reglas para determinar cuantos DCs deben ser Catálogos Globales. En un bosque de dominio único, todos los DCs se pueden configurar como GCs, incluso el Maestro de Infraestructura, ya que éste no tiene realmente nada que hacer como tal. En un bosque de múltiples dominios, en cada Sitio de AD (definido en Sitios y Servicios de AD) tendremos que configurar como GCs la mitad de los DCs de cada dominio en ese Sitio. Además, en este caso el Maestro de Infraestructura de cada dominio no debe ser Catálogo Global, salvo que un dominio no tuviese más que un único DC.

Un usuario me preguntaba si era posible automatizarlo. Esta es la respuesta que le dí:

Esto lo puedes hacer mediante un script .vbs que ejecutarás en el servidor.
Lo puedes poner en el escritorio, editarlo para cambiar la password y ejecutarlo.  La complejidad de la clave debe coincidir con la que tengas establecida en la GPO del dominio, donde además tendrás que establecer la frecuencia mínima del cambio de contraseña a 1 día (deberás probarlo, pues quizá tengas que reducirlo a 0 para que te permita el cambio todos los días a la misma hora, ya que si lo ejecutas de forma manual es posible que no hayan transcurrido 24 horas exactas desde el cambio del día anterior). El script sería similar al siguiente:
Set clave = «LaContraseña99!#» Set objUser = GetObject _ («LDAP://cn=usuario1,ou=visitantes,dc=dominio,dc=local«) objUser.SetPassword clave Set objUser = GetObject _ («LDAP://cn=usuario2,ou=visitantes,dc=dominio,dc=local«) objUser.SetPassword clave

y así. Esto si les quieres poner la misma clave a todos. Por supuesto, si son muchos el código se puede hacer más elegante, con un bucle que lea los nombres de usuarios de la OU y les vaya cambiando las claves. Si en vez de que tengan todos la misma las quieres diferentes, en lugar de especificarla al principio les pones en cada línea la que quieras.
Y si lo quieres automatizar, podrías crear un fichero de texto con las claves de todo el mes en el que cada línea tenga el día del mes y las claves correspondientes a los usuarios, separadas por comas. Al principio del script haces una lectura del fichero en la que busques la línea cuyo primer campo coincida con el día del mes en que estás, y el segundo campo sería la contraseña a establecer a los usuarios. De esta forma puedes programar la ejecución del .vbs todos los días a primera hora y sólo tendrás que actualizar una vez al mes el fichero de contraseñas. Quedaría algo así como lo siguiente:

Const ForReading = 1 strComputer = «.»

Set objWMIService = GetObject(«winmgmts:\\» & strComputer & «\root\cimv2»)

Set colItems = objWMIService.ExecQuery(«Select * from Win32_LocalTime»)

For Each objItem in colItems

hoy = objItem.Day

Next
Set objFSO = CreateObject(«Scripting.FileSystemObject»)

Set objTextFile = objFSO.OpenTextFile _

(«c:\scripts\passwords.txt», ForReading)

Do Until objTextFile.AtEndOfStream

strNextLine = objTextFile.Readline arrClaves = Split(strNextLine , «,»)

If arrClaves(0) = hoy then

clave1 = arrClaves(1)

clave2 = arrClaves(2)

clave3 = arrClaves(3)

clave4 = arrClaves(4)

End If

Next

Loop

Set objUser = GetObject _

(«LDAP://cn=usuario1,ou=visitantes,dc=dominio,dc=local«)

objUser.SetPassword clave1

Set objUser = GetObject _

(«LDAP://cn=usuario2,ou=visitantes,dc=dominio,dc=local«)

objUser.SetPassword clave2 …

En la GPO del dominio, ve a la rama Configuración de usuario – Plantillas administrativas – Sistema – Scripts y habilita la política «Ejecutar scripts de inicio de sesión heredados de forma oculta». Cuando habla de «heredados» se refiere a los archivos .bat o .cmd, ya que los .vbs o .js no los muestra por defecto (si te fijas, hay otra política al lado para permitir ver estos últimos en caso de necesidad.