Configurar una Relacion de Confianza entre dos Bosques

Las relaciones de confianza, dicho de un modo simple, permiten que usuarios de un dominio puedan acceder a recursos de otro dominio.  En un bosque se crean relaciones de confianza bidireccionales y transitivas entre todos los dominios. Pero ¿y si queremos compartir recursos entre diferentes bosques? Tendremos que crear relaciones de confianza de modo explícito.Las relaciones de confianza se establecen entre 2 dominios. Dependiendo de la función que cumplen en la relación tendremos: “dominio trusting” (dominio que confía y a cuyos recursos van a acceder los usuarios del otro dominio)“dominio trusted” (en el…continue reading →

Filtrar archivos en una réplica DFS

Buenos días! ¿Alguna vez os ha pasado de comparar dos carpetas replicadas por un DFS y ver que el resultado no coincide? ¿Para qué quiero un DFS replicado si no me puedo fiar de él? Esta pregunta tiene fácil solución, y es que por defecto la replica de un DFS aplica unos filtros que quizá nos interesen o no. Además, podemos aprovechar ésta funcionalidad, para evitar tráfico innecesario en nuestra red. Ejemplo, tenemos típica aplicación de monitorización que nos generan unos logs enormes, que revisamos cuando vemos algo raro, pero que no nos…continue reading →

Instalación de software con extensión MSI a través de GPO en windows server 2016

Gracias a esta opción que nos da Windows server, nos permite desplegar una aplicación con extensión *.msi de manera rápida y fácil a través de GPO.  Ahorrándonos así mucho tiempo en la instalación para cada usuario o cada equipo que necesitemos. Una de las ventajas es que podemos desplegar por GPO una aplicación a un grupo concreto de usuario o ordenadores que tengamos en nuestro dominio de manera centralizada. Pero tiene limitaciones: Sólo podemos utilizar archivos .msi ó .msu No podemos obtener informes de instalación. No tiene la posibilidad de ejecutar scripts de…continue reading →

Servicios de Federación de Directorio Activo

ADFS es uno de los servicios más complejos que implementa Microsoft Windows 2016. Se trata de la implementación de Microsoft de un servidor de Federación, el cual nos permite: Compartir recursos entre dos organizaciones asociadas. Acceso a recursos que están fuera de la organización utilizando las mismas credenciales que ya están almacenadas en el Directorio Activo (Facebook,Office365,etc...) Publicación de aplicaciones Web en el internet. Para esto usamos Web Application Proxy del cual hablaremos más adelante. Nos permite habilitar Single Sign-On. Este depende directamente del rol de ADCS (Active Directory Certificate Services) ya que …continue reading →

Crear una Exclusion Policy para AD RMS

Active Directory Rights Management Services Active Directory Rights Management Services  o AD RMS es un servicio de rol que se encuentra disponible desde la versión Windows Server 2008. En Windows Server 2016 no ha recibido actualización debido a que su uso va a ser sustituido por Azure Information Protection. AD RMS permite a los usuarios del dominio establecer permisos de acceso a documentos, libros y presentaciones a través de las directivas de IRM. Esto ayuda a impedir que personas no autorizadas impriman, reenvíen o copien la información confidencial. Una vez se ha restringido…continue reading →

Crear y Aplicar una PSO a un Grupo de Usuarios desde PowerShell

¿QUÉ ES PSO? PSO (Fine-Grained Password Policies) y sirve para configurar Políticas de Contraseñas según las necesidades de diferentes Grupos. Están disponibles desde Windows Server 2012 y desde Windows Server 2012 R2, y continuan usandose en Windows Server 2016 donde podemos aplicarlas usando el Centro Administrativo de Directorio Activo y desde Powershell. COSAS A TENER EN CUENTA ANTES DE CREARLA Precedencia: Cuanto mas bajo sea el número de la Precedencia, Mayor Importancia tiene de aplicarse con respecto a otras PSOs  que se hayan creado anteriormente y las que se vayan a crear en un futuro. Las reglas…continue reading →

Crear y aplicar una PSO a un grupo de usuarios (GUI)

¿Qué es una PSO? Password Settings object es una directiva aplicada directamente a un usuario o un grupo de usuarios (grupo de seguridad global) para sobreponerse sobre default Domain Password Policy lo que quiere decir es que si una política de contraseñas en esta GPO es aplicada y se crea una PSO para cierto grupo o usuario se le aplicaría la PSO. Creación de PSO Para poder crear PSO tiene que tener instalado el rol Active Directory Domain Services y viene con ello AD ADministrative Center que es con lo que se gestiona,…continue reading →

Cómo crear una Cuenta de Servicio Gestionada gMSA

gMSA (Group Managed Service Account) son las siglas de Cuentas de Grupo de Servicio Gestionadas. La diferencia con MSA, o Cuenta de Servicio Gestionada, es básicamente que las MSA se pueden utilizar únicamente en una máquina en el dominio, mientras que las gMSA se pueden utilizar en múltiples máquinas en el dominio. Estas Cuentas de Servicio Gestionadas nos permiten la ejecución de servicios permitiendo la alta disponibilidad y la redundancia así como el control de los permisos de ejecución. Los servicios se ejecutan con permisos que pueden superar a los de un administrador…continue reading →

Cómo acceder a una instantánea de la base de datos del AD con GUI

El objetivo principal de este videotutorial es realizar una instantánea a la base de datos del directorio activo, seguramente cuando nos referimos al término instantánea, se nos viene a la cabeza una fotografía. Por ejemplo, si hacemos una fotografía anual de todos los trabajadores de una empresa, en dicha fotografía podemos ver a lo largo de ese tiempo todos los empleados que están en ese momento trabajando en la empresa y como irá cambiando la foto porque no serán los mismos empleados, unos se marcharán y otros vendrán. Esta instantánea es un reflejo…continue reading →

Desfragmentar la base de datos de Active Directory.

¿Qué vamos a ver? Con este videotutorial vamos a ver cómo podemos desfragmentar la base de datos del Directorio Activo. ¿Qué logramos al desfragmentar la base de datos del Directorio Activo? La base de datos guarda toda la información de los objetos del dominio, ya sea los usuarios, equipos o los grupos creados. La base de datos se ubica por defecto en la carpeta %systemroot%\NTDS y tiene por nombre, "ntds.dit". Algo que hemos de tener en cuenta sobre ese archivo ntds.dit, es que según vamos aumentando nuestro Directorio Activo, este archivo va incrementándose…continue reading →