Aprende Informatica Conmigo

Por Deja un comentario

Windows Server 2008 – Analizar la configuracion de la plantilla de seguridad – Parte 1

En este tutorial intentaremos analizar la configuracion del servidor «NEOINTECDC1» utilizando la plantilla de seguridad que creamos en el tutorial anterior.

Intentaremos identificar las discrepancias entre la configuracion actual del servidor y las que nosotros queriamos cuando creabamos la plantilla de seguridad.

Bueno, no se hable mas y vamos alla.

Abrimos la consola «Gestion Seguridad» que ya tenemos creada.

Seleccionamos «Add/Remove Snap-in…» del menu «File«.

Seleccionamos «Security Configuration and Analysis» y pulsamos en el boton «Add >«.

En la siguiente captura de pantalla observamos que ahora aparece en la parte derecha.

Pulsamos «Ok» para cerrar esta pantalla.

Guardamos la configuracion de la consola:

Nos posicionamos sobre «Security Configuration and Analysis«, pulsamos boton derecho del raton y seleccionamos «Open Database…«.

Como no queremos abrir una base de datos al asignar un nombre, la crea por defecto.

Le podemos asignar el nombre «neointecdc1pru«.

Ahora aparece el cuadro de dialogo «Import Template«.

Seleccionamos la plantilla «Acceso Remoto» que creamos en el tutorial anterior y pulsamos «Open«.

Ahora, de vuelta a la consola, pulsamos boton derecho sobre «Security Configuration and Analysis» y seleccionamos «Analyze Computer Now…«.

Pulsamos el boton «Ok» para aceptar el «path» por defecto del log de Error.

Expandimos «Local Policies«.

Nos posicionamos en «User Rights Assignement«.

Vemos que en el icono de la politica «Allow log on though Remote Desktop Services» aprece un icono pequeño con una «X«. Esta «X» indica una discrepancia entre la base de datos y la configuracion del servidor.

Pulsamos doble-click en la politica y nos muestra una pantalla similar a la siguiente:

Bueno, este tutorial tiene muchas imagenes y se está haciendo largo. Por eso lo he dividido en dos partes.

En el proximo tutorial tendreis la segunda parte y continuaremos donde lo hemos dejado.

Saludos.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática

Por Deja un comentario

Windows Server 2008 – Crear una plantilla de seguridad

En este tutorial crearemos una plantilla de seguridad para permitir que los usuarios pertenecientes al grupo «soporte» tengan acceso por escritorio remoto al controlador de dominio. En definitiva, lo mismo que hemos hecho en el tutorial anterior pero esta ver de otra forma.

Empezamos pulsando en la opcion «Run…» del menu inicio.

Escribimos «mmc» y pulsamos «OK«.

Ahora, en la consola, pulsmoa en el menu «File» y seleccionamos «Add/Remove Snap-in…«.

En la parte izquierda correspondiente a «Available snap-in«, seleccionamos «Security Templates» y pulsamos en el boton «Add >«.

Ahora debe aparecer «Security Templates» en la parte derecha, en «Selectec snap-ins«.

Guardamos la configuracion de la consola mediante la opcion «Save» del menu «File«.

La guardamos en el escritorio, por ejemplo y con el nombre «gestion seguridad«.

A continucacion podeis ver el icono:

Si no tenemos abierta la consola que acabamos de crear la abrimos.

Expandimos «Security Templates» y nos posicionamos sobre «c:\users\administrator\documents\security\templates«.

Pulsamos el boton derecho del raton y seleccionamos «New Template…«.

En el cuadro de dialogo siguiente le asignamos el nombre «Acceso Remoto» y pulsamos «OK«.

Explandimos el arbol hasta llegar a «User Groups Assignement«.

Seleccionamos la politica «Allow log on though Remote Desktop Services«.

Al hacer doble-click sobre la politca nos mostrara el cuadro de dialogo siguiente:

Activamso el check correspondiente a «Define these policy settings in the template:«.

Pulsamos sobre el boton «Add user or Group…«.

Escribimos «soporte» y pulsamos «OK«.

Ahora vemos que a añadido el grupo «soporte» a la lista.

Tras pulsar «OK» volvemos a la consola y nos fijamos que ahora aparece «soporte» en la columna «Computer Setting«.

Esto es importante aunque direis que no tanto.

Bueno, aseguraos de guardar la plantilla pulsando el boton derecho del raton sobre «Acceso Remoto» y seleccionando «Save«.

Bueno, hasta aqui llega este tutorial.

Nos vemos en el proximo.

Saludos.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática

Por Deja un comentario

Windows Server 2008 – Configurar la politica de seguridad local

Ahora toca ver algo sobre seguridad de nuestros servidores dcs y las politicas locales.

En este tutorial usaremos la politica de seguridad local  para permitir que un grupo de usuarios tengan acceso al controlador de dominio mediente escritorio remoto.

Para ello utilizaremos el grupo «soporte» que creamos hace poco en otro tutorial.

Bueno, abrimos «Local Security Policy«.

Expandimos el arbol por  «Security Settings –> Local Policies –> User Rights Assigment«.

No posicionamos en la politica «Allow log on though Remote Desktop Services» y nos fijamos en en la Columna «Security Settings» aparece solo «Administrators«

Hacemos doble-click sobre esa politica y aparece el cuadro de dialogo siguiente:

Pulsamos en el boton «Add User or Group«.

Escribimos «soporte» y pulsamos «ok«.

Nos muestra las coincidencias que ha encontrado con el nombre «soporte«. A nosotros nos interesa el grupo ose que lo seleccionamos y pulsamos «OK«.

Ahora, en el cuadro de dialogo siguiente observamos que tambien aparece el grupo «NEOINTEC\soporte«.

Tras pulsar «OK» ya tenemos hecho lo que queríamos.

Pero como en el siguiente tutorial vamos a hacer lo mismo de otra forma o con otra herramienta, volvemos a hacer doble click  y eliminamos el grupo «NEOINTEC\soporte» que acabamos de añadir.

Obeservamos que solo aparece «Administrators«.

Bien, es algo sencillo, verdad.

Seria bueno que os investigarais un poco sobre las distintas opciones de configuracion que hay disponibles. Son muchas asi que tened paciencia.

Saludos.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática

Por Deja un comentario

Windows Server 2008 – Comprobar los miembros del grupo añadidos mediante GPOs

Este tutorial es simplemente para comprobar que se han aplicado las GPOs que hemos creado en los dos tutoriales anteriors y como se refleja esto en el equipo cliente.

Hay que tener en cuenta que las dos primeras imagenes estan capturadas despues de aplicar la GPO en la que añadiamos el grupo «soporte» como miembro del grupo local «administradores«.

Bueno, en un windows xp cliente abrimos «Administracion de equipos» y nos posicionamos en «Usuarios locales y grupos«.

Nos posicionamos en «Grupos» y hacemos doble-click sobre el grupo «Administradores«.

En la siguiente captura de pantalla observamos que se ha añadido correctamente el grupo «NEOINTEC\soporte«.

Tambien he señalado el grupo «NEOINTEC\Domain Admins«. Esto os lo explico enseguida.

Bien, en este momento es cuando hemos creado y aplicado la segunda GPO en la que incluiamos al grupo «informatica» del dominio, es decir, al grupo «NEOINTEC\informatica» dentro del grupo «administradores» de los equipos locales.

Al comprobar de nuevo en el equipo cliente las propiedades del grupo «administradores» vemos lo siguiente:

Si, se han aplicado las dos GPOs correctamente.

Pero observamos que ha desaparecido el grupo «NEOINTEC\domain admins». Esto es porque cuando configuramos por GPO los miembros de un grupo local, esto no es acumulativo. Esto quiere decir que solo apareceran aquellos que hayamos añadido.

Con el apartado «This group is a member of» ocurre lo contrario ya que si es acumulativo.

Bueno, este tema no es facil de asimilar osea que si teneis alguna duda, dejad un comentario en la entrada.

Saludos.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática

Por 2 comentarios

Windows Server 2008 – Añadir miembros mediante GPO

En esta ocasion vamos a utilizar las politicas de grupo para añadir miembros a un grupo.

No es lo mismo que en el tutorial anterior en el que modificabamos el apartado de «Este grupo es miembro de…«.

Bueno, manos a la obra.

Creamos una nueva GPO porque no es aconsejable mezclar en una misma GPO los dos conceptos que hemos visto y estamos viendo.

Como nombre para esta GPO he seleccionado «miembros administradores local«.

Editamos la GPO.

Ahora, como en el tutorial anterior, desplegamos el arbol por «Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Restricted Groups«.

Boton derecho con «Restricted Groups» seleccionado y pulsamos sobre «Add Group…«.

Escribimos «Administradores«.

Debemos tener en cuenta que nos referimos al grupo «administradores» locales de los equipos.

Pulsamos en el boton «Add…» del apartado «Members of this group:«.

Esbrimos «informatica» porque este es el grupo que queremos añadir al grupo local de administradores.

Ya lo ha añadido a la lista.

Comprobamos…

Ahora enlazamos la GPO al dominio «neointec.local«.

Seleccionamos la GPO.

Y ya esta.

Espero que os sirva este tutorial.

Saludos.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática

Por Deja un comentario

Windows Server 2008 – Visor de eventos de GPOs

Windows Vista y Windows Sever 2008 nos permiten visualizar los «logs» de diferentes aspectos, entre ellos estan la GPOs.

La mayoria de vosotros ya estareis acostumbrados a revisar el visor de sucesos para intentar solucionar algunos de los problemas que teneis en un momento dado.

Vamos a verlo un poco para que sepamos todos donde y como buscar esta informacion en Windows Server 2008.

Abrimos el «Event Viewer«.

Extendemos el arbol por Windows logs -> System.

Vemos una lista de eventos.

En la parte derecha seleccionamos «Filter current log«.

En el cuadro de dialogo siguiente, desplegaremos el menu desplegable correspondiente a «Event Sources«.

De la lista, seleccionamos «GoupPolicy«

Vale, ahora solo vemos los eventos que se corresponden con el filtro que hemos introducido.

En Windows -> Application disponemos de mas informacion al respecto, otros eventos relacionados.

Ahora, nos dirigimos por Aplications And Services Logs –> Microsoft –> Windows –> GroupPolicy –> Operational.

Aqui si que podemos ver todos los eventos del «Souce» «GroupPolicy«.

Vamos seleccionando algunos y observando la informacion que nos facilitan justo debajo.

El visor de sucesos es una herramienta muy util para los administradores de sistemas, mas bien imprescindible.

Disponemos de muchisima informacion en esta herramienta, no solo sobre las GPOs.

Bueno, nos vemos en el siguiente tutorial.

Saludos.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática

Por Deja un comentario

Windows Server 2008 – Generando reportes con Gpresult.exe

En el tutorial anterior vimos como generar reportes de la configuracion de GPOs mediante entorno grafico. Pues bien, en este tutorial vamos a ver como hacerlo desde la consola de comandos.

En primer lugar abrimos una consola de comandos:

El comando que utilizaremos es «gpsesult«.

El comando «gpresult /r» nos mostrara lo mismo que la pestaña «Summary»  en el entorno grafico.

A continuacion se puede ver el resultado de dicho comando:

Ahora ejecutaremos el comando «gpresult /s infor01 /r /user infor01«.

Mediante «/s infor01» le indicamos que realice la consulta contra el equipo remoto infor01.

Mediante «/user infor01» le indicamos que realice la consulta para el usuario infor01.

Ahora ejecutamos el comando: «gpresult /s infor01 /user infor01 /H:»c:\rsopinfor01.html«.

Con este comando le indicamos que guarde el restulado de la consulta en el fichero «c:\rsopinfor01.html«. Por supuesto con formato html.

Si abrimos el fichero «c:\rsopinfor01.html» nos mostara lo siguiente:

De la misma forma, tambien podemos guardar el resultado de la consulta en un fichero con formato XML.

El comando seria: «gpresult /s infor01 /user infor01 /H:»rsopinfor01.xml«.

Al abrirlo vemos la informacion:

La utilidad «Gpresult.exe» es my importante por lo que os aconseje que practiqueis con ella.

Para obtener mas informacion al respecto podeis ejetucar «gpresult /?» en una consola de comandos. Ahí disponeis de mas informacion.

Saludos.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática

Por Deja un comentario

Windows Server 2008 – Utilizar Group Policy Results Wizard

A estas alturas ya estamos completamente metidos con las Politicas de Grupo.

Ya sabemos crearlas, modificar alguna politica e incluso asignarle un ambito, ademas de algunas cosas mas.

Ahora nos toca practicar un poco con las diferentes herramientas que  Windows 2008 pone a disposicion de los administradores para intentar solucionar los problemas que podemos tener con las GPOs.

En este tutorial vamos a ver la utilidad mas sencilla de utilizar: «Group Policy Results Wizard«.

Utilizaremos esta utilidad para ver los resultados de la configuracion de una GPO en un equipo y/o usuario determinado de nuestro dominio.

Empezemos…

Abrimos «Group Policy Management«. Nos posicionamos en «Group Policy Results«, pulsamos el boton derecho del raton y seleccionamos «Group Policy Results Wizard«.

Pulsamos «Next«.

Nos muestra el cuadro de dialogo siguiente:

Seleccionamos «Another computer» y como ya sabemos de antemano el nombre de equipo contra el que queremos ejecutar la consulta, escribimos el nombre del equipo, en este caso «infor01«.

Tambien podemos pulsar «Browse…» para seleccionarlo desde una lista que nos mostrara con los equipos disponibles en ese momento. Hay que tener en cuenta que, por supuesto, el equipo contra el que se realizara la consulta debe estar encendido en estos momentos.

Si no queremos que se muestren los resultados de la parte de equipo, podemos activar el check de la parte de abajo en la que pone «Do not display policy settings for the selected computer in the results (display user policy settings only)«.

Al pulsar el boton «Next» nos muestra el cuadro de dialogo siguiente en el que seleccionaremos la cuenta de usuario contra la que haremos la consulta. Yo la voy a hacer contra la cuenta del usuario «infor01» del dominio.

Al igual que en el cuadro de dialogo anterior, en este tambien podemos activar el check de la parte inferior para que no nos muestre el resultado de la configuracion de usuario: «Do not display user policy settings in the results (display computer policy settings only«.

Tras pulsar en el boton «Next >«, se muestra el cuadro de dialogo siguiente que es un resumen de la configuracion de la consulta que vamos a realizar.

Tipica pantalla de finalizacion.

Ahora se muestra el resultado de la consulta sobre la GPO contra el equipo y el usuario especificados anteriormente.

Para extender cada apartado podemos pulsar sobre el link a la derecha de cada uno, donde pone «show«.

Para extender todos pulsamos sobre el enlace «Show All«.

Bien, ahora estamos sobre la pestaña «Summary«, donde se muestra el estado del proceso de las politicas de grupo desde la ultima actualizacion.

En definitiva, esta pestaña muestra buena parte de la configuracion de la GPO.

En la pestaña «Settings» se muestra el resultado de la configuracion de la GPO aplicada al usuario o al equipo.

En esta pesatña no se muestra informacion sobre IPSec, Wireless o las cuotas de disco.

La ultima pestaña «Policy Events» es el «Visor de eventos» de la GPO.

Desde la pestaña «Summary» podemos guardar el resultado pulsando boton derecho y seleccionando «Save Report«.

Ahora podemos elegir entre guardarlo en formato «html» o «xml«.

Esto ha sido todo por ahora.

En el siguiente tutorial seguiremos viendo herramientas para el chequeo y resolucion de problemas con las politicas de grupo.

Saludos.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática

Por Deja un comentario

Windows Server 2008 – Proceso de GPOs en bucle invertido (loopback)

Vamos a realizar una ejemplo de aplicacion de la configuracion de una GPO mediante lo que se llama «bucle invertido» o «loopback«.

Lo utilizaremos porque queremos que los usuarios del departamento de «ventas«, cuando hagan logon en cualquier equipo, se les aplique un fondo corporativo.

Para ello creamos un nuevo objeto de politica de grupo como se puede ver en la siguiente imagen:

Indicamos un nombre significativo a esta GPO, como por ejemplo: «Fondo corporativo para ventas».

Tened en cuenta que esto es solo un ejemplo.

Editamos la GPO y navegamos hasta User configuration -> Policies -> Administrative templates -> Desktop -> Desktop.

Seleccionamos la politica «Desktop Wallpaper«.

Al hacer doble-click sobre la politica nos muestra el siguiente cuadro de dialogo donde podemos observar las diferentes opciones de configuracion de que disponemos.

Acostumbraos a leer el cuadro de ayuda de cada politica que useis.

Bien. Habilitamos la politica activando «Enabled«.

Introducimos un comentario explicativo en la seccion «Comment«.

En «Wallpaper Name» introducimos la ruta completa a la imagen que haŕa de fondo de pantalla.

Por ultimo, seleccionamos «Center» en «Wallpaper Stype«. Yo he seleccionado este estilo pero hay otros que tambien podeis probar para ver cual se adapta mejor a vuestras necesidades.

Pulsamos «OK«.

Ahora configuraremos el «buble invertido» o «loopback«.

Esto lo hacemos porque queremos que la configuracion de usuario tenga preferencia sobre la de equipo. Porque ya sabeis que la configuracion de equipo tiene preferencia.

Entonces, navegamos por Computer Configuration –> Adminstrative Templates -> System -> Group Policy.

Seleccionamos la directiva «User group policy loopback processing mode«. Poemos leer la explicacion que nos da sobre esta politica.

Ahora hacemos doble-click sobre la politica.

A continucacion, el cuadro de dialogo de dicha politica:

La activamos.

Seleccionamos el modo «Merge» y pulsamos «OK«.

Si seleccionamos la GPO, en el apartado Scope vemos que a añadido, como siempre, el grupo «Authenticated Users«. Pero nosostos queremos que solo se le aplique esta configuracion a los usuarios del grupo global «ventas«.

Seleccionamos «Authenticated Users» y pulsamos en el boton «Remove«.

Aceptamos el siguiente cuadro de dialogo de advertencia:

Pulsamos en el boton «Add..» y añadimos el grupo global «ventas«:

Ahora seleccionamos la OU «equipos«, pulsamos el boton derecho y seleccionamos «Link an Existing GPO…«.

Bien, seleccionamos la GPO «Fondo corporativo para ventas«.

Ya lo tenemos preparado correctamente.

El bucle invertido es algo muy interesante que no estaria de mas que practicarais un poco con el.

Hasta la proxima.

Saludos.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática

Por 5 comentarios

Windows Server 2008 – Filtros WMI en GPOs

Llega el turno de los filtros WMI.

Los filtros WMI son unas consultas realizadas en WQL y que podemos tener guardadas para aplicarlas a las gpos.

Hay que tener en cuenta que solo se puede aplicar un filtro WMI por GPO. Pero el la consulta del filtro puede ser lo compleja que necesitemos.

Para este ejemplo he creado una GPO llamada «Instalar wxpsp3» que, como podreis imaginaros, instalara el Service Pack 3 de Windows XP en aquellos equipos que sean necesarios.

Ya veremos mas adelante el despliegue de software mediante GPOs. Por ahora creer lo que os digo. Una GPO que va a instalar el Service Pack 3 de Windows XP.

Nos encontramos en la situacion en que no queremos que la GPO se aplique a todos  los equipos, ni mucho menos. Queremos que se aplique solo a los equipos que tengan instalado «Windows XP» con el «Service Pack 2» instalado. Para esto utilizaremos un filtro WMI.

En primer lugar vamos a crear un nuevo filtro WMI y para ello, dentro de «Group Policy Management«, nos posicionamos en «WMI Filters«, pulsamos el boton derecho del raton y seleccionamos «New…«.

Nos aparecera el siguiente cuadro de dialogo:

Rellenamos los datos con el nombre que le queremos asignar al filtro WMI (wxpsp2) y una descripcion.

Pulsamos el boton «Add«.

Nos aparece otro cuadro de dialogo en el que seleccionamos el «espacio de nombres» y escribimos la cadena con la consulta WQL.

Como podeis obervar, la consulta viene a decir que seleccionara los que tengan instalado Windows XP y el Service Pack 2.

Al pulsar «OK» volvemos al cuadro de dialogo anterior y esta vez estara incluida la consulta que hemos añadido.

Pulsamos en «Save» para guardar la consulta.

Os recuerdo que este filtro WMI lo vamos a usar con una GPO en concreto, pero podriamos utilizarla en otras GPOs si nos conviene.

Seleccionamos el filtro WMI para ver sus propiedades.

Pulsamos boton derecho en el apartado «GPOs that use this WMI filter» y seleccionamos «Add…«.

Ahora lo que hacemos es seleccionar la GPO que va a utilizar este filtro WMI.

En la captura de pantalla siguiente ya vemos que se a añadido.

Ahora, seleccionando la GPO «Instalar wxpsp3» y vemos que en la parte inferior derecha, hay un filtro WMI seleccionado.

Tambien podemos utilizar este apartado para seleccionar el filtro WMI a utilizar por una GPO.

Sin duda es algo muy interesante y util la utilizacion de Filtros WMI en la GPOs.

Os aconsejo que lo probeis y veais vosotros mismos los resultados.

Por cierto, que no os asusten las consultas WQL porque buscando por la red podeis encontrar un monton de ejemplos que os pueden ser utiles.

Hasta la proxima.

Saludos.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática