windows server 2012.docx

INFORMACION Windows Server 2012 R2Administración avanzada Este libro está dirigido a aquellos administradores e ingenie

Views 145 Downloads 0 File size 2MB

Report DMCA / Copyright

DOWNLOAD FILE

Recommend stories

Citation preview

INFORMACION

Windows Server 2012 R2Administración avanzada Este libro está dirigido a aquellos administradores e ingenieros de sistemas que deseen adquirir conocimientos avanzados sobre Windows Server 2012 R2 y dominarlo en profundidad. Responde a la necesidad de disponer de una mayor experiencia por parte del lector, tratando con profundidad, desde un punto de vista teórico y práctico, roles imprescindibles tales como Active Directory, DFS, Hyper-V, BitLocker, el reparto de carga o incluso la VPN. También se describen todas las especificidades de Windows Server 2012 R2 (como, por ejemplo, los avances en términos de virtualización, de seguridad, los Work Folders, IPAM, Workplace Joint, la Experiencia con Windows Server Essentials, etc.), para permitirle aprovechar al máximo el potencial de esta versión. Desde el despliegue, pasando por el clustering, y hasta la virtualización, este libro es el compañero ideal para aprender hasta el último detalle de esta versión de Windows Server. Aporta un alto nivel de experiencia y su vocación es convertirse en una obra de referencia. Los autores ponen a disposición del lector sus conocimientos en tecnologías Microsoft (MVP, MCSE y/o MCITP, MCSA) y su experiencia, muy significativa, en infraestructuras integrales y complejas, para proveer un nivel de calidad que respete las mejores prácticas del mundo profesional de la empresa. Los capítulos del libro: Introducción – Dominio Active Directory – Arquitectura distribuida de acceso a los recursos – Alta disponibilidad – Implementar los servicios de Red de la empresa – La evolución de la red – Servicios de Escritorio remoto – Acceso remoto – Aplicaciones de Internet – Reducir la superficie de ataque – Consolidar sus servidores – Despliegue de servidores y puestos de trabajo – Securizar su arquitectura – El ciclo de vida de su infraestructura – Prepararse para el futuro Thierry DEMAN - Freddy ELMALEH - Sébastien NEILD Thierry DEMAN es Arquitecto de Sistemas y domina las tecnologías Microsoft tras numerosos años trabajando en el seno de Permis Informatique. Está reconocido como Microsoft MVP (Most Valuable Professional) en Exchange tras varios años. Está certificado, entre otros, en MCSE Messaging 2013 y MCSA Windows Server 2008 et 2012. Freddy ELMALEH es consultor freelance, experto en Seguridad y soluciones de Infraestructura de Microsoft. Fundador de la empresa Active IT, colabora con muchas grandes empresas en servicios de consultoría y auditoría de sistemas y seguridad. Está reconocido como Microsoft MVP (Most Valuable Professional) en Directory Services desde 2007 gracias, en particular, a su activa participación en el seno de la comunidad Microsoft (Foro Technet y laboratorio Microsoft). También está certificado en MCITP Server Administrator para Windows Server 2012. Sébastien NEILD es Ingeniero de Sistemas y Redes en una empresa de servicios. Colabora como responsable de proyectos de Active Directory y Exchange y ha participado en numerosos proyectos de despliegue y migración de infraestructuras Windows Server. Está certificado en MCSE y MCITP Server Administrator para Windows Server 2008. Maxence VAN JONES es consultor freelance, Arquitecto de sistemas y redes, Jefe de proyecto, formador MCT y fundador de MVJ CONSULTING. Interviene como experto en proyectos de diseño de parques informáticos, de virtualización y de securización siempre en relación con tecnologías Microsoft. Está, entre otros, certificado en MCITP Enterprise Administrator para Windows Server 2008 y MCSA para Windows Server 2012.

Introducción Este libro trata sobre la última versión del sistema operativo de la gama Windows Server de Microsoft Se trata, evidentemente, de Windows Server 2012 R2. Microsoft, fiel a su estrategia, busca dinamizar la evolución de sus productos, prefiriendo, de este modo, definir un ciclo de vida más corto a sus productos para aportar, de manera regular, mejoras y evolutivos técnicos adaptados al mercado. Windows Server 2012 no se sale de esta norma, y algunos meses después de la aparición de la versión R1, ha hecho su aparición Windows Server 2012 R2 y se pone a disposición de todos los profesionales. Microsoft ha diseñado Windows Server 2012 para ofrecer una plataforma flexible y completa que responda a las necesidades, cada vez más exigentes, de las empresas. Esta versión evoluciona de acuerdo a su tiempo teniendo en cuenta la tendencia hacia la virtualización de servidores, al Cloud Computing y a la premisa "Bring Your Own Device". Podrá, de este modo, aprovechar las nuevas funcionalidades, útiles y prácticas, que le permitirán basar el conjunto de sus Sistemas de Información en una solución Microsoft.

Las distintas ediciones de Windows Server 2012/2012 R2 Como es habitual, Microsoft Windows Server 2012 R2, así como Windows Server 2012, está disponible en distintas versiones. La elección de una u otra edición dependerá, especialmente:   

Del rol del servidor que prevé instalar. De la estrategia de virtualización empleada. Del tipo de licencia utilizado.

Para realizar esta elección, hay disponibles cuatro ediciones de Windows Server 2012 R2: 

 



Windows Server 2012 R2 Datacenter: se trata de la versión más completa, que soporta hasta 64 procesadores. Se trata de una versión destinada a servidores especialmente potentes que sólo está disponible bajo un programa de clave de licencia por volumen. Su modelo de licencia se calcula en función del número de procesadores y del número de CAL. Permite alojar un número ilimitado de máquinas virtuales. Windows Server 2012 R2 Standard: se trata de una versión idéntica a la edición Datacenter, salvo que sólo permite el uso de dos instancias virtuales. Windows Server 2012 R2 Essentials: esta versión remplaza a Small Business Server Essentials. Algunos roles no están disponibles en comparación con una versión Standard (Server Core, Hyper-V, etc.). Esta edición está limitada a una única instancia física o virtual, con un máximo de 25 usuarios. Las versiones Standard y Datacenter permiten utilizar ciertas funcionalidades que, habitualmente, son propias de la versión Essentials (tales como la copia de seguridad de los equipos cliente, los cuadros de mando, etc.). Windows Server 2012 R2 Foundation: esta edición no ofrece solución de virtualización (no es posible instalar Hyper-V), y está limitada a 15 usuarios. Es posible obtener más información sobre las especificaciones (idénticas entre las versiones 2012 y 2012 R2) de esta versión en la siguiente dirección: http://technet.microsoft.com/en-us/library/jj679892.aspx

Observe que existe, a su vez, una versión gratuita llamada Hyper-V Server 2012. Está preconfigurada para ejecutar una versión mínima (Core) de Windows Server 2012 y sólo puede alojar el rol Hyper-V. Es posible encontrar más información en la siguiente dirección: http://technet.microsoft.com/eses/evalcenter/dn205299.aspx Windows Server 2012 R2 está disponible únicamente en versión 64 bits; las versiones de 32 bits e Itanium ya no están disponibles. Si desea información más precisa, encontrará una descripción detallada de las distintas versiones de Windows en la siguiente dirección (en inglés): http://www.microsoft.com/en-us/server-cloud/windows-server/buy.aspx La gestión de las licencias se ha rediseñado por completo. Para Windows Server 2012 Standard y Datacenter, el cálculo de licencias "por servidor" cambia por licencias "por procesador". Preste atención, en adelante, al hardware de sus servidores. Por defecto, estas versiones parten de una licencia para dos procesadores. La única diferencia entre ambas versiones reside en el derecho a la virtualización: ilimitado en la versión Datacenter y de dos máquinas virtuales en la versión Standard. Encontrará la FAQ oficial (en inglés) correspondiente a las licencias en la siguiente dirección: http://download.microsoft.com/download/4/D/B/4DB352D1-C610-466A-9AAFEEF4F4CFFF27/WS2012_Licensing-Pricing_FAQ.pdf Se aplica, a su vez, un licenciamiento particular a las máquinas virtuales. Todos estos detalles se encuentran en la siguiente documentación:http://download.microsoft.com/download/3/D/4/3D42BDC2-6725-4B29-B75AA5B04179958B/WindowsServer2012VirtualTech_VLBrief.pdf Dado que las versiones Foundation y Essentials están mucho menos extendidas en la empresa, este documento se centra en las ediciones Standard y Datacenter.

Los grandes ejes de Windows Server 2012 R2 Durante el estudio de los ejes principales de esta versión de Windows Server, Microsoft tiene en consideración la carga de trabajo, la presión creciente sobre el servicio IT de las empresas y la explosión del Cloud Computing. El sistema operativo deberá, por tanto, dar respuesta a estas tres exigencias esenciales.

1. Un mejor control de la información Windows Server 2012 R2 provee un mejor control de la información para garantizar una mayor eficacia en la administración y, en consecuencia, una mejora en la productividad. La nueva interfaz, de tipo mosaico, es coherente con el resto de la nueva gama de los OS Windows. Aunque le pueda resultar algo desconcertante, Microsoft ha rectificado su estrategia en la versión R2 reintegrando el botón Inicio. Es posible que la toma de control suponga, todavía, algún problema, por ello le invito a leer la siguiente página, a riesgo de que no sea capaz de volver a reiniciar su servidor salvo por línea de comando: http://technet.microsoft.com/eses/library/hh831491.aspx#BKMK_run Para aumentar esta calidad en la administración, en Windows Server 2012 R2 se ha aumentado la capacidad de script y de automatización de tareas gracias al lenguaje de script Windows PowerShell. La automatización de tareas corrientes de administración se ve, de este modo, mejorada enormemente gracias a esta nueva funcionalidad. Prácticamente todas las acciones realizadas en el seno del sistema se pueden automatizar con PowerShell, y existen muchos asistentes que proponen, como último paso, recuperar la sintaxis PowerShell equivalente a las acciones realizadas. El servicio de directorio de Active Directory está dotado, desde Windows Server 2008 R2, de funcionalidades tales como la papelera de reciclaje de Active Directory, la administración automática de cuentas de servicio o incluso la posibilidad de administrar de forma gráfica las directivas de contraseñas múltiples, que encantarán a todo administrador. El control de acceso dinámico permite controlar el acceso a los datos de forma dinámica. Identifica la criticidad del dato (según los atributos que se hayan definido) y guarda, a continuación, el control sobre el que se ubican en el seno del Sistema de Información. La instalación basada en roles y características, gracias a la consola única Administración del servidor, facilita la administración. Los asistentes disponibles permiten limitar al máximo los errores de configuración gracias a sus numerosas explicaciones, que guían al administrador en la etapa de instalación de un componente Windows. La consola permite, a su vez, instalar y administrar servidores físicos remotos o virtuales, tanto desde un servidor como desde un puesto de trabajo, mediante las herramientas de administración RSAT. Es, por tanto, fácil crear un grupo de servidores que tengan que gestionarse de manera conjunta. Microsoft ofrece, a su vez, la opción de instalar por defecto una versión mínima de Windows Server 2012 R2, conocida con el nombre de Windows Server Core. Esta versión funciona, de hecho, sin una interfaz gráfica y todo debe configurarse por línea de comandos. La ventaja principal de este tipo de administración reside en el hecho de que la superficie de ataque se reduce por el hecho de que solamente se instalan en el servidor aquellos componentes imprescindibles. Los administradores agregarán, a continuación, los roles que deseen. La interfaz gráfica se considera una característica más que es posible desinstalar. Consolas tales como el monitor de confiabilidad y rendimiento de Windows permite detectar problemas de configuración en sus sistemas operativos, e informar automáticamente al servicio informático. Ofrece, a su vez, mucha información precisa sobre el uso de componentes del sistema. En lo sucesivo, es posible realizar una mejor administración de la impresión. En efecto, es posible instalar impresoras automáticamente sobre equipos de usuario mediante directivas de grupo. La consola MMC le permite gestionar, controlar y resolver mejor los fallos de las impresoras de su dominio. Por último, y una buena noticia más para los administradores, las reglas Applocker permitirán realizar un mejor control de las aplicaciones cuyo uso se autorice con Windows Server 2008 R2/2012/2012 R2 y Windows 7/8/8.1.

2. Una mejor protección del Sistema de Información orientada a la movilidad y al Cloud Microsoft ha rehecho completamente el núcleo de su sistema operativo desde Windows Server 2008. Existe un núcleo NT 6.x desde Windows Vista/2008 (Windows 2000 y XP se basaban en el núcleo NT 5.x). Windows 8 y 2012 se basan en el núcleo 6.2. Este núcleo posee la tecnología Patchguard, desarrollada por Microsoft para proteger al máximo el sistema operativo y, de este modo, mantener una barrera para los rootkits o cualquier otro ataque que trate de modificar el núcleo del sistema. Windows Server 2012/2012 R2, igual que Windows 8/8.1, aprovechan la funcionalidad ELAM (Early Launch Anti-Malware) que permite cargarse únicamente a aquellos drivers firmados, tras el arranque del sistema. La protección de acceso a redes (NAP) está, también, accesible y le permite implementar condiciones de uso de su sistema dentro de la empresa. ¡Se terminaron las personas externas que llegaban con un ordenador portátil que no cumpliera con las reglas de la organización y los usuarios sin el antivirus actualizado! El acceso a la red se les denegará mientras no cumplan con los criterios de conformidad que usted haya juzgado convenientes. El acceso a la red de la empresa cobra una nueva dimensión con la simplicidad en la implementación de DirectAccess, que permite a los administradores aprovechar un control mayor sobre los equipos, pudiendo, de este modo, administrarlos incluso antes de que se conecte un usuario (GPO disponibles, etc.). Se terminó la necesidad de tener una infraestructura IPv6 para aprovechar esta solución, como ocurría con Windows Server 2008 R2. Los controladores de dominio de solo lectura (RODC) refuerzan la seguridad de sus dominios Active Directory en la medida en que puede limitar la difusión de ciertas contraseñas en caso de que se vea comprometido algún controlador de dominio. Éstos encontrarán, por ejemplo, su lugar en las pequeñas redes de agencia donde la seguridad del controlador de dominio no puede garantizarse. El acceso VPN a través de protocolos tales como SSL facilitan el acceso al Sistema de Información y, también, intercambiar datos con otros equipos. La pasarela sitio-a-sitio multi-inquilino provee, de este modo, la opción de utilizar una misma pasarela Site To Site para conectar clientes que posean el mismo plan de direccionamiento IP. El firewall avanzado de Windows Server 2012 R2 permite limitar la superficie de ataque de sus servidores realizando un filtrado de los puertos sobre el tráfico de red entrante o saliente. El firewall analiza el flujo a nivel de aplicación, de modo que puede no autorizar el tráfico para un servicio específico. Además, la nueva consola de gestión MMC para el firewall avanzado permite configurar los flujos IPsec para asegurar la integridad o cifrar el flujo entre equipos. Esto resulta ideal para definir un cifrado entre controladores de dominio o entre equipos de administración y servidores de administración. El cifrado del lector de disco se realiza con BitLocker, que permite, a su vez, impedir el acceso a los datos de su disco duro desde una instalación paralela de otro sistema operativo. Los servicios asociados a Active Directory refuerzan, a su vez, la seguridad de su infraestructura informática. El rol AD CS (Active Directory Certificate Services) permite difundir certificados basados en el nuevo modelo de certificados versión 4. El rol AD RMS (Active Directory Rights Management Services) le da la posibilidad de controlar la difusión de los documentos en su empresa. El rol AD FS permite favorecer enormemente los intercambios de información con equipos asociados externos, o incluso mejorar el uso de terminales personales para conectarse al Sistema de Información de la empresa (BYOD) con un control mínimo sobre estos equipos gracias a Workplace Join. Siempre desde un punto de vista de apetura hacia la movilidad, la funcionalidad de Carpetas de trabajo permiten sincronizar archivos profesionales entre varios PC o dispositivos que pertenezcan al mismo usuario, pertenezcan o no a la empresa. Las funcionalidades de seguridad presentes en Windows Server 2012 R2 permiten, por tanto, limitar el riesgo de ataque sobre el servidor garantizando una productividad y una flexibilidad importantes.

3. Una plataforma que evoluciona Windows Server 2012 R2 es una plataforma capaz de adaptarse y responde a las necesidades de evolución de una sociedad. La tecnología hypervisor (Hyper-V) responde a la necesidad, cada vez mayor, de las empresas que desean virtualizar algunos de sus servidores. Esta tecnología responde, de este modo, de forma ultra-reactiva a los cambios de trabajo dinámicos y al desarrollo de la cloud privada. Las réplicas de Hyper-V resultarán interesantes para más de una PYME que no disponga del presupuesto suficiente para la implementación de una solución de replicación para responder ante un desastre o siniestro. Una réplica de Hyper V permitirá replicar una máquina virtual hacia otra, ahorrando el máximo de ancho de banda, gracias a una compresión y un registro de los cambios en un disco de una máquina virtual. Un espacio de almacenamiento, novedad funcional desde Windows Server 2012, permite utilizar discos duros económicos para crear zonas de almacenamiento. Esta zona puede, por tanto, dividirse en espacios que se utilizarán como discos físicos. Un poco de manera similar a como ocurre con SAN, aunque de forma mucho menos onerosa, esta funcionalidad permite incluir discos auxiliares en caliente y utilizar métodos de redundancia (paridad, mirroring, etc.). El protocolo SMB (Server Message Block) pasa a la versión 3.0 y se ha visto mejorado considerablemente. Tiene en cuenta funcionalidades tales como la conmutación automática SMB, la consideración de SMB, el testigo de carpeta, etc. Tiene en cuenta, también, el almacenamiento en archivos VHD o un sistema de bases de datos SQL. Los servicios Terminal Server aportan una gran cantidad de innovaciones que mejorarán enormemente la experiencia de usuario. Es posible realizar un acceso centralizado a las aplicaciones de cara a desasociar, poco a poco, el puesto de trabajo de las aplicaciones que son necesarias para los usuarios. También puede hacer disponibles aplicaciones (publicación de aplicaciones) sin que tengan que estar instaladas en el equipo del usuario. El acceso directo de la aplicación aparece, ahora, en el escritorio del usuario junto a las aplicaciones instaladas de manera local en su equipo. El usuario no es capaz de distinguir, a primera vista, las aplicaciones locales de aquellas remotas, lo que le permite ganar tiempo en término de formación de los usuarios. La funcionalidad RemoteFX, que había hecho su aparición con Windows Server 2008 R2, se ha visto mejorada y ya no requiere ninguna configuración particular para aprovechar una calidad gráfica excepcional mediante RDP (lectura de animaciones, webcam, etc.). Un servicio de pasarela Terminal Services (también llamado RD Gateway) le permite no tener que multiplicar los puertos a abrir en su red o a implementar una red privada virtual. Basta con tener un único punto de entrada, a través de un portal Web, que le permite acceder a su red privada virtual. El tráfico RDP se encapsula, en efecto, de manera transparente en un flujo SSL (HTTPS). El acceso Web a los servicios Terminal Server (RD Web Access) es una interfaz Web que le permite acceder a las aplicaciones RemoteApp que haya decidido publicar. Estas aplicaciones están, de este modo, accesibles desde su navegador de Internet. Esta solución se basa en IIS y puede, a su vez, integrarse en un portal SharePoint. Gracias a Windows Server 2012 puede gestionar la evolución de la empresa y, en particular, administrar aplicaciones que requieran una alta disponibilidad. El clúster de servidores tiene como cometido contener varios a servidores con un mismo rol. Si alguno de los servidores (llamados nodos del clúster) no está disponible, el sistema de clúster bascula, automáticamente, hacia otro nodo disponible. Esto se realiza sin ninguna intervención por parte de los administradores, lo que limita la duración de la indisponibilidad de una aplicación.

El servicio de alta disponibilidad se caracteriza, a su vez, por la posibilidad de hacer un reparto de la carga de red (llamada, a su vez, NLB por Network Load Balancing). Este reparto o equilibrado de carga permite repartir la carga de red entre varios servidores que presenten la misma información. El reparto de carga de red puede, de este modo, responder a un desarrollo importante de la actividad de un sitio de Internet, por ejemplo, seleccionando dirigir las demandas de conexión al servidor Web en el servidor IIS menos ocupado. Por último, el ciclo de vida de su servidor resulta más sencillo de gestionar gracias a un conjunto de herramientas adaptadas y útiles. Entre todas ellas, podemos citar la característica de copia de seguridad que le permite administrar sus copias de seguridad y restauraciones gracias a asistentes muy intuitivos. La tecnología de las instantáneas permite realizar copias de seguridad de sus archivos en ejecución de forma casi inmediata. El servidor de actualizaciones WSUS3 permite administrar el conjunto de actualizaciones (correctivos, parches de seguridad) de los sistemas operativos y de algunas aplicaciones Microsoft en el seno de su red empresarial. Este libro tiene también como objetivo presentarle las principales funcionalidades de Windows Server 2012/2012 R2, insistiendo especialmente en aquellas novedades aparecidas tras el salto tecnológico que separa a Windows Server 2003 de Windows Server 2008. Está salpicado de consejos y recomendaciones de expertos en herramientas Microsoft y se dirige, de este modo, a aquellas personas que ya posean cierta experiencia. No obstante, esta obra también pretende explicar los conceptos básicos de modo que resulte accesible a aquellas personas que no posean una experiencia notoria con la tecnología de servidor de Microsoft.

Las numerosas direcciones de Internet provistas en las páginas de este libro se recopilan en una webografía, disponible en la página Información.

DOMINIO ACTIVE DIRECTORY

Introducción Este capítulo está dedicado al directorio de Microsoft Active Directory. El servicio de directorio de Microsoft resulta indispensable en la gestión de la información en el seno de una empresa. En la primera parte, se presenta el servicio de directorio en Windows Server 2012 R2. A continuación, seguiremos con explicaciones sobre los principales componentes ligados al servicio de directorio, tales como las directivas de grupo y otros servicios relacionados al propio directorio.

Presentación del servicio de directorio de Microsoft: Active Directory Domain Services Usted ya conocerá, sin duda alguna, el principio de funcionamiento del directorio Active Directory. Esta obra no tiene como objetivo volver a explicar lo que ya conoce, de modo que los principios generales de un directorio Active Directory (también llamado Active Directory Domain Services o AD DS) se abordan de manera muy breve para, así, poder centrar su atención en las especificidades aportadas por Windows Server 2012 R2.

1. Definición de un dominio de Active Directory Active Directory es un servicio de directorio que permite referenciar y organizar objetos tales como cuentas de usuario, nombres de recursos compartidos, autorizaciones mediante grupos de dominio, etc. La información puede, así, centralizarse en un directorio de referencia con el objetivo de facilitar la administración del Sistema de Información. Desde un punto de vista tecnológico cabe tener en cuenta tres nociones: 





El dominio es la unidad básica encargada de agrupar los objetos que comparten un mismo espacio de nombres (un dominio debe, en efecto, basarse necesariamente sobre un sistema DNS que soporte actualizaciones dinámicas y registros de tipo SRV). Una arborescencia de dominios es la agrupación jerárquica de varios dominios que comparten un mismo espacio de nombres (por ejemplo, los dominios madrid.MiEmpresa.Priv y barcelona.MiEmpresa.Priv). Un bosque trata de reagrupar varias arborescencias de dominio que tienen en común un catálogo global y que no comparten, obligatoriamente, un espacio de nombres común.

Desde un punto de vista físico, cabe tener en cuenta tres elementos principales:





Los controladores de dominio se encargan de almacenar el conjunto de los datos y de administrar las interacciones entre los usuarios y el dominio (apertura de sesión, búsquedas en el directorio, etc.). Al contrario que con los antiguos sistemas NT, en el dominio tiene lugar una replicación multimaestro, lo que permite a cualquier controlador poder iniciar una modificación (agregar una cuenta de usuario, cambiar una contraseña de usuario, etc.). Cada controlador de dominio contiene, a su vez, particiones. Microsoft ha decidido compartir la información en varias particiones para, así, limitar la extensión de los datos que hay que replicar. Cada partición tiene, por tanto, su ámbito de replicación. Todos los controladores de dominio de un mismo bosque tienen en común las particiones de esquema y de configuración. Todos los controladores de dominio de un mismo dominio comparten una partición de dominio común. La cuarta partición (presente de forma opcional) es la partición de aplicación. Ésta almacena los datos sobre las aplicaciones utilizadas en Active Directory y se replica sobre los controladores de dominio que usted elija que formen parte del mismo bosque.





Los sitios Active Directory ponen en evidencia la agrupación física de objetos de un mismo dominio. Debe, además, asociar uno (o varios) controlador(es) de dominio a un mismo sitio Active Directory si estos controladores de dominio se comunican con un enlace de red que tenga una buena velocidad de transferencia. En efecto, los controladores de dominio de un mismo sitio dialogan de manera mucho más frecuente que los controladores de dominio definidos en dos sitios de Active Directory distintos. Esto le permite, también, reducir de manera importante el tráfico de red en un enlace que separe a dos sitios remotos. Los roles FSMO (Flexible Single Master Operation) son un total de cinco en el seno de una infraestructura Active Directory. Estos roles deben estar contenidos en controladores de dominio y son necesarios para el correcto funcionamiento de un dominio de Active Directory. Según los roles, son únicos por dominio o bien por bosque. La siguiente tabla muestra con detalle cada uno de estos cinco roles:

Nombre del rol FSMO

Ubicación

Rol

de Único en el de seno de un bosque



Maestro de esquema Único en el seno de un bosque



Gestiona la modificación esquema Active Directory.

Maestro RID



Distribuye rangos de RID para los

Maestro nomenclatura dominios

Único en el seno de un dominio



Se encarga de inscribir a los dominios en el bosque. Gestiona la nomenclatura del dominio. del

SID. Maestro infraestructura Emulador PDC

de Único en el seno de un dominio



Gestiona los movimientos de objetos de un dominio a otro.

Único en el seno de un dominio



Garantiza una compatibilidad con los sistemas operativos anteriores (NT, en particular). Sirve como servidor de tiempo de referencia para el resto del dominio. Sirve como punto de referencia durante los procesos de cambio de contraseña y bloqueo de cuentas.

 

2.

Func ionalidades de Active Directory en Windows Server 2012 R2 Windows Server 2012 R2 proporciona un gran número de funcionalidades, las cuales gustarán tanto a aquellas personas que no tengan un conocimiento previo como a aquellas que deseen poseer un conocimiento avanzado. Se le explica cómo instalar un controlador de dominio de Active Directory con Windows Server 2012 R2, cómo utilizar las directivas de contraseña específicas, etc. Estas funcionalidades se le presentarán mediante casos prácticos a lo largo de este capítulo para que pueda constatar, usted mismo, la utilidad de estas últimas.

a. Instalación de un directorio de Active Directory Desde un punto de vista general, los asistentes de configuración se han visto mejorados considerablemente a lo largo de las versiones de Windows. Descubrirá, rápidamente, que estos últimos son muy útiles e intuitivos. Por ejemplo, en lo sucesivo puede hacer referencia a la mayoría de las opciones avanzadas de instalación del directorio Active Directory desde el asistente creado a este efecto. Es necesario agregar un nuevo rol en su servidor Windows Server 2012 R2 para instalar su directorio Active Directory. Puede acceder desde el Administrador del servidor. Utilizará, por tanto, esta consola para agregar el rol Servicios de dominio de Active Directory (también conocido bajo el nombre AD DS por Active Directory Domain Services). Volveremos un poco más adelante sobre las etapas detalladas ligadas a esta instalación. En primer lugar, el conjunto de manipulaciones debe realizarse con una cuenta de usuario que posea los permisos de Administrador del servidor.

Asegúrese, en primer lugar, que tiene bien definido el nombre NetBIOS de su futuro controlador de dominio, así como una dirección IP fija válida. Se recomienda, siempre, definir estos parámetros antes de realizar la promoción de un servidor a controlador de dominio. Por defecto, el Administrador del servidor se ejecuta cada vez que inicia Windows, y le permite configurar su servidor una vez instalado. Haga clic en Configurar este servidor local (o Servidor local) para visualizar la configuración propia a este servidor y modificarla si fuera necesario.

Escoja configurar las opciones de red haciendo clic en los enlaces de hipertexto que se encuentran en la misma fila que Ethernet y Nombre de equipo. Podrá, de este modo, definir una dirección IPv4 fija, así como un nombre de equipo descriptivo para su servidor. En nuestro ejemplo, el nombre de equipo será DC2012 (DC por Domain Controller o controlador de dominio). A continuación deberá reiniciar el servidor. Vuelva sobre Panel, siempre desde la consola Administrador del servidor. Haga clic en Agregar roles y características.

A continuación se abre el Asistente para agregar roles y características. La primera página aparece, por defecto, con cada ejecución del asistente. Tiene como objetivo permitirle verificar un conjunto de buenas prácticas antes de continuar con la instalación de un rol en su servidor (contraseña fuerte, dirección IP estática, parches de seguridad al día). Haga clic en Siguiente. Escoja la opción Instalación basada en características o en roles y, a continuación, haga clic en Siguiente.

Como es posible instalar, desde este asistente, roles o características sobre un servidor definido en un grupo de servidores o desde un disco duro virtual, esta etapa le permite precisar el servidor o el disco duro virtual en cuestión. En nuestro ejemplo, se trata de un servidor físico. Seleccione la opción Seleccionar un servidor del grupo de servidores y, a continuación, haga clic en Siguiente. Observe que todos los comandos de instalación se basan en PowerShell y pueden ejecutarse de manera remota.

Seleccione, a continuación, el rol o la característica que desea instalar. Como se trata de la instalación de un controlador de dominio Active Directory, debe escoger la opción Servicios de dominio de Active Directory.

El asistente le invitará a agregar la instalación de varias características necesarias (o, al menos, útiles) para este rol (Herramientas administrativas, Administración de directivas de grupo, etc.). Las siguientes etapas del asistente se actualizan de manera dinámica en función del rol seleccionado. Haga clic en Siguiente.

A continuación se le pregunta si quiere aprovechar para instalar las características suplementarias de su servidor. No es necesaria ninguna para el buen funcionamiento de Active Directory, las características necesarias ya se le han presentado en la ventana anterior. Haga clic en Siguiente. El asistente le explica, rápidamente, el rol de los servicios de dominio de Active Directory así como la principal información a tener en cuenta. Le invita, a su vez, a consultar los artículos disponibles en la ayuda de Windows para más información. Haga clic en Siguiente.

La última etapa consiste en confirmar la instalación del rol en cuestión. Los mensajes de información le avisan de que el servidor se reiniciará al finalizar la instalación. Reinicio que puede escoger que se realice automáticamente o no. Haga clic en Instalar. Comienza la instalación del rol.

Es posible exportar los parámetros de configuración. Esto será útil para poder reutilizarlos mediante comandos PowerShell si fuera necesario.

Es posible cerrar el asistente y continuar trabajando con el servidor sin que la instalación se detenga. Puede ver el grado de avance de la instalación en la consola Administración del servidor, dentro del área marcada con la bandera de notificación. Una vez terminada la instalación, se dará cuenta rápidamente de la potencia y de la utilidad de los asistentes de Windows Server 2012 R2. Estos últimos le guiarán de manera muy intuitiva en las siguientes etapas a realizar. En el área de notificaciones, puede apreciar, pasados algunos minutos, un signo de exclamación que se corresponde con la Configuración posterior a la instalación que debe realizar para continuar con la instalación de Active Directory. Si no apareciera, aunque la instalación haya terminado, cierre el Administrador del servidor y, a continuación, ábralo de nuevo (o haga clic en el botón Actualizar que se encuentra justo al lado (a la izquierda) del icono con forma de bandera de notificación). Haga clic en el enlace Promover este servidor a controlador de dominio. Si bien sigue existiendo, el comando dcpromo ya no se utiliza desde Windows Server 2012. Servirá únicamente para facilitar la transición de algunas empresas que hayan desarrollado scripts con este comando. La norma es, ahora, utilizar los scripts PowerShell, puesto que, ahora, todo se basa en ellos. Los cmdlets PowerShell que pueden resultar útiles son Install-ADDSForest, Install-ADDSDomain, InstallADDSDomainController y Add-ADDSReadOnlyDomainControllerAccount. Puede encontrar más información en la siguiente dirección: http://technet.microsoft.com/enus/library/hh472162.aspx

Antes de poder instalar un controlador de dominio en Windows Server 2012 R2, el nivel funcional del bosque deberá ser, como mínimo, Windows Server 2008. A modo de recordatorio, para que el nivel funcional del bosque sea Windows Server 2008, es preciso que el nivel funcional de todos los dominios del bosque sean, como mínimo, Windows Server

2008. Esto implica que ya no será posible tener un controlador de dominio con Windows Server 2003 en un bosque que tenga un DC con Windows Server 2012 R2. Si no fuera el caso, deberá, obligatoriamente, extender el esquema a Windows Server 2012 y, a continuación, actualizar el dominio funcional del (o de los) dominio(s) y el bosque impactados. Estas etapas resultan, a menudo, temidas por los administradores puesto que la marcha atrás es compleja (habrá que restaurar, como mínimo, un dominio por bosque). Microsoft ha optado por simplificar esta etapa integrando directamente la actualización del esquema y del dominio en el asistente de promoción de un controlador de dominio desde el Administrador del servidor. El asistente ejecuta como tarea de fondo el comando adprep. Este comando es necesario para preparar un bosque y un dominio para la instalación de un controlador de dominio de una versión superior. Este comando sólo está disponible en versión 64 bits. Si sus antiguos controladores de dominio ejecutan, todavía, una versión de 32 bits, es posible ejecutar adprep de manera remota desde un servidor Windows Server 2008 versión 64 bits, Windows Server 2008 R2, Windows Server 2012 o Windows Server 2012 R2 miembro del dominio, incluso aunque no se trate de un controlador de dominio. Adprep se ubica en la carpeta soporte\adprep del DVD de instalación de Windows Server 2012 R2. Encontrará mucha más información sobre la instalación manual de adprep en la siguiente dirección: http://technet.microsoft.com/en-us/library/hh472161.aspx Si, en el seno de su dominio, todos los controladores de dominio funcionan con Windows Server 2012 R2, puede aumentar el nivel de su dominio a Windows Server 2012 R2 mediante la consola Dominios y confianzas de Active Directory o mediante el centro de administración de Active Directory (encontrará más información en la dirección: http://technet.microsoft.com/es-es/library/cc753104.aspx). Si, en el seno de su bosque, todos los controladores de dominio funcionan con Windows Server 2012 R2 puede, también, aumentar el nivel funcional de su bosque, siempre mediante alguna de estas consolas (encontrará más información en la dirección: http://technet.microsoft.com/eses/library/cc730985.aspx) Existen varios motivos para aumentar el nivel funcional del dominio o del bosque. Aporta, la mayoría de veces, funcionalidades y características suplementarias. Estas funcionalidades se resumen en la siguiente dirección: http://technet.microsoft.com/en-us/library/understandingactive-directory-functional-levels(v=ws.10).aspx Observe, no obstante, que algunos componentes no requieren más que la preparación del dominio para agregar nuevas funcionalidades (sin tener, obligatoriamente, que implementar el nivel funcional del dominio o del bosque). Es el caso, por ejemplo, del proxy web de aplicación (Web Application Proxy) que se basa únicamente en las clases del esquema creadas tras la implementación del esquema (mediante el comando adprep /forestprep) para poder funcionar. Observe, a su vez, que (siempre y cuando la papelera de reciclaje de Active Directory no esté activada) es posible disminuir el nivel funcional de un dominio o de un bosque de Windows

Server 2012 o Windows Server 2008 R2 a Windows Server 2008 mediante los comandos PowerShell siguientes: Import-Module ActiveDirectory Set-AdDomainMode -identity MiEmpresa.Priv -server dc2012.MiEmpresa.Priv -domainmode Windows2008Domain Set-AdForestMode -identity MiEmpresa.Priv -server dc2012..MiEmpresa.Priv -forestmode Windows2008Forest

Haga clic, a continuación, en el vínculo Promover este servidor a controlador de dominio disponible en la lista de tareas o, tal y como se ha indicado antes, haga clic en Promover este servidor como controlador de dominio.

Se inicia el Asistente para instalación de Servicios de dominio de Active Directory. Seleccione una configuración de despliegue. En nuestro ejemplo, seleccione: Agregar un nuevo bosque. Observe que el asistente le indica un vínculo hacia el archivo de ayuda en línea de Windows que trata las distintas configuraciones de despliegue posibles.

Si ha seleccionado agregar un controlador de dominio a un dominio existente, tendrá la posibilidad, más adelante, de definir la instalación del controlador de dominio a partir de un medio externo (una copia de seguridad, por ejemplo). Esto resulta bastante útil para sitios remotos, por ejemplo, para evitar que se produzca un tráfico de red demasiado elevado y se sature el ancho de banda durante la primera sincronización entre los controladores de dominio. Puede, si no, definir un controlador de dominio particular para la primera sincronización del directorio de Active Directory para indicar un controlador de dominio del

mismo sitio y, de este modo, evitar que la sincronización no se realice desde un sitio remoto que podría tener un ancho de banda limitado. Dé nombre a la raíz del bosque. En nuestro ejemplo, el nombre del dominio será miempresa.priv y, a continuación, haga clic en Siguiente.

Se recomienda, en cualquier caso, informar un nombre de dominio con dos niveles. No cree, por tanto, ningún dominio Active Directory que tenga, por ejemplo, el nombre Miempresa. Piense, también, en prohibir el uso de un guión bajo (underscore) en su nombre de dominio. Si se diera el caso, realice una migración a un nombre de dominio sin este carácter, que le generará una serie de inconvenientes en el futuro, especialmente con Exchange. Observe que desde Windows Server 2008 R2, el asistente no le permite crear un nombre de dominio de un solo nivel, bien sea para un bosque o para un nuevo dominio en un bosque ya existente. Sí le dejará, por el contrario, agregar un nuevo controlador que se ejecute bajo 2008 R2 o superior en un dominio con un único nivel ya existente. La KB de Microsoft KB300684 (http://support.microsoft.com/kb/300684) analiza este caso. De aquí a dos años, los fabricantes de certificados públicos no certificarán más dominios con extensiones privadas tales como: interna.MiEmpresa.es. Es conveniente disociar los nombres de dominio interno y externo para evitar, en particular, tener que realizar una gestión algo más compleja en su zona DNS interna.

Tras hacer clic en Siguiente, el asistente trata de resolver el nombre de dominio para contactar con un eventual bosque ya existente.

Encontrará más información sobre los distintos tipos de zona DNS y sobre la replicación en el capítulo Implementar los servicios de red de la empresa - Implementar los sistemas de resolución de nombres. Es preciso definir el nivel funcional del bosque. Seleccione Windows Server 2012 R2 dado que, en este ejemplo, se trata de un servidor que es el único controlador de dominio y del bosque. Deje marcada la opción Servidor DNS para instalar este rol sobre el futuro controlador de dominio. La opción Catálogo global aparece marcada obligatoriamente puesto que todavía no existe ningún catálogo en el dominio, dado que hemos seleccionado la opción de crear un nuevo dominio en un nuevo bosque. Defina una contraseña de restauración de servicios de directorio. Se utilizará cuando se acceda en modo de restauración del directorio Active Directory pulsando la tecla [F8] durante el arranque del sistema operativo. Esta contraseña deberá responder a la complejidad requerida por la directiva de contraseña.

Si bien puede resultar tentador, no defina la misma contraseña que para la cuenta de Administrador actual por motivos de seguridad. A continuación, haga clic en Siguiente.

Aprovechará automáticamente, de este modo, las ventajas ligadas al nuevo funcionamiento del dominio de Windows Server 2012 R2, como las directivas de contraseña específica (disponibles desde el nivel funcional Windows Server 2012 y que verá, también, más adelante en la sección Directivas de contraseña específica y de bloqueo de cuenta granular de este capítulo). El sistema trata, a continuación, de contactar con el servidor DNS definido a nivel de los parámetros TCP/IP de la tarjeta de red del servidor. Si no responde al nombre de dominio Active Directory definido, y si no se ha instalado ningún servidor DNS, el asistente mostrará el siguiente mensaje (haciendo clic en Ver más en la barra de alerta de color amarillo ubicada en la parte superior del asistente).

Observe, también, que si se define un servidor DNS en las propiedades TCP/IP del servidor, éste se borrará automáticamente de estas propiedades de modo que el futuro controlador de dominio será cliente de su propio DNS. El anterior servidor DNS se informará en la pestaña Reenviadores en las propiedades del servicio DNS. Haga clic en Siguiente. Deje el nombre NetBIOS por defecto y, a continuación, haga clic en Siguiente.

Como se encuentra trabajando en un entorno de pruebas, deje la ruta por defecto para la base de datos, los archivos de registro y SYSVOL. En un entorno de producción, se recomienda encarecidamente separar la base de datos y los archivos de registro para, así, evitar la saturación de I/O (entradas/salidas). Haga clic en Siguiente. Aparece un resumen que muestra las distintas opciones que ha definido a lo largo de las etapas del asistente. Es posible exportar estos parámetros para poder reutilizarlos en un archivo de respuestas. Podrá, de este modo, desplegar fácilmente otros controladores de dominio reduciendo el riesgo de error durante la configuración de este rol. El comando que debe utilizarse es, en este caso, dcpromo /answer:NombreDelArchivoCreado (si no se trata de promover un DC en Windows Server 2012 R2) o, directamente, mediante PowerShell mediante el script disponible haciendo clic en la opción Ver script.

Haga clic en Siguiente. El asistente realiza, a continuación, una verificación de requisitos previos necesarios para la instalación del rol de controlador de dominio sobre este servidor.

Aparece un mensaje de advertencia que indica los problemas que puede encontrar debido al enriquecimiento del algoritmo de cifrado utilizado para establecer un canal de seguridad con un cliente SMB. Por defecto, los anteriores sistemas operativos como, por ejemplo, Windows NT 4.0 no podrán acceder a los recursos compartidos que se encuentren en un servidor Windows Server 2008/2008 R2/2012 o 2012 R2. Recorra esta lista de advertencias y, si no existe ningún punto bloqueante, haga clic en Instalar. Observe que puede realizar las acciones correctivas necesarias y, a continuación, hacer clic en el vínculo que le permite volver a verificar si se cumplen los requisitos previos. Haga clic en Instalar para arrancar la instalación. El servidor reinicia, automáticamente, al finalizar la instalación. ¡Enhorabuena! Acaba de instalar con éxito un controlador de dominio en Windows Server 2012 R2. Le faltará verificar la instalación de Active Directory y realizar las primeras acciones esenciales. El siguiente enlace le ofrece todos los elementos necesarios: http://technet.microsoft.com/en-us/library/cc794717(WS.10).aspx

b. Presentación de la auditoría ligada al servicio de directorio

Auditar estos servidores es una actividad que consiste en censar los eventos que se consideren interesantes en el registro de eventos. Esto le permitirá evidenciar problemas de configuración o incluso verificar la seguridad de ciertos elementos críticos del sistema operativo. Preste atención, no obstante, a no definir demasiados objetos a auditar, puesto que el rendimiento del servidor se verá impactado inmediatamente. Antes de Windows Server 2008 R2, podía configurar los eventos de auditoría editando su directiva de grupo (desde el menú Inicio - Herramientas administrativas y Gestion des Directiva de grupo) a nivel, por ejemplo, de Directiva Default Domain Controllers Policy (Configuración de equipo - Directivas - Configuración de Windows - Configuración de seguridad - Directivas locales - Directivas de auditoría).

La información que se muestra es, no obstante, confusa, ¡pues es posible ser mucho más preciso! Las directivas de auditoría pueden, en efecto, definirse de forma mucho más precisa y los parámetros visualizados a nivel de la directiva de grupo más arriba no representan más que de una forma muy vasta la configuración efectiva. En Windows XP sólo existen nueve categorías de evento que pueden auditarse. Desde Windows Vista/Windows Server 2008, puede optar por auditar hasta 53 categorías de eventos distintos volviendo, de este modo, la creación de objetos mucho más granular. La visualización y la configuración de estos parámetros no son idénticos entre Windows Server 2008 R2 y Windows Server 2012 R2.

En Windows Server 2008 (o Vista con las herramientas de administración RSAT), puede mostrar y aplicar de forma más precisa las directivas de auditoría realmente posibles únicamente por línea de comandos mediante el comando Auditpol.exe. El siguiente comando permite mostrar las distintas categorías posibles para la auditoría: Auditpol.exe /get /Category:*

En Windows Server 2008 R2 y Windows 2012/2012 R2 (o Windows 7 - Windows 8/8.1 con las herramientas de administración RSAT instaladas), es posible configurar, desplegar y administrar la auditoría detallada desde la consola GPMC. La configuración de la auditoría detallada se realiza a nivel de Configuración del equipo - Directivas - Configuración de Windows - Configuración de seguridad - Configuración de directiva de auditoría avanzada - Directivas de auditoría. Estas directivas pueden aplicarse, de este modo, sobre OU específicas para controlar la actividad de las cuentas de administrador, etc. Tenga en mente, no obstante, que esta configuración definida mediante GPO se ejecutará únicamente en equipos Windows Server 2008 R2/2012/2012 R2 o Windows 7/8/8.1.

Cabe destacar, también, que Microsoft desaconseja la configuración de la auditoría simultáneamente a nivel de Configuración del equipo - Configuración de Windows Configuración de seguridad - Directivas locales - Directivas de auditoría y de Configuración del equipo - Configuración de Windows - Configuración de seguridad Configuración de directiva de auditoría avanzada - Directivas de auditoría. Para ello, Microsoft recomienda configurar la opción Auditoría: forzar la configuración de subcategorías de la directiva de auditoría (Windows Vista o posterior) para invalidar la configuración de la categoría de directiva de auditoría que se define a nivel de Configuración del equipo - Configuración de Windows - Configuración de seguridad Opciones de seguridad. Si este parámetro no está habilitado, las opciones definidas a nivel de la auditoría básica (las siete categorías históricas) podrían entrar en conflicto con las definidas de manera más precisa en la directiva de auditoría avanzada. Para desplegar estos parámetros en Windows Server 2008 o Windows Vista, es preciso utilizar la opción auditpol.exe. Más adelante se ofrece un enlace a la KB que explica cómo poner en marcha este despliegue.

Con la llegada de Windows Server 2008 R2 y Windows 7, Microsoft introduce la posibilidad de auditar el acceso a objetos globales. Tiene, en efecto, la posibilidad de definir una directiva de auditoría para un usuario particular sobre una acción precisa y para un conjunto de servidores. Esto puede resultar muy práctico si tiene que justificar, en particular, la auditoría de la seguridad de un servidor de cara a afrontar una auditoría SOX. Los eventos generados por las auditorías de acceso a los archivos o al registro estarán mucho más detalladas si activa la opción Auditar la manipulación de identificadores puesto que se mostrará el "motivo del acceso", que le permitirá, en particular, poner de relieve errores de configuración (como, por ejemplo, un usuario que tiene acceso de escritura en lugar de tener un acceso de sólo lectura). Con Windows Server 2012/2012 R2 es posible crear directivas de auditoría basadas en expresiones con el objetivo de precisar mejor la información que se quiere mostrar en función de varios criterios (usuarios, equipos, recursos, etc.). Este aspecto se aborda en detalle en el capítulo Securizar su arquitectura. Encontrará la guía paso a paso para implementar una directiva de grupo avanzada en la siguiente dirección: http://technet.microsoft.com/es-es/library/dd408940(WS.10).aspx Observará, entonces, que las opciones de auditoría son mucho más ricas respecto a las versiones anteriores de Windows. Se han conservado las principales categorías, y muchas subcategorías enriquecen y hacen que la recogida de eventos sea mucho más precisa. Su registro de eventos estará, por tanto, mucho más limpio de eventos inútiles. Sepa, no obstante, que si utiliza la directiva de grupo para definir las categorías principales de auditoría, no tendrá la posibilidad de definir de forma más precisa los parámetros de las subcategorías. Una directiva de auditoría configurada a nivel de las directivas de grupo activa, automáticamente, las subcategorías.

Para configurar de forma más precisa la auditoría sobre los equipos tendrá que utilizar el comando auditpol en los equipos o servidores seleccionados a través de un script, por ejemplo.

Si desea, en cambio, poder administrar la configuración de las subcategorías de sus equipos Windows Vista/2008 de manera centralizada (y, en consecuencia, tener que utilizar el comando auditpol en cada equipo), consulte la solución provista en el siguiente artículo de la Kb de Microsoft: http://support.microsoft.com/kb/921469 Una de estas nuevas subcategorías de auditoría se ha creado especialmente desde Windows 2008 R2 para dar respuesta a una necesidad importante de los administradores de dominio Active Directory. Esta nueva subcategoría se denomina Directory Service Changes (categoría hija de DS Access). Le permitirá registrar los antiguos y los nuevos valores atribuidos a un objeto de Active Directory y a sus atributos. A título informativo, antes un controlador de dominio en Windows 2000 o 2003 indicaba simplemente el nombre del objeto o del atributo modificado, pero no los valores anterior y modificado del mismo. Una vez configurada la auditoría de esta subcategoría, los eventos se almacenan en el registro de Seguridad. La siguiente tabla recoge los cuatro tipos de eventos sobre los objetos de Active Directory: Número de evento

Tipo de evento

5136

Modificación con éxito de un atributo de Active Directory.

5137

Creación de un nuevo objeto de Active Directory.

Si desea, 5139 Desplazamiento de un objeto de Active Directory. por ejemplo, activar la auditoría para todas las subcategorías referentes al acceso al directorio Active Directory, siga el procedimiento siguiente: 5138

Restauración de un objeto de Active Directory.

Ejecute, desde una ventana de símbolo del sistema de un controlador de dominio, el siguiente comando: auditpol /set /category:"Acceso DS" /success:enable. Todas las subcategorías de auditoría del acceso DS se activarán. Es posible activar únicamente la subcategoría que nos interese, en nuestro caso, ejecutando auditpol /set /subcategory:"modificación del servicio de directorio" /success:enable y auditpol /set /subcategory:"Administración de cuentas de usuario" /success:enable. Existe un bug en la versión española de auditpol y todas las categorías o subcategorías que posean un apóstrofe no funcionarán si lo escribe. Existen dos soluciones para evitar este problema: o bien copia/pega la opción desde una página web codificada correctamente, o bien utiliza el código ASCII presionando [Alt] y 0146 para proveer la versión esperada del símbolo. Modifique, a continuación, la fecha de caducidad de una cuenta de usuario de Active Directory mediante la consola Centro de administración de Active Directory, también llamada ADAC (Active Directory Administrative Center) en el resto del libro (desde el menú Inicio - Ejecutar - dsac.exe).

Abra el registro de eventos de su controlador de dominio (desde el menú Inicio - Ejecutar Eventvwr.msc). Puede comprobar que existe un evento 4738 y detalla el o los valores que acaban de modificarse, en nuestro ejemplo el valor Expiración de cuenta:.

Por otro lado, Windows Server 2012 ha introducido las directivas de auditoría de seguridad basadas en las expresiones que permiten acotar los eventos a informar utilizando expresiones basadas en reivindicaciones (claims) de usuario, de equipo y de recurso. Esta mejora está ligada a otra novedad: el control de acceso dinámico, del que hablaremos con detalle en el capítulo Securizar su arquitectura. Tenga en cuenta que, desde ahora, esta funcionalidad le permite auditar todos los usuarios que traten de acceder a recursos para los que no se ha definido ninguna habilitación o, por el contrario, administradores que utilicen sus permisos de manera abusiva. Para ello, a nivel de GPO en el servidor de archivos, siga estas etapas: Desde Configuración del equipo - Directivas - Configuración de Windows Configuración de seguridad - Configuración de directiva de auditoría avanzada Directivas de auditoría - Acceso a objetos, a nivel de parámetro Auditar sistema de archivos y del parámetro Auditar almacenamiento provisional de directiva de acceso central, active la auditoría Correcto y error. A nivel de la carpeta a auditar: Desde las Propiedades de la carpeta a auditar (una carpeta sensible accesible únicamente por el servicio financiero de la empresa, por ejemplo), pestaña Seguridad - Opciones

avanzadas - pestaña Auditoría - Agregar - Seleccionar una entidad de seguridad, escoja un grupo habilitado para acceder a esta carpeta, en nuestro ejemplo GSU-Finanzas-RW. Agregue una condición que indique, por ejemplo: Usuario - Grupo - Miembro de cada Valor - [Administradores de dominio] y [Administradores].

Si un administrador accede a algún archivo de esta carpeta, se registrará un evento en el registro de eventos de seguridad.

Los eventos 4656 y 4663 pueden generarse durante la activación de la auditoría de la manipulación de identificadores o de la SAM. Estos eventos son propios de Windows 2012 R2 y Windows 8/8.1. Se podría, también, citar como ejemplo la posibilidad de poder auditar todos los proveedores que traten de acceder a documentos vinculados a proyectos sobre los que no trabajen. La auditoría sería: Auditar - Todos - Todo - User.EmploymentStatus=Vendor AND User.Project Not_AnyOf Resource.Project. Si un usuario del servicio financiero trata de acceder, no se registrará ningún evento en el registro de seguridad, lo que evitará reportar accesos válidos. También es posible asociar la

auditoría de acceso global a los objetos con directivas de auditoría basadas en expresiones, lo que permite fusionar las directivas de auditoría múltiples ubicadas en varios clientes. De este modo el administrador de un perímetro limitado podrá definir una directiva de auditoría de acceso global a los objetos correspondientes a su perímetro mientras que un administrador global podrá, por su parte, definir otra directiva de acceso global para un perímetro más amplio. Entre las mejoras aportadas por Windows Server 2012 y Windows 8 cabe destacar, también, que es posible configurar el parámetro Auditar los inicios de sesión (Configuración de directiva de auditoría avanzada - Inicio y cierre de sesión). Se genera el evento 4624 cada vez que un usuario inicia una sesión sobre un equipo local o remoto. Obtendrá más información sobre los nuevos eventos generados en la siguiente dirección: http://technet.microsoft.com/es-es/library/hh831382.aspx Estos parámetros pueden acoplarse con el control de acceso dinámico que se aborda en el capítulo Securizar su arquitectura.

c. Controlador de dominio de solo lectura Desde Windows Server 2008, es posible crear controladores de dominio de solo lectura (llamados, también, RODC por Read Only Domain Controller). Un controlador de dominio de solo lectura contiene toda la información de un controlador de dominio clásico salvo la contraseña de los usuarios. Esta información se almacena en solo lectura únicamente y no es posible iniciar ninguna modificación a nivel de dominio desde un RODC.

Sepa, por otra parte, que si no desea que se replique algún atributo sensible en su RODC es posible modificar las propiedades del mismo para limitar su replicación únicamente a aquellos controladores de dominio inscribibles. Para ello, tendrá que modificar el valor searchFlags del atributo que desee a nivel de partición de esquema. El rol maestro de esquema tendrá que encontrar, preferentemente, la información sobre algún controlador de dominio en Windows Server 2008 R2 como mínimo. Encontrará más información a este respecto en la siguiente dirección (en inglés): http://technet2.microsoft.com/windowsserver2008/en/library/f62c9720-a5c3-40c9-aa40440026f585e91033.mspx?mfr=true