Desfragmentar la base de datos de AD

Todo directorio activo, tiene una base de datos, que está ubicada en c:\windows\ntds y es llamada ntds.dit y que debe ser desfragmentada para su correcto funcionamiento. Dicha base de datos es transaccional y atómica, es decir, si se inicia una operación de lectura/escritura, ésta debe completarse o abortarse, no se puede quedar por la mitad. Es una buena práctica realizarle ciertas tareas de mantenimiento a estas bases de datos, por ejemplo: Crear backups: en caso de que la base de datos se corrompa, o falle el controlador de dominio y no podamos recuperarlo.Restauración:…continue reading →

Crear una instantánea de la base de datos de AD

El servicio de Active Directory Domain Services es un servicio crítico, por eso es recomendable hacer Snapshots, para ello se pueden utilizar infinidad de herramientas, pero en la que me voy a centrar es "ntdsutil". Ntdsutil es una herramienta de línea de comandos que permite acceder y gestionar una base de datos de AD, por eso muy útil para hacer instantáneas, recuperar objetos o para saber cómo estaba configurado en un momento determinado. La información de "ntdsutil" se almacena en un archivo llamado "ntds.dit" donde se guarda todo el contenido del AD. Para…continue reading →

Instalar un DC adicional en un dominio existente desde Powershell

El controlador de dominio en una organización es una máquina crítica, debido a ello se debe tener redundancia en dicha máquina, es por esto por lo que se añade un segundo DC para apoyar al controlador principal. Aparte de la seguridad, también nos aporta un mayor rendimiento, ya que se podrían distribuir las conexiones de los clientes entre ellos. En el nuevo DC se deberá almacenar una copia de lectura/escritura de NTDS.DIT y SYSVOL. NTDS.DIT es la base de datos del Directorio Activo y contiene varias particiones: Esquema: Contiene definiciones de todos los objetos…continue reading →

Configurando CrossForest Autoenrollment

En el videotutorial hemos visto como realizar las diferentes configuraciones para habilitar el enrolamiento automático de certificados entre diferentes bosques, en nuestro ejemplo, de Adatum a Tailspintoys. La finalidad de este post es profundizar en el funcionamiento de la solución y detallar las configuraciones que se han aplicado. Configuraciones previas Para empezar quiero indicar que para que todo proceso funcione correctamente, es necesario tener configurada una relación de confianza entre los bosques, la relación tiene que ser forest way de dos vías, respecto a la autenticación podríamos configurarla como selectiva, siempre y cuando…continue reading →

Crear usuarios en bloque usando ldifde

El comando ldifde, trabaja con archivos .ldf, es un comando realmente útil, porque permite la gestión de usuarios en bloque. Se puede hacer algo pesado, ya que sólo se puede utilizar mediante comandos en cmd o PowerShell, preferiblemente línea de comandos (cmd), También se puede realizar estos cambios gráficamente, pero es más tedioso por el hecho de que tenemos que modificar los uno a uno, salvo que hagamos una plantilla de usuario, pero aún así en esa plantilla, sólo podemos definir algunos campos, no todos son válidos. Esta herramienta, es realmente útil, porque…continue reading →

Crear usuarios en bloque usando CSVDE

CSVDE (Comma Separated Value Data Exchange) es una herramienta para la importación y exportación de objectos de Active Directory. Para tener disponible esta herramienta es necesario tener el rol de AD DS (Active Directory Domain Services) o AD LDS (Active Directory Lightweight Directory Services). Esta herramienta se utiliza para ahorrar esfuerzo administrativo y evitar trabajo repetitivo, ya sea para: crear cientos de usuarios nuevos, realizar migraciones de múltiples usuarios, … CSVDE se lleva utilizando desde Windows Server 2000 y se ha mantenido a lo largo de todo este tiempo en todos los sistemas…continue reading →

Configurar usuario KRA

En este post explicaré como configurar un usuario KRA (Key Recovery Agent), este tipo de usuarios es útil cuando queremos recuperar claves de usuarios que previamente estén almacenadas en el AD ya sea por motivos de seguridad o por que hemos olvidado la contraseña. Lo primero que necesitamos hacer es instalar el rol de "Active Directory Certificate Services" y crear un usuario en AD que será utilizado como KRA. https://flic.kr/p/RAgKCc A continuación abriremos nuestra Autoridad Certificadora, y seleccionaremos la plantilla de KRA (Key Recovery Agent) y la editamos; entramos en la pestaña Security,…continue reading →

Recuperación de certificados utilizando un KRA

La finalidad del tutorial, es enseñar como recuperar un certificado, que previamente había sido usado para cifrar un archivo, y tras ello, se ha borrado. Pero antes de esto, debemos comprender qué son los certificados y el funcionamiento básico de una PKI(Public Key Infrastructure). Infraestructura de clave pública En la actualidad, las empresas tienen la necesidad de mejorar la seguridad de los datos informáticos, de forma que solo usuarios autenticados sean los que puedan acceder a estos. Una PKI es el conjunto de soluciones tecnológicas tanto de software, como de hardware, que permiten…continue reading →

Crear una GPO para que muestre un mensaje de bienvenida al iniciar sesión

  Las GPOs son una forma de gestionar equipos, grupos y usuarios de forma centralizada. Se almacenan en SYSVOL, para que se sincronice con todos los controladores de dominio. Componentes Cualquier GPO está compuesta de dos partes: Configuración de Equipo: Se aplica a las máquinas independientemente de que usuario inicie en ella. Configuración de Usuario: Se aplica a los usuarios independientemente de la máquina en la que se inicia sesión. Orden de aplicación Cuando tenemos varias GPO enlazadas en diferentes niveles, este será el orden a tener en cuenta. La última GPO en aplicarse…continue reading →

Crear una nueva plantilla de certificados

Introducción En este vídeotutorial, vamos a crear una nueva plantilla de certificados desde nuestro Windows Server 2016. Instalación de rol Para ello, lo primero que debemos hacer, es añadir el rol de "Active Directory Certificates Services", seleccionamos la casilla de "Certification Authority" y hacemos clic en "install", este proceso puede llevar su tiempo. Seleccionamos la casilla de "Certification Authority" y hacemos clic en "Next" y clic en "install", este proceso puede llevar su tiempo. Una vez termina la instalación, configuramos el servicio, introducimos las credenciales, marcamos la casilla de "Certification Authority" y el…continue reading →