Active directory #4

1. Unidades organizativas

1.1 Tenemos 3 estrategias en cuanto a la organizacion:

1.2 Delegación de privilegios

Como vemos en la segunda imagen, en la eu tenemos representaciones de los paises podemos darle privilegios a una persona sobre esas ou y por herencia podrá crear usuarios, resetear,eliminar,etc sobre las ou que esten por debajo.

1.3 Aplicacion de politicas de grupo - GPO’s

Nos sirve para crear grupos en los cuales tienen o no restricciones sobre alguna característica, como por ejemplo un grupo de usuarios que no tengan panel de control o que no tengan puertos usb disponibles.

1.4 Creacion de OU (organizatinal unit)

Lo hacemos en el AD como si de una capeta de windows se tratara.

Prestemos especial atención al checkbox protect container from accidental deletion. Cuando este esta seleccionado, va a provocar que no podamos borrar esa OU, para borrarla tenemos que ir a views > advanced features y la activamos, ahora si vamos al OU > click derecho > propiedades > object destildamos la casilla y ahora si podemos eliminar esa OU.

En este ejemplo crea una OU en la raiz llamada tecnologia

Ahora vamos a crear otra OU dentro, pero para fines educacionales lo haremos con powershell.

New-ADOrganizationalUnit -Name "Desarrollo" -Path "OU=tecnologia,CN=n,CN=local"

Si refrescamos veremos la OU dentro de tecnologia.

Ahora creemos una dentro de desarrollo llamada usuarios.

New-ADOrganizationalUnit -Name "Usuarios" -Path "OU=Desarrollo,OU=tecnologia,CN=n,CN=local"

OU=Desarrollo,OU=tecnologia,CN=n,CN=local es el distinguished name.

Para validar esto podemos hacer click derecho sobre una OU > propiedades > attribute Editor> distinguished name

1.5 Creando un usuario dentro de un OU

Cuando creamos un usuario dentro de un OU con click derecho > new > user se nos pedira algunos datos del usurio como el nombre y apellido, luego veremos un campo user logon name tambien conocido como UPN (User Principal Name), con este nombre es con el que el usuario final se logeara.Este tiene que ser unico. A la derecha de este campo veremos algo como @dominio.local , esto podemos editarlo, podemos crear mas opciones.

Para eso vamos a domain and trusts click derecho sobre Active directory domains and trust > propiedades > agregamos el sufijo UPN.

Con esto puesto, cuando creemos un usuario lo podremos seleccionar como sufijo.

Si nos logeamos con el usuario recien creado, veremos que carga el perfil.

2.1 Perfil movil - perfil viajero - rooming profile

Si vamos a la cuenta de un usuario o si seleccionamos varios usuarios en la pestania Profile en User profile vamos a ver un input profile path , ahi mismo podemos elegir una ruta de nuestro file server donde se va a guardar el o los perfiles de los usuarios.

Para hacer el ejercicio seguiremos los siguientes pasos:

1. En el disco c: o donde queramos del domain controller creamos una carpeta profile.
2. click derecho propiedades.
3. pestania sharing > advanced sharing >permisson > eliminamos everyone.
4. agregamos el grupo domain users con permiso de change. y aceptamos todo.
5. vamos a security
6. seleccionamos grupo users y damos click a la casilla modify.
7. Vamos al ad. 8.seleccionamos uno o varios usuarios y click en propiedades.
8. profile
9. profile path ponemos : \\dc01\profile\%username%
10. Ahora donde sea que el usuario se logee, vera siempre su escritorio, documentos ,etc.

3.1 Logon scripts

Permite que se ejecute un script cuando el usuario inicia sesion, este scrip tiene que estar almacenado en : c:/windows/sysvol/n.local(tu dominio)/scripts por ejemplo podemos crear un .bat llamado mapeo.bat y dentro ponemos:

net use x: \\dc01\mapeo

luego en logon script del usuario o el grupo ponemos directamente el nombre del script, en este caso mapeo.bat con extension.

Cuando el usuario se vuelva a logear vera que tiene compartida una unidad de red llamada x:

4.1 Home folder

Es una carpeta que vera el usuario final compartida en la red, pero sera solo de el.

Para activarlo tenemos que crear una carpeta como hicimos antes y compartirla.

1. Creamos una carpeta llamada hf (home folder)
2. click derecho > sharing > advanced sharing.
3. click share folder
4. click permissons.
5. removemos everyone.
6. agregamos domain users con permisos de change.
7. vamos a security
8. en users tildamos modify.
9. vamos a home folder del active directory dentro del usuario y ponemos en la letra de unidad que queramos: \\dc01\hf\%username%
10. Cuando el usuario se logee en cualquier pc vera esa unidad de red compartida.

5.1 Solucionar relacion de confianza entre el cliente y el DC

Opcion 1: Una de las maneras es quitar y volver a meter la maquina cliente al dominio. Opcion 2: En la maquina cliente, dentro del powershell Reset-ComputerMachinePassword -Server "DC01" -Credential n\Administrator

Donde n es tu dominio, onda cetec\Administrator, nos poedira validar y ya volvemos a tener relacion de confianza.

6.1 Delegacion de privilegios

Podemos hacer que un usuario controle todo lo relacionado con una empresa, o mejor dicho con un OU. Para eso primero tenemos que tener un OU con el nombre de la empresa y todas sus areas dentro como vimos antes.

Porque creamos una OU en vez de darle permiso a un usuario admin sobre el dominio Principal del AD? porque este tendria
el poder de cambiarle la contrasenia al usurio Administrator y eso no lo queremos bajo ningun comcepto.

Damos click derecho sobre la OU de la empresa y click en delegate control.

Luego de agregar a que grupo o usuario le vamos a delegar privilegios, nos mostrara las opciones que tenemos, en primer instancia nos mostrara las tareas mas comunes.

Si no esta ahi vamos a create a custom task to delgate

En este caso las tareas comunes nos sirve, lo que nosotros queremos es que este usuario pueda resetear las passsoword de otros usuarios.

Hacerlo de esta manera es lo mismo que ir a propiedades sobre la OU y darle a permisos avanzados.

Si vamos a cualquier ou interna de la empresa, en las propiedades de security veremos que tenemos el permiso de reset passsoword.

Para probarlo vamos a una maquina cliente, nos logeamos y ponemos en el cmd dsa.msc si nos tira error, tenemos que ir a caracteristicas opcionales e instalar el complemento rsat herramientas active directory domain services.

Si las caracteristicas no se ven o no te deja instalar segui estos pasos.

DISM /Online /Cleanup-Image /CheckHealth

DISM /Online /Cleanup-Image /ScanHealth

DISM /Online /Cleanup-Image /RestoreHealth

Reinicia la pc y ahora si vas a poder instalar los complementos.

Abrimos users and services en la pc cliente con dsa.msc

7.1 Group Policies

Entramos desde el dc con gpmc.msc

Dentro veremos nuestro dominio, y como primer item veremos Default domain policy este es un link que en realidad vive dentro de Group policy objects.

Tambien veremos WMI Filters , este nos permite aplicar politicas de grupo a un nivel mas granular, por ejemplo podemos aplicar una politica a todas las pc que tengan windows 8.

La siguiente carpeta es Starter GPOs Sirve para crear plantillas base. Por ejemplo para cada area.

7.2 Default Domain Policy

7.2 Pestania scope

Aca nos dice la locacion con la cual estamos trabajando esta politica.

La seccion de abajo security filtering nos dice que la politica va a aplicarse a los usuario que esten listados ahi, en este caso authenticaded users.

El ultimo parametro es wmi filtering si tenemos alguno creado vamos a poder enlazarlo.

7.2 pestania Details

Vemos lo detalles xD, user version y computer version es la cantidad de veces que se aplico la politica.

Unique ID es el identificador de la politica que esta guardada en SYSVOL

Si vamos a windows > sysvol > sysvol > tu domain > policies > veremos la lista de IDS

GPO Status : podemos elegir si la politica solo se aplica a computers , users o ambos.

7.2 pestania settings

Nos sirve a modo documentacion, podemos ver las policies aplicasdas y donde se encuentran.

Click derecho save report.Nos crea la documentacion automaticamente.

7.2 pestania Delegation

Agregamos usarios o grupos sobre las config.

8.1 Creando nuestra primera politica.

Vamos a group policy objects

1. Agreamos el nombre de la GPO
2. Asi como esta , no hace anda porque lo tenemos que enlazar a algo.
3. Enlazamos la nueva gpo sistemas al OU sistemas.

Solo se creara un enlace.

Si directamete hacemos click sobre la OU podemos crearlo y enlazarlo en un solo paso.

4. Editemos la policy, click derecho > edit.

Se nos abre una nueva ventana, si damos click en propiedades de folder padre, podremos activar o desactivar politicas de usuarios o equipos.

En la pestania Link , veremos donde esta enlazada esta policy. Si le damos find now nos trae el canonical name.

8.1 Forzando el update de la politica.

Las politicas no se aplican al mismo tiempo.Por mas que el update se hace cada 90 minutos.Sino nos colapsaria el DC.

Podemos editar este comportamiento yendo a :

1. computer configuration > policies > administrative template > system > group policy .
2. Aca nos encontramos con set group policy refresh interval for computers y otra para dominios.

Lo recomendado es tener politica generales para no tener que crear muchas policies las cuales se vuelven dificiles de mantener y pueden afectar al rendimiento del servidor.

8.1 Orden de aplicacion de las politicas.

La que este mas arriba es la que prevalece, si tienen instrucciones contradictorias ,como que una diga que el user tiene acceso al panel de control y otra diga que no tiene, se aplicara la que este en el orden superior.

Al mismo tiempo va a heredar las GPO de las politicas de sus ancestros. Pero si el hijo pisa alguna politica del padre, se aplicara la del hijo.

Podemos bloquear la herencia en los contenedores hijos.

Forzar politica.

Si tenemos una politica padre y necesitamos que se saltee el bloqueo lo ue tenemos que hacer es un enferoced, esto hara que se
aplique en cualquier hijo, aunq este este bloqueado.

Podemos necesitar aplicar una GPO a un grupo de usuarios menos a uno o a unos .

Vamos a la GPO > delgation > advanced > add > usuario que quiero saltar la policy > en la opcion apply group policy tildamos deny

8.1 Compartiendo una carpeta por Default

1. Tenemos que tener una carpeta compartida en la red.
2. Elegis una policy o creas una.
3. vas a users configuration > preferences >windows setting > shortcuts:

4. Hacemos gpupdate /force.

Ahora todos los usuarios a los que le afecte la policy tendran el acceso directo en su escritorio.

9.1 Filtro WMI

Nos sirve para aplicar un filtro mas especifico por ejemplo si el equipo final no es windows 10 que no se aplique esa policy.

10.0 Starter GPOs

Estan son plantillas que sirven para diferentes escenarios.

Con esta al momento de crear una politica nueva podemos hacer que el inicio de esta ya sea algo que tengamos pre configurado, algo que ya sabemos que repetimos mucho.

11.0 Scripts mediante GPOs

1. Creamos una carpeta y la compartimos yo la llamare compartida.
2. creamos un script y dentro creamos un .bat

net use x: \\dc01\compartida /persistent:yes

Lo que hace /persistent:yes es mantener montada la unidad x.

3. copiamos el .bat

4. Vamos a las gpo, nos metemos en la policy > editar y en user configuration > policies > windows settings > scripts en longon abrimos en showfile y pegamos el script.

5. Ahora le damos a add y en browse elegimos el script.

Lo mismo con powershell pero podemos decidir si queremos que se ejecuten primero o ultimos.

6. hacemos gpupdate /force en el server.
7. nos logeamos con algun usarios que le aplique la policy y vemos si se nos creo la unidad :x

Con gpresult /R podemos ver las politicas aplicadas sobre el usuario actual.

12.0 Redireccion de carpetas.

Podemos hacer que las carpetas locales de un usuario o un grupo de ellos sea redireccionada a nuestro servidor, o si queremos podemos hacerlo con todo el perfil.

Para lograr esto tenemos que tener comportida una carpeta del servidor la cual llamaremos fr (folder redirection).

1. click en porpiedades > sharing > advanced sharing > permissions > agreagos un grupo o a un usuario.
2. En security tambien los agregamos al grupo o al usuario en cuestion.
3. vamos a las gpo gpmc.msc elegimos la policy y damos click en editar.
4. En user configuration > policies > windows settings > folder redirection > documents> click derecho > properties.

Elegimos settings : basic y en root path \\dc01\fr si miramos con atencion la parte inferior de este input veremos que nos da un ejemplo de como quedaria la ruta si nuestro usuario final se llamara Clair: \\dc01\fr\Clair\Documents

Si en settings en vez de basic elegimos advanced lo que nos permite es dividir las rutas por grupos.

Si vamos la siguiente pestania settings veremos esto:

El primer checkbox es para garantizar que cada usario solo tenga acceso a sus propio folder.

El segundo checkbox es para que mueva la carpeta documents a la nueva localizacion.

En el apartado policy removal tenemos un select con dos opciones. Lo que quiere saber aca, es que hacer si la politica se remueve.

La primer opcion deja la carpeta documetns en la carpta compartida fr y la segunda se la devuelve al usuario local. dejamos seleccionada esta.

hacemos gpupdate /force y vemos la ruta de documetns del usuario.

Si al volverte a logear no se sincronizan las carpetas , reinica la pc.

13.0 Roaming profile vs Folder redirection ft chatgpt.

Sí, ambas tecnologías, “Perfiles Móviles” (Roaming Profiles) y “Redirección de Carpetas” (Folder Redirection), están diseñadas para mejorar la experiencia del usuario al permitir el acceso consistente a sus datos y configuraciones en diferentes dispositivos y ubicaciones. Sin embargo, hay diferencias clave entre ellas.

1. Perfiles Móviles (Roaming Profiles):

   • Un perfil móvil permite que el usuario mantenga su configuración personalizada (escritorio, documentos, configuración del sistema, etc.) cuando inicia sesión en cualquier computadora de una red.
   • El perfil se almacena en un servidor y se descarga en la máquina local cuando el usuario inicia sesión. Los cambios realizados durante la sesión se sincronizan de vuelta al servidor cuando el usuario cierra sesión.
   • Puede ser más ancho en su alcance, ya que abarca la mayoría de las configuraciones del usuario, no solo carpetas específicas.

2. Redirección de Carpetas (Folder Redirection):

   • La redirección de carpetas se centra específicamente en mover ubicaciones de carpetas del usuario (como Documentos, Escritorio, Descargas) desde la ubicación local en la máquina hacia un servidor en la red.
   • El objetivo principal es mantener los datos del usuario centralizados y respaldados en lugar de almacenarlos localmente.
   • A diferencia de los perfiles móviles, la redirección de carpetas puede ser más específica y granular, ya que se aplica a carpetas específicas en lugar de a toda la configuración del usuario.

En resumen, mientras que los perfiles móviles son más amplios y se centran en la configuración del usuario en su totalidad, la redirección de carpetas es más específica y se centra en las ubicaciones de carpetas del usuario. En muchos entornos, estas dos tecnologías se utilizan de manera complementaria para ofrecer una experiencia de usuario consistente y mantener los datos del usuario de manera segura y centralizada.

14.0 Grupos restringidos.

A si como creabamos un grupo y le agregabamos los usuarios dentro. Podemo hacerlo a traves de politica restricted groups. Este lo podemos encotrar como politica de default domain controller policy dentro de windows settings.

Lo que logramos con esto es agregar a los usuarios a dichos grupos y estos grupos no podran ser modfiicados a traves del active directory directametne, si lo intentamos, veremos que los grupos siempre vuelven a su estado original , o mejor dicho a como lo dejamos en restricted groups.

15. Plantillas administrativas adicionales

A demas de lo que ya vimos podemos configurar otro tipo de aplicaciones como google chrome, sus extensiones, paginas web de inicio ,etc.

Si vamos a c:windows\policyDefinitios veremos dos tipos de archivos unos .admx que es la plantilla editable.Y otra capeta como en-US que refiere al idioma de la plantilla (adml).

hagamos el ejemplo con google chrome.

1. Googleamos : download administrative templates google chrome
2. ingresamos a la web chromeenterprioce.google/browser/download
3. bajamos el bundle.
4. lo extraemos.
5. vamos a configuration y dentro Admx
6. vamos hacia abajo de todo y veremos los archivos.admx, los copiamos
7. Lo pegamos en policyDefinitios.
8. dentro de donde copiamos los archivos.admx vamos a la carpta en-US y copiamos todos los adml
9. Los pegamos en policyDefinitios\en-us.
10. Ahora si vamos a nuestras policies dentro del edit , vamos a users>policies> administrative template. Veremos que ahora tenemos chrome para configurar todo lo referido a este navegador.

16. backups de GPOs

1. Creamos una carpeta llamada BGPO dentro creamos dos mas backups y scripts
2. Abrimos powershell ISE y creamos el siguiente script.

Import-Module GroupPolicy
$date = Get-Date -Format M.d.yyyy
New-Item -Path C:\BGPO\Backups\$date -ItemType Directory
Backup-GPO -All -Path C:\BGPO\Backups\$date

Lo guardamos en BGPO\scripts

Con este script ya podemos usar task schedule y crear una tarea , la cual nos va a permitir cargar el script.

Si en el powershell ISE damos a run script veremos que se nos creo el backup en la carpeta que marcamos antes.

El script anterior hace backup de todo lo que est en Group policy objects

17. Recuperar las GPO por defecto

Si se nos corrompen las politicas que tenemos por default como Default domain controllers policy o default domain policy podemos recuperarlas con dcgpofix damos todo a yes.

18. Distribucion de software.

El sofware que quramos distibuir tiene que ser de extension .msi

1. Creamos una carpeta y la compartimos.
2. descargamso mozilla firefox en su extension .msi de 64 bits
3. elegimos una de las politicas y damos a edit.
4. dentro de users configurartion > polices > software settings > sofware installation.
5. click derecho properties.

Lo primero que nos pregunta es donde tenemos el paquete a instalar, en mi caso pongo \\dc01\software-share.

Luego nos pregunta que queremos hacer cuando publicamos los paquetes.

Si elegimos la opcion publish cuadno el usurio vaya a panel de control y va a agregar o remover proograms, tiene una opcion que dice , instalar programa desde la red ahi es donde lo estamos publilcando.

Pero nosotros queremos que se instale automaticamente.Para eso lo demos a la opcion assing.

Y la opcion advanced nos la la opcion desde el servidor de configuraciones extra como archivos mst.

Si al momento de la instalacion no queremos que el usuario interactue podemos elegir la opcion basic

En este caso dejamos maximum y advanced

Con todo esto estamos configurando comportamiento , pero aun no instalamos nada.

18.1 Opciones adicionales.

En las demas pestanias podemos encontrar Advanced.

El primer checkbox nos preguta, que es lo que queremos hacer cuando el usuario sea movido del grupo donde aplica la policy.

Si lo marcamos, le eliminara el software.

En las opciones de 32-bt application.

El primer checkbox, si lo marcamos y el soft de 32 bits tiene disponible paquetes de 64 bits, tambien los instalara.

El siguente checkbox, es lo mismo pero aplicado a extensiones zap (no zip)

18.1 File extension

Aca podemos agregar extensiones sobre ciertos software, por ejemplo si al usuario le llega una extension xls (excel ) y este no tiene el office instalado, pero nosotros lo habiamos dejado en publish al momento de intntar abrir el excel le saldra un cartel y le instalara el office.

18.1 categories

Podemos organizar nuestros soft en categorias, por ejemplo navegadores

19.1 Instalacion de software.

Ahor si podemos dar click derecho > package sobre software installation

Como le dimos a la pre confg a la opcion advanced nos sale una pantalla para ultimar detalles.

Si vamos a advanced veremos un checkbox que dice ignore language when deploying this package, esto lo que hace cuando esta tildado , es que el soft se instale aunq el lenguaje del sitema operativo y el software sean diferentes, de no ser asi y al haber diferencia entre los idiomas , el paquete no se instalara.

Hacemso gpupdate /force y probamos con algun user.

19.2 Desintalar software distrubuido.

Damos click derecho sobre el soft, remove.

Nos preguntara si queremos eliminarlo de todos los usaurios y los equipos y la otra nos preguntara si queremos detener la distribucion pero dejar el programa a quienes ya lo tenga.

19.3 asignar vs publicar software.

En el contexto de la administración de políticas de grupo (GPO) en un entorno de Windows Server, “publicar” y “asignar” son dos métodos diferentes para gestionar la instalación de software en los equipos cliente. Aquí hay una explicación de cada uno:

1. Asignar:

   • Definición: Al asignar un paquete de software a través de una GPO, estás indicando de manera específica que el software se instalará en los equipos o usuarios a los que se aplique la política.
   • Proceso: La instalación del software se inicia automáticamente cuando el equipo o usuario se inicia o inicia sesión.
   • Uso típico: Es útil cuando deseas garantizar que un conjunto específico de software esté instalado en determinados equipos o usuarios de manera automática.

2. Publicar:

   • Definición: Publicar un paquete de software a través de una GPO significa que el software estará disponible para que los usuarios lo instalen, pero no se instalará automáticamente.
   • Proceso: Los usuarios pueden acceder a una lista de software disponible y decidir si desean instalarlo. La instalación se inicia solo cuando el usuario elige instalarlo.
   • Uso típico: Puede ser útil cuando deseas dar a los usuarios la opción de instalar o no ciertos programas según sus necesidades.

En resumen, asignar instala automáticamente el software en los equipos o usuarios a los que se aplica la GPO, mientras que publicar hace que el software esté disponible para que los usuarios lo instalen según su preferencia. La elección entre asignar y publicar dependerá de los requisitos y políticas específicos de implementación de software en tu entorno.

20.1 Modo procesamiento loopback

Supongamos que tenemos un servidor al cual nos queremos concetar de manera remota, en este escenario nosotros tenemos un usuario con sus propias GPOs, pero necesitamos que cuando nuestro usuario se conecte con su propia cuenta al servidor remoto le aplican mas politicas restrictivas.

Por ejemplo nuestro usuario puede acceder al panel de control en el dia a dia.

Para lograr que se le sumen politicas de usuario en el contexto del servidor remoto tenemos que usar procesamiento loopback a nivel de equipo dentro de una GPO.

1. Creamos en el AD un OU llamada servidor, dentro agregamos la pc del servidor remoto.

2. vamos a las GPO y creamos una nueva, que solo aplique a este OU.

3. En user configuration > policies > administrative template > start menu task > remove run menu from start menu.

4. En este punto no tenemos users dentro de el OU servidor entonces nunca se le va a aplicar a nadie, el truco esta en:
   1. vamos dentro de la GPO del serveer a computer configuration
   2. administrative templates
   3. system
   4. group policy
   5. activamos configure user group policy loopback processing mode

Ahora a los permisos de nuestro usuario o cualqueir otro que se valide en ese equipo, se le sumaran las configs de users que pusimos antes.