Copia de seguridad y restauracin IIPosted on09/01/2012Habilitar las instantneasLas instantneas nos ayudan a proteger los datos de recursos compartidos y Unidades de nuestro Windows Server 2008 R2. Las instantneas son copias de seguridad en un instante temporal. Se encuentran habilitadas a nivel de volumen. Lo que significa que cuando las activamos en un volumen se protegen todos los recursos compartidos residentes en el mismo. Y aunque no podemos seleccionar recursos de manera individual, s seremos capaces de recuperar informacin individualmente si fuese necesario ya qu el volumen est protegido.Cuando se crea una instantnea de un archivo slo se almacenan los cambios incrementales. As que el espacio de almacenamiento necesario en la red est basado en cuntos archivos y la cantidad de cambios que se les hace. Las copias creadas se almacenan en el mismo volumen en la que estn los datos. Podemos mover las instantneas a otro volumen para ayudar en el rendimiento de las mismas y de los propios vlumenes. Antes de habilitar las instantneas, debemos tambin tener en cuenta qu slo podemos tener 64 copias en el volumen al mismo tiempo. Esto tendr un impacto en la programacin que se escoga como adecuada, que es de lunes a viernes y entre las 7 y las 12 de forma predeterminada. Las instantneas se ejecutan por el VSS (Volume Shadow Copy Service). En cuanto las habilitamos se crea un espacio de 100MB de copia de seguridad de forma automtica. Adems, el mximo tamao por defecto usado por las copias se establece en un 10% del total del espacio del volumen. Lo cual significa que si nos acercamos al lmite de espacio el VSS comenzar el borrado de versiones anteriores de las instantneas.Permitiendo a tus usuarios trabajar rpidamente con estos vlumenes te ahorrar tener que usar medios de recuperacin para restaurar datos perdidos. Sin embargo, las instantneas no son un sustituto de una implementacin de copia de seguridad y recuperacin necesaria, sino ms bien un complemento til.Para habilitar las instantneas: Herramientas administrativas Administracin de equipos

Clic derecho en las carpetas compartidas y en Todas las tareas, configurar Instantneas.

Posted inWindows 2008 R2,Windows ServerCopia de seguridad y Restauracin.Posted on23/12/2011Los accidentes ocurren. Hay multitud de escenarios en los que los datos se pueden perder, borrar, infectar o corromper, ya sea porque un usuario borre accidentalmente un archivo del disco, falle un disco duro o falle el propio sistema operativo. Tambin podemos pensar que la naturaleza a veces nos aguarda con tristes desastres.Ha llegado la hora de saber cmo resguardar esos datos y poder recuperarlos posteriormente.Entender la terminologa: Copia de seguridad y Recuperacin.Al trabajar con estas tecnologas en Windows Server 2008 R2 o en un entorno Windows, necesitamos aprender el argot utilizado por el propio Sistema.Copia de seguridad normal o completa: Las copias de seguridad normales o completas son las ms lentas en terminar el proceso de copia. El tiempo vendr determinado por la cantidad de datos. Aunque, si podemos hacerla cada noche y fuera de horario de trabajo sera el camino ideal para la proteccin del sistema. Es la opcin predeterminada de Windows Server Backup.Copia de seguridad incremental: Las copias de seguridad incrementales son las ms rpidas en realizar el proceso de copia, ya que ste tipo sigue slo los cambios en los datos desde la ltima copia, de cualquier tipo. Este tipo determina tambin el cmo trabajar t proceso de recuperacin. Cuando quieras recuperar datos, primero necesitars restaurar la ltima copia de seguridad normal, seguida de todas las copias incrementales en orden. Este mtodo produce tambin un impacto en el rendimiento de los servidores.Estado del sistema: Estado del sistema contiene la mayor parte de la informacin de configuracin del sistema. No toda la necesaria, as que debemos utilizarla junto a una copia de seguridad normal. Los Roles que estn instalados determinarn la copia del estado del sistema tambin.Copia desde-cero (Bare-metal): Este tipo de copia nos permite recuperar un servidor desde una imagen creada previamente (y sin tener que instalar un sistema antes). Esto nos permite la recuperacin de un servidor que de otra manera y debido a errores que una copia de seguridad normal no puede arreglar, sera inoperable. Digamos que esta recuperacin es uno de los ltimos cartuchos de recuperacin de un sistema roto.Instantneas (Shadow copy): Una copia hecha en un momento concreto de datos que normalmente estn compartidos. Proporciona a los usuarios un mtodo self-service de recuperacin de archivos que hayan sido borrados o sobreescritos accidentalmente.Servicio de instantneas de volumen (VSS): Servicio maestro dentro de Windows Server 2008 R2 que dirige la mayor parte de la infraestructura de copias de seguridad. Proporciona la capacidad de crear instantneas.Las herramientasTres son las que nos permiten acceder al juego de aplicaciones de copia de seguridad y recuperacin en Windows Server 2008 R2. Tenemos aWindows Server Backup, una herramienta totalmente funcional con interfaz awbadmin.exe, una herramienta en smbolo del sistema, y finalmente nuestro queridoPowerShell, con el que podemos llevar a cabo estas tareas.Asegremonos que tenemos las herramientas en nuestro servidor. De hecho la caracterstica no est instalada de forma predeterminada, con lo cual si intentamos ejecutarla recibiremos un mensajito similar a:

As que hemos de instalarla por nuestra cuenta.Desde el administrador del servidor elegimos caractersticas, del panel agregar caractersticas.

Bajamos hasta Caractersticas de copias de seguridad de Windows Server.

Puede que al marcar cualquiera de las dos opciones se nos solicite agregar, pincharemos en el botn de Agregar caractersticas requeridas.

Pinchamos en siguiente y seguimos el asistente.

Ahora ya si tenemos la posibilidad de ejecutar la herramienta grfica:

Posted inHerramientas,Windows 2008 R2PowerShell y las GPOPosted on21/12/2011Con Active Directory desplegado en nuestra entorno deberamos ser capaces de controlar la seguridad, administracin y el acceso a los recursos desde una ubicacin centralizada. Y adems administrar y controlar los escritorios!Cmo hemos ido viendo en multitud de ocasiones, AD tiene una herramienta Group Policy (Directiva de grupo), para centralizar los escritorios. Con ella podemos administrar virtualmente todo en los sistemas de nuestro entorno, desde el fondo del escritorio hasta qu aplicaciones pueden ejecutarse. Incluyendo no slo los escritorios cliente sino tambin los servidores.Directiva de grupo nos permite obligar el cumplimiento de nuestras polticas, implementar cualquier configuracin de seguridad que queramos e, implementar un entorno estndar a travs de todo el Directorio Activo.Con un entorno estndar proporcionamos una base consistente y adems aligerar las llamadas de soporte al departamento. Antes de ver como podemos trabajar con Poweshell y GP, repasemos algunas cuestiones bsicas:Conocer sobre:DESCRIPCIN

GPMCConsola administracin DirectivasInterfaz principal, aqu creamos los GPOs. Definimos a qu se aplicarn los enlaces creados. Disponemos de tres mbitos o alcances: Sites, Dominios y OUs.

GPOObjeto de Directiva de GrupoObjeto que contiene la configuracin que queremos aplicar a usuarios y/o equipos. Se enlazan a OUs.

Enlacede Directiva de GrupoEnlaza un GPO a la parte del entorno AD al qu queremos que se le aplique. Conocido como mbito o alcance: Sites, Dominios y OUs.

ArchivoADMXArchivo de plantilla administrativa, define la ubicacin de la configuracin y valores en el sistema local, y crea el interfaz que usamos para modificar dicha configuracin/valores desde el Editor de Directivas de grupo, que no es ms que un GUI de administracin de las mismas.

Preferenciasde Directiva de GrupoProporciona alternativas para trabajar con imgenes en toda la organizacin y as administrar configuraciones que no son fciles desde la Directiva de Grupo. Esta configuracin, inicialmente establecida por el administrador, refleja un estado del sistema predeterminado y que no es obligatorio.

RSoPConjunto de configuraciones de directiva aplicadas despus del completo proceso de las mismas. Puede ser una combinacin de muchos niveles de Directivas.

En cuanto a los mbitos o alcance hemos de tener en cuenta qu:El mbito ms grande es el SITE y aqu se ven afectados todos los dominios y objetos que contenga.En el DOMINIO se vern afectados todos los objetos contenidos en l.En las OU, todos los objetos que contengan, as como los sucesivos anidamientos de OUs y sus objetos.El uso de unos u otros se determina por las necesidades, si bien hay algunas recomendaciones al efecto:Configuracin de seguridad de red o IPSec, a nivel de SITE.Contraseas y resto de valores de seguridad, DOMINIO.Aplicacin de Directivas de Grupo en las OU, es lo que ms recomiendan, proporcionan facilidad de administracin y localizacin de nuestras Directivas.Administrar las Directivas de GrupoComo otras herramientas, powershell ha dedicado un mdulo para almacenar los cmdlets que podemos usar en la administracin de Directivas de Grupo. ste mdulo no est disponible en todos los sistemas en los que Powershell est instalado. Slo se encuentra en DCs, servidores miembros con GPMC instalada o Windows 7 con RSAT instaladas.Para importar el mdulo usamos el comando:Import-Module grouppolicyAunque si lo intentamos en un equipo que no cumpla los requisitos recibiremos un mensajito

Pero sigamos en uno que s,

Una vez importado podemos listar los cmdlets disponibles,Get-Command module grouppolicy

El comandoGet-GPO Allnos permite ver las GPO del dominio.Establece un valor de Preferencia. Igual que el anterior, hay que conocer la ubicacin en el Registro.CmdletQu hace:

Get-GPOLista las GPO en el Dominio, podemos listar una especficamente o todas.

New-GPOCrea una nueva GPO en el dominio.

New-GPLinkCrea un nuevo vnculo de GPO hacia una GPO existente en el dominio.

Set-GPRegistryValueEstablece un valor de directiva. Para que este cmdlet sea efectivo en la GPO, hay que conocer la ubicacin de la misma en el Registro.

Set-GPPrefRegistryValueEstablece un valor de Preferencia. Hay que conocer la ubicacin en el Registro.

Ejemplos: Get-GPO All

Podemos ver la configuracin de una en particular, por ejemplo listamos las que hay en SySVol

Y con su GUID

Y con su nombre

Posted inDirectivas,Powershell,Scripting,Windows 2008 R2Carpetas: seguridad, acceso y replicacin IVPosted on12/12/2011Crear y configurar un DFS NamespaceDespus de la instalacin del role DFS podemos comenzar el proceso de creacin del espacio de nombres DFS y configurar la raz DFS.1. Abrimos el administrador del servidor2. Expandimos Roles3. Expandimos servicios de archivo4. Seleccionamos el elemento Administracin DFS5. Clic derecho, Nuevo espacio de nombres

6. Escribimos el nombre del servidor o lo buscamos mediante Examinar.

7. Siguiente8. Le damos nombre al espacio de nombres. (es el que vern los usuarios)

9. Podemos editar la configuracin, sino Siguiente

10. Ahora se nos pregunta el tipo de espacio de nombres, basado en dominio (que es el que voy a seguir haciendo) o independiente.

11. Un resumen de todo lo elegido antes de darle el s final.

12. Creacin del espacio de nombres.

13. Ahora ya tenemos la raz DFS.

14. Desde aqu, con clic derecho sobre esta raz aadiremos las carpetas y sus rutas correspondientes.

Posted inWindows 2008 R2,Windows ServerCarpetas: seguridad, acceso y replicacin IIIPosted on30/11/2011Si queremos colocar datos accesibles tenemos varias opciones, como las carpetas compartidas y usar archivos fuera de lnea. Si adems queremos extender la disponibilidad de nuestros archivos y carpetas, deberamos considerar tener ms de un servidor de almacene dichos datos de forma que se copien y repliquen entre ellos. Con ello ganamos en consistencia, disponibilidad y rapidez de acceso desde sitios remotos. La replicacin se configura mediante espacios de nombres DFS o Sistema Distribuido de Ficheros. Estos namespaces nos permiten agrupar carpetas compartidas diseminadas en distintos servidores y conectar de forma transparente mediante uno o ms de estos espacios de nombres. Un namespace es una vista virtual de carpetas compartidas en una red. Cuando creamos un namespace, seleccionamos qu carpetas compartidas se aaden, diseamos la jerarqua en la que aparecern y, le ponemos los nombres con las que aparecern en el namespace. Un usuario al acceder al namespace ver las carpetas como si residieran en un nico disco, y navegarn entre ellas sin necesitar conocer los nombres de servidor o carpetas de datos.La ruta de un namespace es similar a la convencin UNC para carpetas compartidas, \servidor\recurso\carpeta.Para tener un espacio de nombres necesitamos un servidor de espacios de nombres, y ste puede ser un servidor miembro o un controlador de dominio.Para instalar DFS necesitaremos aadir el Role DFS.1. Administrador del Servidor2. Clic derecho en Roles, o en el Role Servicios de Archivos3. Agregar Roles, o Agregar Servicios de Role

4. Servicios de archivos5. Siguiente6. Marcamos Sistema de archivos distribuido(se aadirn dos roles)

7. Siguiente8. Crear un espacio de nombres ms adelante con el complemento Administracin de DFS.

9. Siguiente10. Instalar11. Cerrar

Como durante el proceso anterior no creamos un Namespace, sino que escogimos crear un Espacio de nombres ms adelante, Lo siguiente ser crear y configurar ese Espacio de Nombres DFS.Posted inHerramientas,Windows 2008 R2,Windows ServerCarpetas: seguridad, acceso y replicacin IIPosted on27/10/2011Asegurar carpetas y archivos?Las carpetas y los archivos contienen datos, estos pueden no tener importancia o s tenerla, lo que nos indicar que necesiten ms o menos proteccin, y dentro de esta puede que queramos una proteccin extendida. En cada uno de los casos necesitaremos implementar una estrategia de seguridad distinta: permisos, almacenamiento, cifrado y auditora. Como ya comentamos los permisos, veamos otras opciones.EFSCifrado del sistema de archivos.El cifrado es una caracterstica de Windows que podemos utilizar para cifrar archivos y carpetas en nuestro disco y proporcionar un formato de almacenamiento seguro.EFS es el ncleo de la tecnologa de cifrado usada en volmenes NTFS(slo). Un archivo cifrado no puede utilizarse a menos que el usuario tenga acceso a las claves necesarias para descifrarlo. Los archivos no tienen porque ser manualmente cifrados/descifrados cada vez que se usen. Se abrirn y cerrarn justo como cualquier otro archivo. Una vez habilitado EFS, el cifrado es transparente para el usuario.El uso de EFS es similar a utilizar permisos NTFS sobre archivos y carpetas. Sin embargo, un usuario que tuviera acceso fsico a archivos cifrados seguira siendo incapaz de leerlos debido a su cifrado.Podemos cifrar o descifrar archivos y carpetas configurando el atributo de la propiedad de cifrado para ese archivo o carpeta. La propiedad de cifrado es un atributo que se aplica como los de solo-lectura, comprimido u oculto en archivos y carpetas.As pues:Elegimos el archivo o carpeta, clic derecho, propiedades, botn avanzadas y marcamos el atributo de cifrado. LuegoAceptar.

Ahora le damos aAplicar.

Se nos advierte para que cifremos la carpeta tambin para evitar copias sin cifrar.

Luego podemos ir de nuevo a Propiedades, botn avanzado y tenemos el botn Detalles activo, si lo pulsamos

Nos muestra los detalles del archivo/carpeta. Aqu podemos agregar otros usuarios para que puedan acceder a ese archivo/carpeta cifrada, clic en Agregar.

Podemos ver los certificados dndole al botn de Ver certificado.

Pero nosotros elegimos el que pertenece al usuario a aadir y le damos a Aceptar.

Ya tenemos activos los usuarios que podrn acceder al archivo/carpeta.

Es importante ver que los atributos de Compresin y de Cifrado son excluyentes, es decir, slo podemos marcar uno al mismo tiempo.Otras consideraciones a tener en cuenta cuando usamos EFS son: Slo pueden cifrarse archivos y carpetas en volmenes NTFS. Podemos usar WebDAV si queremos tranferir archivos y carpetas cifradas. Los archivos/carpetas cifrados se descifrarn si los movemos a un volumen que no sea NTFS. Si movemos archivos/carpetas dentro de una carpeta cifrada producir el cifrado de lo movido; sin embargo esto no sucede al contrario, si movemos un archivo/carpeta cifrado desde una carpeta cifrada a otra no cifrada, no se descifrarn automticamente, deben descifrarse explcitamente de forma manual. Los archivos marcados con el atributo de archivos de sistema y aqullos residentes en el directorio raz del sistema no se pueden cifrar con EFS. Marcar un archivo/carpeta con el atributo de cifrado no impide que un usuario con los permisos NTFS adecuados puede borrarlos, listarlos o listar directorios si estos permisos permiten dichas funciones. USA EFS y permisos NTFS equilibradamente. Podemos cifrar/descifrar archivos y carpetas de un equipo remoto en el que ha sido habilitado el cifrado remoto. Cuando lo hacemos, los datos son transmitidos por la red de forma NO-Cifrada, deben usarse protocolos como SSL o IPSec para cifrar el trfico.Podemos implementar EFS mediante GPO, por supuesto. Configuracin de Equipo\Configuracin de Windows\Configuracin de Seguridad\Directivas de Clave Pblica\Sistema de cifrado de archivos (EFS).Mediante esta configuracin podemos elegir diversas opciones sobre EFS.BITLOCKERComo vimos anteriormente, EFS no cifra los archivos marcados como de sistema o que se encuentren el el directorio raz del mismo. Entonces, qu podemos hacer? La respuesta es Bitlocker. Diseado para cifrar la particin en la que se encuentra el sistema operativo. A diferencia de EFS, que permite al usuario seleccionar y escoger archivos y carpetas para cifrar, Bitlocker cifra particiones y/o unidades enteras. Puede utilizarse para unidades conectadas localmente, mientras que Bitlocker To Go puede usarse para dispositivos como sticks USB que pueden conectarse de forma temporal. Si el dispositivo se conecta a otro sistema, los datos son inaccesibles. Bitlocker usa una parte hardware incorporada en la placa base llamado chip TPM. Y lo usa para dar las claves que se usarn para desbloquear la unidad cifrada del sistema. Cuando iniciamos el sistema, bitlocker solicita la clave al chip TPM y la usa para desbloquear la unidad.Cuando usamos una unidad cifrada con bitlocker, si aadimos nuevos archivos stos se cifran automticamente. Las unidades (fijas o extrables) pueden desbloquearse con una contrasea o tarjeta inteligente, o establecer que se desbloquee automticamente en cuanto iniciemos sesin en el equipo.Puede usarse junto a EFS. Tened clara la estrategia para que el impacto sobre los usuarios y el acceso a los datos no se penalice.Habilitar Bitlocker:Lo primero es habilitar el chip TPM en la BIOS.Ahora podemos ir al Administrador del servidor y habilitar bitlocker: Caractersticas, aadir caractersticas, seleccionamos Cifrado de unidad Bitlocker y Seguir, luego le damos a Instalar. Se nos pedir que reiniciemos el equipo, una vez reiniciado cerramos la ventana del administrador del servidor.

Desde el botn de inicio, escribir Bitlocker en la caja de bsqueda y pulsar INTRO.

Desde aqu podemos activar el bitlocker.En todo esto hay que tener en cuenta que algo puede ir mal, qu pasa si algo va mal en un servidor con Bitlocker? qu pasa si las claves que contienen el modulo TPM son inaccesibles? Si un usuario pierde su PIN? qu pasa si el hardware falla y queremos salvar el disco duro? Afortunadamente hay un sistema de recuperacin y el proceso depende de un componente muy importante, la CLAVE de recuperacin. Cuando activamos Bitlocker se nos pregunta por una ubicacin en la que almacenar la clave de recuperacin de Bitlocker. Si tenemos acceso a dicha clave podremos recuperar la unidad cifrada. Simple y directa: Iniciamos el ordenador Se nos indicar que no se encuentran las claves para iniciar el descifrado, y una opcin de recuperacin. Escribimos los 48 dgitos de la clave de recuperacin. Se descifrar la unidad y el sistema iniciar con normalidad.Aqu debemos tomar medidas: deshabilitar Bitlocker y descifrar la unidad (ms adelante podemos volver a activarlo y crear una nueva serie de claves) o restablecer la conectividad con la clave original si an disponemos de ella.Bitlocker To GoEsta herramienta nos proporciona el cifrado de una particin pero en unidades removibles. En lugar de usar una herramienta de cifrado, podemos usar Bitlocker para cifrar el contenido de una unidad removible. Como vemos en la imagen anterior de Bitlocker para usar Bitlocker To Go slo se necesita insertar una unidad extrable.Esta herramienta difiere un poco con la anterior: No se necesita el chip TPM para guardar las claves. Necesitars elegir el cmo quieres desbloquear la unidad. Puede hacerse mediante una contrasea que aportars durante la instalacin o con una tarjeta inteligente y su PIN. As como en Bitlocker, aqu tambin hay una clave de recuperacin asociada, guardar este archivo cuidadosamente en un lugar donde no se pierda, o mejor an, se imprime y se guarda en lugar seguro. Recuerda que si el dispositivo se vuelve inaccesible por cualquier razn, la clave de recuperacin ser el nico medio para recuperar los datos.La unidad se cifrar de la misma forma que se cifra la unidad del sistema, un poco ms rpido si el tamao del extrable es ms pequeo. Ya cifrado, en cuanto lo insertemos en cualquier equipo se nos pedir la contrasea o la tarjeta/PIN. Los archivos que se copien o muevan a la unidad se cifrarn.Una opcin para tener archivos y carpetas almacenadas en una unidad extrable de forma segura. Podemos usar adems las GPO para forzar Bitlocker To Go para usar unidades extrables y que las claves de guarden en AD.Posted inWindows 2008 R2,Windows ServerCarpetas: seguridad, acceso y replicacin.Posted on15/09/2011Estaremos de acuerdo en qu uno de los propsitos de una red de servidores es, controlar el acceso a los recursos que se comparten en lla. Estos recursos, como sabemos, pueden ser archivos, carpetas, pginas web, BD, impresoras, etc El trabajo de los servidores es proporcionar acceso a todas estas cosas. Si no haycosasno es necesaria ninguna seguridad ni proteccin, no necesitamos Windows Server.Los permisosUnsistema de archivospor definicin es una estructura jerrquica de carpetas que alojan archivos, y los aseguran mediante series de Listas de Control de Acceso (ACLs) y Entradas de Control de Acceso (ACEs) que definen el tipo de permisos que se permiten o niegan a aqullas carpetas y archivos. As que el primer mtodo para asegurar carpetas y sus archivos en un mundo Windows son lospermisos.Los permisos se encuentran en dos variedades: los permisos para compartir y los permisos NTFS. Cuando se crea una carpeta en el sistema de archivos, hay un conjunto de permisos predeterminados que se le asignan. SYSTEM (el propio sistema), el usuario qu la ha creado y el grupo local de administradores del servidor donde se cre, todos ellos necesitan algn tipo de acceso sobre la carpeta creada. En este caso, al crear una carpeta en la raz del disco un 2008 R2(de ejemplo), quedan as:

Los permisosNTFSse asignan cuando se crea la carpeta, pero se pueden editar en cualquier momento por el usuario o miembro del grupo que tenga el permisomodificarsobre la carpeta.A su vez, los permisos NTFS se dividen en dos tipos: permisos estndar y permisos especiales. Los primeros son exactamente,control total, modificar, lectura y ejecucin, mostrar el contenido de la carpeta, lectura y escritura. Cada uno de ellos pueden permitirse o negarse. Ya que tenemos la opcin de permitir o negar los permisos sobre una carpeta, en un sistema de archivos NTFS, disponemos de flexibilidad sobre el nivel de acceso a una carpeta predeterminada.Como aadido a los permisos estndar, hay permisos especiales que tambin pueden establecerse en cada carpeta y/o archivo. Estos ltimos hacen ms que proporcionar acceso simple a la carpeta en la que se aplican, proporcionan la propiedad de la misma, as como la capacidad de cambiarle los permisos y la jerarqua que pueda existir por debajo de la misma.Para configurar permisos NTFS hemos de seguir unos sencillos pasos: Clic derecho en la carpeta, seleccionar propiedades, seleccionar la pestaa Seguridad y pulsar el botn Editar.A partir de aqu, podemos seleccionar un usuario/grupo existente de la lista de los que ya tienen permisos asignados o, tambin, aadir usuarios/grupos a los que queremos asignarles permisos sobre la carpeta. Estos usuarios/grupos pueden ser locales o pertenecientes al AD (si el equipo est en un dominio y no es un DC en el caso de usuarios locales porque no existen). Y eliminar usuarios/grupos de los que ya tienen permisos asignados.

Tengamos en cuenta una cosa importante, cualquiera no puede aadir, cambiar o eliminar permisos NTFS en una carpeta. Se necesita tener permisos sobre la carpeta para poder hacerlo. Los permisos para cambiar permisos o tomar la propiedad de la carpeta sonpermisos especiales.Para establecer permisos especiales el camino es parecido:Clic derecho en la carpeta y seleccionamos propiedades,

Seleccionamos la pestaa Seguridad y clic en el Botn Opciones Avanzadas

Ahora elegimos la pestaa Permisos y pulsaremos el botn Cambiar Permisos

En la ventana de configuracin de permisos dispondremos de la posibilidad de aadir, editar y cambiar la herencia de los mismos.

Si lo que queremos es ver los permisos efectivos, en vez de elegir la pestaa Permisos, elegiremos la de Permisos efectivos.

Seleccionamos el grupo/usuario y le damos a aceptar.

Para tomar la propiedad de la carpeta, seleccionamos la pestaa Propietario y usamos el botn Editar.

CompartirPara hacer que una carpeta y su contenido estn al alcance mediante la red:1. Escogemos la carpeta2. clic derecho y propiedades3. pestaa Compartir

4. Aqu disponemos de dos opciones, un botn compartir y uno de Uso compartido Avanzado.A. Botn compartir

i. Seleccionamos usuario/grupo

ii. Agregamos

iii. Seleccionamos los permisos

iv. le damos al botn compartir

B. Uso compartido Avanzado

i. Nos sirve tanto para compartir como para dejar de compartir (casilla compartir esta carpeta)

ii. Nombre del recurso, comentarios.iii. Botn permisos, Agregamos usuarios/grupos y marcamos los permisos: slo disponemos de tres.

El recurso finalmente compartido ya muestra en sus propiedades la ruta y que est compartido.

Permisos compartir vs permisos NTFS, la luchaPor qu digo lucha? Pues porque el cruce de ambos tipos de permisos siempre producen quebraderos de cabeza, por experiencia.Conflictos. Eso es lo que tienen los permisos compartir y NTFS, conflictos, pero cmo los resolvemos? En principio os comentar algo bsico a tener en cuenta:a) Cuando marcamos NEGAR siempre es precedente sobre PERMITIR.b) Si los permisos COMPARTIR y NTFS chocan, siempre se aplica el MS RESTRICTIVO!Qu quiero decir con esto? Pues viendo unos ejemplos quizs

Esto puede complicarse mucho si aplicamos permisos sobre usuarios/grupos, cuantos ms usuarios y grupos ms liado.Yo normalmente utilizo un pequeo sistema, Aplico a COMPARTIR Control Total al grupo todos y me olvido de esta parte, desde aqu uso los NTFS sobre la carpeta y slo me preocupo de estos. As si veo que tiene Lectura y quiero que escriba, slo modifico el correspondiente en la pestaa Seguridad. Tambin podra hacerlo a la inversa, pero tendra menos granularidad.En todo caso, me aseguro bien cuando aplico permisos diferentes en Compartir, es decir, si es un recurso que tengo claro que slo debe leerse ni lo cambio, digan lo que digan los NTFS por la Red slo podr leerse.Posted inWindows 2008 R2,Windows ServerProblemas con Directivas de Grupo?Posted on05/09/2011Cuando se trabaja con Directivas de Grupo podemos tener algunos problemas en su aplicacin, as qu hay que usar algunas herramientas para buscar solucionarlos y no perder nuestro tiempo de administracin.Las herramientas integradas se enfocan en predecir el cmo se aplican y el cmo buscar el resultado de esa aplicacin.Group Policy Modeling Wizard (GPMW), Group Policy Results Wizard (GPRW), GPresult.exe, y el elemento de MMC: RSOP.Por ltimo, estas herramientas nos permitirn ver el orden de precedencia en accin. Podemos ver qu directivas se aplicaron sobre el sistema y cules son las qu vencieron.Adems, ya que las directivas se basan en la red, todas las herramientas que utilizamos para comprobarla desde el ping a la resolucin de nombres- son vlidas para solucionar problemas de directiva.GPMW Modelado de directivas de grupoGPMW nos permite previsualizar nuestras directivas de grupo. La herramienta modela los resultados de las directivas antes de implementarlas. Esta herramienta construye informes basados en lo qu est configurado a nivel de sitios, dominios y OUs, tanto para equipos como para usuarios. Basado en las reglas de aplicacin de directivas, la herramienta nos proporciona una instantnea de las directivas que se aplicarn. Tambin nos muestra cmo afectar cualquier filtro WMI o de seguridad.GPMW se encuentra en la consola GPMC. Es importante recalcar que GPMW evala slo un RSOP terico basado en todas las directivas y filtros establecidos va Active Directory.Para crear un modelado:1. Clic derecho en Modelado de directivas de grupo, clic en Asistente para modelado de directivas de grupo.

2. Siguiente en la ventana de bienvenida.

3. Seleccionamos el Controlador de dominio que queremos utilizar para procesar la solicitud de modelado y siguiente.

4. Escoger que queremos modelar. Podemos elegir un usuario o equipo individual, o un mbito (dominio u OU) para cualquiera de ellos (equipo o usuario). Una combinacin de lo anterior.

5. Tambin podemos simular una red lenta o un bucle invertido en la pgina de dilogo de simulacin.

6. Elegiremos la ruta de AD alternativo u otras ubicaciones a simular. (Esta pgina podra no mostrarse dependiendo de la eleccin en el paso 3)7. Simular los cambios en el grupo de seguridad del usuario.

8. O, simular los cambios en el grupo de seguridad del equipo.

9. Los filtros para usuarios.

10. Los filtros para equipo.

11. Vemos un resumen y siguiente para la creacin del modelado.

12. Pulsamos en finalizar y obtenemos el informe, aparece bajo el nodo de modelado de directivas de grupo.

El informe queda bajo el nodo de Modelado.

GPRW o Asistente de Resultados de Directivas de GrupoHay algunas herramientas que nos permiten obtener el RSOP. Una de ellas se encuentra en la consola, GPMC, el asistente de Resultados de directiva de grupo.Una vez localizada en el rbol de la izquierda:1. Clic derecho y seleccionamos Asistente de resultado de directivas de grupo.

2. Siguiente en la ventana de bienvenida.

3. Seleccionamos el equipo, local o remoto. Siguiente.

4. Seleccionamos la cuenta de usuario para el que queremos el RSOP, Siguiente.

5. Ventana resumen, siguiente.

6. Pulsamos en finalizar para volver a GPMC y ver el informe.

GPResult.exeHerramienta desde l smbolo del sistema, nos permite ver los resultados de directiva de grupo tanto para el sistema local y usuario actual, como equipos remotos y otros usuarios. Como otros comandos, dispone de commutadores y parmetros que proporcionan informacin adicional. Pueden entubarse los resultados hacia un archivo de texto y utilizar el comando en archivos de lotes y/o scripts.

RSOP, elemento de MMC, conjunto resultante de directivas.Slo hemos de abrir la MMC y aadirlo. Tambin podemos iniciarlo desde el elemento Usuarios y equipos de ACtive Directory.

Esta herramienta es similar al asistente de resultados de directiva, pero con la ventaja de que puede mostrar los resultados de mltiples directivas. Disponible en dos modos, Planning i Logging modes. La diferencia principal entre ellos es el cmo proporcionamos el RSOP. Planning mode es similar a GPMW, simula el proceso de directivas, mientras Logging mode consulta la BD WMI de un equipo especfico, que se reune cuando se aplica la directiva. Podemos ver informacin del usuario con esta herramienta slo si el usuario ha iniciado sesin en el sistema. Adems, veremos slo aqullas directivas que se hayan procesado en el sistema.Ambos modos tienen ventajas. La principal de Planning es la generacin de informes basados en los valores que sern procesados antes de serlo. Permite la simulacin de comportamientos y solucionar problemas antes de aplicar las directivas en produccin. En cuanto a Logging, la principal ventaja es la exactitud, ya que el informe est basado en lo qu realmente se ha procesado.Posted inDirectivas,Herramientas,Windows 2008 R2Automatizando tareas administrativas: Copia de seguridad de las GPO del dominioPosted on01/09/2011Tener una copia de seguridad de las Directivas de Grupo nos vendr bien en algunos casos. Para realizar dicha copia podemos acceder simplemente a la Consola de administracin de Directivas y hacer unos pocos pasos:1. Clic derecho en los objetos de Directiva de Grupo y clic en hacer copia de seguridad de todos

2. Indicamos la ruta y la descripcin, y se realiza la copia de seguridad.

Aunque tambin podemos hacerlo con Powershell, por ejemplo desde El script-center tenemos un script para copiar las Directivas de Grupo modificadas en el mes.http://blogs.technet.com/b/grouppolicy/archive/2009/03/26/powershell-script-backup-all-gpos-that-have-been-modified-this-month.aspxEl cdigo es prcticamente el mismo, pero he traducido las cadenas y aadidoimport-ActiveDirectorypara que pueda usar los cmdlets de AD, y cambiado la sentencia que recoge las GPO para que hiciera el backup de todas en lugar de las modificadas. 1 # El siguiente script busca todas las Directivas de Grupo en el dominio que hayan sido modificadas este mes. Entonces genera una copia de seguridad y un informe de configuracin por cada una. Finalmente lista todas las que se han copiado. 2 ## depende de si se accede por el acceso a la consola powershell de AD o se ha navegado hacia all primero 3 4 # necesario para usar los cmdlets de directiva de grupo y Active Directory 5 import-module ActiveDirectory 6 import-module grouppolicy 7 8 #Sacar todas las directivas de grupo enlazadas en el dominio del equipo local 9 #el primer paso es obtener el objeto dominio 10 # intro "get-ADDomain -?" para la ayuda 11 12 $mydomain = get-ADDomain -current LocalComputer 13 14 # el siguiente paso es obtener todas las directivas de grupo actualmente en el dominio que hayan sido modificadas este mes 15 16 $currentDate = get-Date 17 18 # $ModGPOs = get-gpo -domain $mydomain.DNSRoot -all | where {$_.ModificationTime.Year.equals($currentDate.Year) -And $_.ModificationTime.Month.equals($CurrentDate.Month)} 19 20 $ModGPOs = get-gpo -domain $mydomain.DNSRoot -all21 22 # bucle de las directivas de grupo 23 24 $RootPath = "C:\GPOBackup\Reports\" 25 26 Foreach ($GPO in $ModGPOs) { 27 # Copia de seguridad de la directiva en la ruta especificada 28 $GPOBackup = backup-GPO $GPO.DisplayName -path "C:\GPOBackup" 29 30 # Primero crea la ruta del informe, luego lo genera con la configuracin guardada. 31 $ReportPath = $RootPath + $GPO.ModificationTime.Month + "-"+ $GPO.ModificationTime.Day + "-" + $GPO.ModificationTime.Year + "_" + $GPO.Displayname + "_" + $GPOBackup.Id + ".html" 32 get-GPOReport -Name $GPO.DisplayName -path $ReportPath -ReportType HTML 33 } 34 35 # Salida de cuales directivas de grupo se han guardado correctamente. 36 37 "Las siguientes " + $ModGPOs.count + " Directivas de Grupo se han guardado correctamente:" | out-host 38 39 Foreach ($GPO in $ModGPOs) { 40 " " + $GPO.DisplayName | out-host 41 } 42 43 "Ir a " + $RootPath + " para ver los informes de configuracin de las Directivas de Grupo guardadas." | out-host44

Posted inDirectivas,Herramientas,Powershell,Windows 2008 R2Directivas y PreferenciasPosted on31/08/2011Si leemosGPMC, herramienta principal de creacin de Directivas.UnaGPOes un objeto que contiene la configuracin de valores que queremos aplicar a usuarios y/o equipos. En espaol,Directiva de Grupo.UnLinkde Directiva de Grupo es lo que enlaza la directiva a la parte del entorno deADdonde queremos aplicarla. Referido a su mbito, en el que hay tres niveles donde las aplicamos: Sitios, dominios y OUs.ElEditor de Directivas de grupoes la herramienta que se utiliza para modificar los valores de las directivas, y los valores disponibles se basan en las plantillas administrativas disponibles y cargadas.Los archivosADMXtienen dos propsitos. El primero es definir los valores y la ubicacin de configuracin (en el equipo local) para aqullos. La segunda es crear el interfaz que usamos para las modificaciones desde el Editor.Las PREFERENCIAS proporcionan una alternativa para trabajar con imgenes en toda la organizacin y administrar valores que no se han configurado antes en unaGPO. Inicialmente esta configuracin establecida por el administrador del sistema refleja un estado predeterminado del sistema operativo y, estos valores no son obligatorios necesariamente.Cuando hablamos deRSOPnos referimos al conjunto resultante de configuracin de Directivas de Grupo aplicadas al finalizar completamente su proceso. Podra ser una combinacin de varios niveles de Directivas.Directivas vs PreferenciasDos son las formas de configurar sistemas, las Directivas y las Preferencias. Ambas pueden modificar los objetos equipo y usuario, sin embargo la razn de su uso es muy diferente. La ms importancia su obligatoriedad, las Directivas lo son, mientras que las Preferencias no lo son estrictamente.Directivas:Los valores e interfaz se basan enplantillas administrativas. Realizan cambios en elRegistrosegn las indicaciones de la plantilla. Hay secciones especiales de las ramas del Registro que se controlan mediante Directivas, conocidas como las verdaderas. En caso de valores de Equipo: HKEY_LOCAL_MACHINE\SOFTWARE\policies HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policiesy para el Usuario: HKEY_CURRENT_USER\SOFTWARE\policies HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policiesCada vez que el sistema procesa una Directiva y obtiene el RSOP, estas ramas del Registro (claves y valores) son borrados y reescritos con la nueva RSOP. Esto pasa slo en la medida que una Directiva de grupo vlida se sigue aplicando al equipo o usuario.Finalmente, podemos crear nuestros propios valores de Directiva modificando una de las plantillas administrativas existentes o creando una nueva. Esto nos permite trabajar con el Registro completo (exceptando las ramas mencionadas antes). Sin embargo, es muy importante advertir que estos valores tatuarn el Registro. En otras palabras, los valores quedarn establecidos permanentemente hasta que especficamente los revertamos en la Directiva. Esto significa que si eliminamos nuestra Directiva, este tipo de valores no desaparecen y debemos revertirlos a mano.Preferencias:Introducidas desde MS Windows 2008, nos proporcionan una alternativa al uso de scripts para realizar tareas comunes. Estas tareas, en todo caso, no eran fciles de hacer en las Directivas. Las preferencias nos permiten ahora modificar valores del Registro Local, grupos y usuarios locales, archivos y carpetas, impresoras, servicios locales, unidades de red, y otros muchos valores locales. Ya que las Preferencias no son obligatorias, los usuarios pueden realizar cambios. Adems, son de utilidad para aplicaciones a las que las Directivas no cuenta y valores del sistema. Sin embargo, siempre que un usuario decide cambiar algo, lo ms probable es que no disponga del permiso necesario para hacerlo ya que la mayora de las Preferencias requieren algn tipo de credenciales administrativas.Tambin podemos aplicar elementos de preferencias individuales mediante el filtrado de Directivas, aunque de forma distinta a las Directivas verdaderas, ya que en las segundas no podemos individualizar valores dentro de la Directiva.En Windows Server 2008 R2, la edicin de Preferencias se ha mejorado.Veamoslo con un ejemplo:Hasta ahora, yo mismo usaba un script de vbs para asignar unidades de red e impresoras a los usuarios, por ejemplo:Dim oNetSet oNet = CreateObject("WScript.Network")ONet.MapNetworkDrive "Z:", "\\SRVDOMpruebas\compartido"Set WshNetwork = CreateObject("WScript.Network")PrinterPath = "\\SRVDOMpruebas\hpbusiness"PrinterDriver = "HP BUSINESS injeck 1000"WshNetwork.AddWindowsPrinterConnection PrinterPath, PrinterDriverWshNetwork.SetDefaultPrinter "\\SRVDOMpruebas\hpbusiness"Una unidad mapeada como Z que apunta al recurso compartido y una impresora instalada en SRVDOMpruebas denominada hpbusiness, que ademas se estableca como predeterminada.Bien, ahora esto podemos hacerlo con unaGPP, es decir, Group Policy Preferences o Preferencias de Directiva de Grupo.Crear una GPP es como crear una GPO, abrimos la consola de Administracin de Directivas y vamos con el ejemplo.1. Seleccionamos Objetos de Directiva de Grupo, clic derecho y NUEVA, le damos un nombre descriptivo y dejamos el origen como sale.

2. Clic derecho en la nueva directiva y Editar.

3. Unidad de red:

A. En el editor escogemos la ruta, Configuracin de Usuario|Preferencias|Configuracin de Windows|Unidades de red, clic derecho, Nueva Unidad y seguimos el asistente.

B. El valor de Accin es lo ms importante, cuatro posibilidades:i. Crear. La preferencia se configurar si la configuracin no existe, por el contrario si ya existe, no se realizar ninguna accin.ii. Reemplazar. Se elimina y se recrea de nuevo la configuracin.iii. Actualizar. La ms poderosa, con ella lo hacemos todo, lo crea si no existe y si existe la actualiza.iv. Eliminar. Se quita la configuracin.

C. Realizada la configuracin como queda en la imagen, seguimos con el siguiente paso, configurar a qu usuarios les afectar la preferencia. (En este caso, esta es una de las dos configuraciones que residirn en la misma GPO que se enlazar a los usuarios de una OU, la otra es la impresora.) Para elegir los destinatarios de la OU receptora que pertenecern al grupo pruebas.i. Pestaa Comunes.

ii. Marcar la casilla Destinatarios de nivel de elemento.iii. Pulsar el botn Destinatarios.D. Aqu tenemos el Editor de Destinatarios, vamos a individualizar, en este caso usuarios pero podramos hacerlo con equipos tambin.

i. En este caso los destinatarios son los usuarios del grupo pruebas, Nuevo elemento, grupo de seguridad.ii. Pulsamos en el botn y elegimos el grupo.

iii. Aceptar para finalizar la configuracin.Aqu ya tenemos la UNIDAD DE RED en Z:\, equivalente a la primera parte del script de ejemplo.Para aadir la impresora realizaremos los mismos pasos, pero esta vez elegiremos Impresora compartida.Y tambin escogeremos los destinatarios, en este caso por rango de IP.Juansa2011Posted inDirectivas,Preferencias,Windows 2008 R2Post navigationOlder postsNewer postsCALENDARIOMTWTFSS

Jun

1234567

891011121314

15161718192021

22232425262728

2930

JUNE 2015

VISITAS

RECENT POSTS Trabajo con discos y particiones III Trabajo con discos y particiones (Bsico) II Access bsico (Jos Bengoechea Ibaceta) Trabajo con discos y particiones (Bsico) I DiscosPowerShell y las GPOPosted on21/12/2011Con Active Directory desplegado en nuestra entorno deberamos ser capaces de controlar la seguridad, administracin y el acceso a los recursos desde una ubicacin centralizada. Y adems administrar y controlar los escritorios!Cmo hemos ido viendo en multitud de ocasiones, AD tiene una herramienta Group Policy (Directiva de grupo), para centralizar los escritorios. Con ella podemos administrar virtualmente todo en los sistemas de nuestro entorno, desde el fondo del escritorio hasta qu aplicaciones pueden ejecutarse. Incluyendo no slo los escritorios cliente sino tambin los servidores.Directiva de grupo nos permite obligar el cumplimiento de nuestras polticas, implementar cualquier configuracin de seguridad que queramos e, implementar un entorno estndar a travs de todo el Directorio Activo.Con un entorno estndar proporcionamos una base consistente y adems aligerar las llamadas de soporte al departamento. Antes de ver como podemos trabajar con Poweshell y GP, repasemos algunas cuestiones bsicas:Conocer sobre:DESCRIPCIN

GPMCConsola administracin DirectivasInterfaz principal, aqu creamos los GPOs. Definimos a qu se aplicarn los enlaces creados. Disponemos de tres mbitos o alcances: Sites, Dominios y OUs.

GPOObjeto de Directiva de GrupoObjeto que contiene la configuracin que queremos aplicar a usuarios y/o equipos. Se enlazan a OUs.

Enlacede Directiva de GrupoEnlaza un GPO a la parte del entorno AD al qu queremos que se le aplique. Conocido como mbito o alcance: Sites, Dominios y OUs.

ArchivoADMXArchivo de plantilla administrativa, define la ubicacin de la configuracin y valores en el sistema local, y crea el interfaz que usamos para modificar dicha configuracin/valores desde el Editor de Directivas de grupo, que no es ms que un GUI de administracin de las mismas.

Preferenciasde Directiva de GrupoProporciona alternativas para trabajar con imgenes en toda la organizacin y as administrar configuraciones que no son fciles desde la Directiva de Grupo. Esta configuracin, inicialmente establecida por el administrador, refleja un estado del sistema predeterminado y que no es obligatorio.

RSoPConjunto de configuraciones de directiva aplicadas despus del completo proceso de las mismas. Puede ser una combinacin de muchos niveles de Directivas.

En cuanto a los mbitos o alcance hemos de tener en cuenta qu:El mbito ms grande es el SITE y aqu se ven afectados todos los dominios y objetos que contenga.En el DOMINIO se vern afectados todos los objetos contenidos en l.En las OU, todos los objetos que contengan, as como los sucesivos anidamientos de OUs y sus objetos.El uso de unos u otros se determina por las necesidades, si bien hay algunas recomendaciones al efecto:Configuracin de seguridad de red o IPSec, a nivel de SITE.Contraseas y resto de valores de seguridad, DOMINIO.Aplicacin de Directivas de Grupo en las OU, es lo que ms recomiendan, proporcionan facilidad de administracin y localizacin de nuestras Directivas.Administrar las Directivas de GrupoComo otras herramientas, powershell ha dedicado un mdulo para almacenar los cmdlets que podemos usar en la administracin de Directivas de Grupo. ste mdulo no est disponible en todos los sistemas en los que Powershell est instalado. Slo se encuentra en DCs, servidores miembros con GPMC instalada o Windows 7 con RSAT instaladas.Para importar el mdulo usamos el comando:Import-Module grouppolicyAunque si lo intentamos en un equipo que no cumpla los requisitos recibiremos un mensajito

Pero sigamos en uno que s,

Una vez importado podemos listar los cmdlets disponibles,Get-Command module grouppolicy

El comandoGet-GPO Allnos permite ver las GPO del dominio.Establece un valor de Preferencia. Igual que el anterior, hay que conocer la ubicacin en el Registro.CmdletQu hace:

Get-GPOLista las GPO en el Dominio, podemos listar una especficamente o todas.

New-GPOCrea una nueva GPO en el dominio.

New-GPLinkCrea un nuevo vnculo de GPO hacia una GPO existente en el dominio.

Set-GPRegistryValueEstablece un valor de directiva. Para que este cmdlet sea efectivo en la GPO, hay que conocer la ubicacin de la misma en el Registro.

Set-GPPrefRegistryValueEstablece un valor de Preferencia. Hay que conocer la ubicacin en el Registro.

Ejemplos: Get-GPO All

Podemos ver la configuracin de una en particular, por ejemplo listamos las que hay en SySVol

Y con su GUID

Y con su nombre

Posted inDirectivas,Powershell,Scripting,Windows 2008 R2Problemas con Directivas de Grupo?Posted on05/09/2011Cuando se trabaja con Directivas de Grupo podemos tener algunos problemas en su aplicacin, as qu hay que usar algunas herramientas para buscar solucionarlos y no perder nuestro tiempo de administracin.Las herramientas integradas se enfocan en predecir el cmo se aplican y el cmo buscar el resultado de esa aplicacin.Group Policy Modeling Wizard (GPMW), Group Policy Results Wizard (GPRW), GPresult.exe, y el elemento de MMC: RSOP.Por ltimo, estas herramientas nos permitirn ver el orden de precedencia en accin. Podemos ver qu directivas se aplicaron sobre el sistema y cules son las qu vencieron.Adems, ya que las directivas se basan en la red, todas las herramientas que utilizamos para comprobarla desde el ping a la resolucin de nombres- son vlidas para solucionar problemas de directiva.GPMW Modelado de directivas de grupoGPMW nos permite previsualizar nuestras directivas de grupo. La herramienta modela los resultados de las directivas antes de implementarlas. Esta herramienta construye informes basados en lo qu est configurado a nivel de sitios, dominios y OUs, tanto para equipos como para usuarios. Basado en las reglas de aplicacin de directivas, la herramienta nos proporciona una instantnea de las directivas que se aplicarn. Tambin nos muestra cmo afectar cualquier filtro WMI o de seguridad.GPMW se encuentra en la consola GPMC. Es importante recalcar que GPMW evala slo un RSOP terico basado en todas las directivas y filtros establecidos va Active Directory.Para crear un modelado:1. Clic derecho en Modelado de directivas de grupo, clic en Asistente para modelado de directivas de grupo.

2. Siguiente en la ventana de bienvenida.

3. Seleccionamos el Controlador de dominio que queremos utilizar para procesar la solicitud de modelado y siguiente.

4. Escoger que queremos modelar. Podemos elegir un usuario o equipo individual, o un mbito (dominio u OU) para cualquiera de ellos (equipo o usuario). Una combinacin de lo anterior.

5. Tambin podemos simular una red lenta o un bucle invertido en la pgina de dilogo de simulacin.

6. Elegiremos la ruta de AD alternativo u otras ubicaciones a simular. (Esta pgina podra no mostrarse dependiendo de la eleccin en el paso 3)7. Simular los cambios en el grupo de seguridad del usuario.

8. O, simular los cambios en el grupo de seguridad del equipo.

9. Los filtros para usuarios.

10. Los filtros para equipo.

11. Vemos un resumen y siguiente para la creacin del modelado.

12. Pulsamos en finalizar y obtenemos el informe, aparece bajo el nodo de modelado de directivas de grupo.

El informe queda bajo el nodo de Modelado.

GPRW o Asistente de Resultados de Directivas de GrupoHay algunas herramientas que nos permiten obtener el RSOP. Una de ellas se encuentra en la consola, GPMC, el asistente de Resultados de directiva de grupo.Una vez localizada en el rbol de la izquierda:1. Clic derecho y seleccionamos Asistente de resultado de directivas de grupo.

2. Siguiente en la ventana de bienvenida.

3. Seleccionamos el equipo, local o remoto. Siguiente.

4. Seleccionamos la cuenta de usuario para el que queremos el RSOP, Siguiente.

5. Ventana resumen, siguiente.

6. Pulsamos en finalizar para volver a GPMC y ver el informe.

GPResult.exeHerramienta desde l smbolo del sistema, nos permite ver los resultados de directiva de grupo tanto para el sistema local y usuario actual, como equipos remotos y otros usuarios. Como otros comandos, dispone de commutadores y parmetros que proporcionan informacin adicional. Pueden entubarse los resultados hacia un archivo de texto y utilizar el comando en archivos de lotes y/o scripts.

RSOP, elemento de MMC, conjunto resultante de directivas.Slo hemos de abrir la MMC y aadirlo. Tambin podemos iniciarlo desde el elemento Usuarios y equipos de ACtive Directory.

Esta herramienta es similar al asistente de resultados de directiva, pero con la ventaja de que puede mostrar los resultados de mltiples directivas. Disponible en dos modos, Planning i Logging modes. La diferencia principal entre ellos es el cmo proporcionamos el RSOP. Planning mode es similar a GPMW, simula el proceso de directivas, mientras Logging mode consulta la BD WMI de un equipo especfico, que se reune cuando se aplica la directiva. Podemos ver informacin del usuario con esta herramienta slo si el usuario ha iniciado sesin en el sistema. Adems, veremos slo aqullas directivas que se hayan procesado en el sistema.Ambos modos tienen ventajas. La principal de Planning es la generacin de informes basados en los valores que sern procesados antes de serlo. Permite la simulacin de comportamientos y solucionar problemas antes de aplicar las directivas en produccin. En cuanto a Logging, la principal ventaja es la exactitud, ya que el informe est basado en lo qu realmente se ha procesado.

PowerShell y las GPOPosted on21/12/2011Con Active Directory desplegado en nuestra entorno deberamos ser capaces de controlar la seguridad, administracin y el acceso a los recursos desde una ubicacin centralizada. Y adems administrar y controlar los escritorios!Cmo hemos ido viendo en multitud de ocasiones, AD tiene una herramienta Group Policy (Directiva de grupo), para centralizar los escritorios. Con ella podemos administrar virtualmente todo en los sistemas de nuestro entorno, desde el fondo del escritorio hasta qu aplicaciones pueden ejecutarse. Incluyendo no slo los escritorios cliente sino tambin los servidores.Directiva de grupo nos permite obligar el cumplimiento de nuestras polticas, implementar cualquier configuracin de seguridad que queramos e, implementar un entorno estndar a travs de todo el Directorio Activo.Con un entorno estndar proporcionamos una base consistente y adems aligerar las llamadas de soporte al departamento. Antes de ver como podemos trabajar con Poweshell y GP, repasemos algunas cuestiones bsicas:Conocer sobre:DESCRIPCIN

GPMCConsola administracin DirectivasInterfaz principal, aqu creamos los GPOs. Definimos a qu se aplicarn los enlaces creados. Disponemos de tres mbitos o alcances: Sites, Dominios y OUs.

GPOObjeto de Directiva de GrupoObjeto que contiene la configuracin que queremos aplicar a usuarios y/o equipos. Se enlazan a OUs.

Enlacede Directiva de GrupoEnlaza un GPO a la parte del entorno AD al qu queremos que se le aplique. Conocido como mbito o alcance: Sites, Dominios y OUs.

ArchivoADMXArchivo de plantilla administrativa, define la ubicacin de la configuracin y valores en el sistema local, y crea el interfaz que usamos para modificar dicha configuracin/valores desde el Editor de Directivas de grupo, que no es ms que un GUI de administracin de las mismas.

Preferenciasde Directiva de GrupoProporciona alternativas para trabajar con imgenes en toda la organizacin y as administrar configuraciones que no son fciles desde la Directiva de Grupo. Esta configuracin, inicialmente establecida por el administrador, refleja un estado del sistema predeterminado y que no es obligatorio.

RSoPConjunto de configuraciones de directiva aplicadas despus del completo proceso de las mismas. Puede ser una combinacin de muchos niveles de Directivas.

En cuanto a los mbitos o alcance hemos de tener en cuenta qu:El mbito ms grande es el SITE y aqu se ven afectados todos los dominios y objetos que contenga.En el DOMINIO se vern afectados todos los objetos contenidos en l.En las OU, todos los objetos que contengan, as como los sucesivos anidamientos de OUs y sus objetos.El uso de unos u otros se determina por las necesidades, si bien hay algunas recomendaciones al efecto:Configuracin de seguridad de red o IPSec, a nivel de SITE.Contraseas y resto de valores de seguridad, DOMINIO.Aplicacin de Directivas de Grupo en las OU, es lo que ms recomiendan, proporcionan facilidad de administracin y localizacin de nuestras Directivas.Administrar las Directivas de GrupoComo otras herramientas, powershell ha dedicado un mdulo para almacenar los cmdlets que podemos usar en la administracin de Directivas de Grupo. ste mdulo no est disponible en todos los sistemas en los que Powershell est instalado. Slo se encuentra en DCs, servidores miembros con GPMC instalada o Windows 7 con RSAT instaladas.Para importar el mdulo usamos el comando:Import-Module grouppolicyAunque si lo intentamos en un equipo que no cumpla los requisitos recibiremos un mensajito

Pero sigamos en uno que s,

Una vez importado podemos listar los cmdlets disponibles,Get-Command module grouppolicy

El comandoGet-GPO Allnos permite ver las GPO del dominio.Establece un valor de Preferencia. Igual que el anterior, hay que conocer la ubicacin en el Registro.CmdletQu hace:

Get-GPOLista las GPO en el Dominio, podemos listar una especficamente o todas.

New-GPOCrea una nueva GPO en el dominio.

New-GPLinkCrea un nuevo vnculo de GPO hacia una GPO existente en el dominio.

Set-GPRegistryValueEstablece un valor de directiva. Para que este cmdlet sea efectivo en la GPO, hay que conocer la ubicacin de la misma en el Registro.

Set-GPPrefRegistryValueEstablece un valor de Preferencia. Hay que conocer la ubicacin en el Registro.

Ejemplos: Get-GPO All

Podemos ver la configuracin de una en particular, por ejemplo listamos las que hay en SySVol

Y con su GUID

Y con su nombre

Posted inDirectivas,Powershell,Scripting,Windows 2008 R2Problemas con Directivas de Grupo?Posted on05/09/2011Cuando se trabaja con Directivas de Grupo podemos tener algunos problemas en su aplicacin, as qu hay que usar algunas herramientas para buscar solucionarlos y no perder nuestro tiempo de administracin.Las herramientas integradas se enfocan en predecir el cmo se aplican y el cmo buscar el resultado de esa aplicacin.Group Policy Modeling Wizard (GPMW), Group Policy Results Wizard (GPRW), GPresult.exe, y el elemento de MMC: RSOP.Por ltimo, estas herramientas nos permitirn ver el orden de precedencia en accin. Podemos ver qu directivas se aplicaron sobre el sistema y cules son las qu vencieron.Adems, ya que las directivas se basan en la red, todas las herramientas que utilizamos para comprobarla desde el ping a la resolucin de nombres- son vlidas para solucionar problemas de directiva.GPMW Modelado de directivas de grupoGPMW nos permite previsualizar nuestras directivas de grupo. La herramienta modela los resultados de las directivas antes de implementarlas. Esta herramienta construye informes basados en lo qu est configurado a nivel de sitios, dominios y OUs, tanto para equipos como para usuarios. Basado en las reglas de aplicacin de directivas, la herramienta nos proporciona una instantnea de las directivas que se aplicarn. Tambin nos muestra cmo afectar cualquier filtro WMI o de seguridad.GPMW se encuentra en la consola GPMC. Es importante recalcar que GPMW evala slo un RSOP terico basado en todas las directivas y filtros establecidos va Active Directory.Para crear un modelado:1. Clic derecho en Modelado de directivas de grupo, clic en Asistente para modelado de directivas de grupo.

2. Siguiente en la ventana de bienvenida.

3. Seleccionamos el Controlador de dominio que queremos utilizar para procesar la solicitud de modelado y siguiente.

4. Escoger que queremos modelar. Podemos elegir un usuario o equipo individual, o un mbito (dominio u OU) para cualquiera de ellos (equipo o usuario). Una combinacin de lo anterior.

5. Tambin podemos simular una red lenta o un bucle invertido en la pgina de dilogo de simulacin.

6. Elegiremos la ruta de AD alternativo u otras ubicaciones a simular. (Esta pgina podra no mostrarse dependiendo de la eleccin en el paso 3)7. Simular los cambios en el grupo de seguridad del usuario.

8. O, simular los cambios en el grupo de seguridad del equipo.

9. Los filtros para usuarios.

10. Los filtros para equipo.

11. Vemos un resumen y siguiente para la creacin del modelado.

12. Pulsamos en finalizar y obtenemos el informe, aparece bajo el nodo de modelado de directivas de grupo.

El informe queda bajo el nodo de Modelado.

GPRW o Asistente de Resultados de Directivas de GrupoHay algunas herramientas que nos permiten obtener el RSOP. Una de ellas se encuentra en la consola, GPMC, el asistente de Resultados de directiva de grupo.Una vez localizada en el rbol de la izquierda:1. Clic derecho y seleccionamos Asistente de resultado de directivas de grupo.

2. Siguiente en la ventana de bienvenida.

3. Seleccionamos el equipo, local o remoto. Siguiente.

4. Seleccionamos la cuenta de usuario para el que queremos el RSOP, Siguiente.

5. Ventana resumen, siguiente.

6. Pulsamos en finalizar para volver a GPMC y ver el informe.

GPResult.exeHerramienta desde l smbolo del sistema, nos permite ver los resultados de directiva de grupo tanto para el sistema local y usuario actual, como equipos remotos y otros usuarios. Como otros comandos, dispone de commutadores y parmetros que proporcionan informacin adicional. Pueden entubarse los resultados hacia un archivo de texto y utilizar el comando en archivos de lotes y/o scripts.

RSOP, elemento de MMC, conjunto resultante de directivas.Slo hemos de abrir la MMC y aadirlo. Tambin podemos iniciarlo desde el elemento Usuarios y equipos de ACtive Directory.

Esta herramienta es similar al asistente de resultados de directiva, pero con la ventaja de que puede mostrar los resultados de mltiples directivas. Disponible en dos modos, Planning i Logging modes. La diferencia principal entre ellos es el cmo proporcionamos el RSOP. Planning mode es similar a GPMW, simula el proceso de directivas, mientras Logging mode consulta la BD WMI de un equipo especfico, que se reune cuando se aplica la directiva. Podemos ver informacin del usuario con esta herramienta slo si el usuario ha iniciado sesin en el sistema. Adems, veremos slo aqullas directivas que se hayan procesado en el sistema.Ambos modos tienen ventajas. La principal de Planning es la generacin de informes basados en los valores que sern procesados antes de serlo. Permite la simulacin de comportamientos y solucionar problemas antes de aplicar las directivas en produccin. En cuanto a Logging, la principal ventaja es la exactitud, ya que el informe est basado en lo qu realmente se ha procesado.