Microsoft Lync Server
Header

Actualización de la plantilla ADM para las GPO de LYNC

abril 29th, 2013 | Posted by Santiago Buitrago in Lync Server - (0 Comments)

Os muestro algunas capturas de pantalla de las nuevas configuraciones que podemos realizar desde nuestro DC. Esta nueva versión no la he probado, por lo que la imagen del «Nuevo» no es mía.

​Antiguo ​Nuevo
Lync_GPO_OLD.PNG Lync_GPO_New.png
  Fuente: http://www.reijling.nl/?p=876

lyncADM.ziplyncADM.zip

Espero que os sea de utilidad!!!!

Borrar credenciales almacenadas en nuestro sistema

abril 29th, 2013 | Posted by Santiago Buitrago in Windows Server - (4 Comments)

Muchos usuarios tienen la "mala costumbre" de almacenar sus contraseña de acceso a Webs, APPs, etc… lo que representa varios problemas:

1. Seguridad: puesto que si alguien accede a nuestro equipo únicamente debe hacer uso de las aplicaciones y accederia a todos nuestros datos (redes sociales, intranets, etc…)
 
2. Si esto lo hacemos en un ambiente de dominio (Active Directory) podemos tener problemas con la política de cambio de contraseña
 
Aun siendo una práctica habitual por parte de muchos usuarios, es algo que debemos evitar puesto que si alguien se conectase a nuestro equipo, con tal solo acceder  las aplicaciones o URLs en donde hemos guardado los datos de inicio de sesión .. ya tendría "acceso" a nuestra información. Vamos a ver primero como podemos eliminar las contraseñas almacenadas en nuestro sistema. Desde Windows XP en adelante, tenemos la posibilidad de ir a inicio – ejecutar  y escribir el siguiejnte comando: control userpasswords2 y se nos abrirá una ventana en donde veremos las contraseñas que tiene almacenadas.
 
Password_Control_2.jpg
Ahora pulsamos en Administrar Contraseñas y nos muestra los datos almacenados: en este caso he almacenado la clave de GMAIL. Si queremos borrar las credenciales, pusalmos en Quitar. (Esta pantalla es de Windows 8 pero es similar en Windows 7)
Password_Control_3.jpg
También podemos acceder a quitar las contraseñas de otra forma, y es ejecutando el siguiente comando desde inicio – ejecutar: rundll32 keymgr.dll, KRShowKeyMgr

Password_Control_4.jpg
Como vemos desde aqui podemos Agregar, Quitar o Editar las claves actuales, además de poder realizar un backup o restaurarlo. Esto nos permite múltiples opciones, pero siempre con mucho cuidado!!! Si queremos hacer un backup de las claves, únicamente pulsamos en Hacer copia de seguridad…
Password_Control_5.jpg
Simplemente le indicamos la ruta en donde queremos almacenar este backup (se recomienda fuera del equipo, un disco USB cifrado, etc..), no solicita que pulsemos CTRL+ALT+SUPR para bloquear el sistema y que solo tengamos accedo a la ventana en donde nos solicita una contraseña para evitar los accesos no autorizados al fichero, básicamente que no podamos restaurar el backup sin concerla.
 
Otra forma de acceder a borrar las contraseñas almacenadas en nuestro sistemas (Windows Vista en adelante), es desde el panel de control: Administrador de credenciales
Password_Control_6.jpg

Tenemos dos opciones, las credenciales que almacenadmos en distintas URLs (Facebook, GMAIL, Twitter, etc…) o aplicaciones Windows (Lync, Outlook, etc..)

 
Credenciales Web
Password_Control_9.jpg

Credenciales Windows

Password_Control_8.jpg
 
si queremos eliminar alguna de las credenciales almacenadas, pulsamos en QUITAR
Password_Control_10.jpg
A nivel de sistemas operativo podemos evitar que los usuarios almacenen las claves de acceso en algunas partes del sistema, para ello debemos disponer como mínimo de la versión profesional de Windows y através de las directivas grupo locales (o de dominio) podemos configurarlo.  Para ello vamos a inicio – ejcutar y escribimos GPEDIT.MSC y se nos abre un MMC con las directivas de grupo locales, y nos vamos a la opción Plantillas administrativas\Configuración de Usuario\Componentes de Windows\Internet Explorer\Autocompletar puede recordar y sugerir nombres de usuario y contraseñas en formularios
 
En este caso debemos Deshabilitar la directiva para que no le permita al usuario guardar contraseñas en los formularios Web ni autocompletar

Password_Control_12.jpg
También podemos evitar que se guarden las contraseñas de las conexiones RDS, para ello vamos a Plantillas administrativas\Configuración de Usuario\Componentes de Windows\Servicios de Escritorio Remoto\Cliente de conexión a Escritorio Remoto\No permitir que se guarden las contraseñas
Password_Control_13.jpg
Esto si lo configuramos en un ambiente de dominio es muy sencillo, se realizarán los mismos cambios pero de manera centralizada y para los 100.000 usuarios de un solo "plumazo". Además, esto en un ambiente de dominio se debería registrir por muchos motivos, uno de ellos son las posibles peticiones a soporte. Me explico, imaginemos que un usuario accede a su intranet (SharePoint por ejemplo) y tiene autenticación integrada, sino se ha configurado correctamente como sitio de Intranet, cuando el usuario accede le solicita las credenciales de acceso. Puede que la primera vez el usuario introduzca las credenciales y poco más, pero cuando cierre el navegador y tenga que volver a iniciarlo … le volverá a solicitar las credenciales. Está claro que a la tercera (si es que llega hasta ahí) el usuario tratará de almacenar las credenciales  para su comodidad. El problema llegará cuando la directiva de cambio de contraseña fuerce al usuario a realizar el cambio de su contraseña actual, tratará de acceder a la intranet y verá un acceso denegado!! y de ahí la llamada a soporte. El problema que tiene el usuario, es que ahora tiene almacenado el usuario y contraseña anterior, y el DC no admite esas credenciales por lo que le denegará el acceso continuamente porque son las que tenemos almacenadas para esa URL. Además, si contamos con un sistema de bloqueos de cuentas … ya os podéis imaginar el efecto colateral de esta configuración. Para poder evitar este comportamiento, lo que primero que debemos hacer es configurar una GPO que añada la URL de nuestras aplicaciones de negocio a sitios de confianza, por defecto cuenta con la siguiente configuración de seguridad:
 
Password_Control_14.jpg
De tal forma al usuario no le presentará el cuadro de autenticación para esas URL, puesto que inicialmente intentará autenticar con las credenciales de su sesión. De esta forma evitamos que el usuario almacene el usuario y contraseña actual y cuando se aplique el cambio obligado de su contraseña … tengamos el problema. Además, otro problema añadido es que los usuarios no administradores no pueden ejecutar los comandos anteriores: rundll32 keymgr.dll, KRShowKeyMgr o control userpasswords2. En el supuesto caso de que el usuario haya almacenado su contraseña, debemos cerrar la sesión del usuario, añadirlo como miembro del grupo de administradores locales, iniciar sesión, ejecutar control userpasswords2 (por ejemplo), quitar la contraseña almacenada, cerrar sesión, quitarlo del grupo de administradores locales e inciar sesión nuevamente, vamos todo un lío para algo que se puede solucionar muy fácilmente.

 
Otra configuración que deberíamos aplicar es la siguiente: Plantillas administrativas\Configuración de Usuario\Componentes de Windows\Explorador de Windows\No solicitar credenciales alternativas

Password_Control_15.jpg
Siempre es recomendable evitar que los usuarios puedan introducir otras credenciales alternativas a las suyas, pero esto sería otro tema largo para comentar…
 
En otro artículo anterior (Plantillas ADMX Office 2013 y Configuración Lync 2013) os había comentado que podemos ampliar las capacidades de las GPO con las plantillas ADMX, y como bien sabeis existen para muchos productos y no solo de Microsoft sino también de terceros. En este caso voy a comentaros las opciones del cliente de Lync, porque también podemos evitar que los usuarios almacenen diferentes credenciales (puesto que por defecto el usuario utilizará la autenticación integrada), aqui tenéis las opciones que debéis habilitar:
 
Opcional y seguramente en muchos no es la adecuada
Office_2013_Template_16.jpg
Y esta esa una de las que aplicaría en función de si el equipo es compartido o no con la misma sesión de usuario (equipo tipo Kiosko)
Office_2013_Template_22.jpg
El problema no se resuelve tenido una sola contraseña para todo, ni ciento de usuarios para todo, es cuestión de concidenciación de la seguridad y siempre implica un "esfuerzo extra! el poder garantizar la seguridad de  nuestros equipos y usuarios. Como véis ya no solo es un problema de acceso a datos no autorizado, o de bloqueos sino más bien de suplantación de identidades con el problema que esto puede causar. Imaginaros que alguien se hace pasar por vosotros ( y sin esfuerzo) accediendo a la intranet de la empresa, y deja un comentario ofensivo hacia tu superior o la propia empresa, es casi imposible saber quien lo ha enviado. Primero porque lo ha hecho de tu sesión (con lo cual el usuario está validado por los DC, está claro que es quien dice ser), lo  hace desde vuestro equipo (en el DC vemos que viene la conexión se origina desde tu equipo (por el nombre o la Ip del equipo), por lo que o tienes una buena justificación de tu ausencia desde el puesto de trabajo … te ha caído  un buen marrón. Está claro que los administradores de tenemos una gran responsabilidad dentro de las empresas, y no solo somos los que os obligamos a cambiar las contraseñas porque queda bonito o fantaseamos con hackers ni cosas parecidas, porque con una simple click en "recordar mi contraseña"  podemos meternos en un problema. Desde luego hay muchas medidas que tomar y mucho trabajo de concienciación que llevar a cabo, no solo a usuarios sino también a muchos administradores. Han quedado muchas coas sin comentar, como bloqueos de equipos, etc… pero la idea inicial de este artículo era otro :-). 
 
Si os parece bien, en próximos artículos iremos viendo más cosillas relacionadas
 
Espero que les sea de utilidad!!!

GPO: Asignar una imagen personalizada a cada usuario en su sesión del dominio

abril 29th, 2013 | Posted by Santiago Buitrago in Lync Server - (0 Comments)

​Seguramente muchos de vuestros clientes os habrán preguntado por la posibilidad de que cada usuario pueda tener su foto asignada en su cuenta del dominio. Esto es relativamente sencillo sin tener que modificar ningún atributo del usuario en el Directorio Activo ni complicarnos mucho la vida. Desde Windows Vista tenemos la posibilidad de especificar una imagen para cada usuario, y la idea es que podamos tener una carpeta en el servidor con las fotos de los usuarios y que se aplique como imagen de su cuenta

Imagen_usuario_gpo.png

En Windows Vista y 7 la imagen por defecto de cualquier usuario se almacena en  "%ALLUSERSPROFILE%\Microsoft\User Account Pictures" y existen dos ficheros:Imagen_personalizada_usuarios_1.jpg

user.bmp: imagen por defecto para las cuentas de usuario

guest.bmp: imagen por defecto para la cuenta de invitado

 

Lo que debemos hacer es muy sencillo, sustituir la imagen user.bmp por la del usuario que ha iniciado sesión, para ello utilizaremos un SCRIPT muy sencillo para copiar la imagen del usuario:

*******************************************************************************************************

REM Se lanza una aplicación que comprueba la membresía del usuario, tratando de distinguir si es un usuario o administrador

@\\Asirlab.com\LAB\Fotos\IsMember.exe "GRP ASIRLAB"

 REM Si el usuario pertenece al grupo GRP ASIRLAB devolverá un 1 en caso contrario un 0

@if ERRORLEVEL 1 goto Usuarios
@if ERRORLEVEL 0 goto Administradores 
@goto end
REM Copia la imagen del usuario desde una ubicación de red y la pega en el equipo local en la ruta "%ALLUSERSPROFILE%\Microsoft\User Account Pictures" con el nombre user.bmp con el modificaro /y para que sobrescriba la imagen sin preguntar
:Usuarios
xcopy \\Asirlab.com\LAB\Fotos\Users\%username%.bmp "%ALLUSERSPROFILE%\Microsoft\User Account Pictures" /y
rename "%ALLUSERSPROFILE%\Microsoft\User Account Pictures\%username%.bmp" "%ALLUSERSPROFILE%\Microsoft\User Account Pictures\user.bmp"
@goto end
 
REM Copia la imagen para un usuario que no pertenezca al grupo GRP ASIRLAB desde una ubicación de red y la pega en el equipo local en la ruta "%ALLUSERSPROFILE%\Microsoft\User Account Pictures" con el nombre user.bmp con el modificaro /y para que sobrescriba la imagen sin preguntar. La imagen es una por defecto que tiene el sistema
:Administradores
xcopy \\Asirlab.com\LAB\Fotos\Admins\user.bmp "%ALLUSERSPROFILE%\Microsoft\User Account Pictures" /y
:end
*******************************************************************************************************

Ahora debemos crear una GPO para que se ejecute el script en el inicio de sesión por parte del usuario en el dominio. Aqui os dejo un script sencillito (cmd o bat como queráis) y lo agregamos a la GPO desde la opción Configuración de usuario – Configuración de Windows – Scripts (inicio de sesión o cierre) – Iniciar sesiónImagen_personalizada_usuarios_2.jpg
El problema que tendríamos ahora mismo es que el usuario no puede modificar el fichero USER.BMP situado en "%ALLUSERSPROFILE%\Microsoft\User Account Pictures" por lo que tenemos que aplicar los permisos necesarios en todos los equipos del dominio. Para ello crearemos otra GPO aplicada a los equipos del dominio y con la siguiente configuración, para ello vamos a Configuración del equipo – Configuración de Windows – Configuración de Seguridad – Sistema de archivos – Agregar archivo…Imagen_personalizada_usuarios_4.jpg

seleccionamos el fichero en cuestión "%ALLUSERSPROFILE%\Microsoft\User Account Pictures\user.bmp", como la carpeta está oculta no podemos verla desde el miniexplorador, por lo que podemos pegar la ubicación en recuadro habilitado para ello
Imagen_personalizada_usuarios_5.jpg
y ahora aplicamos los permisos necesarios: MODIFICAR. Yo he creado un grupo específico para aplicar esos permisos: ACL Files User Account Pictures (HRW) y con la opción Reemplazar los permisos existentes en todas las subcarpetas y archivos con perimsos heredablesImagen_personalizada_usuarios_3.jpg

Ahora nos queda pendiente compartir la carpeta con las fotos y la  utilidad que comprobará de que grupo es miembro el usuario. Creamos una carpeta en nuestro servidor y la compartimos con los siguientes permisos:

GRUPO ​PERMISO RECURSO COMPARTIDO ​PERMISOS NTFS
​ACL FILES PICTURES USER (HRO) ​LEER ​LEER
 

Agregamos a la carpeta al DFS para seguir con la misma estructura de carpetas y nomenclaturas, y accederíamos a la carpeta mediante la siguiente ruta:

\\Asirlab.com\LAB\Fotos

copiaremos las fotos del usuario con el nombre del usuario y extensión BMP y el fichero ISMEMBER.EXE

\\Asirlab.com\LAB\Fotos

ismember.exe

sbuitrago.bmp

jperez.bmp

amartinez.bmp

Si queremos que los usuarios solo tengan acceso a su imagen, debemos configurar los permisos de lectura sobre cada imagen con permisos exclusivo al propietario (usuario) y a los administradores. La dimensión de la imagen debe ser 128×128 pixeles y en formato BMP, y con esto hemos terminado la configuración.  Ahora cuando un usuario inicie sesión copiará su imagen   "%ALLUSERSPROFILE%\Microsoft\User Account Pictures\user.bmp" y sobreescribiendo la anterior imagen sea la suya o no. Esto no ralentizará el inicio de sesión, puesto que el copiado de 50KB (más o menos) no es ningún esfuerzo para la red, servidor y equipo.

Es un proceso "manual" pero igual de útil, para aplicar los permisos sobre la carpeta en donde están las imágenes podéis crear un script para que aplique los permisos cada x minutos. Por ejemplo, podemos querer que la gente del departamento de RRHH copie las fotos en la carpeta de Fotos y luego el script modifique el permiso sobre la imagen. De esta forma alguien podrá copiar la imagen sin depender del administrador.

Aqui os dejo el script y el ismember:

user_picture.raruser_picture.rar

ismember.rarismember.rar

Debéis cambiar el nombre del grupo que utilizareis para comprobar si es un usuario de empresa o administrador, y la ruta de los ficheros compartidos, etc.. pero vamos eso es trivial. Esta configuración funciona en Windows Vista y 7, aun no lo he probado en Windows 8 pero creo que ha cambiado algo la forma de asignar las fotos de los usuarios, porque ahora adapta las imágenes en distintos tamaños, etc…

Imagen_personalizada_usuarios_6.jpg
en cuanto lo  vea bien os cuento pero me tiene toda la "pinta" de que se hará de forma "similar". He visto esta directiva para asignar la misma imagen a todos los usuarios, y sigue con mismo conecpto de la imagen en la misma ruta, etc… por lo visto ahora es con el formato JPEG. Será cuestión de probarlo …Imagen_personalizada_usuarios_8.jpg

Espero que os sea de utilidad!!!

Licenciamiento Lync 2013

abril 26th, 2013 | Posted by Santiago Buitrago in Sin categoría - (0 Comments)

5672_lync2013_png-550x0.png

Os dejo un pequeño resumen de Microsoft del licenciamiento de Lync 2013, en los próximos días trataré de explicar que licencias son necesarias para una implementación de Lync

Microsoft Lync Server 2013 offers several flexible licensing options that allow you to scale to your business’s specific Unified Communications needs.
 
Server Licenses: A license must be assigned for each instance of the server software that is running the front-end server role—all other roles do not require a license. Lync Server 2013 is licensed in one edition for all deployment scenarios.
 
Client Access Licenses (CALs): To access the Lync Server 2013 services, a Client Access License is required. Three CALs are available for Lync Server: Lync Standard CAL (IM, presence), Lync Enterprise CAL (audio, video, web conferencing), and Lync Plus CAL (Enterprise voice features). Enterprise CALs and Plus CALs are additive to the Standard CAL. CALs are available as either Device CALs or User CALs.
 
User Subscription Licenses (USLs): Three USLs are associated with Office 365 and Lync Online. Plan 1-provides Presence, IM, peer-to-peer VoIP and Video, Plan 2 adds Lync Meetings capability, Plan 3 adds PSTN Access (US and UK), USLs are per user only.
 
Client License: Lync 2013 client licensed via Office Professional Plus (and is also available as a standalone). Lync Windows 8 client is licensed via Windows Store and other mobile clients are available via the relevant platform store. Lync Basic 2013 client licensed via download from Microsoft.

 

 

 

Espero que en los próximos dias subir un artículo propio con un resumen más detallado sobre el licenciamiento de Lync

Habilitar la grabación de sesiones en Lync

abril 26th, 2013 | Posted by Santiago Buitrago in Lync Server - (2 Comments)

En Lync podemos grabar las llamadas de conferencia en las que nos encontremos, pero para poder grabar se tiene que habilitar inicialmente.  La grabación de realizará en el cliente y quedará almacenada localmente. Para poder habilitar la grabación debemos ir al Panel de Control de Lync al apartado de Conferencias:

Record_Conferencia.png

Editamos la politica Global y habilitamos las opciones de grabación

Polícita del Organizador

Record_Conferencia_1.png

 

Polícita del Participante
Record_Conferencia_2.pngCuando la grabación de conferencias se habilita, los ponentes y asistentes (incluso participantes anónimos, si marca la casilla correspondiente) pueden grabar la sesión. Esto funciona con cualquier tipo de sesión: Los usuarios de Lync, los usuarios existentes del comunicador, y que llaman PSTN. La clave aquí es la conferencia. Para poder grabar las llamadas se debe estar en una conferencia con más de un usuario. Por ejemplo, si llamamos a alguien a través de la PSTN, no podemos grabar la llamada, pero si agregamos a alguien más a la llamada si que podríamos, puesto que entraríamos en conferencia. Esto lo veremos en otro artículo para que veáis como se pueden grabas las llamadas a la PSTN

Espero que os sea de utilidad!!!