Aprende Informatica Conmigo

Por 1 comentario

Windows Server 2008 – Configurar permisos y auditoria

Para llevar a cabo esta tarea utilizaremos el directorio «importante» que tenemos en «c:\compartido\importante«.

Lo seleccionamos y pulsamos el boton derecho. Seleccionamos «Properties«. Seleccionamos la pestaña «Security«.

Nos muestra la siguiente pantalla:

El siguiente cuadro de dialogo se muestra tras pulsar sobre el botón «Edit«:

Pulsamos el boton «Add…«.

Escribimos «compras» y pulsamos sobre el boton «Check Names«.

Nos muestra dos coincidencias con «compras«. Nosotros seleccionamos el grupo «compras» y pulsamos sobre el boton «OK«.

Ahora dejamos los permisos como se ven en las dos capturas de pantalla siguientes:

Tipico mensaje en el que pulsamos sobre «yes«.

Ahora hacemos lo mismo con el grupo «ventas«, pero en este caso queremos saber cuando se les permite acceder al directorio en cuestión.

Una vez que hemos configurado los permisos, ahora configura configuraremos la auditoria.

Para ello, pulsamos en el boton «advanced» en la siguiente pantalla:

Seleccionamos la pestaña «Auditing» y pulsamos sobre el boton «Edit«:

Pulsamos sobre el boton «Add...»:

Lo que hacemos ahora es añadir los grupos que queremos auditar. En nuestro caso son «ventas» y «compras«.

Una vez finalizada la configuración, nos apareceran dos entradas mas en la pestaña «Auditing«.

Tened en cuenta que aparecen dos entradas, una por cada auditoria.

Con esto ya tenemos definido lo que queremos auditar.

Ahora nos queda la parte de habilitar la politica de auditoria que lo veremos en el siguiente tutorial.

Saludos.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática

Por 2 comentarios

Windows Server 2008 – Añadir miembros mediante GPO

En esta ocasion vamos a utilizar las politicas de grupo para añadir miembros a un grupo.

No es lo mismo que en el tutorial anterior en el que modificabamos el apartado de «Este grupo es miembro de…«.

Bueno, manos a la obra.

Creamos una nueva GPO porque no es aconsejable mezclar en una misma GPO los dos conceptos que hemos visto y estamos viendo.

Como nombre para esta GPO he seleccionado «miembros administradores local«.

Editamos la GPO.

Ahora, como en el tutorial anterior, desplegamos el arbol por «Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Restricted Groups«.

Boton derecho con «Restricted Groups» seleccionado y pulsamos sobre «Add Group…«.

Escribimos «Administradores«.

Debemos tener en cuenta que nos referimos al grupo «administradores» locales de los equipos.

Pulsamos en el boton «Add…» del apartado «Members of this group:«.

Esbrimos «informatica» porque este es el grupo que queremos añadir al grupo local de administradores.

Ya lo ha añadido a la lista.

Comprobamos…

Ahora enlazamos la GPO al dominio «neointec.local«.

Seleccionamos la GPO.

Y ya esta.

Espero que os sirva este tutorial.

Saludos.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática

Por Deja un comentario

Windows Server 2008 – Delegacion de administracion mediante GPO

Bueno, la empresa crece y hay que amoldarse a las nuevas situaciones.

En todas las empresas del grupo hemos llegado a una cantidad de trabajo en la que nos vemos obligados a contratar a personal para dar soporte a nuestra propia infraestructura. Has ahora lo hacian los integrantes del departamento de informatica pero ahora hemos contratado a una persona para el nuevo departamento de «soporte» y mas adelante tal vez tengamos que contratar a mas.

Es por esto que en el dominio Neointec.local he creado una OU llamada «soporte» debajo de «equipos» y «usuarios«. Ademas he creado el usuario soporte01 y el correspondiente grupo global «soporte«.

Ahora que ya nos hemos puesto en situacion os explico la finalidad de este tutorial:

Queremos delegar la administracion de los equipos y para ello necesitamos que el grupo «Neointec\soporte» sea miembro del grupo «administradores» de cada uno de los equipos.

La mejor y mas sencilla forma de hacerlo es delegar la administracion mediante GPO y esto lo haremos añadiendo el grupo de usuarios «neointec\soporte» dentro del grupo «administradores» de cada equipo de la siguiente forma.

Comenzamos creando una nueva GPO.

Le ponemos el nombre de «delegacion administracion«.

Ahora procedemos a editar dicha GPO.

Vamos desplegando el arbol por «Computer Configuration –> Policies –> Windows Settings –>Security Settings –> Restricted Groups»

Seleccionamos «Restricted Groups«. Pulsamos el boton derecho del raton y seleccionamos «Add Group…«.

Si ya conocemos el nombre del grupo que queremos añadir, lo esbribimos como en la imagen siguiente. Si no, pulsamos sobre el boton «Browse» y buscamos dicho grupo.

En cualquier caso el grupo que nos interesa es «NEOINTEC\soporte«.

Tras pulsar en «OK» nos aparecera el siguiente cuadro de dialogo.

Pulsamos el boton «Add…» del apartado «This group is a member of:«.

Escribimos «Administrators» o buscamos el grupo pulsando el boton «Browse«.

Al pulsar el boton «OK» volvemos al siguiente cuadro de dialogo donde ahora vemos que ha añadido el grupo.

Pulsamos «OK» para finalizar y volver al «Group Policy Management Editor«:

Cerramos el editor y volvemos al «Gestor de Politicas de Grupo«.

Seleccionamos el dominio «neointec.local«, pulsamos boton derecho del raton y seleccionamos «Link and Existing GPO…«.

Seleccionamos «delegacion administracion«.

Comprobamos que se ha enlazado la GPO:

Hasta aqui llega este tutorial.

Saludos.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática

Por Deja un comentario

Windows Server 2008 – Crear grupos – Parte 2

Recordemos que en primera parte de este tutorial habíamos creado:

  • Un Grupo Global «ventas» en el que habíamos incluído como miembros a los usuarios del deparamento «ventas«.
  • Un Grupo Global «direccion» en el que habíamos inlcluído como miembros a el usuario del departamento «direccion«.
  • Un Grupo Local de Dominio «ACL_ventas_total» en el que habíamos incluído como miembros a los grupos globales anteriores, es decir «ventas» y «direccion«.

Ahora llega el momento de probar esta configuración.

Para ello, creamos el directorio «documentos» en la raiz del disco C de nuestro servidor «aicsrv01«.

En este directorio vamos a ir ubicando otros subdirectorios dependiendo de la finalidad de los documentos que van a contener. Por ahora sólo necesitamos un directorio en el que se incluirán ficheros relativos a las ventas y como dijimos en la primera parte del tutorial, los departamentos de «ventas» y «direccion» tendrán acceso total a estos ficheros

Por consiguiente, creamos un directorio llamado «ventas» dentro del directorio «documentos«.

Nos quedaría algo así:

crgrupt1-01

Seleccionamos el directorio «ventas» –> botón derecho del ratón –> «Properties«.

Seleccionamos la pestaña «Secutity«.

crgrupt1-02

Pulsamos en el botón «Edit…«.

crgrupt1-03

Ahora, como muestra la captura anterior, pulsamos en el botón «Add…«. Para añadir objetos a esta lista.

crgrupt1-04

Sucede que, puede ser que no nos acordemos exactamente del nombre del Grupo Local de Dominio que se refería a este directorio y que queremos añadirlo a su lista de seguridad (ACL).

En casos como este, introducimos ACL_ que estamos seguros de que el nombre del grupo empezaba así, y pulsamos sobre el botón «Check Names«.

crgrupt1-05

En este caso, tras pulsar el botón «Check Names«, nos ha encontrado justo el nombre del grupo que nosostros queremos.

Esto es porque actualmente tenemos un solo grupo cuyo nombre comience por «ACL_«. Si hubieramos tenido mas, nos mostraría un cuadro de diálogo con todas las opciones que coincidan con el patrón y tendríamos que escoger la o las que nos hagan falta a nosotros.

Bien, como es lo que queremos, pulsamos «OK«.

Ahora, nos percatamos que ha añadido el grupo «ACL_vetas_total» a la lista:

crgrupt1-06

Seleccionamos el grupo en cuestión y en la parte de abajo «Permissions for ACL_ventas_total» podemos ver los permisos que tiene habilitados y los denegados.

Respetando el nombre del Grupo, le damos acceso total a este grupo activando la casilla correspondiente como se muestra en la captura siguiente:

crgrupt1-07

Pulsamos en el botón «OK» para guardar los cambios.

Bueno, pues ya tenemos listo el acceso total al directorio «c:\documentos\ventas» para todos los miembros de los departamentos de «ventas» y «direccion«.

Cualquiera de los miembros de esos grupos globlales tienen acceso total y por lo tanto pueden hacer lo que quieran en el.

Hay que tener en cuenta que por norma general no se deben dar permisos de acceso total a los usuarios, si necesitan modificar los documentos de una ubicación, les daremos permisos de «Modify«.

Bueno, ya hemos aprendido a crear grupos y cómo gestionarlos para que nos sea mas fácil y mas rápido a la hora de aplicar permisos.

Estaremos de acuerdo que es mucho mas fácil, rápido y limpio hacer esto mediante grupos. Una buena política de grupos nos evitará muchos quebraderos de cabeza.

Para practicar:

Ahora voy a realizar otras tareas en las que es neceario la gestión de grupos y permisos, pero no lo voy a explicar, lo dejo a la imaginación de cada uno.

1-. Crear directorio c:\documentos\informatica al cual tendrán acceso de modificación todos los miembros de los departamentos de Informática y Dirección.

2-. Crear directorio c:\dirección al que sólo tendrán acceso los miembros de ese mismo departamento.

3-. Crear directorio c:\documentos\compras al que tendrán acceso de modificación los miembros de los departamentos de compras y dirección.  Además, los miembros del departamento de administración tendrán acceso de lectura.

4-. Crear directorio c:\documentos\marketing al que tendrán acceso de modificación los miembros del grupo marketing. También tendrán acceso de lectura los miembros del departamento de dirección.

Para que os hagáis una idéa de como debería quedar en cuanto a grupos una vez realizados los pásos anteriores:

crgrupt1-08

Esto es todo para este tutorial.

Nos vemos en el siguiente.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática

Por Deja un comentario

Windows Server 2008 – Eliminar y resetar permisos

Retomando el «curso» de Windows Server 2008, en esta ocasión vamos a ver cómo eliminar permisos y también, cómo podemos resetear los permisos de un objeto.

En primer lugar abrimos «Usuarios y Equipos de Active Directory» o «Active Directory users and computers«, dependiendo del idioma en que tengamos nuestro Windows Server 2008.

elresperm01

elresperm02

Ahora seleccionamos una cuenta de usuario, botón derecho y «propiedades«.

elresperm03

En esta ventana, pulsamos sobre el botón «advanced«.

elresperm04

Ahora podemos ver todos los permisos de este usuario.

En la parte izquierda vemos el botón «Add» para añadir permisos, Edit y el botón Remove para eliminar permisos. Para eliminar un permiso en primer lugar nos posicionamos en el y luego pulsamos el botón «Remove«.

elresperm05

También disponemos de el botón «Restore Defaults» en la parte derecha. Haciendo click en el, restauramos todos los permisos por defecto para este objeto.

También podemos resetear los permisos de un objeto desde la consola. Para esto debemos utilizar el comando «dsacls» con el modificador «/s«.

Por ejemplo, si queremos resetar los permisos de la OU «gente«:

dsalcs «ou=gente,dc=aic,dc=com» /resetDefaultDACL

Esto es todo por hoy.

Saludos.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática