El servidor de impresión de Windows Server es una maquina a la que se le he instalado este rol. Esta maquina servirá para compartir una impresora que no tiene acceso a la red y permitir …
Instalación del rol y creación de un espacio de nombres. El sistema de ficheros distribuido, también conocido como DFS o MSDFS, es un sistema de comparación que permite crear carpetas compartidas y que estas tengan …
GLPI permite la exportación de los equipos que hemos añadido al inventario manualmente o usando el fusion inventory. Para esto podemos ir al inventario seleccionar las maquinas que queremos exportar y en el botón de …
Para instalar FOG project necesitamos tener instalada una versión no muy reciente de Linux ya que usa una versión anterior de algún software que no esta en los repositorios de las versiones nuevas. Para esto …
Para restaurar una imagen de clonezilla usando la clonezilla lite-server. Para ello necesitamos arrancar clonezilla en una máquina que actuara como servidor. Una vez estamos preparado el equipo servidor tenemos que iniciar en red en …
Para instalar el servicio de guacamole vamos al directorio de aplicaciones y buscamos guacamole, una vez seleccionado pulsamos el botón instalar. Cuando se halla instalado este aparecerá dentro del inicio, en las aplicaciones.
Una vez instalado abrimos el directorio de LDAP y buscamos dentro la UO de guacamole. Una vez dentro añadimos un objeto llamado «Guacamole Configuration», En el momento de crearlo, el nombre que tendrá será el nombre que tendrá la configuración, los usuarios añadidos serán los usuarios que tendrán esa conexión y la configuración del equipo sera el el equipo al que nos conectaremos. En esta configuración del equipo tenemos que especificar el protocolo y el hostname o la dirección IP del equipo al que nos vamos a conectar. También para que pueda iniciar el usuario sesión dentro del servidor guacamole hay que decir que es usuario de guacamole.
Una vez configurado un host con RDP e intentemos conectarnos veremos que nos dará un error, esto se debe a que en versiones más nuevas de Windows Server usa una configuración de seguridad diferente a la que guacamole espera por defecto.
Para arreglar esto añadimos las siguientes configuraciones y ya nos dejara entrar en el servidor RDP.
Guacamole también permite usar otros protocolos como VNC o SSH. Para comprobar que funciona VNC, he instalado una máquina ubuntu y dentro de esta un escritorio xfce4 y el servidor vnc llamado tightvncserver.
Con SSH no lo he conseguido hacer funcionar con el servidor linux, pero si que me ha funcionando instalando un servidor SSH en Windows y conectándome a este.
Si tenemos una instancia de ownCloud creada por UCS solo permite acceder usuarios locales de ownCloud ya que no se crean automáticamente los usuarios que ya están en el dominio. Para ello entramos con un administrador en ownCloud y abrimos los ajustes, aquí abrimos la pestaña de User Authentication. En esta pestaña añadimos la configuración del servidor.
Configuración servidor y autenticaciónConfiguración de usuariosAtributos de inicio de sesiónConfiguración de grupos
Una vez configurado el LDAP, vamos a la configuración de usuarios y vemos si aparecen los grupos, si no aparecen iniciamos sesión con un usuario del dominio, es posible que falle un par de veces ya que lo tiene que crear.
Una vez hemos visto que los grupos se han creado correctamente podemos iniciar sesion con un usuario y compartir un fichero o una carpeta en ese grupo.
Otra cosa que permite esta instancia de ownCloud es añadir una carpeta compartida por SMB e iniciar sesión con el usuario en el que estamos, pero primero tenemos que activar el almacenamiento externo.
Una vez puesto el almacenamiento externo añadimos una carpeta compartida.
Univention Corporate Server es una máquina virtual que viene preconfigurada con diferentes servicios, como por ejemplo ownCloud.
Para instalar esta nos descargamos la images de la maquina virtual y la ejecutamos, cuando halla cargado llegamos a la siguiente pantalla donde nos preguntara por la información de localización.
Una vez configurado la zona horaria, si queremos unir la maquina a un dominio de UCS o de microsoft, la información sobre el dominio al que nos queremos unir, información como el hostname y la contraseña del usuario root y si queremos actualizar el sistema al terminar la instalación.
Una vez instalado nos preguntara por una licencia como no la tenemos al momento, ponemos un correo y subimos el fichero de la licencia.
Una vez activado podemos ver si ha encontrado los usuarios de active directory correctamente y tambien entrar en la instancia de ownCloud que se ha creado, aunque por el momento solo podemos iniciar sesión localmente.
LDAP es un protocolo que permite la administración centralizada de los usuarios, grupos y equipos. LDAP generalmente se instala sobre máquinas GNU/Linux, aunque también puede ser usado en máquinas Windows, BSD, etc…
Instalación del servidor Linux.
Como servidor Linux vamos a instalar Ubuntu Server 20.04, en el que vamos a instalar slapd y ldap-utils para comprobar que este funcionando correctamente.
Instalación de Ubuntu Server 20.04
Una vez instalado tenemos que actualizar los repositorios y los paquetes con (sudo apt update && sudo apt upgrade -y). Una vez actualizado el sistema ejecutamos (sudo apt install slapd ldap-utils) para instalar el servidor LDAP y las utilidades. Cuando este instaladonse nos preguntara por una contraseña, pero no le hacemos caso porque cuando halla acabado ejecutado sudo dpkg-reconfigure slapd para poder personalizar el nombre del dominio.
Creación de usuario, grupo y unidad organizativa.
Para crear usuarios, grupos o unidades organizativas tenemos que crear un archivo en el que vamos definiendo los parámetros del usuario.
Unidad organizativa.
Para el fichero de unidad organizativa tenemos que añadir un dn «enlace o referencia al objeto», dos clases de objeto «top» y «organizationalUnit» y el nombre de la unidad organizativa dentro de «ou».
Para añadir la UO al dominio ejecutamos «sudo slapadd -x -D cn=admin,dc=aso,dc=org -W -f ou.ldif».
Grupo.
Para el fichero del grupo hay que añadir un dn «referencia al objeto», dos clases de objeto una indica que esta al primer nivel y otra indica que un grupo, un id de grupo y un cn «common name»
Para añadir el grupo al dominio ejecutamos «sudo slapadd -x -D cn=admin,dc=aso,dc=org -W -f ou.ldif».
Usuario.
Para crear un usuario necesitaremos una contraseña cifrada y para esto se instala una herramienta llamada slappasswd que muestra la contraseña en pantalla si es ejecutada, pero como estamos dentro de una shell no podemos copiar y pegar, para esto podemos pasar la salida del comando a un fichero y luego modificar ese fichero con un editor de textos.
A este archivo de usuario le tenemos que añadir los siguientes parámetros: dc, 4 clases de objeto (top, posixAccount, inetOrgPerson y person) que indican que es una cuenta de usuario y que esta al primer nivel, un common name, el nombre del usuario (el que usa para iniciar sesión), el nombre del grupo, el id del usuario y del grupo, la ubicación de la carpeta home del usuario, la shell que usa este, su contraseña cifrada, el apellido, un corro electrónico y el nombre de este usuario.
Para añadir el usuario al domino usamos el comando de los anteriores objetos «sudo slapadd -x -D cn=admin,dc=aso,dc=org -W -f user.ldif»
Podemos ver que estan bien configurado podemos ejecutar «slapcat», viendo todos los objetos creados o «ldapsearch -xLLL -b «dc=aso,dc=org» uid=mariol032 sn givenName cn» que buscará el usuario indicado.
Instalación en cliente ubuntu.
Para poder usar los usuarios del servidor tenemos que instalar unas herramientas y para ello ejecutamos el comando (sudo apt install libnss-ldap libpam-ldap ldap-utils), mientras se esta instalando tenemos que poner los datos del servidor LDAP, si no funciona o si hemos puesto la contraseña incorrecta podemos usar el comando (dpkg-reconfigure ldap-auth-config).
Para iniciar sesión gráfica en el cliente Ubuntu tenemos que añadir el paquete nslcd, mientras se está instalando este preguntará por los datos del servidor de LDAP.
Una vez instalado y configurado el paquete reiniciamos la MV y iniciamos sesión con un usuario del dominio LDAP.
Aquí voy a poner unos ejemplos de diferentes GPOs.
Bloquear acceso al Panel de Control.
El bloqueo del panel de control se encuentra dentro de Configuración del usuario –> Directivas –> Plantillas Administrativas –> Panel de control y se llama «Prohibir el acceso a Configuración del PC y a Panel de control»
Quitar botón de apagar, reiniciar y suspender.
Para evitar que un usuario apague, reinicie o suspenda un equipo tenemos una directiva dentro de Configuración del equipo –> Directivas –> Plantillas administrativas –> Menú Inicio y barra de tareas y se llama «Quitar y evitar el acceso a los comandos Apagar, Reiniciar, Suspender e Hibernar»
Mostrar un mensaje en el momento que alguien inicia sesión.
Podemos añadir un mensaje en la pantalla de inicio de sesión utilizando una GPO, para ello vamos a Configuración del equipo –> Directivas –> Configuración de Windows –> Directivas –> Configuración de Seguridad –> Directivas locales –> Opciones de seguridad y tenemos que modificar las llamadas «Inicio de sesión interactivo: texto del mensaje para los usuarios que intentan iniciar sesión» y «Inicio de sesión interactivo: título del mensaje para los usuarios que intentan iniciar sesión»
Desactivar Firewall de Windows.
Se puede llegar a desactivar el firewall que windows integra usando la GPO llamada Firewall de Windows Defender: proteger todas las conexiones de red y se ubica dentro de Configuración del equipo –> Plantillas administrativas –> Red –> Conexiones de red.
Cambiar fondo de escritorio.
Podemos cambiar el fondo de escritorio de una unidad organizativa o de un grupo cambiando el valor de la GPO Habilitar «Active Desktop» y «Tapiz de escritorio«. Estas dos se encuentran en Configuración del usuario –> Directivas –> Plantillas Administrativas –> Active Desktop –> Active Desktop.
Página de inicio de Internet Explorer.
Una cosa muy útil es configurar la página de inicio de un navegador, pero tiene un problema y es que solo funciona dentro de internet explorer esta GPO se llama «Deshabilitar el cambio de configuración de la página principal». Y esta ubicada en Configuración de usuario –> Directivas –> Plantillas administrativas –> Componentes de Windows –> Internet Explorer –> Características de Seguridad.
Contraseñas y Bloqueo Cuentas.
Gracias a la GPO llamada «Longitud minima de contraseña» podemos cambiar la cantidad minima de caracteres de una contraseña.
Bloqueo de ciertas aplicaciones.
Podemos bloquear el acceso a ciertas aplicaciones gracias a las GPOs. Se llama «No ejecutar aplicaciones de Windows especificas»
Solo permitir ciertos usuarios en un equipo.
Podemos hacer una «lista blanca» de usuarios usando las GPO. Se llama «Permitir el inicio de sesión local»
Bloqueo de unidades de almacenamiento extraíbles
Podemos bloquear el acceso a las unidades de almacenamiento extraíbles. Se llama «Todas las clases de almacenamiento extraíble: denegar acceso a todo»s
Mapeo de unidades de red.
Podemos hacer que todos los equipos de una unidad organizativas tengan montado automáticamente una unidad de red.
Las GPO (Group Policy Objects) o las directivas de grupo, son aquellas configuraciones que se configuran desde el servidor o desde el controlador de dominio y afecta en la ubicación especificada, en una unidad organizativa, en un grupo de seguridad, a un usuario, etc.
Creación de una GPO.
Para crear una GPO abrimos el administrador de directivas de grupo, dentro de este veremos nuestro bosque, en una de las unidades organizativas o en el propio dominio hacemos clic derecho y seleccionamos «crear un GPO y vincularlo aquí» una vez creada hacemos clic derecho en esta y pulsamos en editar.
Dentro de la ventana que se abre se ve que podemos modificar configuraciones a nivel de equipo o a nivel de usuario, cuando se aplican a nivel de equipo, el equipo hay que poner un equipo en la unidad organizativa creada y si es una de nivel del usuario hay que añadir usuarios a la unidad organizativa.
Una vez entendido esto, seleccionamos la configuración que necesitemos y habilitamos y desactivamos la configuración que necesitemos.
Herencia de GPOs.
Las directivas de grupo tienen una herencia en las unidades organizativas, es decir, si dentro de una unidad organizativa tenemos otra y en la primera tenemos una GPO se puede ver que la GPO afecta a los usuarios y los equipos de ambas unidades organizativas.
Unidad Organizativa ASO1Unidad Organizativa ASO2 dentro de ASO1
Ahora si creamos una GPO dentro de ASO1 y en ASO2 entramos en la pestaña llamada herencia de directivas de grupo vemos la GPO creada por defecto y otra que es la que nosotros hemos creado.
Esta herencia la podemos bloquear y veremos que ASO2 deja de tener las GPO heredadas, con la consecuencia de que lo que hemos bloqueado en ASO1 no estará bloqueado dentro de ASO2.
Podemos hacer que una GPO se salte el bloqueo de herencia exigiendo que se aplique esta.
Resolución de GPO contradictorias.
Si tenemos dos GPO que se contradicen tenemos que modificar la prioridad para indicar cual es la que queremos que se esté aplicando en el momento.
Si usamos Windows Server podemos usar el equipo como servidor iSCSI si lo necesitamos para ello tenemos que instalar el rol que esta dentro de «Servicios de archivos y almacenamiento».
Una vez que se halla instalado podemos insertar los discos y crear un conjunto de los discos «RAID», yo creo un raid-5 para que si un disco falla no se pierdan los datos.
Una vez creado el volumen podemos crear un disco virtual que sera el compartido por iSCSI. Cuando creamos uno nos pregunta por el nombre, el tamaño y el destino del disco virtual (el equipo permitido para conectarse a ese disco).
El destino podemos crear uno o usar uno que ya estaba creado antes.
En el momento que creamos el destino nos da la opción de darle un nombre y los equipos al que le damos acceso, estos equipos los podemos seleccionar por la dirección MAC del NIC, el nombre de DNS, la dirección IP y el IQN que lo podemos escribir, seleccionar si anteriormente se ha conectado o consultarselo al equipo si tiene el servicio del iniciador iSCSI en ejecucion.
Una vez creado el disco virtual en el equipo que queremos usar como cliente abrimos el iniciador iSCSI y ponemos la dirección IP del servidor o el nombre de equipo del servidor, en la ventana que sale podemos ver los destinos que tiene abiertos para ese equipo. Para comprobar que esta conectado podemos abrir el administrador de discos y ver si aparece un nuevo disco que podamos formatear y una vez formateado podemos ver la pestaña de hardware cuando hacemos clic derecho en el volumen.
Podemos hacer tareas de una manera más rápida gracias al uso de scripts de batch o powershell en el caso de Windows y de bash en el caso de Linux. En el caso de Windows hay muchas cosas que se pueden automatizar como:
Montar y desmontar una unidad de red.
Si usamos una consola podemos usar el comando «net use» pero este comando también lo podemos integrar dentro de un script de batch. En el script poniendo net use <letra unidad> <ubicacion en red> /user:<usuario> <contraseña> se conectara a una unidad de red.
@echo off
net use Z: \\newDC01\test /user:Administrador Welcome1
echo "Se ha conectado una unidad de red."
@pause
Pero si lo que queremos hacer es desconectar podemos usar net use <letra unidad> /delete.
@echo off
net use Z: /delete
echo "Se ha desconectado una unidad de red."
@pause
Listar o matar procesos.
Cuando usamos batch tenemos acceso a los comando tasklist y/o taskkill estos comando son muy potentes ya que permiten la ejecución de una «consulta» preguntando si se esta ejecutando o si esta usando más de una cantidad de memoria RAM, por poner ejemplos.
Para realizar consultas con el comando taskkill o el tasklist usamos el parametro /FI y dentro de comillas ponemos la consulta.
@echo off
echo "Voy a matar los procesos que usen mas de 100.000 KB"
taskkill /FI "MEMUSAGE GT 100000"
@pause
Es posible que no se pueda matar ciertos procesos ya que son vitales para el sistema.
El comando findstr.
El comando findstr como dice su nombre permite buscar cadenas de texto dentro de un archivo, de la consola, etc. Gracias a esto podemos hacer un script que ejecute un ping y dependiendo de la salida de este escriba si un servidor esta en ejecucion o no.
@echo off
ping 192.168.10.1 -n 1 > tmp.txt
findstr /c:"TTL" tmp.txt
if %ERRORLEVEL%==0 (
echo "El servidor esta levantado"
) else (
echo "Advertencia newDC01 no esta levantado"
)
del tmp.txt
@pause
También podemos hacer un fichero que entre dentro de los archivos y si encuentra una cadena de texto los copie o los mueva dentro de otra carpeta.
@echo off
echo "Voy a copiar los ficheros que contengan dentro TTL"
findstr /C:TTL /M * > ficheros.txt
for /F %%a in (ficheros.txt) do copy %%a backup
@pause
Active directory permite modificar las clases de un usuario, de un grupo, de un equipo y más para añadirles atributos como identificadores. Para ello debemos de generar un OID (identificador único de objeto) a partir de un root OID que lo generamos gracias a un script vbs que Microsoft tiene publicado en el siguiente enlace: https://learn.microsoft.com/es-es/windows/win32/ad/obtaining-an-object-identifier-from-microsoft. Este script lo copiamos y lo ejecutamos dentro, si da un error es que esta configurado para un sistema Windows en ingles y la ruta donde guarda un fichero de texto no existe.
Una vez obtenido el root OID podemos abrir la consola de mantenimiento de microsoft usando el comando mmc y añadir el complemento llamado «Esquema de Active Directory».
Una vez este añadido lo podemos desplegar y en atributos pulsar el botón de crear nuevo y rellenar los bloques de texto. En el bloque de Id. de Objeto X500 tenemos que añadir el root OID seguido de .2.X de la siguiente forma (Si el root OID es el siguiente: 1.2.840.113556.1.8000.2554.50431.33790.46103.18727.46433.930269.3421577 hay que poner así: 1.2.840.113556.1.8000.2554.50431.33790.46103.18727.46433.930269.3421577.2.1)
Ahora para añadir el artibuto al usuario tenemos que ir dentro de clases y buscar user. Hacer clic derecho y entrar en propiedades y dentro ir a la pestaña atributos, pulsar añadir y buscar los atributos que queremos añadir. Cuando acabamos de añadir nos muestra un error que podemos descartar.
Una vez añadido para que se ejecuten los cambios tenemos que reiniciar el servicio de Active Directory, para ello abrimos un símbolo del sistema y ejecutamos «net stop ntds» y «net start ntds» para ejecutarlo después.
Para añadir un valor a estas características nuevas tenemos que ir a usuarios y equipos de active directory y activar las características avanzadas, una vez hecho si entramos en las propiedades del usuario podemos ver el editor de atributos donde podemos modificar todos los atributos de un usuario.
Una vez añadido el atributo podemos ejecutar una consulta usando powershell y ver el atributo añadido.
Los roles FSMO son aquellos que dice quien es el controlador del dominio «primario». Para transferirlos podemos usar el comando ntdsutil que sirve para gestionar el dominio, y para entrar en la configuración de los roles podemos usar roles.
Una vez aquí usamos el comando «connections» para conectarnos al servidor al que queremos transferir los roles del dominio.
Y para conectarnos al servidor usamos el comando «connect to server» junto al servidor al que queremos conectarnos.
Y ahora usamos el comando transfer para transferir todos los roles.
Y cuando acabamos vemos si se han transferido correctamente.
