Instalación de software con extensión MSI a través de GPO en windows server 2016

Gracias a esta opción que nos da Windows server, nos permite desplegar una aplicación con extensión *.msi de manera rápida y fácil a través de GPO.  Ahorrándonos así mucho tiempo en la instalación para cada usuario o cada equipo que necesitemos. Una de las ventajas es que podemos desplegar por GPO una aplicación a un grupo concreto de usuario o ordenadores que tengamos en nuestro dominio de manera centralizada. Pero tiene limitaciones: Sólo podemos utilizar archivos .msi ó .msu No podemos obtener informes de instalación. No tiene la posibilidad de ejecutar scripts de…continue reading →

Servicios de Federación de Directorio Activo

ADFS es uno de los servicios más complejos que implementa Microsoft Windows 2016. Se trata de la implementación de Microsoft de un servidor de Federación, el cual nos permite: Compartir recursos entre dos organizaciones asociadas. Acceso a recursos que están fuera de la organización utilizando las mismas credenciales que ya están almacenadas en el Directorio Activo (Facebook,Office365,etc...) Publicación de aplicaciones Web en el internet. Para esto usamos Web Application Proxy del cual hablaremos más adelante. Nos permite habilitar Single Sign-On. Este depende directamente del rol de ADCS (Active Directory Certificate Services) ya que …continue reading →

Crear una Exclusion Policy para AD RMS

Active Directory Rights Management Services Active Directory Rights Management Services  o AD RMS es un servicio de rol que se encuentra disponible desde la versión Windows Server 2008. En Windows Server 2016 no ha recibido actualización debido a que su uso va a ser sustituido por Azure Information Protection. AD RMS permite a los usuarios del dominio establecer permisos de acceso a documentos, libros y presentaciones a través de las directivas de IRM. Esto ayuda a impedir que personas no autorizadas impriman, reenvíen o copien la información confidencial. Una vez se ha restringido…continue reading →

Crear y Aplicar una PSO a un Grupo de Usuarios desde PowerShell

¿QUÉ ES PSO? PSO (Fine-Grained Password Policies) y sirve para configurar Políticas de Contraseñas según las necesidades de diferentes Grupos. Están disponibles desde Windows Server 2012 y desde Windows Server 2012 R2, y continuan usandose en Windows Server 2016 donde podemos aplicarlas usando el Centro Administrativo de Directorio Activo y desde Powershell. COSAS A TENER EN CUENTA ANTES DE CREARLA Precedencia: Cuanto mas bajo sea el número de la Precedencia, Mayor Importancia tiene de aplicarse con respecto a otras PSOs  que se hayan creado anteriormente y las que se vayan a crear en un futuro. Las reglas…continue reading →

Crear y aplicar una PSO a un grupo de usuarios (GUI)

¿Qué es una PSO? Password Settings object es una directiva aplicada directamente a un usuario o un grupo de usuarios (grupo de seguridad global) para sobreponerse sobre default Domain Password Policy lo que quiere decir es que si una política de contraseñas en esta GPO es aplicada y se crea una PSO para cierto grupo o usuario se le aplicaría la PSO. Creación de PSO Para poder crear PSO tiene que tener instalado el rol Active Directory Domain Services y viene con ello AD ADministrative Center que es con lo que se gestiona,…continue reading →

Cómo crear una Cuenta de Servicio Gestionada gMSA

gMSA (Group Managed Service Account) son las siglas de Cuentas de Grupo de Servicio Gestionadas. La diferencia con MSA, o Cuenta de Servicio Gestionada, es básicamente que las MSA se pueden utilizar únicamente en una máquina en el dominio, mientras que las gMSA se pueden utilizar en múltiples máquinas en el dominio. Estas Cuentas de Servicio Gestionadas nos permiten la ejecución de servicios permitiendo la alta disponibilidad y la redundancia así como el control de los permisos de ejecución. Los servicios se ejecutan con permisos que pueden superar a los de un administrador…continue reading →

Cómo acceder a una instantánea de la base de datos del AD con GUI

El objetivo principal de este videotutorial es realizar una instantánea a la base de datos del directorio activo, seguramente cuando nos referimos al término instantánea, se nos viene a la cabeza una fotografía. Por ejemplo, si hacemos una fotografía anual de todos los trabajadores de una empresa, en dicha fotografía podemos ver a lo largo de ese tiempo todos los empleados que están en ese momento trabajando en la empresa y como irá cambiando la foto porque no serán los mismos empleados, unos se marcharán y otros vendrán. Esta instantánea es un reflejo…continue reading →

Desfragmentar la base de datos de Active Directory.

¿Qué vamos a ver? Con este videotutorial vamos a ver cómo podemos desfragmentar la base de datos del Directorio Activo. ¿Qué logramos al desfragmentar la base de datos del Directorio Activo? La base de datos guarda toda la información de los objetos del dominio, ya sea los usuarios, equipos o los grupos creados. La base de datos se ubica por defecto en la carpeta %systemroot%\NTDS y tiene por nombre, "ntds.dit". Algo que hemos de tener en cuenta sobre ese archivo ntds.dit, es que según vamos aumentando nuestro Directorio Activo, este archivo va incrementándose…continue reading →

Crear una instantánea de la base de datos de AD

Que son las instantáneas Las instantáneas aparecieron como una nueva característica en Windows Server 2008. Una instantánea o Snapshot básicamente es una copia del archivo NTDS.dit el cual almacena todo el contenido del directorio activo. Las instantáneas de AD, cuando están montadas y conectadas, nos permiten ver cómo se veía la base de datos del directorio activo en el momento de la creación de la instantánea, qué objetos existían y otro tipo de información. Sin embargo, de fábrica, no nos permite mover o copiar elementos o información de la instantánea a la base…continue reading →

Instalar un DC adicional en un dominio existente desde PowerShell

El objetivo de este vídeo es aprender a instalar un Controlador de Dominio adicional a un dominio existente desde PowerShell, explicando paso a paso todos los requisitos fundamentales para el proceso. Una vez tenemos instalado el primer controlador de dominio, queremos añadir tolerancia a fallos, para que el dominio no caiga por, un fallo de hardware, problemas con el suministro eléctrico, etc. Por ello, lo normal en este tipo de casos es crear, al menos, un segundo controlador de dominio para poder tolerar la caída de uno de los servidores. Normalmente se suele…continue reading →