Uno de los blogs de Juansa

Access básico (José Bengoechea Ibaceta)

No siempre se ha de hablar de Windows Server, jejejeje

Hoy pongo una noticia sobre un libro de Access que acaba de publicar un colega y amigo MVP de los veteranos.

Así que si estás dando tus primeros pasos en access, este libro está pensado para tí.

Trabajo con discos y particiones (Básico) I

Normalmente estas actividades puede que no sean diarias, pero son fundamentales para el almacenamiento de datos en nuestros servidores. Para comenzar, en Windows Server 2008 R2 usaremos la utilidad de Administración de discos, trabaja con unidades de disco duro conectadas localmente, a excepción de usb y Firewire.

1. Herramientas administrativas->Administrador del servidor (o Administración de equipos)
   
2. En el árbol izquierdo del Administrador del servidor(o Administración de equipos), pulsamos en Almacenamiento.
3. Aquí pulsamos en Administración de discos y obtendremos la herramienta.
   

Convertir un Disco básico en uno dinámico

Desde el administrador de discos vemos nuestros volúmenes y discos en el servidor. En el momento que los ponemos por primera vez en el sistema lo más probable es que sean discos básicos. Podemos elegir entre dejarlos así o convertirlos en dinámicos. Esto dependerá si queremos crear volúmenes distribuidos o seccionados. Es recomendable que los convirtamos antes de crear particiones o grabar datos en los volúmenes.

Clic derecho sobre el disco y seleccionamos convertir a dinámico, luego escogemos el disco y Aceptar.

Importar un disco externo

Si cambiamos un disco dinámico desde un servidor a otro, se etiqueta como Externo(Foreign). Antes de poder usarlo debemos importarlo.

Clic derecho sobre el disco, Importar disco externo… En la pantalla de selección aparecerán los volúmenes existentes, se revisan, seleccionamos el disco y Aceptar.

Tened en cuenta que podemos recibir mensajes de advertencia sobre pérdida de datos, que suele ocurrir cuando se importan discos y volúmenes que han sido parte de un RAID, si estamos seguros de importar y después de revisar los mensajes… poseso.

Discos

Si comenzamos a trabajar con la administración de discos y almacenamiento nos será útil comprender cierta terminología usada, es decir conocer algunos de los términos clave al respecto, cómo las particiones, o DISKPART. Los más básicos:

Administrar la copia / Restauración VI

Recuperar datos.

A nadie le gusta tener que recuperar datos, no al menos de una forma repetitiva. Pero hay que reconocer que se dan casos en qué hay que echar mano de la recuperación.

La recuperación está directamente ligada con qué hayamos llevado a cabo las copias de seguridad pertinentes, necesarias, obligadas, requeridas, etc… elegid! El caso es qué el método utilizado para realizarlas determinará el qué hemos de usar para la recuperación.

Recuperar un archivo específico o un volumen completo.

Llegada la hora de recuperar archivos es el momento adecuado para conocer qué archivos y de qué periodo de tiempo han de recuperarse.

1. Iniciamos Copias de seguridad de Windows
   
2. Lanzamos el asistente de recuperación desde el panel Acciones de la derecha en Recuperar.
   
3. Seleccionamos donde tenemos la copia de seguridad. Si no es en Este servidor: seleccionaremos Una copia almacenada en otra ubicación y dependiendo del lugar, unidales locales o carpeta compartida remota. En el segundo caso, hay que usar la convención UNC (\\servidor\recurso). Comprobamos que la copia es la correcta y seleccionamos los datos de servidor que queremos recuperar.
   
4. Si es un disco local y a partir de la segunda elección anterior: Seleccionamos la fecha y hora posible del conjunto de copia del que queremos recuperar.
   
5. En Seleccionar tipo de recuperación:
   
   1. Archivos y carpetas, para recuperar una carpeta o archivo específico.
   2. Volúmenes, si necesitamos recuperar el volumen completo.
   3. Aplicaciones, si han sido registradas con Copias de Seguridad de Windows Server.
   4. Estado del sistema, si queremos recuperar el estado del sistema.
      
6. Dependiendo de la selección anterior variará la pantalla mostrada, aquí hemos elegido la 1.
   
7. Ya elegidos los archivos o carpetas, la pantalla de especificar opciones de recuperación nos da oportunidad de cambiar algunas.
   
8. Revísamos la pantalla de Confirmación y le damos a Recuperar.
   
9. 
10. Al finalizar revísamos los resultados y pulsamos en Cerrar.
    

Administrar la copia / Restauración V

Recordatorio: Programador de tareas

Cuando quiera que creemos una copia de seguridad programada, siempre podemos ver donde se guarda. La tarea se almacena en el programador de tareas y podemos ver nuestras copias de seguridad allí mismo.

De hecho podemos lanzarla directamente también desde la misma herramienta. Las propiedades que tienen las tareas en el programador son modificables, como:

Propiedad	Definición
General	Contiene la descripción, autor, qué cuenta se usará, si es oculta o no, y para qué SO se configurará.
Desencadenadores (Triggers)	Esto es como un disparador, determinará cuando se realizará la tarea. En caso de copia de seguridad es fecha y hora.
Acciones	Comandos y programas que se ejecutarán.
Condiciones	Opciones adicionales, combinadas con los desencadenadores, que determinan si la tarea debe ejecutarse.
Configuración	Controles de comportamiento adicionales de la tarea. Por ejemplo, ‘Permitir que la tarea se ejecute a petición’. Que es requisito para que podamos ejecutar la tarea directamente desde el programador.
Historial	Historial de la tarea cuando fue ejecutada.

Por supuesto también podemos obtener información y estado de nuestras copias de seguridad desde la consola principal de Copias de Windows.

Administrar la copia / Restauración IV

Realizar una copia del estado del sistema (System state)

Cuando respaldamos el estado del sistema, lo que hacemos es guardar la mayor parte de la información de la consifiguración del sistema. En Windows Server 2008 R2, podemos copiar el estado del sistema desde la propia herramienta de Copias de Windows, y no se tiene que usar exclusivamente wbadmin.exe. Al mismo tiempo, si tenemos instalados roles adicionales en el servidor, el estado del sistema contendrá más información. De manera predeterminada , en un servidor sin roles adicionales la copia del estado del sistema siempre contiene:

• Registro
• Base de datos de registro de clases COM+
• Archivos de arranque, incluyendo archivos de sistema.
• Los archivos del sistema bajo Windows File Protection.

Si el sistema es un controlador de dominio, además contendrá:

• Servicio de Directorio Activo
• Directorio SYSVOL

Si tenemos clustering, la información de los servicios de clúster.

Si tenemos Certificate Server, la base de datos de servicios de Certificate.

Y si tenemos IIS, el metadirectorio de IIS.

1. Abrimos copias de seguridad de Windows.
   
2. Lanzamos el asistente desde el panel derecho de acciones, Programar copia.
   
3. Seleccionamos personalizada.
   
4. En elementos a copiar, clic en agregar elementos.
   
5. Clic en Estado del sistema y Aceptar.
   
6. Modificamos o establecemos la programación.
   
7. Elegimos el tipo de destino.
   
8. Elegimos el destino.
   
9. Revísamos la pantalla de confirmación y clic en finalizar.
   
10. Cerramos.
    

Administrar la copia / restauración III

Copia de seguridad de archivos específicos

Se vió como realizar una copia completa de un volumen, pero en Windows Server 2008 R2 podemos incluir/excluir carpetas/archivos individuales. También se pueden excluir basándonos en los tipos de archivo utilizando filtros.

1. Abrimos Copias de seguridad de Windows Server desde Inicio, herramientas administrativas, copias de seguridad de Windows.
   
2. Después lanzamos el asistente de copias, panel acciones a la derecha, Programar copia de seguridad.
   
3. En la pantalla de seleccionar configuración de copia de seguridad debe estar marcado Personalizada.
   
4. En Seleccionar elementos para copia de seguridad pulsaremos en el botón Agregar elementos.
   
5. Seleccionamos los elementos que queremos añadir o quitar de la copia.(Pulsando en el signo + expandimos el árbol de cada directorio) Cuando tenemos compuesta nuestra elección pulsaremos en Aceptar.
   
6. En caso de querer excluir ciertos archivos, pulsaremos en el botón Configuración Avanzada.
   
7. Desde aquí botón Agregar exclusión y elegimos los archivos a excluir, si escribimos *.txt en lugar de un nombre se excluirán todos los txt.
   
8. 
9. 
10. Escogemos el horario de la copia de seguridad.
    
11. Especificamos el tipo de destino, por ejemplo un disco específico para copias.
    
12. 
13. 
14. Completamos el resto del asistente y quedará la programación grabada.
    
15. 
16. 

Si queremos detener o modificar una programación: el asistente cuando iniciamos nos muestra ambas opciones.

Administrar la copia / Restauración II

Realizando la copia

Después de instalar las herramientas de copia, es ya sólo cuestión de crear las tareas para comenzar a proteger nuestro sistema. Cuando estemos listos para llevar a cabo el respaldo y sabemos que archivos y carpetas queremos proteger, estamos preparados para programar y probar la copia.

La primera vez que abrimos la herramienta vemos un mensaje que nos indica que no hay ninguna copia de seguridad configurada y que necesitamos programar una o realizar una una vez para comenzar la protección. Si elegimos crear una programación o realizarla una vez, las opciones en el asistente son las mismas, con la excepción de la configuración de la programación horaria.

Abrimos Copias de seguridad de Windows desde Inicio-Herramientas administrativas-Copias de seguridad de Windows

Aquí lanzamos el asistente desde el panel Acciones de la derecha, seleccionamos Programar copia de seguridad… para crear un respaldo regular, o Hacer copia de seguridad una vez… si sólo queremos hacer una copia inmediatamente(En el artículo anterior ya vimos como establecer las opciones de rendimiento).

El asistente tiene varias opciones, cada uno tomaremos las decisiones que más nos interesen.

Servidor completo	Personalizado

Administrar la copia / restauración I

Después del vistazo de algunas de las herramientas para copia de seguridad y restauración adentrémonos en su uso. Cuando llevamos a cabo copias tradicionales, queremos tener dichas copias programadas y así asegurarnos que se realizan en intervalos regulares. Esto facilitarà la búsqueda de los medios para una restauración. A pesar de qué el respaldo y la recuperación se realizan por separado, son uno en forma y funcionamiento. El tipo de respaldo que llevemos a cabo nos dictará siempre las opciones de recuperación disponibles en su caso. En realidad, la estrategia de respaldo se determina por las necesidades de recuperación y del compromiso que exista con usuarios y empresa. ¿Es correcto si un usuario ha de esperar 24 horas para recuperar un archivo? ¿Y si el usuario es el jefe? ¿Es correcto desconectar un servidor durante el horario de trabajo? ¿Y si el servidor es crítico para la empresa? Son algunas cuestiones, junto a muchas otras, que necesitamos para valorar y decidir nuestras políticas y procedimientos para encontrar la mejor forma de manejar las necesidades de la empresa.

Si escogemos realizar tareas de respaldo y recuperación con interfaz, símbolo del sistema o con Powershell, esencialmente realizamos la misma tarea.

Respaldo del servidor.

Cuando ya disponemos de una estrategia de respaldo es el momento de realizarlo. Cuando respaldamos un servidor deseamos que la programación de las copias no afecten a la red ni al rendimiento de los usuarios. Se ha de intentar realizar fuera de horario de trabajo (si es posible, dependerá del tipo de empresa y de los horarios), o al menos cuando el sistema se prevé que esté menos sobrecargado.

Configuración de Backup

Antes de realizar la copia, necesitamos definir la configuración de la misma. Tenemos unas pocas selecciones que hacer para configurarla. Específicamente, determinar si es una copia completa, incremental o, una combinación personalizada de ambos. En todo caso para configurarlo,

- Iniciamos Copias de seguridad de Windows desde herramientas administrativas.

- En el panel derecho de acciones, clic en Configurar opciones de rendimiento.

- Las tres opciones listadas determinan cómo se llevará a cabo la copia de seguridad. Es importante saber que la elección realizada aquí no tendrá aplicación si sólo realizamos una copia del Estado del Sistema.

• Rendimiento de copia de seguridad normal

Método predeterminado de copia de seguridad de Windows, realiza una copia de seguridad normal.

• Rendimiento de copia de seguridad más rápido

Este realizará una copia de seguridad incremental del sistema.

• Personalizar

Esta opción nos permitirá elegir una combinación de las dos anteriores. Por ejemplo, podemos realizar una copia completa del volumen de datos y una incremental de la unidad del sistema.

- Seleccionamos la configuración y le damos al botón Aceptar.

Copia de seguridad y restauración II

Habilitar las instantáneas

Las instantáneas nos ayudan a proteger los datos de recursos compartidos y Unidades de nuestro Windows Server 2008 R2. Las instantáneas son copias de seguridad en un instante temporal. Se encuentran habilitadas a nivel de volumen. Lo que significa que cuando las activamos en un volumen se protegen todos los recursos compartidos residentes en el mismo. Y aunque no podemos seleccionar recursos de manera individual, sí seremos capaces de recuperar información individualmente si fuese necesario ya qué el volumen está protegido.

Cuando se crea una instantánea de un archivo sólo se almacenan los cambios incrementales. Así que el espacio de almacenamiento necesario en la red está basado en cuántos archivos y la cantidad de cambios que se les hace. Las copias creadas se almacenan en el mismo volumen en la que están los datos. Podemos mover las instantáneas a otro volumen para ayudar en el rendimiento de las mismas y de los propios vólumenes. Antes de habilitar las instantáneas, debemos también tener en cuenta qué sólo podemos tener 64 copias en el volumen al mismo tiempo. Esto tendrá un impacto en la programación que se escoga como adecuada, que es de lunes a viernes y entre las 7 y las 12 de forma predeterminada. Las instantáneas se ejecutan por el VSS (Volume Shadow Copy Service). En cuanto las habilitamos se crea un espacio de 100MB de copia de seguridad de forma automática. Además, el máximo tamaño por defecto usado por las copias se establece en un 10% del total del espacio del volumen. Lo cual significa que si nos acercamos al límite de espacio el VSS comenzará el borrado de versiones anteriores de las instantáneas.

Permitiendo a tus usuarios trabajar rápidamente con estos vólumenes te ahorrará tener que usar medios de recuperación para restaurar datos perdidos. Sin embargo, las instantáneas no son un sustituto de una implementación de copia de seguridad y recuperación necesaria, sino más bien un complemento útil.

Para habilitar las instantáneas:

• Herramientas administrativas
• Administración de equipos

• Clic derecho en las carpetas compartidas y en Todas las tareas, configurar Instantáneas.

Copia de seguridad y Restauración.

Los accidentes ocurren. Hay multitud de escenarios en los que los datos se pueden perder, borrar, infectar o corromper, ya sea porque un usuario borre accidentalmente un archivo del disco, falle un disco duro o falle el propio sistema operativo. También podemos pensar que la naturaleza a veces nos aguarda con tristes desastres.

Ha llegado la hora de saber cómo resguardar esos datos y poder recuperarlos posteriormente.

Entender la terminología: Copia de seguridad y Recuperación.

Al trabajar con estas tecnologías en Windows Server 2008 R2 ® o en un entorno Windows, necesitamos aprender el argot utilizado por el propio Sistema.

Copia de seguridad normal o completa: Las copias de seguridad normales o completas son las más lentas en terminar el proceso de copia. El tiempo vendrá determinado por la cantidad de datos. Aunque, si podemos hacerla cada noche y fuera de horario de trabajo sería el camino ideal para la protección del sistema. Es la opción predeterminada de Windows Server Backup.

Copia de seguridad incremental: Las copias de seguridad incrementales son las más rápidas en realizar el proceso de copia, ya que éste tipo sigue sólo los cambios en los datos desde la última copia, de cualquier tipo. Este tipo determina también el cómo trabajará tú proceso de recuperación. Cuando quieras recuperar datos, primero necesitarás restaurar la última copia de seguridad normal, seguida de todas las copias incrementales en orden. Este método produce también un impacto en el rendimiento de los servidores.

Estado del sistema: Estado del sistema contiene la mayor parte de la información de configuración del sistema. No toda la necesaria, así que debemos utilizarla junto a una copia de seguridad normal. Los Roles que estén instalados determinarán la copia del estado del sistema también.

Copia desde-cero (Bare-metal): Este tipo de copia nos permite recuperar un servidor desde una imagen creada previamente (y sin tener que instalar un sistema antes). Esto nos permite la recuperación de un servidor que de otra manera y debido a errores que una copia de seguridad normal no puede arreglar, sería inoperable. Digamos que esta recuperación es uno de los últimos cartuchos de recuperación de un sistema roto.

Instantáneas (Shadow copy): Una copia hecha en un momento concreto de datos que normalmente están compartidos. Proporciona a los usuarios un método self-service de recuperación de archivos que hayan sido borrados o sobreescritos accidentalmente.

Servicio de instantáneas de volumen (VSS): Servicio maestro dentro de Windows Server 2008 R2 que dirige la mayor parte de la infraestructura de copias de seguridad. Proporciona la capacidad de crear instantáneas.

Las herramientas

Tres son las que nos permiten acceder al juego de aplicaciones de copia de seguridad y recuperación en Windows Server 2008 R2®. Tenemos a Windows Server Backup, una herramienta totalmente funcional con interfaz a wbadmin.exe, una herramienta en símbolo del sistema, y finalmente nuestro querido PowerShell, con el que podemos llevar a cabo estas tareas.

Asegúremonos que tenemos las herramientas en nuestro servidor. De hecho la característica no está instalada de forma predeterminada, con lo cual si intentamos ejecutarla recibiremos un mensajito similar a:

Así que hemos de instalarla por nuestra cuenta.

Desde el administrador del servidor elegimos características, del panel agregar características.

Bajamos hasta Características de copias de seguridad de Windows Server.

Puede que al marcar cualquiera de las dos opciones se nos solicite agregar, pincharemos en el botón de Agregar características requeridas.

Pinchamos en siguiente y seguimos el asistente.

Ahora ya si tenemos la posibilidad de ejecutar la herramienta gráfica:

PowerShell y las GPO

Con Active Directory desplegado en nuestra entorno deberíamos ser capaces de controlar la seguridad, administración y el acceso a los recursos desde una ubicación centralizada. Y además administrar y controlar los escritorios!

Cómo hemos ido viendo en multitud de ocasiones, AD tiene una herramienta… Group Policy (Directiva de grupo), para centralizar los escritorios. Con ella podemos administrar virtualmente todo en los sistemas de nuestro entorno, desde el fondo del escritorio hasta qué aplicaciones pueden ejecutarse. Incluyendo no sólo los escritorios cliente sino también los servidores.

Directiva de grupo nos permite obligar el cumplimiento de nuestras políticas, implementar cualquier configuración de seguridad que queramos e, implementar un entorno estándar a través de todo el Directorio Activo.

Con un entorno estándar proporcionamos una base consistente y además aligerar las llamadas de soporte al departamento. Antes de ver como podemos trabajar con Poweshell y GP, repasemos algunas cuestiones básicas:

En cuanto a los ámbitos o alcance hemos de tener en cuenta qué:

El ámbito más grande es el SITE y aquí se ven afectados todos los dominios y objetos que contenga.

En el DOMINIO se verán afectados todos los objetos contenidos en él.

En las OU, todos los objetos que contengan, así como los sucesivos anidamientos de OUs y sus objetos.

El uso de unos u otros se determina por las necesidades, si bien hay algunas recomendaciones al efecto:

Configuración de seguridad de red o IPSec, a nivel de SITE.

Contraseñas y resto de valores de seguridad, DOMINIO.

Aplicación de Directivas de Grupo en las OU, es lo que más recomiendan, proporcionan facilidad de administración y localización de nuestras Directivas.

Administrar las Directivas de Grupo

Como otras herramientas, powershell ha dedicado un módulo para almacenar los cmdlets que podemos usar en la administración de Directivas de Grupo. Éste módulo no está disponible en todos los sistemas en los que Powershell está instalado. Sólo se encuentra en DCs, servidores miembros con GPMC instalada o Windows 7 con RSAT instaladas.

Para importar el módulo usamos el comando:

Import-Module grouppolicy

Aunque si lo intentamos en un equipo que no cumpla los requisitos recibiremos un mensajito…

Pero sigamos en uno que sí,

Una vez importado podemos listar los cmdlets disponibles, Get-Command –module grouppolicy 

El comando Get-GPO –All nos permite ver las GPO del dominio.

Ejemplos: Get-GPO –All

Podemos ver la configuración de una en particular, por ejemplo listamos las que hay en SySVol…

Y con su GUID…

Y con su nombre…

Carpetas: seguridad, acceso y replicación IV

Crear y configurar un DFS Namespace

Después de la instalación del role DFS podemos comenzar el proceso de creación del espacio de nombres DFS y configurar la raíz DFS.

1. Abrimos el administrador del servidor
2. Expandimos Roles
3. Expandimos servicios de archivo
4. Seleccionamos el elemento Administración DFS
5. Clic derecho, Nuevo espacio de nombres
   
6. Escribimos el nombre del servidor o lo buscamos mediante Examinar.
   
7. Siguiente
8. Le damos nombre al espacio de nombres. (es el que verán los usuarios)
   
9. Podemos editar la configuración, sino Siguiente
   
10. Ahora se nos pregunta el tipo de espacio de nombres, basado en dominio (que es el que voy a seguir haciendo) o independiente.
    
11. Un resumen de todo lo elegido antes de darle el sí final.
    
12. Creación del espacio de nombres.
    
13. Ahora ya tenemos la raíz DFS.
    
14. Desde aquí, con clic derecho sobre esta raíz añadiremos las carpetas y sus rutas correspondientes.
    

Carpetas: seguridad, acceso y replicación III

Si queremos colocar datos accesibles tenemos varias opciones, como las carpetas compartidas y usar archivos fuera de línea. Si además queremos extender la disponibilidad de nuestros archivos y carpetas, deberíamos considerar tener más de un servidor de almacene dichos datos de forma que se copien y repliquen entre ellos. Con ello ganamos en consistencia, disponibilidad y rapidez de acceso desde sitios remotos. La replicación se configura mediante espacios de nombres DFS o Sistema Distribuido de Ficheros. Estos ‘namespaces’ nos permiten agrupar carpetas compartidas diseminadas en distintos servidores y conectar de forma transparente mediante uno o más de estos espacios de nombres. Un namespace es una vista virtual de carpetas compartidas en una red. Cuando creamos un namespace, seleccionamos qué carpetas compartidas se añaden, diseñamos la jerarquía en la que aparecerán y, le ponemos los nombres con las que aparecerán en el namespace. Un usuario al acceder al namespace verá las carpetas  como si residieran en un único disco, y navegarán entre ellas sin necesitar conocer los nombres de servidor o carpetas de datos.

La ruta de un ‘namespace’ es similar a la convención UNC para carpetas compartidas, \servidor\recurso\carpeta.

Para tener un espacio de nombres necesitamos un servidor de espacios de nombres, y éste puede ser un servidor miembro o un controlador de dominio.

Para instalar DFS necesitaremos añadir el Role DFS.

1. Administrador del Servidor
2. Clic derecho en Roles, o en el Role Servicios de Archivos
3. Agregar Roles, o Agregar Servicios de Role
   
4. Servicios de archivos
5. Siguiente
6. Marcamos Sistema de archivos distribuido(se añadirán dos roles)
   
7. Siguiente
8. Crear un espacio de nombres más adelante con el complemento Administración de DFS.
   
9. Siguiente
10. Instalar
    
11. Cerrar
    

Como durante el proceso anterior no creamos un Namespace, sino que escogimos crear un Espacio de nombres más adelante, Lo siguiente será crear y configurar ese Espacio de Nombres DFS.

Carpetas: seguridad, acceso y replicación II

¿Asegurar carpetas y archivos?

Las carpetas y los archivos contienen datos, estos pueden no tener importancia o sí tenerla, lo que nos indicará que necesiten más o menos protección, y dentro de esta puede que queramos una protección extendida. En cada uno de los casos necesitaremos implementar una estrategia de seguridad distinta: permisos, almacenamiento, cifrado y auditoría. Como ya comentamos los permisos, veamos otras opciones.

EFS Cifrado del sistema de archivos.

El cifrado es una característica de Windows que podemos utilizar para cifrar archivos y carpetas en nuestro disco y proporcionar un formato de almacenamiento seguro.

EFS es el núcleo de la tecnología de cifrado usada en volúmenes NTFS(sólo). Un archivo cifrado no puede utilizarse a menos que el usuario tenga acceso a las claves necesarias para descifrarlo. Los archivos no tienen porque ser manualmente cifrados/descifrados cada vez que se usen. Se abrirán y cerrarán justo como cualquier otro archivo. Una vez habilitado EFS, el cifrado es transparente para el usuario.

El uso de EFS es similar a utilizar permisos NTFS sobre archivos y carpetas. Sin embargo, un usuario que tuviera acceso físico a archivos cifrados seguiría siendo incapaz de leerlos debido a su cifrado.

Podemos cifrar o descifrar archivos y carpetas configurando el atributo de la propiedad de cifrado para ese archivo o carpeta. La propiedad de cifrado es un atributo que se aplica como los de solo-lectura, comprimido u oculto en archivos y carpetas.

Así pues:

	Elegimos el archivo o carpeta, clic derecho, propiedades, botón avanzadas y marcamos el atributo de cifrado. Luego Aceptar.
	Ahora le damos a Aplicar.
	Se nos advierte para que cifremos la carpeta también para evitar copias sin cifrar.
	Luego podemos ir de nuevo a Propiedades, botón avanzado y tenemos el botón Detalles activo, si lo pulsamos…
	Nos muestra los detalles del archivo/carpeta. Aquí podemos agregar otros usuarios para que puedan acceder a ese archivo/carpeta cifrada, clic en Agregar.
	Podemos ver los certificados dándole al botón de Ver certificado.
	Pero nosotros elegimos el que pertenece al usuario a añadir y le damos a Aceptar.
	Ya tenemos activos los usuarios que podrán acceder al archivo/carpeta.

Es importante ver que los atributos de Compresión y de Cifrado son excluyentes, es decir, sólo podemos marcar uno al mismo tiempo.

Otras consideraciones a tener en cuenta cuando usamos EFS son:

- Sólo pueden cifrarse archivos y carpetas en volúmenes NTFS. Podemos usar WebDAV si queremos tranferir archivos y carpetas cifradas.

- Los archivos/carpetas cifrados se descifrarán si los movemos a un volumen que no sea NTFS.

- Si movemos archivos/carpetas dentro de una carpeta cifrada producirá el cifrado de lo movido; sin embargo esto no sucede al contrario, si movemos un archivo/carpeta cifrado desde una carpeta cifrada a otra no cifrada, no se descifrarán automáticamente, deben descifrarse explícitamente de forma manual.

- Los archivos marcados con el atributo de archivos de sistema y aquéllos residentes en el directorio raíz del sistema no se pueden cifrar con EFS.

- Marcar un archivo/carpeta con el atributo de cifrado no impide que un usuario con los permisos NTFS adecuados puede borrarlos, listarlos o listar directorios si estos permisos permiten dichas funciones. USA EFS y permisos NTFS equilibradamente.

- Podemos cifrar/descifrar archivos y carpetas de un equipo remoto en el que ha sido habilitado el cifrado remoto. Cuando lo hacemos, los datos son transmitidos por la red de forma NO-Cifrada, deben usarse protocolos como SSL o IPSec para cifrar el tráfico.

Podemos implementar EFS mediante GPO, por supuesto. Configuración de Equipo\Configuración de Windows\Configuración de Seguridad\Directivas de Clave Pública\Sistema de cifrado de archivos (EFS). Mediante esta configuración podemos elegir diversas opciones sobre EFS.

BITLOCKER

Como vimos anteriormente, EFS no cifra los archivos marcados como de sistema o que se encuentren el el directorio raíz del mismo. Entonces, ¿qué podemos hacer? La respuesta es Bitlocker. Diseñado para cifrar la partición en la que se encuentra el sistema operativo. A diferencia de EFS, que permite al usuario seleccionar y escoger archivos y carpetas para cifrar, Bitlocker cifra particiones y/o unidades enteras. Puede utilizarse para unidades conectadas localmente, mientras que Bitlocker To Go puede usarse para dispositivos como sticks USB que pueden conectarse de forma temporal. Si el dispositivo se conecta a otro sistema, los datos son inaccesibles. Bitlocker usa una parte hardware incorporada en la placa base llamado chip TPM. Y lo usa para dar las claves que se usarán para desbloquear la unidad cifrada del sistema. Cuando iniciamos el sistema, bitlocker solicita la clave al chip TPM y la usa para desbloquear la unidad.

Cuando usamos una unidad cifrada con bitlocker, si añadimos nuevos archivos éstos se cifran automáticamente. Las unidades (fijas o extraíbles) pueden desbloquearse con una contraseña o tarjeta inteligente, o establecer que se desbloquee automáticamente en cuanto iniciemos sesión en el equipo.

Puede usarse junto a EFS. Tened clara la estrategia para que el impacto sobre los usuarios y el acceso a los datos no se penalice.

Habilitar Bitlocker:

Lo primero es habilitar el chip TPM en la BIOS.

Ahora podemos ir al Administrador del servidor y habilitar bitlocker:

- Características, añadir características, seleccionamos Cifrado de unidad Bitlocker y Seguir, luego le damos a Instalar. Se nos pedirá que reiniciemos el equipo, una vez reiniciado cerramos la ventana del administrador del servidor.

- Desde el botón de inicio, escribir Bitlocker en la caja de búsqueda y pulsar INTRO.

Desde aquí podemos activar el bitlocker.

En todo esto hay que tener en cuenta que algo puede ir mal, ¿qué pasa si algo va mal en un servidor con Bitlocker? ¿qué pasa si las claves que contienen el modulo TPM son inaccesibles? ¿Si un usuario pierde su PIN? ¿qué pasa si el hardware falla y queremos salvar el disco duro? Afortunadamente hay un sistema de recuperación y el proceso depende de un componente muy importante, la CLAVE de recuperación. Cuando activamos Bitlocker se nos pregunta por una ubicación en la que almacenar la clave de recuperación de Bitlocker. Si tenemos acceso a dicha clave podremos recuperar la unidad cifrada. Simple y directa:

- Iniciamos el ordenador

- Se nos indicará que no se encuentran las claves para iniciar el descifrado, y una opción de recuperación.

- Escribimos los 48 dígitos de la clave de recuperación.

- Se descifrará la unidad y el sistema iniciará con normalidad.

Aquí debemos tomar medidas: deshabilitar Bitlocker y descifrar la unidad (más adelante podemos volver a activarlo y crear una nueva serie de claves) o restablecer la conectividad con la clave original si aún disponemos de ella.

Bitlocker To Go

Esta herramienta nos proporciona el cifrado de una partición pero en unidades removibles. En lugar de usar una herramienta de cifrado, podemos usar Bitlocker para cifrar el contenido de una unidad removible. Como vemos en la imagen anterior de Bitlocker para usar Bitlocker To Go sólo se necesita insertar una unidad extraíble.

Esta herramienta difiere un poco con la anterior: No se necesita el chip TPM para guardar las claves. Necesitarás elegir el cómo quieres desbloquear la unidad. Puede hacerse mediante una contraseña que aportarás durante la instalación o con una tarjeta inteligente y su PIN. Así como en Bitlocker, aquí también hay una clave de recuperación asociada, guardar este archivo cuidadosamente en un lugar donde no se pierda, o mejor aún, se imprime y se guarda en lugar seguro. Recuerda que si el dispositivo se vuelve inaccesible por cualquier razón, la clave de recuperación será el único medio para recuperar los datos.

La unidad se cifrará de la misma forma que se cifra la unidad del sistema, un poco más rápido si el tamaño del extraíble es más pequeño. Ya cifrado, en cuanto lo insertemos en cualquier equipo se nos pedirá la contraseña o la tarjeta/PIN. Los archivos que se copien o muevan a la unidad se cifrarán.

Una opción para tener archivos y carpetas almacenadas en una unidad extraíble de forma segura. Podemos usar además las GPO para forzar Bitlocker To Go para usar unidades extraíbles y que las claves de guarden en AD.

Carpetas: seguridad, acceso y replicación.

Estaremos de acuerdo en qué uno de los propósitos de una red de servidores es, controlar el acceso a los recursos que se comparten en élla. Estos recursos, como sabemos, pueden ser archivos, carpetas, páginas web, BD, impresoras, etc… El trabajo de los servidores es proporcionar acceso a todas estas ‘cosas’. Si no hay cosas no es necesaria ninguna seguridad ni protección, no necesitamos Windows Server.

Los permisos

Un sistema de archivos por definición es una estructura jerárquica de carpetas que alojan archivos, y los aseguran mediante series de Listas de Control de Acceso (ACLs) y Entradas de Control de Acceso (ACEs) que definen el tipo de permisos que se permiten o niegan a aquéllas carpetas y archivos. Así que el primer método para asegurar carpetas y sus archivos en un mundo Windows son los permisos.

Los permisos se encuentran en dos variedades: los permisos para compartir y los permisos NTFS. Cuando se crea una carpeta en el sistema de archivos, hay un conjunto de permisos predeterminados que se le asignan. SYSTEM (el propio sistema), el usuario qué la ha creado y el grupo local de administradores del servidor donde se creó, todos ellos necesitan algún tipo de acceso sobre la carpeta creada. En este caso, al crear una carpeta en la raíz del disco un 2008 R2(de ejemplo), quedan así:

Los permisos NTFS se asignan cuando se crea la carpeta, pero se pueden editar en cualquier momento por el usuario o miembro del grupo que tenga el permiso modificar sobre la carpeta.

A su vez, los permisos NTFS se dividen en dos tipos: permisos estándar y permisos especiales. Los primeros son exactamente, control total, modificar, lectura y ejecución, mostrar el contenido de la carpeta, lectura y escritura. Cada uno de ellos pueden permitirse o negarse. Ya que tenemos la opción de permitir o negar los permisos sobre una carpeta, en un sistema de archivos NTFS, disponemos de flexibilidad sobre el nivel de acceso a una carpeta predeterminada.

Como añadido a los permisos estándar, hay permisos especiales que también pueden establecerse en cada carpeta y/o archivo. Estos últimos hacen más que proporcionar acceso simple a la carpeta en la que se aplican, proporcionan la propiedad de la misma, así como la capacidad de cambiarle los permisos y la jerarquía que pueda existir por debajo de la misma.

Para configurar permisos NTFS hemos de seguir unos sencillos pasos:

- Clic derecho en la carpeta, seleccionar propiedades, seleccionar la pestaña Seguridad y pulsar el botón Editar.

A partir de aquí, podemos seleccionar un usuario/grupo existente de la lista de los que ya tienen permisos asignados o, también, añadir usuarios/grupos a los que queremos asignarles permisos sobre la carpeta. Estos usuarios/grupos pueden ser locales o pertenecientes al AD (si el equipo está en un dominio y no es un DC en el caso de usuarios locales porque no existen). Y eliminar usuarios/grupos de los que ya tienen permisos asignados.

Tengamos en cuenta una cosa importante, cualquiera no puede añadir, cambiar o eliminar permisos NTFS en una carpeta. Se necesita tener permisos sobre la carpeta para poder hacerlo. Los permisos para cambiar permisos o tomar la propiedad de la carpeta son permisos especiales.

Para establecer permisos especiales el camino es parecido:

Clic derecho en la carpeta y seleccionamos propiedades,

Seleccionamos la pestaña Seguridad y clic en el Botón Opciones Avanzadas

Ahora elegimos la pestaña Permisos y pulsaremos el botón Cambiar Permisos

En la ventana de configuración de permisos dispondremos de la posibilidad de añadir, editar y cambiar la herencia de los mismos.

Si lo que queremos es ver los permisos efectivos, en vez de elegir la pestaña Permisos, elegiremos la de Permisos efectivos.

Seleccionamos el grupo/usuario y le damos a aceptar.

Para tomar la propiedad de la carpeta, seleccionamos la pestaña Propietario y usamos el botón Editar.

Compartir

Para hacer que una carpeta y su contenido estén al alcance mediante la red:

1. Escogemos la carpeta
2. clic derecho y propiedades
3. pestaña Compartir
   
4. Aquí disponemos de dos opciones, un botón compartir y uno de Uso compartido Avanzado.
   1. Botón compartir
      
      1. Seleccionamos usuario/grupo
         
      2. Agregamos
         
      3. Seleccionamos los permisos
         
      4. le damos al botón compartir
         
   2. Uso compartido Avanzado
      
      1. Nos sirve tanto para compartir como para dejar de compartir (casilla compartir esta carpeta)
         
      2. Nombre del recurso, comentarios.
      3. Botón permisos, Agregamos usuarios/grupos y marcamos los permisos: sólo disponemos de tres.
         

El recurso finalmente compartido ya muestra en sus propiedades la ruta y que está compartido.

Permisos compartir vs permisos NTFS, la lucha...

¿Por qué digo lucha? Pues porque el cruce de ambos tipos de permisos siempre producen quebraderos de cabeza, por experiencia.

Conflictos. Eso es lo que tienen los permisos compartir y NTFS, conflictos, pero ¿cómo los resolvemos? En principio os comentaré algo básico a tener en cuenta:

a) Cuando marcamos NEGAR siempre es precedente sobre PERMITIR.

b) Si los permisos COMPARTIR y NTFS chocan, siempre se aplica el MÁS RESTRICTIVO!

¿Qué quiero decir con esto? Pues viendo unos ejemplos quizás…

Esto puede complicarse mucho si aplicamos permisos sobre usuarios/grupos, cuantos más usuarios y grupos más liado.

Yo normalmente utilizo un pequeño sistema, Aplico a COMPARTIR Control Total al grupo todos y me olvido de esta parte, desde aquí uso los NTFS sobre la carpeta y sólo me preocupo de estos. Así si veo que tiene Lectura y quiero que escriba, sólo modifico el correspondiente en la pestaña Seguridad. También podría hacerlo a la inversa, pero tendría menos granularidad.

En todo caso, me aseguro bien cuando aplico permisos diferentes en Compartir, es decir, si es un recurso que tengo claro que sólo debe leerse ni lo cambio, digan lo que digan los NTFS por la Red sólo podrá leerse.

¿Problemas con Directivas de Grupo?

Cuando se trabaja con Directivas de Grupo podemos tener algunos problemas en su aplicación, así qué hay que usar algunas herramientas para buscar solucionarlos y no perder nuestro tiempo de administración.

Las herramientas integradas se enfocan en predecir el cómo se aplican y el cómo buscar el resultado de esa aplicación. Group Policy Modeling Wizard (GPMW), Group Policy Results Wizard (GPRW), GPresult.exe, y el elemento de MMC: RSOP. Por último, estas herramientas nos permitirán ver el orden de precedencia en acción. Podemos ver qué directivas se aplicaron sobre el sistema y cuáles son las qué vencieron.

Además, ya que las directivas se basan en la red, todas las herramientas que utilizamos para comprobarla –desde el ping a la resolución de nombres- son válidas para solucionar problemas de directiva.

GPMW  Modelado de directivas de grupo

GPMW nos permite previsualizar nuestras directivas de grupo. La herramienta modela los resultados de las directivas antes de implementarlas. Esta herramienta construye informes basados en lo qué está configurado a nivel de sitios, dominios y OUs, tanto para equipos como para usuarios. Basado en las reglas de aplicación de directivas, la herramienta nos proporciona una instantánea de las directivas que se aplicarán. También nos muestra cómo afectará cualquier filtro WMI o de seguridad.

GPMW se encuentra en la consola GPMC. Es importante recalcar que GPMW evalúa sólo un RSOP teórico basado en todas las directivas y filtros establecidos vía Active Directory.

Para crear un modelado:

1. Clic derecho en Modelado de directivas de grupo, clic en Asistente para modelado de directivas de grupo.
   
2. Siguiente en la ventana de bienvenida.
   
3. Seleccionamos el Controlador de dominio que queremos utilizar para procesar la solicitud de modelado y siguiente.
   
4. Escoger que queremos modelar. Podemos elegir un usuario o equipo individual, o un ámbito (dominio u OU) para cualquiera de ellos (equipo o usuario). Una combinación de lo anterior. …
   
5. También podemos simular una red lenta o un bucle invertido en la página de diálogo de simulación.
   
6. Elegiremos la ruta de AD alternativo u otras ubicaciones a simular. (Esta página podría no mostrarse dependiendo de la elección en el paso 3)
7. Simular los cambios en el grupo de seguridad del usuario.
   
8. O, simular los cambios en el grupo de seguridad del equipo.
   
9. Los filtros para usuarios.
   
10. Los filtros para equipo.
    
11. Vemos un resumen y siguiente para la creación del modelado.
    
12. Pulsamos en finalizar y obtenemos el informe, aparece bajo el nodo de modelado de directivas de grupo.
    

El informe queda bajo el nodo de Modelado.

GPRW o Asistente de Resultados de Directivas de Grupo

Hay algunas herramientas que nos permiten obtener el RSOP. Una de ellas se encuentra en la consola, GPMC, el asistente de Resultados de directiva de grupo.

Una vez localizada en el árbol de la izquierda:

1. Clic derecho y seleccionamos Asistente de resultado de directivas de grupo.
   
2. Siguiente en la ventana de bienvenida.
   
3. Seleccionamos el equipo, local o remoto. Siguiente.
   
4. Seleccionamos la cuenta de usuario para el que queremos el RSOP, Siguiente.
   
5. Ventana resumen, siguiente.
   
6. Pulsamos en finalizar para volver a GPMC y ver el informe.
   

GPResult.exe

Herramienta desde él símbolo del sistema, nos permite ver los resultados de directiva de grupo tanto para el sistema local y usuario actual, como equipos remotos y otros usuarios. Como otros comandos, dispone de commutadores y parámetros que proporcionan información adicional. Pueden entubarse los resultados hacia un archivo de texto y utilizar el comando en archivos de lotes y/o scripts.

RSOP, elemento de MMC, conjunto resultante de directivas.

Sólo hemos de abrir la MMC y añadirlo. También podemos iniciarlo desde el elemento Usuarios y equipos de ACtive Directory.

Esta herramienta es similar al asistente de resultados de directiva, pero con la ventaja de que puede mostrar los resultados de múltiples directivas. Disponible en dos modos, Planning i Logging modes. La diferencia principal entre ellos es el cómo proporcionamos el RSOP. Planning mode es similar a GPMW, simula el proceso de directivas, mientras Logging mode consulta la BD WMI de un equipo específico, que se reune cuando se aplica la directiva. Podemos ver información del usuario con esta herramienta sólo si el usuario ha iniciado sesión en el sistema. Además, veremos sólo aquéllas directivas que se hayan procesado en el sistema.

Ambos modos tienen ventajas. La principal de Planning es la generación de informes basados en los valores que serán procesados antes de serlo. Permite la simulación de comportamientos y solucionar problemas antes de aplicar las directivas en producción. En cuanto a Logging, la principal ventaja es la exactitud, ya que el informe está basado en lo qué realmente se ha procesado.

Automatizando tareas administrativas: Copia de seguridad de las GPO del dominio

Tener una copia de seguridad de las Directivas de Grupo nos vendrá bien en algunos casos. Para realizar dicha copia podemos acceder simplemente a la Consola de administración de Directivas y hacer unos pocos pasos:

1. Clic derecho en los objetos de Directiva de Grupo y clic en hacer copia de seguridad de todos
   
2. Indicamos la ruta y la descripción, y se realiza la copia de seguridad.
   
3. 
4. 
5. 

Aunque también podemos hacerlo con Powershell, por ejemplo desde El script-center tenemos un script para copiar las Directivas de Grupo modificadas en el mes.

http://blogs.technet.com/b/grouppolicy/archive/2009/03/26/powershell-script-backup-all-gpos-that-have-been-modified-this-month.aspx

El código es prácticamente el mismo, pero he traducido las cadenas y añadido import-ActiveDirectory para que pueda usar los cmdlets de AD, y cambiado la sentencia que recoge las GPO para que hiciera el backup de todas en lugar de las modificadas.

 1 # El siguiente script busca todas las Directivas de Grupo en el dominio que hayan sido modificadas este mes. Entonces genera una copia de seguridad y un informe de configuración por cada una. Finalmente lista todas las que se han copiado. 
 2 ## depende de si se accede por el acceso a la consola powershell de AD o se ha navegado hacia allí primero 
 3 
 4 # necesario para usar los cmdlets de directiva de grupo y Active Directory 
 5 import-module ActiveDirectory
 6 import-module grouppolicy 
 7 
 8 #Sacar todas las directivas de grupo enlazadas en el dominio del equipo local 
 9 #el primer paso es obtener el objeto dominio 
10 # intro "get-ADDomain -?" para la ayuda 
11 
12 $mydomain = get-ADDomain -current LocalComputer 
13 
14 # el siguiente paso es obtener todas las directivas de grupo actualmente en el dominio que hayan sido modificadas este mes 
15 
16 $currentDate = get-Date 
17 
18 # $ModGPOs = get-gpo -domain $mydomain.DNSRoot -all | where {$_.ModificationTime.Year.equals($currentDate.Year) -And $_.ModificationTime.Month.equals($CurrentDate.Month)} 
19 
20 $ModGPOs = get-gpo -domain $mydomain.DNSRoot -all
21 
22 # bucle de las directivas de grupo 
23 
24 $RootPath = "C:\GPOBackup\Reports\" 
25 
26 Foreach ($GPO in $ModGPOs) { 
27     # Copia de seguridad de la directiva en la ruta especificada 
28     $GPOBackup = backup-GPO $GPO.DisplayName -path "C:\GPOBackup" 
29 
30     # Primero crea la ruta del informe, luego lo genera con la configuración guardada. 
31     $ReportPath = $RootPath + $GPO.ModificationTime.Month + "-"+ $GPO.ModificationTime.Day + "-" + $GPO.ModificationTime.Year + "_" +  $GPO.Displayname + "_" + $GPOBackup.Id + ".html" 
32     get-GPOReport -Name $GPO.DisplayName -path $ReportPath -ReportType HTML 
33 } 
34 
35 # Salida de cuales directivas de grupo se han guardado correctamente. 
36 
37 "Las siguientes " + $ModGPOs.count + " Directivas de Grupo se han guardado correctamente:" | out-host 
38 
39 Foreach ($GPO in $ModGPOs) { 
40     "          " + $GPO.DisplayName | out-host 
41 } 
42 
43 "Ir a " + $RootPath + " para ver los informes de configuración de las Directivas de Grupo guardadas." | out-host
44 

Directivas y Preferencias

Si leemos GPMC, herramienta principal de creación de Directivas.

Una GPO es un objeto que contiene la configuración de valores que queremos aplicar a usuarios y/o equipos. En español, Directiva de Grupo.

Un Link de Directiva de Grupo es lo que enlaza la directiva a la parte del entorno de AD donde queremos aplicarla. Referido a su ámbito, en el que hay tres niveles donde las aplicamos: Sitios, dominios y OUs.

El Editor de Directivas de grupo es la herramienta que se utiliza para modificar los valores de las directivas, y los valores disponibles se basan en las plantillas administrativas disponibles y cargadas.

Los archivos ADMX tienen dos propósitos. El primero es definir los valores y la ubicación de configuración (en el equipo local) para aquéllos. La segunda es crear el interfaz que usamos para las modificaciones desde el Editor.

Las PREFERENCIAS proporcionan una alternativa para trabajar con imágenes en toda la organización y administrar valores que no se han configurado antes en una GPO. Inicialmente esta configuración establecida por el administrador del sistema refleja un estado predeterminado del sistema operativo y, estos valores no son obligatorios necesariamente.

Cuando hablamos de RSOP nos referimos al conjunto resultante de configuración de Directivas de Grupo aplicadas al finalizar completamente su proceso. Podría ser una combinación de varios niveles de Directivas.

Directivas vs Preferencias

Dos son las formas de configurar sistemas, las Directivas y las Preferencias. Ambas pueden modificar los objetos equipo y usuario, sin embargo la razón de su uso es muy diferente. La más importancia su obligatoriedad, las Directivas lo son, mientras que las Preferencias no lo son estrictamente.

Directivas:

Los valores e interfaz se basan en plantillas administrativas. Realizan cambios en el Registro según las indicaciones de la plantilla. Hay secciones especiales de las ramas del Registro que se controlan mediante Directivas, conocidas como las verdaderas. En caso de valores de Equipo:

• HKEY_LOCAL_MACHINE\SOFTWARE\policies
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies

y para el Usuario:

• HKEY_CURRENT_USER\SOFTWARE\policies
• HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies

Cada vez que el sistema procesa una Directiva y obtiene el RSOP, estas ramas del Registro (claves y valores) son borrados y reescritos con la nueva RSOP. Esto pasa sólo en la medida que una Directiva de grupo válida se sigue aplicando al equipo o usuario.

Finalmente, podemos crear nuestros propios valores de Directiva modificando una de las plantillas administrativas existentes o creando una nueva. Esto nos permite trabajar con el Registro completo (exceptúando las ramas mencionadas antes). Sin embargo, es muy importante advertir que estos valores tatuarán el Registro. En otras palabras, los valores quedarán establecidos permanentemente hasta que específicamente los revertamos en la Directiva. Esto significa que si eliminamos nuestra Directiva, este tipo de valores no desaparecen y debemos revertirlos a mano.

Preferencias:

Introducidas desde MS Windows 2008, nos proporcionan una alternativa al uso de scripts para realizar tareas comunes. Estas tareas, en todo caso, no eran fáciles de hacer en las Directivas. Las preferencias nos permiten ahora modificar valores del Registro Local, grupos y usuarios locales, archivos y carpetas, impresoras, servicios locales, unidades de red, y otros muchos valores locales. Ya que las Preferencias no son obligatorias, los usuarios pueden realizar cambios. Además, son de utilidad para aplicaciones a las que las Directivas no cuenta y valores del sistema. Sin embargo, siempre que un usuario decide cambiar algo, lo más probable es que no disponga del permiso necesario para hacerlo ya que la mayoría de las Preferencias requieren algún tipo de credenciales administrativas.

También podemos aplicar elementos de preferencias individuales mediante el filtrado de Directivas, aunque de forma distinta a las Directivas verdaderas, ya que en las segundas no podemos individualizar valores dentro de la Directiva.

En Windows Server 2008 R2, la edición de Preferencias se ha mejorado.

Veamoslo con un ejemplo:

Hasta ahora, yo mismo usaba un script de vbs para asignar unidades de red e impresoras a los usuarios, por ejemplo -

Dim oNet
Set oNet = CreateObject("WScript.Network")
ONet.MapNetworkDrive "Z:", "\\SRVDOMpruebas\compartido"
Set WshNetwork = CreateObject("WScript.Network")
PrinterPath = "\\SRVDOMpruebas\hpbusiness"
PrinterDriver = "HP BUSINESS injeck 1000"
WshNetwork.AddWindowsPrinterConnection PrinterPath, PrinterDriver
WshNetwork.SetDefaultPrinter "\\SRVDOMpruebas\hpbusiness"

Una unidad mapeada como Z que apunta al recurso ‘compartido’ y una impresora instalada en SRVDOMpruebas denominada hpbusiness, que ademas se establecía como predeterminada.

Bien, ahora esto podemos hacerlo con una GPP , es decir, Group Policy Preferences o Preferencias de Directiva de Grupo.

Crear una GPP es como crear una GPO, abrimos la consola de Administración de Directivas y vamos con el ejemplo.

1. Seleccionamos Objetos de Directiva de Grupo, clic derecho y NUEVA, le damos un nombre descriptivo y dejamos el origen como sale.
   
2. Clic derecho en la nueva directiva y Editar.
   
3. Unidad de red:
   
   1. En el editor escogemos la ruta, Configuración de Usuario|Preferencias|Configuración de Windows|Unidades de red, clic derecho, Nueva Unidad y seguimos el asistente.
      
   2. El valor de Acción es lo más importante, cuatro posibilidades:
      1. Crear. La preferencia se configurará si la configuración no existe, por el contrario si ya existe, no se realizará ninguna acción.
      2. Reemplazar. Se elimina y se recrea de nuevo la configuración.
      3. Actualizar. La más poderosa, con ella lo hacemos todo, lo crea si no existe y si existe la actualiza.
      4. Eliminar. Se quita la configuración.
      
   3. Realizada la configuración como queda en la imagen, seguimos con el siguiente paso, configurar a qué usuarios les afectará la preferencia. (En este caso, esta es una de las dos configuraciones que residirán en la misma GPO que se enlazará a los usuarios de una OU, la otra es la impresora.) Para elegir los destinatarios de la OU receptora que pertenecerán al grupo ‘pruebas’.
      1. Pestaña ‘Comunes’.
         
      2. Marcar la casilla ‘Destinatarios de nivel de elemento’.
      3. Pulsar el botón ‘Destinatarios’.
   4. Aquí tenemos el Editor de Destinatarios, vamos a individualizar, en este caso usuarios pero podríamos hacerlo con equipos también.
      
      1. En este caso los destinatarios son los usuarios del grupo pruebas, Nuevo elemento, grupo de seguridad.
         
      2. Pulsamos en el botón y elegimos el grupo.
         
      3. Aceptar para finalizar la configuración.
         

Aquí ya tenemos la UNIDAD DE RED en Z:\, equivalente a la primera parte del script de ejemplo.

Para añadir la impresora realizaremos los mismos pasos, pero esta vez elegiremos Impresora compartida.

Y también escogeremos los destinatarios, en este caso por rango de IP.

Juansa©2011

PowerSE Professional, editor scripts powershell free.

Conocida herramienta de edición de scripts de PowerShell de Devfarm Software, Al parecer PowerSE está disponible gratuitamente ahora. PowerSE está diseñada para administradores, con el ánimo de ayudarles en las tareas diarias. PowerSE dispone de todas las características de los editores de gama alta, como remarcar con colores la sintáxis, Intellisense, y tabulación completa, pero lo que lo hace especial es la conjunción perfecta de editor y consola de comandos de PowerShell.