Directivas de grupo 2008 R2, cómo: Establecer la ruta de los perfiles móviles.

 

En Windows Server 2003 venía utilizando la ficha del usuario para establecerle la ruta del perfil móvil. Abría la consola de usuarios y equipos de AD y lo configuraba a cada uno de ellos.

rutaperfil2003

Es lo que había. Ya que en las posibilidades de directiva de grupo respecto a perfiles de usuario no disponíamos de alternativa.

rutasperfil2003-02

Ahora también tenemos en la ficha del usuario dicha posibilidad:

rutasperfil2008-04

Pero, nos encontramos con que en Configuración de EquipoDirectivasPlantillas AdministrativasSistemaPerfiles de usuario…

rutasperfil2008-01

Podemos establecer tal condición para que afecte al contenedor de AD que queramos.

rutasperfil2008-03

Esta opción es a nivel de equipo, ojo por tanto con los portátiles y las conexiones desde sitios remotos. Una estructura de OU’s que separen los escritorios de los portátiles sería lo deseable.

También a tener en cuenta que los equipos deben ser al menos Windows Vista o superior.

Windows Server 2008 R2: DNS&IPv6

La resolución de nombres es un componente clave en la implementación de cualquier sistema operativo de red. La capacidad de cualquier recurso para localizar a otro recurso es la pieza central de una red funcional. Así pues, la estrategia de resolución de nombres elegida para el sistema operativo de red concreto debe ser robusto y fiable, mejor si cumple con los estandares de la industria.

Windows Server 2008 R2 utiliza DNS (Domain Name System) como el primer método de resolución de nombres y por tanto es un componente vital para cualquier implementación de Directorio ACtivo (AD). La implementación de DNS para W2008R2 se diseñó cumpliendo con las RFCs que definen la naturaleza del funcionamiento de DNS. Esto lo hace particularmente beneficioso para las implementaciones existentes de red y que le permitirá a W2008R2 además, interactuar con otros tipos de implementaciones de DNS que cumplan con las RFC.

IPv6 está ganando rápidamente atención en el mundo de IT, y es una caraterística integral de W2008R2. W2008R2 es compatible totalmente con IPv4 en roles como DNS, DHCP e IIS. W2008R2 incluye características adicionales como la zona GlobalNames para ser compatible con los nombres de etiqueta-simple con IPv6.

Pero veamos los componentes de DNS en general y la parte específica de su implementación en W2008R2.

¿Por qué necesitamos DNS?

Los humanos y los ordenadores conceptualizan drásticamente de formas diferentes, vulgarmente, nosotros nos va más las letras que los números. Es más fácil recordar el nombre que el número que pudiera tener asociado. En cambio las máquinas trabajan en binario y consecuentemente prefieren los números.

La resolución de nombres para sistemas de ordenadores trabajan de forma similar. Un nombre familiar es trasladado a un número. TCP(IP usa un esquema númerico que sirve para identificar de forma única a cada equipo dentro de una red mediante una serie de números, como 192.168.1.1, lo que se conoce como dirección IP. Los humanos normalmente no se interesan por recordar las series de números, para ellos es mucho más fácil recordar nombres como www.valenciacf.es.

DNS, en su forma simple, proporciona para resolución de nombres de una manera distribuida, con cada servidor o conjunto de servidores controlando una zona específica y con entradas por cada recurso (denominado Registro de Recurso RR) que indica la ubicación de un objeto en particular.

Una buena analogía es cualquiera de nuestras agendas telefónicas, separados por espacios de nombres: amigos, familia, trabajo… tenemos las zonas donde se tienen listas (RR) que indican el nombre de la gente y su número de teléfono(IP). Esto es, con la mayor simplicidad, el principio básico de DNS. Una vez lo tengamos claro veremos que profundizar en los detalles, especialmente con respecto a W2008R2, es posible.

La zona delimitada definida por el nombre DNS se conoce como espacio de nombres DNS. Juansa.net es un espacio de nombres, como lo es ventas.companyia.com. Los espacios de nombres pueden ser privados o públicos. Los publicos están al alcance de todos en Internet y están definidos por un conjunto de estandares. Todos los .com .net .org, etc… son espacios de nombres externos o públicos. Un espacio de nombres interno no está al alcance desde internet, y tampoco está restringido por la extendión del nombre, o sea, un espacio interno y no publicado puede tener cualquier nombre como espacio de nombres, juansa.local, juansa.interno, companyia.titulada. Estos espacios de nombre se utilizan con mayor frecuencia en Active Directory ya que te dan seguridad adicional sobre el espacio de nombres y como no están publicados, no se puede acceder a ellos directamente desde internet.

DNS en W2008R2

Si podemos virtualizar un entorno de pruebas para aprender sobre ello mejor.

DNS desde el asistente de Roles.

Aunque existen varias formas para instalar y configurar DNS, la más directa y completa se nos da de la mano del asistente de Agregar Roles y con él el asistente de configuración de Servidor DNS. Una instalación puede tener múltiples variaciones, pero vamos a ver la instalación básica, con una zona estándar.

Importante: Los servidores DNS han de configurarse con una dirección IP estática IPv4, ya que si ésta fuese variable podría darse el caso que los clientes fueran incapaces de contactar con éllos.

  1. Abrimos Administrador del servidor.
    dns01
  2. Seleccionamos el nodo de Roles y pulsamos en el enlace Agregar Roles.
    dns02
  3. Pulsamos Siguiente en la pantalla de Antes de comenzar.
    dns03
  4. Marcamos la casilla de Servidor DNS y pulsamos en Siguiente.
    dns04
  5. Pulsamos Siguiente en la página introductoria.
    dns05
  6. Le damos al botón Instalar en la página de confirmación. 
    dns06
  7. El sistema procede a la instalación.
    dns07
  8. Cuando finaliza le damos al botón Cerrar de la página de Resultados.
    dns08
  9. En la consola de Administración del Servidor aparece el Role.
    dns09

Bien, tenemos instalado el Role de DNS pero no lo hemos configurado, para ello:

  1. Abrimos la consola de Administración del servidor.
  2. Expandimos los Roles, seleccionamos Servidor DNS, DNS, clic derecho en el servidor, pinchamos en Configurar un servidor DNS…
    dnsconfig01
  3. En la página inicial del asistente le damos a Siguiente.
    dnsconfig02
  4. Seleccionamos la opción deseada, la normal es la marcada en la imagen.
    dnsconfig03
  5. Escogemos Sí, crear una zona de búsqueda directa ahora(recomendado).
    dnsconfig04
  6. El tipo de zona, aquí es la principal y la queremos almacenar en AD, puesto que el servidor es grabable.
    dnsconfig05
  7. Elegimos el ámbito de replicación: todos los servidores DNS del dominio.
    dnsconfig06
  8. Nombre de la zona.
    dnsconfig07
  9. Como se actualizarán los registros.
    dnsconfig08
  10. Sí queremos crear una zona inversa ahora.
    dnsconfig09
  11. Al igual que con la zona directa, elegimos el tipo de zona.
    dnsconfig10
  12. El ámbito de replicación para la zona.
    dnsconfig11
  13. Qué tipo de zona, elegimos IPv4.
    dnsconfig12
  14. Introducimos el ID de red.
    dnsconfig13
  15. Como se actualizarán los registros.
    dnsconfig14
  16. Configuraremos los Reenviadores.
    dnsconfig15
  17. Un resumen antes de darle a finalizar.
    dnsconfig16
  18. En nuestro DNS ya aparecen las zonas creadas.
    dnsconfig17

Feliz Año, Bon Any, Happy New Year!

2008 R2 OUs, Diseño de grupos.

Como con el diseño de UOs, lo mejor es diseñar la estructura de grupos para evitar tareas administrativas innecesarias. Estableciendo un conjunto de políticas de como tratar a los grupos y qué grupos crear ayudarána con la gestión de un gran número de grupos de usuarios con mayor eficacia y a resolver problemas de seguridad más eficientemente.

Antes era muy común el usar grupos locales de dominio para el control de acceso a los recursos y los grupos globales para la organización de grupos de usuarios similares. Una vez hecho, los grupos globales se añadian como miembros a los grupos locales de dominio, permitiendo a los usuarios permisos sobre aquéllos recursos y limitando el efecto de replicación que se tienen en un entorno.

                                           ejemplo

El concepto de grupo Universal alcanza la mayoría de edad en R2. Ahora que la replicación ha sido solucionada mediante la replicación incremental de pertenencia en 2003, hace más probable la existencia de este tipo de grupo en un entorno. Cuando es necesario, un grupo universal toma el lugar de grupos globales o puede potencialmente incluir grupos globales como miembros. Los grupos universales son útiles en la consolidación de pertenencia a grupo a través de los límites del dominio, y esto debería ser su función primaria si se usan en Windows Server 2008 R2.

Los nombres de grupos, como objetos de AD DS que son, han de ser fácilmente identificables donde no debe existir ambiguedad y poder diferenciar a usuarios de administradores. Por ello, hay que establecer una convención estándar para los nombres, que se comunicará a los responsables de creación de grupos para su uso. Esto siempre ayuda a la administración.

Los grupos pueden anidarse, es decir, grupos que son miembros de otros grupos, con la intención de disminuir el número de grupos existentes.

Notas:

  • Usar grupos locales de dominio para controlar el acceso a los recursos y grupos globales para organizar de forma similar a los usuarios.
  • Usar grupos de distribución o grupos de seguridad habilitados para correo para la creación de las listas de distribución de correo en entornos con Exchange Server.
  • Si no es necesaria la separación, usar grupos de seguridad habilitados para correo, si hay que separar entonces usar grupos de distribución.
  • No eliminemos o recreemos grupos a la ligera ya que cada grupo tiene un SID único.
  • No usemos grupos locales en permisos dentro de un entorno de dominio.

Directivas de grupo 2008 R2, Cómo: Impedir el acceso al Editor del Registro

En esta ocasión lo que queremos es que los usuarios no accedan a modificar el registro de Windows.

Una vez habilitada la directiva, si un usuario intenta ejecutar regedit obtendrá un mensajito como este:

regedit02

A tener en cuenta: Con sólo habilitarla no impediremos el uso del modo silencioso, es decir, un usuario podría ejecutar algo así como, regedit.exe /s archivo.reg para añadir claves al registro. Por ello, hay que marcar SI en la opción de ¿Desea deshabilitar la ejecución sin notificación de regedit? para impedir tanto que ejecute regedit como para la ejecución del modo silencioso.

regedit

La directiva la encontramos en Configuración de usuarioDirectivasPlantillas AdministrativasSistema.

Directivas de Grupo 2008 R2, Cómo: Impedir que se propaguen al servidor los cambios de perfil móvil

 

Esta opción nos servirá para que no se realicen cambios indeseados en el perfil móvil, es decir, impedirá que los cambios que los usuarios hacen en él no se transmitan a otros equipos.

cambiosperfilesmoviles

La opción la encontraremos bajo Confuguración de EquipoDirectivasPlantillas AdministrativasSistemaPerfiles de usuario.

Directivas de grupo 2008 R2, Cómo podemos?: Quitar el vínculo programas predeterminados del menú inicio

Esta opción quita el vínculo del menú de inicio,  es decir en la  primera imagen vemos el vínculo con posibilidad de marcarlo/desmarcarlo y en la segunda, una vez aplicada la directiva, no aparece el vínculo.

programaspredeterminadosmenuprogramaspredeterminadosmenuNO

Aunque seguiremos pudiendo configurar los programas predeterminados desde Programas del Panel de control(que también podemos ocultar).

panelprogramaspredeterminados

La opción se encuentra en: Configuración de UsuarioDirectivasPlantillas AdministrativasMenú Inicio y barra de tareas.

quitarenlacesprogramaspredeterminados

 

Directivas de grupo 2008 R2, Cómo podemos?: Eliminar perfiles de usuario al pasar un tiempo determinado

Esta nueva opción “Eliminar perfiles de usuario con una antiguedad superior al número de días especificado al reiniciar el sistema” nos permite establecer una caducidad a los perfiles en caché, con lo que se purgarán en un plazo de X días desde que comenzaron a utilizarse. Esto implica que los usuarios que normalmente inician sesión en el equipo mantendrán su perfil en caché, pero aquéllos que lo hacen rara vez los perderán al cabo del tiempo determinado y con ello se obtendrá espacio libre en el equipo. Y aunque suene interesante para Terminal Server, sólo hay que pensar que los archivos no se purgan hasta que se reinicia el servidor(los equipos en el caso que no sea Terminal Server).

La opción la encontraremos bajo Confuguración de EquipoDirectivasPlantillas AdministrativasSistemaPerfiles de usuario.

eliminarperfiles

Directivas de grupo y diseño de UOs

Los administradores solemos crear directivas de grupo para limitar a los usuarios llevar a cabo ciertas tareas o establecerles automáticamente ciertas funcionalidades. Por ejemplo: impedir que ejecuten el command prompt. Las directivas de grupo pueden establecerse a nivel de sitios de AD DS, de dominios y de UOs pero, también para aplicarse a determinados grupos. Esto incrementa la flexibilidad del diseñador del dominio para aplicar las directivas.

Como ya se mencionó, la creación de UOs tan sólo para aplicar múltiples directivas de grupo no es un uso eficiente de las UO y puede llevar a una sobreutilización de UO en general. En su lugar, podemos conseguir una aprosimación más directa a las directivas mediante su aplicación a grupos de usuarios directamente. Veamos como podemos aplicar a una directiva de grupo especifica a nivel de dominio y que sólo afecte a un grupo específico:

  1. Abrimos la consola de administración de directivas de grupo (Inicio, todos los programas, herramientas administrativas, administración de directivas de grupo)
    groups01
  2. Nos situamos en la UO donde la directiva de grupo está vinculada, seleccionamos la directiva que queremos aplicar a un grupo.
  3. En el panel derecho, pestaña ámbito, bajo filtrado de seguridad, seleccionamos el grupo de usuarios autenticados y le damos a suprimir, luego aceptamos.
    groups02
  4. Ahora, desde el mismo panel, le damos a Agregar para seleccionar el grupo al que queremos que se le aplique la directiva. Escribimos su nombre y le damos a Aceptar.
    groups03
  5. Las opciones de filtrado de seguridad mostrarán el grupo. Repetiremos la operación para cada grupo que queramos agregar.

Este procedimiento puede reducir el número de UO innecesarias en el entorno y ayudar a simplificar la administración, además se consigue facilitar la resolución de problemas en relación a una estructura compleja de UOs.

Uso de Unidades Organizativas para delegar la administración.

Como seguramente ya habré mencionado anteriormente, una de las razones más importantes para la creación de una estructura de UO’s en un AD DS es la delegación de administración, es decir, delegar la administración a un único administrador o grupo de administradores creado previamente. Esta granularidad administrativa se permite en un único dominio.

A un grupo de usuarios se le pueden asignar con facilidad niveles de acceso administrativo específicos a un subconjunto de usuarios. El proceso es tan fácil como seguir estos pasos:

  1. Clic derecho sobre la UO donde se quieren delegar permisos, y pinchamos en Delegar control.
    1
  2. Siguiente en la pantalla de bienvenida.
    2
  3. Clic en Agregar para seleccionar el grupo al que queremos dar acceso.
    3
  4. Escribimos el nombre del grupo y le damos a Aceptar.
  5. Siguiente para seguir.
  6. Bajo “Delegar las siguientes Tareas comunes”, escogemos los permisos deseados y continuamos dándole a siguiente.
    4
  7. Finalizar para terminar con los cambios.
    7

Si queremos establecer una tarea personalizada, en el punto 6, accederemos a las pantallas del asistente de elegir de los siguientes objetos y luego los permisos a delegar.

56

Las variedades son diversas, por ello la granularidad de delegación de 2008 R2 es grande.

Estructura de grupos y OU’s en Windows 2008 R2-2

El entender los conceptos sobre OU y grupos es sólo una parte de nuestra lucha. La aplicación de los mismos en un diseño con la metodología aconsejada es la parte delicada. Podemos apostar de hecho a que la estructura de todos los elementos del diseño de AD DS, OU’s y grupos, es la más flexible e indulgente. Aunque hay que tomar precauciones cuando movemos objetos entre OUs que tienen Directivas de grupo habilitadas, esto no lo ven los usuarios finales y no tiene ningún efecto.

Dicho esto, se debe tener cuidado para asegurar que las directivas de grupo que están en las unidades organizativas se mueven antes de mover las cuentas de usuario o equipo. No tomar en cuenta esto puede dar lugar a la aplicación de directivas de grupo no deseadas al equipo o usuarios, a menudo con efectos contraproducentes. La pertenencia a grupos es también fácilmente cambiable, aunque debería considerarse la posibilidad de la supresión de los grupos de seguridad que ya están en uso.

* Ya que cada SID de grupo es único, debemos tomar en consideración en no eliminar y recrear grupos sobre la marcha. Al igual que con las cuentas de usuario, si damos a un nuevo grupo el mismo nombre que uno eliminado y añadimos los mismos usuarios dentro, los permisos establecidos para el grupo eliminado no se aplicarán en el nuevo. Si se elimina un grupo, puede recuperarse sólo si la papelera de AD está habilitada(http://technet.microsoft.com/es-es/library/dd379481(WS.10).aspx).

Un Diseño de OUs

Como con el diseño de un dominio AD DS, el diseño de OUs debe mantener simpleza y extenderlo sólo en el caso de una necesidad específica haga necesaria la creación de una OU. Como veremos, las razones de peso para crear OUs se limitan a la delegación de la administración en la mayoría de casos.

Como con el diseño del dominio, es importante establecer un marco de referencia y un criterio de diseño común cuando se comienza el diseño de la estructura de OUs. A veces se representan gráficamente como una carpeta y otras formando una estructura jerárquica con simple texto.

UOsOUs2

Independientemente del método elegido, es importante para el establecimiento de un método estándar de ilustración del diseño de OUs de la empresa.

El primer paso en el proceso es determinar el mejor método de organizar a los usuarios, equipos y demás objetos del dominio dentro de la estructura de OU. Esto es, de cierta forma, demasiado fácil para crear OUs, y con asiduidad los diseñadores de dominios crean una estructura compleja y anidada de OUs, con tres o más para cada departamento. Aunque si bien este enfoque serviría, el hecho es que no da ventajas técnicas, y en su lugar complica las consultas de directorio LDAP y requiere una sobrecarga de tareas administrativas. Consecuentemente, es mejor iniciar un diseño de OUs con una única OU y expandir el número de OUs sólo si es abosolutamente necesario.

El sobreuso de OUs

Se han oido durante mucho tiempo informes conflictivos sobre el uso de las OU en ADDS. Las guías de recursos, los libros y las conjeturas puristas han contribuido a la confusión y desinformación de muchos administradores sobre la mejor práctica de su estructura de OUs.

La verdad más plana sobre las OU, sin embargo, es que tú probablemente no necesitas tanto como piensas que necesitas. Añadir una OU en un dominio si un grupo separado completamente necesita acceso especial administrativo a un segmento de usuarios. Si esta condición no existe y un grupo único administra el entorno completo, con frecuencia no se necesita crear más de una OU.

Esto no significa que no puedan exister otras razones para crear OUs. La aplicación de las Directivas de grupo (GP), por ejemplo, es una candidata potencial pra la creación de OUs. Sin embargo, incluso este tipo de funcionalidad se logra mejor a través de otros medios. Es un pequeño hecho conocido que las directivas pueden aplicarse a grupos de usuarios, de este modo se limita la necesidad de crear una OU expresamente para este propósito.

Felixibilidad de las OU

Los diseñadores de dominio no están en modo bloqueo en cuanto a la estructura de OUs. Los usuarios pueden ser movidos entre OUs, adelante y atrás, durante el horario normal de trabajo sin que ello afecte a la funcionalidad del dominio. Este hecho también ayuda a los diseñadores a corregir fácilmente cualquier defecto de diseño que hayan podido cometer en la estructura de OUs.

Las OU se introdujeron como parte del directorio activo con la liberación de Windows 2000 y continuadas en las posteriores liberaciones de Active Directory. No hay esencialmente diferencias técnicas reales entre su funcionalidad en Windows 2000/2003 y Windows 2008 R2, aunque hay una importante actualización. De forma predeterminada tanto Windows 2008 como Windows 2008 R2, permiten la creación de OUs con el modo de protección de borrado activo, impidiendo con ello un borrado accidental. Además por supuesto que desde los tiempos del windows 2000 la experiencia con Ous ha cambiado significativamente y por tanto también su diseño.