March 22, 2012

AD Recycle Bin UI


Y bien continuando con la tendencia que hemos visto en Windows Server 8 Beta pues les comento que también para el AD Recycle Bin se a creado una interfaz grafica.
Desde el mismo Active Directory Administrative Center se puede navegar al contenedor de objetos borrados.
Algo que me gusta mucho es que en la vista por defecto puedes mirar los objetos basados en su ultimo contenedor padre.


En las opciones de recuperación podemos también establecer un nuevo contenedor padre, excelente eso!


Bueno, adelante, a explorar Server 8 amigos!

March 21, 2012

Un buen blog.

Estimados cibernautas, si gustan leer algo mas, en Español desde luego, pues acá les dejo el hipervínculo para el blog de un buen amigo mio http://blogs.itpro.es/jimcesse
Jimcesse, espero ver el articulo del scanvenger!

SID?!?

Constantemente escuchamos términos curiosos en esto de la informática e inclusive inventamos palabras o verbos. Hoy vamos a ver un poco eso de los SID (Como me gustaría a mi ser un Lord Sid)..
Antes que nada hablemos un poco de los “security principals”. En un entorno Windows esto es una entidad que se puede identificar de manera única y que necesitan acceso a algún recurso regido por una autoridad de seguridad (en este caso los controladores de domino o el SAM).
Perfecto, ahora bien cada security principal tiene un identificador alfanumérico único, llamado SID (Security IDentifier). Estos identificadores son utilizados por los mecanismos de seguridad del sistema, no son “amistosos” como el UPN o sAMAccountName.
También son únicos en el espacio y tiempo, con esto me refiero que aunque elimines y luego recrees un objeto con el mismo nombre este no tendrá el mismo identificador.

Un SID esta compuesto de la siguiente manera:

S            Letra S básicamente define que este objeto es un SID.
1            El nivel de revisión de la estructura del SID (por ahora únicamente versión 1 es posible).
5            Identificador de la autoridad de mayor nivel que emite el SID.*
21           Número variable que identifica las sub autoridades.
##-##-##     Identificador de la sub autoridad de dominio, compuesto por 3 grupos de 32bits.
###          El RID del objeto en cuestión.

*SID de las autoridades de máximo nivel.

0            SID_IDENTIFIER_AUTHORITY
1            SECURITY_WORLD_SID_AUTHORITY [Contiene el grupoEveryone (S-1-1-0)]
2            SECURITY_LOCAL_SID_AUTHORITY
3            SECURITY_CREATOR_SID_AUTHORITY [Contiene los grupos Creator Owner, Creator Group, Creator Owner Server, Creator Group Server (S-1-3-0 thru S-1-3-5)]
4            SECURITY_NON_UNIQUE_AUTHORITY
5            SECURITY_NT_AUTHORITY [Contiene los demás well-known security principals (S-1-5-xxx), usuarios, grupos, etc…]
9            SECURITY_RESOURCE_MANAGER_AUTHORITY

**RIDs van desde 1000 hasta to 1 o 2 billones.
-Las cuentas Built-In de domino siempre inician con S-1-5-32.
-Ya sea en un ámbito local o de domino, la cuenta de un usuario regular inicia siempre con S-1-5-21.
Bueno espero esto les sea útil.
Hasta pronto!

March 16, 2012

TechNet Virtual Labs


Hace unos días hablaba con un cliente sobre algún tipo de laboratorios donde ellos puedan practicar, afinar y aprender nuevas habilidades. Esto pues muchas veces en nuestros humildes ambientes de pruebas pues no tenemos todo lo que necesitamos.
La respuesta es los TechNet Virtual Labs. Escenarios ya prestablecidos, variedad de tecnologías, documentación detallada y sin costo algo.
Y ahora, que esperas?

Atributos en desuso.


Anteriormente en Exchange 2003 y 2007 al intentar hacer una conexión a un buzón de correo se utilizaban como guía los atributos homeMTA y msExchHomeServerName, lo cuales indicaban en que servidor se alojaba el buzón; ahora en Exchange 2010 con la introducción del concepto de portabilidad estos atributos están en desuso. Recordemos que los buzones están asociados a las bases, las cuales son albergadas por X o Y servidor en un lapso determinado.
Actualmente cuando un cliente intenta hacer la conexión al buzón de correo es el ActiveManager quien se encarga de esto, ya no se base en leer los atributos mencionados anteriormente.
No obstante ciertos comandos como el Get-Mailbox siguen mostrando el valor de estos atributos, el cual fue estampado con los valores del servidor donde se albergaba la base de datos activa en el momento de la provisión de este.
Esto no es algo de que preocuparnos, no debemos de tomar acción alguna si por ejemplo el valor reflejado apunta a un servidor que ya no existe en el ambiente.
Hasta pronto.

March 08, 2012

Interfaz para la administración de políticas de contraseñas.


Lamentablemente no a todos nos gusta trabajar en la consola, aprendernos los comandos, sus parámetros y demás. Razones por las que pienso yo a veces la aceptación de algún producto no es la optima.
Afortunadamente para los que están en ese bando pues les cuento que Windows Server 8 Beta incluye un administrador grafico para las políticas granulares de contraseñas. Sí, ya no van a tener que pelear con el PSOMgr.exe ni nada similar.
Con este se pueden generar y manipular las políticas así como también obtener reportes sobre la política que la aplica a un usuario explicito.
Primero con el ADAC navegue al "Password Settings Container", esto en el contenedor "System" en la particion del dominio.


Acá crearemos la nueva política.



Planee esta cuidadosamente para que cumpla con sus requerimientos.
También se le puede especificar precedencia a estas políticas.
A continuación asigne los grupos a los que la política le aplicará, recuerde que la delegación de permisos y/o restricciones debe hacerse a grupos no a nivel individual siempre que sea posible.


 
Ahora bien cuando necesite auditar que política le aplica a un usuario especifico, simplemente seleccione el objeto en cuestión, en el lado derecho del menú vera la opción para obtener el reporte.



En el caso de que por las membresías del objeto a este le apliquen varias políticas pues la prioridad mencionada anteriormente decidirá cuales parámetros toman precedencia.


Hasta pronto y gracias.

March 06, 2012

Virtualización de controladores en Windows Server 8 “Beta”


Y bien pues uno de los grandes atractivos de Windows Server 8 es el soporte para el clonado de controladores virtuales, así como un mecanismo de seguridad para prevenir problemas de USN rollback.
En el caso del clonado pues por medio del VM-Generation ID (para lo que requerimos una plataforma de virtualización con dicha capacidad [por ahora solo Windows 8 Server, pero esto esta “abierto” para que otros lo implementen, aunque no se quien desearía otra plataforma de virtualización]), además el controlador con la función de PDC Emulator debe de correr sobre una plataforma física y con el sistema operativo Windows Server 8.
Esto funciona muy similar al concepto del invocationID, simplificando es una forma única de identificar la copia del DIT o para este caso, la maquina virtual, en este escenario el PDC Emulator detecta que esto es un clon y si cumple con los requerimientos pues le autoriza el proceso de clonado, el cual creara una nueva cuenta para el equipo así como un nuevo SID y otros para identificar esta entidad.
Hasta muy pronto!

Nuevos cmdlets...


Sabías que hay 58 cmdlets nuevos en el módulo de Active Directory de Powershell v3, sí el que viene en Windows 8 Server.
Les adjunto la lista de lo nuevo por ahora…

Add-ADCentralAccessPolicyMember
Add-ADResourcePropertyListMember      
Clear-ADClaimTransformLink    
Get-ADCentralAccessPolicy
Get-ADCentralAccessRule 
Get-ADClaimTransformPolicy    
Get-ADClaimType
Get-ADDCCloningExcludedApplicationList
Get-ADReplicationAttributeMetadata
Get-ADReplicationConnection   
Get-ADReplicationFailure
Get-ADReplicationPartnerMetadata      
Get-ADReplicationQueueOperation
Get-ADReplicationSite
Get-ADReplicationSiteLink
Get-ADReplicationSiteLinkBridge
Get-ADReplicationSubnet
Get-ADReplicationUpToDatenessVectorTable        
Get-ADResourceProperty  
Get-ADResourcePropertyList    
Get-ADResourcePropertyValueType
Get-ADTrust
New-ADCentralAccessPolicy
New-ADCentralAccessRule 
New-ADClaimTransformPolicy    
New-ADClaimType
New-ADReplicationSite   
New-ADReplicationSiteLink
New-ADReplicationSiteLinkBridge
New-ADReplicationSubnet 
New-ADResourceProperty  
New-ADResourcePropertyList    
Remove-ADCentralAccessPolicy  
Remove-ADCentralAccessPolicyMember    
Remove-ADCentralAccessRule    
Remove-ADClaimTransformPolicy 
Remove-ADClaimType      
Remove-ADReplicationSite
Remove-ADReplicationSiteLink  
Remove-ADReplicationSiteLinkBridge    
Remove-ADReplicationSubnet    
Remove-ADResourceProperty
Remove-ADResourcePropertyList 
Remove-ADResourcePropertyListMember   
Set-ADCentralAccessPolicy
Set-ADCentralAccessRule
Set-ADClaimTransformLink
Set-ADClaimTransformPolicy
Set-ADClaimType
Set-ADReplicationConnection
Set-ADReplicationSite
Set-ADReplicationSiteLink
Set-ADReplicationSiteLinkBridge
Set-ADReplicationSubnet
Set-ADResourceProperty
Set-ADResourcePropertyList
Sync-ADObject
Test-ADServiceAccount

Como estamos en una fase de  “preview” pues aun no existe toda la documentación del caso, aun así ya hemos trabajado con alguno de estos comandos de forma satisfactoria.
Y no olvidemos el modulo nuevo  que nos ayuda para temas de implementación de controladores, he aquí la lista de cmdlets de este modulo.

Get-Command -Module ADDSDeployment | Select Name

Name
----
Add-ADDSReadOnlyDomainControllerAccount
Install-ADDSDomain
Install-ADDSDomainController
Install-ADDSForest
Test-ADDSDomainControllerInstallation
Test-ADDSDomainControllerUninstallation
Test-ADDSDomainInstallation
Test-ADDSForestInstallation
Test-ADDSReadOnlyDomainControllerAccountCreation
Uninstall-ADDSDomainController

Acá copio algunos ejemplos que nos pueden ayudar en el día a día del administrador.
  • Para crear un nuevo sitio, protegido contra borrado accidental y con Universal Group Caching habilitado:
New-ADReplicationSite -Name siteB -ProtectedFromAccidentalDeletion $true -UniversalGroupCachingEnabled $true
  • Para crear un enlace de replicacion entre sitioA y sitioB, este utilizando el protocolo de SMTP, con un costa de 500 y una frecuencia de replicación de 180 minutos.
New-ADReplicationSiteLink -Name siteA-siteB -InterSiteTransportProtocol SMTP -SitesIncluded "siteA", "siteB" -Cost 500 -ReplicationFrequencyInMinutes 180
  • Para crear una subred y ligarla al sitio que recién creamos.
New-ADReplicationSubnet -name 13.0.0.0/24 -site siteB

Espero esto les despierte la curiosidad por ver que mas hay… justo como me paso a mi.
Gracias por su tiempo.