Aprende Informatica Conmigo

Por 1 comentario

Windows Server 2008 – Configurar permisos y auditoria

Para llevar a cabo esta tarea utilizaremos el directorio «importante» que tenemos en «c:\compartido\importante«.

Lo seleccionamos y pulsamos el boton derecho. Seleccionamos «Properties«. Seleccionamos la pestaña «Security«.

Nos muestra la siguiente pantalla:

El siguiente cuadro de dialogo se muestra tras pulsar sobre el botón «Edit«:

Pulsamos el boton «Add…«.

Escribimos «compras» y pulsamos sobre el boton «Check Names«.

Nos muestra dos coincidencias con «compras«. Nosotros seleccionamos el grupo «compras» y pulsamos sobre el boton «OK«.

Ahora dejamos los permisos como se ven en las dos capturas de pantalla siguientes:

Tipico mensaje en el que pulsamos sobre «yes«.

Ahora hacemos lo mismo con el grupo «ventas«, pero en este caso queremos saber cuando se les permite acceder al directorio en cuestión.

Una vez que hemos configurado los permisos, ahora configura configuraremos la auditoria.

Para ello, pulsamos en el boton «advanced» en la siguiente pantalla:

Seleccionamos la pestaña «Auditing» y pulsamos sobre el boton «Edit«:

Pulsamos sobre el boton «Add...»:

Lo que hacemos ahora es añadir los grupos que queremos auditar. En nuestro caso son «ventas» y «compras«.

Una vez finalizada la configuración, nos apareceran dos entradas mas en la pestaña «Auditing«.

Tened en cuenta que aparecen dos entradas, una por cada auditoria.

Con esto ya tenemos definido lo que queremos auditar.

Ahora nos queda la parte de habilitar la politica de auditoria que lo veremos en el siguiente tutorial.

Saludos.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática

Por Deja un comentario

Windows Server 2008 – Comprobar los miembros del grupo añadidos mediante GPOs

Este tutorial es simplemente para comprobar que se han aplicado las GPOs que hemos creado en los dos tutoriales anteriors y como se refleja esto en el equipo cliente.

Hay que tener en cuenta que las dos primeras imagenes estan capturadas despues de aplicar la GPO en la que añadiamos el grupo «soporte» como miembro del grupo local «administradores«.

Bueno, en un windows xp cliente abrimos «Administracion de equipos» y nos posicionamos en «Usuarios locales y grupos«.

Nos posicionamos en «Grupos» y hacemos doble-click sobre el grupo «Administradores«.

En la siguiente captura de pantalla observamos que se ha añadido correctamente el grupo «NEOINTEC\soporte«.

Tambien he señalado el grupo «NEOINTEC\Domain Admins«. Esto os lo explico enseguida.

Bien, en este momento es cuando hemos creado y aplicado la segunda GPO en la que incluiamos al grupo «informatica» del dominio, es decir, al grupo «NEOINTEC\informatica» dentro del grupo «administradores» de los equipos locales.

Al comprobar de nuevo en el equipo cliente las propiedades del grupo «administradores» vemos lo siguiente:

Si, se han aplicado las dos GPOs correctamente.

Pero observamos que ha desaparecido el grupo «NEOINTEC\domain admins». Esto es porque cuando configuramos por GPO los miembros de un grupo local, esto no es acumulativo. Esto quiere decir que solo apareceran aquellos que hayamos añadido.

Con el apartado «This group is a member of» ocurre lo contrario ya que si es acumulativo.

Bueno, este tema no es facil de asimilar osea que si teneis alguna duda, dejad un comentario en la entrada.

Saludos.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática

Por Deja un comentario

Windows Server 2008 – Delegacion de administracion mediante GPO

Bueno, la empresa crece y hay que amoldarse a las nuevas situaciones.

En todas las empresas del grupo hemos llegado a una cantidad de trabajo en la que nos vemos obligados a contratar a personal para dar soporte a nuestra propia infraestructura. Has ahora lo hacian los integrantes del departamento de informatica pero ahora hemos contratado a una persona para el nuevo departamento de «soporte» y mas adelante tal vez tengamos que contratar a mas.

Es por esto que en el dominio Neointec.local he creado una OU llamada «soporte» debajo de «equipos» y «usuarios«. Ademas he creado el usuario soporte01 y el correspondiente grupo global «soporte«.

Ahora que ya nos hemos puesto en situacion os explico la finalidad de este tutorial:

Queremos delegar la administracion de los equipos y para ello necesitamos que el grupo «Neointec\soporte» sea miembro del grupo «administradores» de cada uno de los equipos.

La mejor y mas sencilla forma de hacerlo es delegar la administracion mediante GPO y esto lo haremos añadiendo el grupo de usuarios «neointec\soporte» dentro del grupo «administradores» de cada equipo de la siguiente forma.

Comenzamos creando una nueva GPO.

Le ponemos el nombre de «delegacion administracion«.

Ahora procedemos a editar dicha GPO.

Vamos desplegando el arbol por «Computer Configuration –> Policies –> Windows Settings –>Security Settings –> Restricted Groups»

Seleccionamos «Restricted Groups«. Pulsamos el boton derecho del raton y seleccionamos «Add Group…«.

Si ya conocemos el nombre del grupo que queremos añadir, lo esbribimos como en la imagen siguiente. Si no, pulsamos sobre el boton «Browse» y buscamos dicho grupo.

En cualquier caso el grupo que nos interesa es «NEOINTEC\soporte«.

Tras pulsar en «OK» nos aparecera el siguiente cuadro de dialogo.

Pulsamos el boton «Add…» del apartado «This group is a member of:«.

Escribimos «Administrators» o buscamos el grupo pulsando el boton «Browse«.

Al pulsar el boton «OK» volvemos al siguiente cuadro de dialogo donde ahora vemos que ha añadido el grupo.

Pulsamos «OK» para finalizar y volver al «Group Policy Management Editor«:

Cerramos el editor y volvemos al «Gestor de Politicas de Grupo«.

Seleccionamos el dominio «neointec.local«, pulsamos boton derecho del raton y seleccionamos «Link and Existing GPO…«.

Seleccionamos «delegacion administracion«.

Comprobamos que se ha enlazado la GPO:

Hasta aqui llega este tutorial.

Saludos.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática

Por Deja un comentario

Windows Server 2008 – Visor de eventos de GPOs

Windows Vista y Windows Sever 2008 nos permiten visualizar los «logs» de diferentes aspectos, entre ellos estan la GPOs.

La mayoria de vosotros ya estareis acostumbrados a revisar el visor de sucesos para intentar solucionar algunos de los problemas que teneis en un momento dado.

Vamos a verlo un poco para que sepamos todos donde y como buscar esta informacion en Windows Server 2008.

Abrimos el «Event Viewer«.

Extendemos el arbol por Windows logs -> System.

Vemos una lista de eventos.

En la parte derecha seleccionamos «Filter current log«.

En el cuadro de dialogo siguiente, desplegaremos el menu desplegable correspondiente a «Event Sources«.

De la lista, seleccionamos «GoupPolicy«

Vale, ahora solo vemos los eventos que se corresponden con el filtro que hemos introducido.

En Windows -> Application disponemos de mas informacion al respecto, otros eventos relacionados.

Ahora, nos dirigimos por Aplications And Services Logs –> Microsoft –> Windows –> GroupPolicy –> Operational.

Aqui si que podemos ver todos los eventos del «Souce» «GroupPolicy«.

Vamos seleccionando algunos y observando la informacion que nos facilitan justo debajo.

El visor de sucesos es una herramienta muy util para los administradores de sistemas, mas bien imprescindible.

Disponemos de muchisima informacion en esta herramienta, no solo sobre las GPOs.

Bueno, nos vemos en el siguiente tutorial.

Saludos.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática

Por Deja un comentario

Windows Server 2008 – Generando reportes con Gpresult.exe

En el tutorial anterior vimos como generar reportes de la configuracion de GPOs mediante entorno grafico. Pues bien, en este tutorial vamos a ver como hacerlo desde la consola de comandos.

En primer lugar abrimos una consola de comandos:

El comando que utilizaremos es «gpsesult«.

El comando «gpresult /r» nos mostrara lo mismo que la pestaña «Summary»  en el entorno grafico.

A continuacion se puede ver el resultado de dicho comando:

Ahora ejecutaremos el comando «gpresult /s infor01 /r /user infor01«.

Mediante «/s infor01» le indicamos que realice la consulta contra el equipo remoto infor01.

Mediante «/user infor01» le indicamos que realice la consulta para el usuario infor01.

Ahora ejecutamos el comando: «gpresult /s infor01 /user infor01 /H:»c:\rsopinfor01.html«.

Con este comando le indicamos que guarde el restulado de la consulta en el fichero «c:\rsopinfor01.html«. Por supuesto con formato html.

Si abrimos el fichero «c:\rsopinfor01.html» nos mostara lo siguiente:

De la misma forma, tambien podemos guardar el resultado de la consulta en un fichero con formato XML.

El comando seria: «gpresult /s infor01 /user infor01 /H:»rsopinfor01.xml«.

Al abrirlo vemos la informacion:

La utilidad «Gpresult.exe» es my importante por lo que os aconseje que practiqueis con ella.

Para obtener mas informacion al respecto podeis ejetucar «gpresult /?» en una consola de comandos. Ahí disponeis de mas informacion.

Saludos.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática

Por Deja un comentario

Windows Server 2008 – Utilizar Group Policy Results Wizard

A estas alturas ya estamos completamente metidos con las Politicas de Grupo.

Ya sabemos crearlas, modificar alguna politica e incluso asignarle un ambito, ademas de algunas cosas mas.

Ahora nos toca practicar un poco con las diferentes herramientas que  Windows 2008 pone a disposicion de los administradores para intentar solucionar los problemas que podemos tener con las GPOs.

En este tutorial vamos a ver la utilidad mas sencilla de utilizar: «Group Policy Results Wizard«.

Utilizaremos esta utilidad para ver los resultados de la configuracion de una GPO en un equipo y/o usuario determinado de nuestro dominio.

Empezemos…

Abrimos «Group Policy Management«. Nos posicionamos en «Group Policy Results«, pulsamos el boton derecho del raton y seleccionamos «Group Policy Results Wizard«.

Pulsamos «Next«.

Nos muestra el cuadro de dialogo siguiente:

Seleccionamos «Another computer» y como ya sabemos de antemano el nombre de equipo contra el que queremos ejecutar la consulta, escribimos el nombre del equipo, en este caso «infor01«.

Tambien podemos pulsar «Browse…» para seleccionarlo desde una lista que nos mostrara con los equipos disponibles en ese momento. Hay que tener en cuenta que, por supuesto, el equipo contra el que se realizara la consulta debe estar encendido en estos momentos.

Si no queremos que se muestren los resultados de la parte de equipo, podemos activar el check de la parte de abajo en la que pone «Do not display policy settings for the selected computer in the results (display user policy settings only)«.

Al pulsar el boton «Next» nos muestra el cuadro de dialogo siguiente en el que seleccionaremos la cuenta de usuario contra la que haremos la consulta. Yo la voy a hacer contra la cuenta del usuario «infor01» del dominio.

Al igual que en el cuadro de dialogo anterior, en este tambien podemos activar el check de la parte inferior para que no nos muestre el resultado de la configuracion de usuario: «Do not display user policy settings in the results (display computer policy settings only«.

Tras pulsar en el boton «Next >«, se muestra el cuadro de dialogo siguiente que es un resumen de la configuracion de la consulta que vamos a realizar.

Tipica pantalla de finalizacion.

Ahora se muestra el resultado de la consulta sobre la GPO contra el equipo y el usuario especificados anteriormente.

Para extender cada apartado podemos pulsar sobre el link a la derecha de cada uno, donde pone «show«.

Para extender todos pulsamos sobre el enlace «Show All«.

Bien, ahora estamos sobre la pestaña «Summary«, donde se muestra el estado del proceso de las politicas de grupo desde la ultima actualizacion.

En definitiva, esta pestaña muestra buena parte de la configuracion de la GPO.

En la pestaña «Settings» se muestra el resultado de la configuracion de la GPO aplicada al usuario o al equipo.

En esta pesatña no se muestra informacion sobre IPSec, Wireless o las cuotas de disco.

La ultima pestaña «Policy Events» es el «Visor de eventos» de la GPO.

Desde la pestaña «Summary» podemos guardar el resultado pulsando boton derecho y seleccionando «Save Report«.

Ahora podemos elegir entre guardarlo en formato «html» o «xml«.

Esto ha sido todo por ahora.

En el siguiente tutorial seguiremos viendo herramientas para el chequeo y resolucion de problemas con las politicas de grupo.

Saludos.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática

Por Deja un comentario

Windows Server 2008 – Proceso de GPOs en bucle invertido (loopback)

Vamos a realizar una ejemplo de aplicacion de la configuracion de una GPO mediante lo que se llama «bucle invertido» o «loopback«.

Lo utilizaremos porque queremos que los usuarios del departamento de «ventas«, cuando hagan logon en cualquier equipo, se les aplique un fondo corporativo.

Para ello creamos un nuevo objeto de politica de grupo como se puede ver en la siguiente imagen:

Indicamos un nombre significativo a esta GPO, como por ejemplo: «Fondo corporativo para ventas».

Tened en cuenta que esto es solo un ejemplo.

Editamos la GPO y navegamos hasta User configuration -> Policies -> Administrative templates -> Desktop -> Desktop.

Seleccionamos la politica «Desktop Wallpaper«.

Al hacer doble-click sobre la politica nos muestra el siguiente cuadro de dialogo donde podemos observar las diferentes opciones de configuracion de que disponemos.

Acostumbraos a leer el cuadro de ayuda de cada politica que useis.

Bien. Habilitamos la politica activando «Enabled«.

Introducimos un comentario explicativo en la seccion «Comment«.

En «Wallpaper Name» introducimos la ruta completa a la imagen que haŕa de fondo de pantalla.

Por ultimo, seleccionamos «Center» en «Wallpaper Stype«. Yo he seleccionado este estilo pero hay otros que tambien podeis probar para ver cual se adapta mejor a vuestras necesidades.

Pulsamos «OK«.

Ahora configuraremos el «buble invertido» o «loopback«.

Esto lo hacemos porque queremos que la configuracion de usuario tenga preferencia sobre la de equipo. Porque ya sabeis que la configuracion de equipo tiene preferencia.

Entonces, navegamos por Computer Configuration –> Adminstrative Templates -> System -> Group Policy.

Seleccionamos la directiva «User group policy loopback processing mode«. Poemos leer la explicacion que nos da sobre esta politica.

Ahora hacemos doble-click sobre la politica.

A continucacion, el cuadro de dialogo de dicha politica:

La activamos.

Seleccionamos el modo «Merge» y pulsamos «OK«.

Si seleccionamos la GPO, en el apartado Scope vemos que a añadido, como siempre, el grupo «Authenticated Users«. Pero nosostos queremos que solo se le aplique esta configuracion a los usuarios del grupo global «ventas«.

Seleccionamos «Authenticated Users» y pulsamos en el boton «Remove«.

Aceptamos el siguiente cuadro de dialogo de advertencia:

Pulsamos en el boton «Add..» y añadimos el grupo global «ventas«:

Ahora seleccionamos la OU «equipos«, pulsamos el boton derecho y seleccionamos «Link an Existing GPO…«.

Bien, seleccionamos la GPO «Fondo corporativo para ventas«.

Ya lo tenemos preparado correctamente.

El bucle invertido es algo muy interesante que no estaria de mas que practicarais un poco con el.

Hasta la proxima.

Saludos.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática

Por 5 comentarios

Windows Server 2008 – Filtros WMI en GPOs

Llega el turno de los filtros WMI.

Los filtros WMI son unas consultas realizadas en WQL y que podemos tener guardadas para aplicarlas a las gpos.

Hay que tener en cuenta que solo se puede aplicar un filtro WMI por GPO. Pero el la consulta del filtro puede ser lo compleja que necesitemos.

Para este ejemplo he creado una GPO llamada «Instalar wxpsp3» que, como podreis imaginaros, instalara el Service Pack 3 de Windows XP en aquellos equipos que sean necesarios.

Ya veremos mas adelante el despliegue de software mediante GPOs. Por ahora creer lo que os digo. Una GPO que va a instalar el Service Pack 3 de Windows XP.

Nos encontramos en la situacion en que no queremos que la GPO se aplique a todos  los equipos, ni mucho menos. Queremos que se aplique solo a los equipos que tengan instalado «Windows XP» con el «Service Pack 2» instalado. Para esto utilizaremos un filtro WMI.

En primer lugar vamos a crear un nuevo filtro WMI y para ello, dentro de «Group Policy Management«, nos posicionamos en «WMI Filters«, pulsamos el boton derecho del raton y seleccionamos «New…«.

Nos aparecera el siguiente cuadro de dialogo:

Rellenamos los datos con el nombre que le queremos asignar al filtro WMI (wxpsp2) y una descripcion.

Pulsamos el boton «Add«.

Nos aparece otro cuadro de dialogo en el que seleccionamos el «espacio de nombres» y escribimos la cadena con la consulta WQL.

Como podeis obervar, la consulta viene a decir que seleccionara los que tengan instalado Windows XP y el Service Pack 2.

Al pulsar «OK» volvemos al cuadro de dialogo anterior y esta vez estara incluida la consulta que hemos añadido.

Pulsamos en «Save» para guardar la consulta.

Os recuerdo que este filtro WMI lo vamos a usar con una GPO en concreto, pero podriamos utilizarla en otras GPOs si nos conviene.

Seleccionamos el filtro WMI para ver sus propiedades.

Pulsamos boton derecho en el apartado «GPOs that use this WMI filter» y seleccionamos «Add…«.

Ahora lo que hacemos es seleccionar la GPO que va a utilizar este filtro WMI.

En la captura de pantalla siguiente ya vemos que se a añadido.

Ahora, seleccionando la GPO «Instalar wxpsp3» y vemos que en la parte inferior derecha, hay un filtro WMI seleccionado.

Tambien podemos utilizar este apartado para seleccionar el filtro WMI a utilizar por una GPO.

Sin duda es algo muy interesante y util la utilizacion de Filtros WMI en la GPOs.

Os aconsejo que lo probeis y veais vosotros mismos los resultados.

Por cierto, que no os asusten las consultas WQL porque buscando por la red podeis encontrar un monton de ejemplos que os pueden ser utiles.

Hasta la proxima.

Saludos.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática

Por Deja un comentario

Windows Server 2008 – Moverse por GPOs

Para trabar con GPOs es imprescindible saber moverse por todo el sistema relacionado con este tema.

Para empezar, seleccionamos una GPO. Por ejemplo la que creamos el otro dia: «Neointec base».

En la imagen siguiente, en la parte derecha de la ventas he resaltado algunos apartados que debemos conocer.

Es el caso de la la pestaña «Scope» o «ambito» para nosotros. En esta pestaña tenemos la opcion de «Links» que se refiere a los lugares a los que esta enlazada esta GPO.

Mas abajo esta el apartado «Security Filtering» donde se definen los usuarios o grupos a los que se les va a aplicar la GPO. En este caso vemos que se aplicara a los «Usuarios Autentificados» en el dominio.

En la pestaña «Settings» podemos ver un resumen de las politicas que estan configuradas.

Si expandimos el arbol llegamos a la politica que tenemos configurada en esta GPO:

En la pesaña «Details» vemos los detalles de la GPO. Desde el nombre del dominio en el que esta creado, El identificador de la misma, si esta habilitada e incluso el comentario de la misma que introdujimos en otro articulo.

Ahora, nos fijamos en el identificador unico «Unique ID» y exploramos en el disco del servidor a el directorio que se observa en la siguiente imagen:

Exacto. Existe una carpeta cuyo nombre coincide con el identificador de la GPO.

Esto ocurre con todas las GPOs. Ya hablaremos mas sobre esto en proximos articulos.

Si accedemos a dicha carpeta podemos ver los ficheros que componen la configuracion de esta GPO:

Por ahora es suficiente, nos vemos en el siguiente articulo.

Saludos.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática