En alguna ocasión podremos necesitar que nuestro grupo de soporte técnico sea miembro del grupo de administradores locales de todos o algunos equipos en nuestro dominio.
Lo primero a tener en cuenta sería definir si la política alcanzará a todos los equipos o sólo a unos específicos, ya que si es a estos últimos, debemos crear una OU y agregar allí los objetos 'equipo' a los que queremos que afecte. Si es a todos, podemos vincular la GPO a nivel de dominio sin problema.
Antes de comenzar con el procedimiento creamos un grupo y en él agregamos a los usuarios de nuestro equipo de soporte técnico.
Ahora, el procedimiento es el siguiente y lo haremos para que afecte a todos los equipos en el dominio:
Administrador de políticas de grupo > Objetos de directiva de Grupo > nuevo > escribimos un nombre para la política
una vez creada, vamos a ella, clic derecho > editar
dentro de la GPO navegamos por: Configuración del equipo > Configuración de Windows > Configuración de Seguridad > Grupos Restringidos
allí:
Clic derecho > agregar grupo > clic en 'examinar'.
En 'ubicaciones' vamos ha ubicar el nombre del equipo local.
Le damos en buscar y seleccionamos el grupo 'administradores' que corresponde a los Built in.
Cerramos las ventanas con 'aceptar' en todas y vemos que nuestro grupo queda agregado en la lista de grupos restringidos.
Damos doble clic sobre él > y en la sección de 'Miembros de este grupo'hacemos clic en el boton 'agregar' y examinamos en nuestro directorio activo en la ubicación del dominio.
Buscamos el grupo que deseamos que sea miembro de los administradores locales, en nuestro caso el grupo de soporte técnico, lo seleccionamos y cerramos todas las ventanas con 'aceptar'.
De la misma forma podemos agregar al grupo admins. del dominio que desaparece cuando agregamos nuestro grupo, así tendremos ambos grupos como administradores locales en todos los equipos del dominio.
Nos vamos para una estación de trabajo que se encuentre unida al dominio y en una ventana de comandos ejecutamos:
gpupdate /force
luego ejecutamos:
net localgroup administradores
nos debe mostrar en la lista, los grupos de soporte técnico y admins del dominio (si lo agregamos)
Un Saludo,
---
Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Vision Sistemas
Envigado, Antioquia, Colombia
tel: 371 54 49 - 378 03 38
celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co
www.visionsistemas.com.co
jueves, 18 de junio de 2009
jueves, 11 de junio de 2009
Orden de las reglas en ISA Server
Para que las reglas apliquen correctamente deben tener un orden lógico y consecuente con el diseño que se quiera implementar.
Luego del análisis y de tener en el papel las restricciones, los usuarios, lo permitido, lo denegado, los diferentes protocolos y todo lo que se involucre en las políticas, debemos crear las reglas y ordenarlas de la siguiente forma:
1. relgas que permitan el tráfico entre la red local y el local host.
2. reglas de publicación de servidores
3. reglas para denegar (anónimos)
4. reglas para permitir (anónimos)
5. reglas para denegar (usuarios autenticados)
6. reglas para permitir (usuarios autenticados)
7. regla predeterminada de ISA Server
Existen dos formas de administrar la navegación:
a. permitir todo e ir denegando lo necesario
b. denegar todo e ir permitiendo lo necesario
Yo recomiendo la opcion 'b', pues es la más segura, aunque inicialmente la carga administrativa es mayor, pero luego de unos pocos días de afinamiento la carga disminuye y se torna color de rosa, pues los resultados son geniales.
La opción 'a', es de administrar todo el tiempo y más complicada pienso yo, pues es negar sitio por sitio que se va encontrando o denunciando y es un trabajo de nunca acabar, pues los usuarios siempre encontrarán sitios similares al que fue denegado anteriormente.
---
Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Vision Sistemas
Envigado, Antioquia, Colombia
tel: 371 54 49 - 378 03 38
celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co
www.visionsistemas.com.co
Luego del análisis y de tener en el papel las restricciones, los usuarios, lo permitido, lo denegado, los diferentes protocolos y todo lo que se involucre en las políticas, debemos crear las reglas y ordenarlas de la siguiente forma:
1. relgas que permitan el tráfico entre la red local y el local host.
2. reglas de publicación de servidores
3. reglas para denegar (anónimos)
4. reglas para permitir (anónimos)
5. reglas para denegar (usuarios autenticados)
6. reglas para permitir (usuarios autenticados)
7. regla predeterminada de ISA Server
Existen dos formas de administrar la navegación:
a. permitir todo e ir denegando lo necesario
b. denegar todo e ir permitiendo lo necesario
Yo recomiendo la opcion 'b', pues es la más segura, aunque inicialmente la carga administrativa es mayor, pero luego de unos pocos días de afinamiento la carga disminuye y se torna color de rosa, pues los resultados son geniales.
La opción 'a', es de administrar todo el tiempo y más complicada pienso yo, pues es negar sitio por sitio que se va encontrando o denunciando y es un trabajo de nunca acabar, pues los usuarios siempre encontrarán sitios similares al que fue denegado anteriormente.
---
Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Vision Sistemas
Envigado, Antioquia, Colombia
tel: 371 54 49 - 378 03 38
celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co
www.visionsistemas.com.co
Etiquetas:
ISA Server
viernes, 8 de mayo de 2009
Como resolver el problema de navegacion cuando el dominio local y de internet son identicos
A veces ocurre que, por inexperiencia o una mala asesoría, quede nuestro dominio interno con la misma denominacion que el dominio de internet, en el cual tenemos un hosting con nuestro sitio web corporativo.
Esto nos da un problema y es que cada vez que los usuarios quieren acceder a www.dominiointernet.com no nos abre, sale que no se puede mostrar la pagina web o algo similar. Esto ocurre porque en una correcta configuracion DNS en nuestra red, el servidor que resonde a esta consulta es nuestro servidor DNS y al hacer la solicitud nos devuelve la direccion ip del dominio interno y al no haber un registro www nos da error.
La solucion es muy simple, vamos a nuestro servidor DNS y creamos un registro tipo A con el nombre www apuntando a la direccion IP pública de nuestro sitio web en internet y listo.
---
Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Vision Sistemas
Itagui, Antioquia, Colombia
tel: 281 52 44 - celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co
www.visionsistemas.com.co
Esto nos da un problema y es que cada vez que los usuarios quieren acceder a www.dominiointernet.com no nos abre, sale que no se puede mostrar la pagina web o algo similar. Esto ocurre porque en una correcta configuracion DNS en nuestra red, el servidor que resonde a esta consulta es nuestro servidor DNS y al hacer la solicitud nos devuelve la direccion ip del dominio interno y al no haber un registro www nos da error.
La solucion es muy simple, vamos a nuestro servidor DNS y creamos un registro tipo A con el nombre www apuntando a la direccion IP pública de nuestro sitio web en internet y listo.
---
Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Vision Sistemas
Itagui, Antioquia, Colombia
tel: 281 52 44 - celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co
www.visionsistemas.com.co
Entendiendo el System State
La copia de seguridad del estado del sistema (system state) son un conjunto de datos e informacion recolectada por el propio sistema operativo, ojo, no es un backup de TODO el sistema, ni de archivos de usuario.
En un servidor incluye:
* Bases de datos de Certificados
* Archivos protegidos del sistema
* Bases de datos de registro de clases COM+
* Registro de Windows
* Base de datos de Active Directory
* Directorio Sysvol
* Metadatos de IIS
No se debe realizar una copia de datos de Microsoft Exchange Server junto con la del System State, deben ser copias separadas.
---
Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Vision Sistemas
Itagui, Antioquia, Colombia
tel: 281 52 44 - celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co
www.visionsistemas.com.co
En un servidor incluye:
* Bases de datos de Certificados
* Archivos protegidos del sistema
* Bases de datos de registro de clases COM+
* Registro de Windows
* Base de datos de Active Directory
* Directorio Sysvol
* Metadatos de IIS
No se debe realizar una copia de datos de Microsoft Exchange Server junto con la del System State, deben ser copias separadas.
---
Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Vision Sistemas
Itagui, Antioquia, Colombia
tel: 281 52 44 - celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co
www.visionsistemas.com.co
Etiquetas:
Active Directory,
Windows Server 2003
martes, 5 de mayo de 2009
Como evitar que los usuarios cambien la contraseña sin que el DC lo solicite
Es posible que se necesite que los usuarios permanezcan con las contraseñas asignadas o que no puedan cambiarlas excepto si las politicas implementadas para el dominio lo soliciten.
para esto:
> abrimos usuarios y equipos de Active Directory
> haces clic derecho sobre la OU que contenga los usuarios a los que quieres que aplique la politica y hacemos clic en propiedades
> creamos una nueva politica, le damos un nombre y clic en editar
> expandimos configuracion de usuario, plantillas administrativas, sistema
> hacemos clic en las opciones de ctrl + alt + del
> doble clic en "remover o quitar cambiar contraseña"
> seleccionamos habilitar y cerramos con aceptar
> cerramos todas las ventanas
para forzar la aplicacion de la politica abrimos una ventana de comandos y tecleamos lo siguiente:
gpupdate /force
o
gpupdate /target:user /force
---
Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Vision Sistemas
Itagui, Antioquia, Colombia
tel: 281 52 44 - celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co
www.visionsistemas.com.co
para esto:
> abrimos usuarios y equipos de Active Directory
> haces clic derecho sobre la OU que contenga los usuarios a los que quieres que aplique la politica y hacemos clic en propiedades
> creamos una nueva politica, le damos un nombre y clic en editar
> expandimos configuracion de usuario, plantillas administrativas, sistema
> hacemos clic en las opciones de ctrl + alt + del
> doble clic en "remover o quitar cambiar contraseña"
> seleccionamos habilitar y cerramos con aceptar
> cerramos todas las ventanas
para forzar la aplicacion de la politica abrimos una ventana de comandos y tecleamos lo siguiente:
gpupdate /force
o
gpupdate /target:user /force
---
Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Vision Sistemas
Itagui, Antioquia, Colombia
tel: 281 52 44 - celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co
www.visionsistemas.com.co
Etiquetas:
Active Directory,
Windows Server 2003
Cómo crear una relación de confianza a nivel de bosque
en ocasiones, una empresa se une con otra, por motivos de adquisicion y cuando ambas tienen un esquema de bosques implementado, es necesario crear relaciones de confianza para que los usuarios en estos bosques tengan acceso a los recursos del otro. el procedimiento es el siguiente:
> Abrimos Dominios y confianzas de Active Directory
> clic derecho en el dominio raiz del bosque
> y luego clic en propiedades
> en la pestaña confianzas o trusts clic en nueva
> en el nombre de la confianza escribes el nombre DNS o NETBIOS del otro bosque y hacemos clic en siguiente
> en el tipo de confianza hacemos clic en bosque o forest y clic en siguiente
> ahora nos pregunta por la dirección en la que se establecerá la confianza, aquí tendremos en cuenta lo siguiente:
* two-way o bidireccional: los usuarios de ambos bosques podrán utiliza los recursos de cada bosque.
* one-way, de entrada: los usuarios en el bosque descrito no tendrán acceso a los recursos en este bosque.
* one-way, de salida: los usuarios en este bosque no tendrán acceso a los recursos en el bosque descrito.
> en Sides of the trust podemos escoger:
* "This domain only"
* o "Both this domain and the specified domain"
> escribimos el nombre de usuario y contraseña del otro dominio con privilegios para crear una relacion de confianza y hacemos clic en siguiente.
> seleccionamos el nivel de autenticación de la confianza para el bosque local y clic en siguiente.
> seleccionamos el nivel de autenticación de la confianza para el otro bosque y clic en siguiente.
> revisamos y hacemos clic en siguiente.
> tambien podemos confirmar las confianzas tanto de entrada como de salida y hacmeos clic en siguiente.
> finalizar.
a este punto tenemos creada la relación de confianza.
---
Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Vision Sistemas
Itagui, Antioquia, Colombia
tel: 281 52 44 - celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co
www.visionsistemas.com.co
> Abrimos Dominios y confianzas de Active Directory
> clic derecho en el dominio raiz del bosque
> y luego clic en propiedades
> en la pestaña confianzas o trusts clic en nueva
> en el nombre de la confianza escribes el nombre DNS o NETBIOS del otro bosque y hacemos clic en siguiente
> en el tipo de confianza hacemos clic en bosque o forest y clic en siguiente
> ahora nos pregunta por la dirección en la que se establecerá la confianza, aquí tendremos en cuenta lo siguiente:
* two-way o bidireccional: los usuarios de ambos bosques podrán utiliza los recursos de cada bosque.
* one-way, de entrada: los usuarios en el bosque descrito no tendrán acceso a los recursos en este bosque.
* one-way, de salida: los usuarios en este bosque no tendrán acceso a los recursos en el bosque descrito.
> en Sides of the trust podemos escoger:
* "This domain only"
* o "Both this domain and the specified domain"
> escribimos el nombre de usuario y contraseña del otro dominio con privilegios para crear una relacion de confianza y hacemos clic en siguiente.
> seleccionamos el nivel de autenticación de la confianza para el bosque local y clic en siguiente.
> seleccionamos el nivel de autenticación de la confianza para el otro bosque y clic en siguiente.
> revisamos y hacemos clic en siguiente.
> tambien podemos confirmar las confianzas tanto de entrada como de salida y hacmeos clic en siguiente.
> finalizar.
a este punto tenemos creada la relación de confianza.
---
Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Vision Sistemas
Itagui, Antioquia, Colombia
tel: 281 52 44 - celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co
www.visionsistemas.com.co
Etiquetas:
Active Directory,
Windows Server 2003
Suscribirse a:
Entradas (Atom)