Category Archives: Administración

Administración Azure Backup Cloud Computing Directorio Activo OMS System Center

Introduccion a Microsoft Operations Management Suite (OMS) – Monitorización en la nube.

Published by:

Buenos dias,

Último dia laboral del año. Entonces pensé, voy a empezar una serie de posts dedicados a OMS y último post del año, primero de esta serie, que mejor dia que “Hoy” 😉

Hace mucho tiempo, en una galaxia muy lejana, os hablé en este post sobre “System Center Advisor, monitorización en la nube“, un producto gratuito de Microsoft para la monitorización, era el embrión de lo que hoy os voy a contar. Poco tiempo después, vi que tenía un nuevo nombre, “Azure Operational Insights“, la vida da mil vueltas y un cambio de nombre y mejoras incluidas, seguía creciendo el producto.

Hoy voy a hablar de mi libro, jejejeje, de Microsoft Operations Management Suite, Producto ya maduro e indispensable en la monitorización global. Os explico de una manera rápida y sencilla la situación actual:

Con nuestras infraestructuras en entornos físicos, virtuales, hibridos, en la nube, con equipos de desarrollo situados en cualquier lugar, con tanta movilidad de dispositivos, etc., los departamentos de IT tienen que hacer frente a la monitorización de todas estas infraestructuras, todas estas tecnologias, ubicadas en cualquier lugar conocido del planeta, cada una de su padre y de su madre claro está, pero distintas. ¿cómo podemos de ser mas proactivos y menos reactivos? ¿mas productivos y menos bomberos? Pues desplegando OMS.

Vale de acuedo, podeis decirme, vaya, otra herramienta de monitorización como una de tantas que ya tengo desplegadas, o una Prueba de Concepto (PoC) en la empresa y que al final no ha quedado en nada!!!. Dejadme un momento que os cuente algo mas.

¿Que nos proporciona OMS que no tengamos ya? OMS ayuda a simplificar la gestión de nuestros activos del centro de datos donde quiera que estén. Es totalmente agnóstico a nuestro proveedor de servicio en la nube. Esto significa que cualquier instancia de cualquier nube, incluyendo nuestro centro de datos On-Premise, Azure, AWS, Windows Server, Linux, Google, VMware, OpenStack, etc. puede ser monitorizado, controlado, gestionado, auditado, securizado, etc., a un costo menor que la mayoría de las soluciones de la competencia.

Echadle un vistazo a este video ….

Y, además, es una solución Software as a Service, vamos que no tengo que preocuparme por las actualizaciones del producto, para mi son totalmente transparentes. Os puedo asegurar que son constantes.

Según comenta el equipo de desarrollo de OMS, lo han rediseñado siguiendo los consejos, necesidades y sugerencias de los clientes. Que sea fácil de manejar, para empezar, que sea fácil de utilizar, que me ayude a administrar a con un moderno conjunto de soluciones que pueda decidir si las aplico o no, si las necesito o no. Es posible tenerlo instalado y funcionando en cuestión de minutos, no largos y tediosos dias.

OMS está construido sobre una plataforma analítica que permite ofrecer una visión global a través de un tablero o panel de instrumentos, como podeis observar:

Los principales escenarios, o como se denominan en OMS, servicios a monitorizar son los siguientes:

  • Log Analytics:Inteligencia operacional en tiempo real. Recopilar, almacenar y analizar los datos de cualquier registro de logging, de cualquier fuente.
  • Automation: Simplificar la gestión de nuestra nube o enterno Hibrido a traves de la automatización de procesos. Lo que todos queremos, crear, monitorizar, administrar y desplegar recursos en nuestros entornos mientras reducimos errores y aumentamos la eficiencia, sin olvidarnos de la reducción de costes operativos.
  • Availability: Solución de alta disponibilidad totalmente integrada incluyendo recuperación de desastres. Posibilidad de habilitar la copia de seguridad y la recuperación integrada para todos nuestros servicios y aplicaciones críticas.
  • Security: Control de seguridad centralizado. Identificar actulizaciones de los sistemas gestionados, estado del malware, recopilación de eventos relacionados con la seguridad y realización de análisis forenses.

Y he hablado de los cuatro pilares básicos de OMS pero no se vayan, aún hay mas!!!. Si, dentro de las soluciones disponemos, de diversos paquetes preparados y listos para desplegar, unos están en producción y otros en preview. Para monitorizar nuestras suscripciones de Office 365, assesment de SQL, Backup, Containers, AD Assesment, etc., etc.,

Vamos, pedazo de Suite tiene Microsoft. Bien pues empezaremos con algo como:

  1. Introducción.
  2. Creación de WorkSpace.
  3. Configuración inicial de OMS.
  4. Despliegue de agentes.
  5. Despliegue de Soluciones: Insight & Analytics.
  6. Despliegue de soluciones: Security & Compliance.-
  7. Despliegue de soluciones: Automation & Control.
  8. Webcast OMS tu consejero en la nube.
  9. Despliegue de otras soluciones.
  10. Creación de queries personalizadas.
  11. Creación de alertas.
  12. ….

Se admiten sugerencias.

Para terminar, queria desearos Feliz año 2017 a todos los que me leeis, me seguis y apreciais el trabajo que conlleva tener un blog de este tipo, continuar con el empleo cotidiano y tratar de sacar el máximo tiempo para estar con la familia, que por cierto, en estos momentos estamos haciendonos la ecografia de las 20 semanas!!!! Que viene otro peque, y serán Tres!!! Estamos locos o que? Espero que venga con un pan debajo del brazo.

Besos y abrazos.

Administración Powershell Windows 10 Windows 2008 Windows 2008 R2 Windows 2012 Windows 2012 R2 Windows 2016 Windows 7 Windows 8 Windows 8 Server Windows 8.1

Listar cuentas de servicio en nuestros servidores con Powershell.

Published by:

Hola a todos,

Me he encontrado este post que tenía guardado desde hace …. un año o_O  . Otra píldora sobre Powershell, ese gran y desconocido amigo que nos hace las tareas administrativas mucho más fáciles.

“Hace poco (ahora hace un año!!!), me pidieron chequear con qué usuario se estaban ejecutando cada servicio en todos los servidores y me dije, esto con Powershell seguro que lo hacemos sin ningún problema”

Estube buscando como enfocarlo y pensé que si tenía la lista de todos los servidores podía volcarla  a un fichero de texto y, despues, chequear y obtener las cuentas que ejecutan los servicios. Eso es!!! 😀

Primero necesitamos un fichero txt con un listado de los servidores, en este caso no eran mas de 10 y lo denominaremos “Server_list.txt“, super ocurrentes los nombre que pongo 😉

Y también, había visto cómo obtener los servicios de un servidor, utilizando Get-WmiObject Win32_service para recuperar la información sobre un objeto de un servicio.

Hice un par de pruebas y me quedé con este script:

El resultado es un listado del número de servicios que cada usuario ejecuta en cada servidor. Et voilá!!!

De esta primera prueba se pueden hacer variaciones con permutaciones y obtener fantásticos resultados, detalle que os recomiendo encarecidamente y me los hagais llegar.

Que tengais muy buena semana….

Administración Backup Directorio Activo Windows 2008 Windows 2008 R2 Windows 2012 Windows 2012 R2 WSB

Restauración de objetos de Directorio Activo. Restaurar una OU y su contenido.

Published by:

Long time no see!!! vamos que, qué ha pasado que llevo casi cinco meses sin poner un post en el blog? Mucho trabajo, pocas horas de sueño reparador y sobre todo, cansancio acumulado de los últimos años. Pero me estreno en este 2015 por la puerta grande, con una restauración autoritativa de Directorio Activo.

Esta incidencia me ocurrió en un cliente hace tiempo y quería compartirla con vosotros. Por motivos todavía sin esclarecer, algo oscuros y tenebrosos, alguien borró una Unidad Organizativa (OU) de Directorio Activo. Que casualidad la mia que era la OU donde estaban todos los usuarios VIP!!!!! Pues nada, manos a la obra …. a restaurar se ha dicho

Por suerte teníamos una copia de seguridad de AD, en nuestro caso realizado con Data Protection Manager (DPM). Procedimos, a restaurar dicha copia de seguridad a una unidad de red, la llamaremos, \\srvdpm\DPM_Recovered.

Ahora llega lo bonito. vamos a restaurar un backup de SystemState sobre un Controlador de Dominio con la finalidad de recuperar esa OU de una manera autoritativa para que, posteriormente, replique al resto de DCs estos elementos restaurados. Ejecutaremos el siguiente comando:

wbadmin start systemstaterecovery -version:12/02/2014-20:30 -backupTarget:\\srvdpm\DPM_recovered

KK001

oh!!! no puedo hacerlo en caliente. Directamente sobre el Controlador de Dominio ???? Error. Regla número 1, para hacer una restauración autoritativa tenemos que arrancar el servidor en modo Directory Services Recovery Mode (DSRM). Bien, reiniciamos el DC, pulsamos F8 y entramos en modo DSRM. Procedemos a la ejecución de la restauración de nuestro backup de AD:

wbadmin start systemstaterecovery -version:12/02/2014-20:30 -backupTarget:\\srvdpm\DPM_recovered

KK002

Ah!!!! ahora si que inicia la restauración ….. 6362 ficheros procesados y subiendo ….

KK004

Recuperando ficheros reportados por “NTDS” … vamos bien …

KK005

La recuperación ha concluido. Anda, también me aparece un mensaje de que tengo que reiniciar el equipo para que sea completa. Pues venga, voy a reinciar… Error. Regla número 2. Lee atentamente los mensajes pero sobre todo lee los pasos que tienes que realizar con antelación.

Vuelta a empezar, otra vez a restaurar…… en este caso me lo salto porque si no el post se volvería eterno, un bucle.

…………

Una vez restaurado el backup, y antes de reiniciar, lo que tenemos que hacer es marcar la OU que queremos restaurar de una manera autoritativa para que luego replique a los otros DCs. Iniciamos la herramienta ntdsutil, esa gran amiga, y ejecutaremos las siguientes opciones:

ntdsutil

  • Activate instance ntds
  • Authoritative restore
  • Restore subtree ‘ou=UsuariosVIP,DC=Lanzarote,DC=local”

KK006

(En el caso de querer restaurar un objeto de AD el comando sería: Restore ‘cn=DirectorGeneral,ou=UsuariosVIP,DC=Lanzarote,DC=local” por ejemplo)

Siiiiiii. Ya estoy viendo la luz ….

KK009

Y ya está!!!! “Authoritative restore completed successfully” Ahhhhh! me estoy convirtiendo en Superguerrero!! Se han recuperado 849 registros ….. Ahora si reiniciarmos el Controlador de dominio y una vez esté funcionando replicará estos elementos restaurados contra el resto de Controladores de Dominio.

He tratado este post de una manera algo grotesca y desenfadada pero la verdad es que me llevó todo un dia resolver esta incidencia que ahora vemos que es muy sencillo, sobre todo si tienes práctica.

Hay mucha documentación en internet relacionada con las copias de seguridad y la restauración de Directorio Activo pero lo que si sufrí fue la cantidad de posts y documentación errónea, obsoleta y que me despistaba mas que ayuda. Al final recurrí a mi amigo Xavier Genestos (@sysadmit) que en su libro ADIT para Sysadmins lo explica de una manera breve, clara y concisa. Gracias Xavier.

 

Dedico este post a mi compañero Fran que me echó un cable en esta metedura de pata y a mis alumnos del Curso que estoy impartiendo de Windows 2012 R2 Active Directory y DNS en profundidad de Alicante. Este post me sirve como práctica.

Administración Directorio Activo Powershell

Algunos cmdlets interesantes de Directorio Activo … gracias a un “Rap as a Service”.

Published by:

Hace muy poco nos hicieron un “Rap”, o lo que antes conocíamos como un ADRAP (Risk And Helath Assessment Program for Active Directory), o sea un análisis de un Directorio Activo por parte de Microsoft para ver su situación en cuanto a Salud, riesgos, etc., Ahora se realiza desde la nube y se denomina “RAP as a Service for Active Directory”

RAPasAservices00002

Bueno no me enrollo mas. Recibida la visita del Ingeniero de AD y PKI de Microsoft nos dejó estas perlias para nuestro y vuestro conocimiento:

Equipos del dominio que no han cambiado su password en los últimos 30 días:

$d = [DateTime]::Today.AddDays(-30)
Get-ADComputer -Filter ‘PasswordLastSet -lt $d’ -Properties PasswordLastSet | FT Name,PasswordLastSet

Name                                                        PasswordLastSet
—-                                                        —————
SORM04                                                    24/01/2011 16:50:05
BGTZA                                                     05/03/2011 9:57:30
ADRAPZ                                                   07/07/2008 19:25:03
EAVZA                                                     08/10/2012 9:55:36
EMDZA                                                     01/11/2012 1:20:41
EPCPA                                                     29/03/2007 16:28:29
EPCPB                                                     10/04/2007 12:06:24
ECODA                                                     02/05/2010 15:16:29
PASIFAE-1                                                   26/04/2006 9:57:50
PASIFAE-2                                                   24/04/2006 11:02:48
RPEDA                                                     09/03/2013 22:06:11
RBEFA                                                     16/10/2013 3:33:03
RBEDA                                                     13/11/2013 0:37:29
RBEPA                                                     17/11/2013 10:58:14
ECRDB                                                     20/11/2013 18:55:23
ECRFA                                                     16/12/2013 20:10:19
EWEZB                                                     06/03/2014 21:22:39
EWEZA                                                     12/04/2014 23:01:42
EFTZZ                                                     27/05/2014 7:15:22
ERGFA                                                     30/03/2014 6:14:31

Demasiados sin reportar ….

Usuarios del dominio que no han cambiado su password en los últimos 180 días:

$d = [DateTime]::Today.AddDays(-180)
Get-ADUser -Filter ‘PasswordLastSet -lt $d’ -Properties PasswordLastSet | FT Name,PasswordLastSet

El resultado lo he volcado a un fichero LastPassword.xls del cual no os puedo extraer información. Sorry. Pero podeis ver una mala práctica y ejemplo del administrador….

RAPasAservices00004

Usuarios con Password no requerida:

Get-ADUser -Filter ‘useraccountcontrol -band 32’ -Properties useraccountcontrol | FT Name

Name
——————–
Administrador
IUSR_CAZA
IUSR_CAZAM
IWAM_CAZA
IWAM_CAZAM

En este caso solo nos sale cuentas de servidores antiguas y una de “Administrador”, jejejejeje.

Usuarios que tienen configurado que su Password nunca expira:

Get-ADUser -Filter ‘useraccountcontrol -band 65536’ -Properties useraccountcontrol | FT Name |  Out-File c:\useraccountcontrol.txt

Os podeis imagar el número de usuarios que me salian… he preferido dejaros solo el cmdlet.

Y este es el resultado final. No está mal para ser una DMZ:

RAPasAservices00001

 

 

Siento no estar últimamente “on fire” pero …. se aproximan grandes cambios en mi vida, sobre todo laboralmente hablando y …. apenas me queda tiempo para compartir con todos vosotros.

Que tengais una muy buena semana.

Administración Directorio Activo Seguridad Windows 2008 Windows 2008 R2 Windows 2012 Windows 2012 R2

Grupos de Seguridad en Directorio Activo – Recordatorio de su uso.

Published by:

Buenas tardes, último día de curro!! y os dejo con una perlita informativa.

Uno de los temas menos comprendido y que mas confusión genera en Directorio Activo (AD), es la utilización de los distintos grupos de seguridad y su ámbito o alcance. Ayer mismo me preguntaban por qué no se podía añadir un usuario de otro forest a un Grupo de Seguridad que tiene acceso a carpetas compartidas….. pregunté ¿Es un grupo de Dominio Local? …. es un grupo, yo que sé, fue la respueta. Voy a tratar de explicarlo y, sobre todo, dejarlo claro, eso espero.

Existen los siguientes tipos de grupo, según se define en la documentación de Microsoft Windows Server 2012:

  • Grupos Locales.- Son grupos de ámbito exclusivamente local que se crean en servidores independientes (fuera de dominio), o en servidores perteneciente a un dominio sin ser Controladores de Dominio (DC). Estos grupos solo afectan al servidor en el que existen. Como por ejemplo son los grupos que se crean para gestionar servicios tales como DHCP, WSUS, o los Administradores locales de un servidor. ¿Quien puede pertenecer a este tipo de grupos?
  • Cualquier entidad de seguridad (Security Principal) del dominio al que corresponda, o sea, usuarios, equipos, grupos globales o grupos de dominio local del dominio al que corresponda.
  • Usuarios, equipos y grupos globales de cualquier dominio del bosque y cualquier dominio en el que se confie (exista relación de confianza).
  • Grupos Universales definidos en cualquier dominio del Bosque.
  • Grupos de Dominio Local.- Su uso principal es para gestionar tanto el acceso a recursos como para asignar y gestionar permisos dentro del Dominio en el que está definido. ¿Quien puede acceder a este tipo de grupos?
  • Cualquier entidad de seguridad del dominio al que corresponda, o sea, usuarios, equipos, grupos globales o grupos de dominio local del dominio al que corresponda.
  • Usuarios, equipos y grupos globales de cualquier dominio del bosque y cualquier dominio en el que se confie (exista relación de confianza).
  • Grupos Universales definidos en cualquier dominio del Bosque.
  • Grupos Globales.- Su uso es para consolidar usuarios que tienen las mismas características, como pueden ser pertenecer al mismo departamento, tener la misma ubicación geográfica o necesidades similares de acceso a la red. Asignar permisos y habilidades en todo el Bosque en el que esté creado ¿Quien puede acceder a este tipo de grupo?
  • Usuarios, equipos y grupos globales del dominio en el que se haya creado.

  • Grupos Universales.- Combina las características de los grupos globales y de dominio local pudiendo asignar permisos y habilidades en cualquier dominio del bosque. Ideal para escenarios multidominio y para agrupar Grupos Globales de diferentes dominios.
  • Usuarios, equipos y grupos globales de cualquier dominio del bosque.
  • Grupos Universales definidos en cualquier dominio del Bosque.

Una de sus principales virtudes es la propagación de los grupos universales en todos los servidores con el rol de Catálogo Global (GC).

Aqui os dejo esta tabla que lo explica mejor que yo:

Espero que os haya sido util.

Me voy de vacaciones. Pasadlo bien y hasta Septiembre.

 

Administración Azure Rendimiento Servicios Windows Tools

System Center Advisor. Monitorización de nuestros servidores desde la nube.

Published by:

Buenas tardes,

Hoy os comento esta otra herramienta que Microsoft pone a nuestra disposición de una manera gratuita, System Center Advisor (SCA) para utilizarla como herramienta de análisis del estado de salud de nuestra infraestructura de servidores Microsoft Windows.

sca000001

Realmente es como un mini SCOM, producto de la familia System Center destinado, principalmente, a la Monitorización y generación de alertas, aunque hay que decir que solo nos guarda los datos recolectados de los últimos 5 dias, recordar que es Free.

¿Que nos proporciona esta herramienta que no tengamos ya?

  • Comprobación del estado de salud.
  • Cumplimiento de las mejores prácticas en equipos tales como:
    • Windows Server 2012
    • Windows Server 2008 (Datacenter, Enterprise y Standard).
    • Windows Server 2008 R2 (Datacenter, Datacenter, Enterprise y Standard con o sin Hyper-V).
    • Hyper-V Server 2012
    • Hyper-V Server 2008 R2
    • SQL Server 2008 y posteriores.
    • Microsoft Sharepoint Server 2010
    • Microsoft Exchange Server 2010
    • Microsoft Lync Server 2010 y 2013.
    • System Center 2012 SP1 – Virtual Machine Manager
  • Compatibilidad 100% con Azure.

Tendremos que instalar un agente monitor  y otro agente gateway en nuestra infraestructura de servidores para que reporten directamente a la plataforma Azure.

Comentar que existen dos versiones de este producto, la gratuita, que es la que os voy a comentar y la que reporta directamente a SCOM. Aqui os dejo las principales diferencias entre ambas versiones:

sca000003

ALTA EN EL SERVICIO.

Primero tendremos que darnos de alta en el servicio con una cuenta Microsoft Account, ya sabeis @outlook.com, live.com, Office365, etc. En el caso de no tenerla nos pedirá un nombre de cuenta, nuestro nombre y dirección de correo.  Una vez aceptadas las condiciones empezaremos a realizar el despliegue.

sca000002

 

DESPLIEGUE.

SCA nos ayudará desde el principio con un asistente que nos irá guiando sobre qué tenemos que descargar e instalar en cada momento. En la primera imagen nos muestra un gráfico de cómo será el despliegue de la herramienta:

sca000005

El primer paso será la instalación del agente que hará de Gateway o pasarella entre nuestra infraestructura de servidores y Azure. Procederemos a descargarnos tanto el software como el certificado que utilizaremos para cifrar las comunicaciones:

sca000006

El segundo paso es la instalación del agente, propiamente dicho, de SCA, que, como ya nos daremos cuenta, es el mismo agente/servicio que se utiliza en SCOM:

sca000007

INSTALACION DE AGENTES.

Los requisitos necesarios para la instalación de ambos agentes son .Net Framework 3.5, así que la mayoría de nuestros servidores lo cumpliran. Lanzamos el ejecutable y nos aparece la ventana de bienvenida:

sca000010Aceptaremos los términos de la licencia:

sca000011Definiremos una ruta donde instalar el producto o dejaremos la ruta por defecto:

sca000012

Llegados a este punto, dependiendo del rol que vaya a tener cada servidor instalaremos el agente “Gateway” y el Agente de SCA.

sca000013

Recordar que este servidor tiene que tener acceso a Internet, aunque supongo que eso ya lo tenías claro.

sca000014Siguiente, ….

sca000015

sca000016Listos para empezar a instalar:

sca000017

Instalando, que es gerundio …

sca000018

Finaliza la instalación del producto:

sca000019

 

CONFIGURACION INICIAL

En los siguientes pasos, tendremos que instalar el certificado para cifrar las comunicaciones y verificar que la comunicación entre el Portal en Azure de SCA y nuestro Gateway es correcto, así como entre nuestro Gateway y nuestros Servidores.

Agente Gateway y Agente SCA

Desde nuestro servidor Gateway, se lanzará un asistente donde, inicialmente, definiremos cómo accedemos a Internet así como cargaremos el certificado:

sca000022

Nos informará si queremos instalar las últimas actualizaciones a nuestro servidor , por defecto nos pone que si:

sca000023

Nos confirmará los pasos a seguir:sca000024

Nos va mostrando todos y cada uno de los chequeos que realiza y …. todo correcto, hay conexión con Azure:

sca000025

Como hemos dicho que si haga un Windows Update … pues se pone a ello

sca000026

Y ya nos aparecen datos en nuestra consola, aunque solo son de la conexión pero podemos ver ya ambos agentes conectados. Recordar que habrá que esperar 24 horas para que empiece el reporte de toda la información:

sca000027

Agente SCA

Similar a los pasos anteriores solo que solo tenemos que especificar el servidor con el rol de Gateway:

sca000031

Nos aparecerá el Sumario:

sca000032

Y, nuevamente, nos va mostrando todos y cada uno de los chequeos que realiza y …. todo correcto, hay conexión con Azure:

sca000033

Nos irán apareciendo todos los servidores en nuestra consola:

sca000036

Ahora, podremos analizar el estado de nuestras configuraciones, cuándo ha habido cambios, sobre todo, como dice Kilian Arjona, para detectar si despues de un cambio tenemos un problemas, ver el estado de la replicación de nuestros Controladores de Dominio, etc., etc. Fijaros, 14 cambios en 2 servidores en los últimos 7 dias…..

sca000037

DETALLES DE LA CONFIGURACION

Por un lado si nos fijamos en los servicios generados en los servidores al instalar los agentes, vemos que son los de SCOM:

sca000034

Y, por otro, las rutas donde se ubican los logs son las siguientes:

  • Logs del Gateway.- C:\Program Files\System Center Advisor\GatewayData\Logs
  • Logs del Cliente.- C:\Program Files\System Center Advisor\AgentData\Logs

Lecturas recomendadas

Os dejo estos dos post muy buenos de dos maquinas, Kilian Arjona de Ncora y eManu, espectacular en la exposición. Poco o muy poco he podido aportar a lo dicho por ambos, solo la experiencia de instalarlo y echarle un vistazo.

Blog de Ncora.

Blog de eManu. (@emanu).

Ya queda muy, pero que muy poco para las vacaciones.

Administración Fiestas

Hoy es SysAdmin Day – Felicidades compañeros, un año mas, un año menos.

Published by:

Muy buenos dias

Un año mas, hoy es “SysADmin Day” o  día del Apreciado Administrador de Sistemas, ese gran desconocido que trabaja en la sombra. Muchas felicidades a todos, compañeros.

Esta fiesta se viene celebrando desde el 28 de julio del 2000, conincidiendo con el último viernes del mes de Julio, hasta aprece en la Wiki!!!.

Tenemos una web dedicada a nosostros:

http://sysadminday.com/

Me encanta esta foto!!! Que tiempos aquellos.

Muy buen fin de semana a todos. Ya queda menos para las vacaciones, quien las tenga.

Administración Directorio Activo Tools Windows 2008 Windows 2008 R2 Windows 2012 Windows 2012 R2

¿Me ha caducado mi contraseña? Herramienta Netwrix Password Expiration Alerting.

Published by:

Buenos dias,

Hoy, para terminar la semana, os dejo otra herramienta gratuita que nos informará por correo electrónico de cuánto tiempo queda para que caduquen las contraseñas de nuestros usuarios de Directorio Activo (AD). Parece una tontería y, probablemente haya scripts en Powershell que solucionen esto pero acabo de actualizar un servidor con este producto y no me había dado cuenta lo util que es: Netwrix Password Expiration Alerting.

Requerimientos:

InstallNetwrix_Free00002

Pocos, casi lo podemos instalar en cualquier sitio:

  • .NET Framework 2.0 (incluido en el 3.5).
  • Windows Installer 3.1 o superior

Sistemas Operativos soportados, todos:

  • Windows XP o superior.
  • Windows 2003 o superior.

Instalación:

Desde el portal de Netwrix Auditor 5.0 Freeware Edition podemos lanzar las siguientes aplicaciones:

InstallNetwrix_Free00001

Elegimos Password Expiration Alerting.

InstallNetwrix_Free00005

Seleccionaremos la ruta por defecto de instalación del aplicativo:

InstallNetwrix_Free00006

Pulsamos siguiente y terminará la instalación:

InstallNetwrix_Free00007

Funcionamiento:InstallNetwrix_Free00008

Os dejo un ejemplo de configuración. Cuando lanzas por primera vez el programa nos aparece la siguiente ventana de configuración:

  • Nombre del Dominio.
  • A quién se le va a notificar, ya sean los administradores, grupo de seguridad, grupo de gestión de contraseñas expiradas o los propios usuarios.
  • Periodo de tiempo en dias para que avise a los usuarios cuando expire su cuenta.
  • Nofitificación por correo.
  • Primera, segunda y sucesivas notificaciones de expiración de cuenta.
  • Configuracón del Servidor de correo.
  • Nombre de la cuenta desde la que se envia el correo de expriación de contraseña de cuenta.
  • etc.

La verdad es que muy completa para ser una versión Freeware.

También nos generará una tarea programada que se ejecutará cuando lo estimemos necesario para que envie un informe a los administradores o al Centro de Atención al Usuario, por ejemplo, indicándo que usuarios han expirado sus cuenta y qué usuarios expirarán en un periodo determinado, 7, 15, 30 dias.

Este informe tiene la siguiente pinta (he omitido los usuarios y sus cuentas de correo ya que son información de mi empresa):

InstallNetwrix_Free00009b

Viene muy bien cuando llegas un lunes a primera hora y ver qué usuarios tienen sus contraseñas caducadas y a los cinco minutos te llaman diciendo ….. “no me funciona el ordenador” o … ” no puede acceder a mi correo”, … o “no puede acceder al servidor de ficheros” ….. o  … “se ha caido La Internet”. Todos unos clásicos de la primera hora de los lunes. Espero que os sea muy util.

Buen fin de semana a todos.

Administración Powershell Windows 2008 Windows 2008 R2 Windows 2012 Windows 2012 R2

Crear una Tarea programada con PowerShell. Backup de GPOs de AD.

Published by:

Hola,

Hablábamos hace muy poco sobre cómo realizar un backup de GPOs de Directorio Activo en caliente y dejamos pendiente el hacerlo mediante una tarea programada, por PowerShell (PS), por supuesto. Pues nada, al tajo.

Para empezar cargaremos, si no lo tenemos cargado por defecto, el módulo de Tareas Programadas y el de Group Policy:

Import-Module ScheduledTasks, GroupPolicy

Aqui teneis un listado de todos los cmdlets contenidos en el módulo:

SchedulledTaskPS0000001

Un pequeño detalles es que este módulo esta accesible para importarlo desde PS 3.0, así que si teneis una versión inferior os recomiendo o actualizarla o descargar los módulos desde Codeplex (Aqui).

Podríamos crear la tarea programada con el cmdlet New-ScheduledTask directamente, pero para una mayor claridad y que se pueda entender para los profanos la vamos a dividir en variables:

Vamos a definir las siguientes variables que están incluidas en cualquier tarea programada:

  • $A => Acción/es a realizar.- En nuestro caso es la ejecución de otro cmdlet de PS: “Backup-GPO -ALL -Path I:\GPOS_AD”. Tiene la peculiaridad de que ejecutamos un cmdlet dentro de otro cmdlet, asi que hacemos referencia a la ejecución %SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe. También podemos ejecutar un script de powershell con múltiples acciones.
  •  $T => Trigger o desencadenante.- En nuestro caso será la fecha de ejecución, diariamente, semanalmente, dias de la semana, a la hora que consideremos oportuna, una sola vez, etc. Tenemos un sinfin de opciones:

SchedulledTaskPS000000111

  • $U => Credenciales de ejecución.- Podemos asingar unas credenciales determinadas para la ejecución de la tarea.
  • $S => Configuración adicional.- En esta variable se guardan los parámetros de configuración de la tarea programada. Por defecto son los siguientes y, como todo, se pueden cambiar:

SchedulledTaskPS0000003

  • D$ => Nueva Tarea. Metemos todos estos datos en una tarea nueva.
  • Registro.- Hay que registrar la tarea con un nombre obligatoriamente.

Este es el script:

$A=New-ScheduledTaskAction -Execute ‘%SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe’ -Argument ‘Backup-GPO -All -Path Z:\GPOS_AD’
$T=New-ScheduledTaskTrigger -Daily -At 2:45pm
$U=New-ScheduledTaskPrincipal -UserId “$($env:USERDOMAIN)\$($env:USERNAME)” -LogonType ServiceAccount
$S=New-Scheduledtasksettingsset
$D=New-ScheduledTask -Action $A -Principal $U -Trigger $T -Settings $S
Register-ScheduledTask TasK007 -InputObject $D

Y el resultado:

Desde el Task Scheduller podemos ver la nueva tarea:

SchedulledTaskPS000000

El resultado de dicha tarea es el backup de nuestras GPO’s:

SchedulledTaskPS0000004

Todo un éxito. Probad a sustituir el cmdlet por un script de Powershell. Que tengais una buena semana.

Lecturas recomendadas:

Technet.

Hey Scripting Guy.

Codeplex – PowerShell.

MCPMagazine.

Petri.co.il.

Buen fin de semana.

Administración Backup Powershell Windows 2008 Windows 2008 R2 Windows 2012 Windows 2012 R2

Restauración de una GPO de un backup con Powershell.

Published by:

Hola,

Una vez visto la semana pasada “Cómo hacer un backup de nuestras GPO de Directorio Activo a través de PowerShell (PS), vamos a ver cómo realizar una restauración de las mismas.

Recordar que podemos realizar una restauración total o granular de cualquier GPO así que vamos a ver ambas:

Restauración Total:

Es un caso bastante particular e improbable, ya que implica que, probablemente, hayamos perdido o se hayan corrompido todas nuestras GPOs. Ejecutaremos el siguiente cmdlet:

Restore-GPO -All -Path C:\Backup-GPO

Con el siguiente resultado:

RestoreGPOs0001

Se restauran no solo las GPOs, también información de la creación de cada GPO, fecha de modificación, Versión de usuario y versión de Equipo, dominio, propietario, etc.

Restauración de una GPO:

Este es el caso mas habitual, queremos restaurar una GPO que, por error humano, se ha borrado, eliminado o corrompido. Ejecutaremos el siguiente cmdlet:

Restore-GPO -BackupId -Path C:\Backup-GPO

Con el siguiente resultado:

RestoreGPOs0002

Y ¿de dónde sale el parámetro BackupId?, pues como vimos al realizar el backup, las políticas se guardan con su número identificativo o GUID, que es que utilizaremos para identificar cada GPO:

RestoreGPOs0003

El viernes un poquito mas.