INFORMACION

Windows Server 2012 R2Administracin avanzada

Este libro est dirigido a aquellos administradores e ingenieros de sistemas que deseen adquirir

conocimientos avanzados sobre Windows Server 2012 R2 y dominarlo en profundidad.

Responde a la necesidad de disponer de una mayor experiencia por parte del lector, tratando con profundidad,

desde un punto de vista terico y prctico, roles imprescindibles tales como Active Directory, DFS, Hyper-V,

BitLocker, el reparto de carga o incluso la VPN. Tambin se describen todas las especificidades de

Windows Server 2012 R2 (como, por ejemplo, los avances en trminos de virtualizacin, de seguridad, los

Work Folders, IPAM, Workplace Joint, la Experiencia con Windows Server Essentials, etc.), para

permitirle aprovechar al mximo el potencial de esta versin.

Desde el despliegue, pasando por el clustering, y hasta la virtualizacin, este libro es el compaero ideal para

aprender hasta el ltimo detalle de esta versin de Windows Server. Aporta un alto nivel de experiencia y su

vocacin es convertirse en una obra de referencia.

Los autores ponen a disposicin del lector sus conocimientos en tecnologas Microsoft (MVP, MCSE y/o

MCITP, MCSA) y su experiencia, muy significativa, en infraestructuras integrales y complejas, para proveer

un nivel de calidad que respete las mejores prcticas del mundo profesional de la empresa.

Los captulos del libro: Introduccin Dominio Active Directory Arquitectura distribuida de acceso a los recursos Alta disponibilidad Implementar los servicios de Red de la empresa La evolucin de la red Servicios de Escritorio remoto Acceso remoto Aplicaciones de Internet Reducir la superficie de ataque Consolidar sus servidores Despliegue de servidores y puestos de trabajo Securizar su arquitectura El ciclo de vida de su infraestructura Prepararse para el futuro

Thierry DEMAN - Freddy ELMALEH - Sbastien NEILD - Thierry DEMAN es Arquitecto de Sistemas y domina las tecnologas Microsoft

tras numerosos aos trabajando en el seno de Permis Informatique. Est

reconocido como Microsoft MVP (Most Valuable Professional) en Exchange tras

varios aos. Est certificado, entre otros, en MCSE Messaging 2013 y MCSA

Windows Server 2008 et 2012.

Freddy ELMALEH es consultor freelance, experto en Seguridad y soluciones

de Infraestructura de Microsoft. Fundador de la empresa Active IT, colabora con

muchas grandes empresas en servicios de consultora y auditora de sistemas y

seguridad. Est reconocido como Microsoft MVP (Most Valuable Professional)

en Directory Services desde 2007 gracias, en particular, a su activa participacin

en el seno de la comunidad Microsoft (Foro Technet y laboratorio Microsoft).

Tambin est certificado en MCITP Server Administrator para Windows Server

2012.

Sbastien NEILD es Ingeniero de Sistemas y Redes en una empresa de

servicios. Colabora como responsable de proyectos de Active Directory y

Exchange y ha participado en numerosos proyectos de despliegue y migracin de

infraestructuras Windows Server. Est certificado en MCSE y MCITP Server

Administrator para Windows Server 2008.

Maxence VAN JONES es consultor freelance, Arquitecto de sistemas y redes,

Jefe de proyecto, formador MCT y fundador de MVJ CONSULTING. Interviene

como experto en proyectos de diseo de parques informticos, de virtualizacin y

de securizacin siempre en relacin con tecnologas Microsoft. Est, entre otros,

certificado en MCITP Enterprise Administrator para Windows Server 2008 y

MCSA para Windows Server 2012.

Introduccin

Este libro trata sobre la ltima versin del sistema operativo de la gama Windows Server de

Microsoft

Se trata, evidentemente, de Windows Server 2012 R2.

Microsoft, fiel a su estrategia, busca dinamizar la evolucin de sus productos, prefiriendo, de

este modo, definir un ciclo de vida ms corto a sus productos para aportar, de manera regular,

mejoras y evolutivos tcnicos adaptados al mercado.

Windows Server 2012 no se sale de esta norma, y algunos meses despus de la aparicin de

la versin R1, ha hecho su aparicin Windows Server 2012 R2 y se pone a disposicin de

todos los profesionales.

Microsoft ha diseado Windows Server 2012 para ofrecer una plataforma flexible y completa

que responda a las necesidades, cada vez ms exigentes, de las empresas. Esta versin

evoluciona de acuerdo a su tiempo teniendo en cuenta la tendencia hacia la virtualizacin de

servidores, al Cloud Computing y a la premisa "Bring Your Own Device". Podr, de este

modo, aprovechar las nuevas funcionalidades, tiles y prcticas, que le permitirn basar el

conjunto de sus Sistemas de Informacin en una solucin Microsoft.

Las distintas ediciones de Windows Server 2012/2012 R2

Como es habitual, Microsoft Windows Server 2012 R2, as como Windows Server 2012, est disponible en

distintas versiones. La eleccin de una u otra edicin depender, especialmente:

Del rol del servidor que prev instalar.

De la estrategia de virtualizacin empleada.

Del tipo de licencia utilizado.

Para realizar esta eleccin, hay disponibles cuatro ediciones de Windows Server 2012 R2:

Windows Server 2012 R2 Datacenter: se trata de la versin ms completa, que soporta hasta 64 procesadores. Se trata de una versin destinada a servidores especialmente potentes que slo est

disponible bajo un programa de clave de licencia por volumen. Su modelo de licencia se calcula en

funcin del nmero de procesadores y del nmero de CAL. Permite alojar un nmero ilimitado de

mquinas virtuales.

Windows Server 2012 R2 Standard: se trata de una versin idntica a la edicin Datacenter, salvo que slo permite el uso de dos instancias virtuales.

Windows Server 2012 R2 Essentials: esta versin remplaza a Small Business Server Essentials. Algunos roles no estn disponibles en comparacin con una versin Standard (Server Core, Hyper-V,

etc.). Esta edicin est limitada a una nica instancia fsica o virtual, con un mximo de 25 usuarios.

Las versiones Standard y Datacenter permiten utilizar ciertas funcionalidades que, habitualmente, son

propias de la versin Essentials (tales como la copia de seguridad de los equipos cliente, los cuadros de

mando, etc.).

Windows Server 2012 R2 Foundation: esta edicin no ofrece solucin de virtualizacin (no es posible instalar Hyper-V), y est limitada a 15 usuarios. Es posible obtener ms informacin sobre las

especificaciones (idnticas entre las versiones 2012 y 2012 R2) de esta versin en la siguiente

direccin: http://technet.microsoft.com/en-us/library/jj679892.aspx

Observe que existe, a su vez, una versin gratuita llamada Hyper-V Server 2012. Est preconfigurada para

ejecutar una versin mnima (Core) de Windows Server 2012 y slo puede alojar el rol Hyper-V. Es posible

encontrar ms informacin en la siguiente direccin: http://technet.microsoft.com/es-

es/evalcenter/dn205299.aspx

Windows Server 2012 R2 est disponible nicamente en versin 64 bits; las versiones de 32 bits e Itanium ya no

estn disponibles.

Si desea informacin ms precisa, encontrar una descripcin detallada de las distintas versiones de Windows

en la siguiente direccin (en ingls): http://www.microsoft.com/en-us/server-cloud/windows-server/buy.aspx

La gestin de las licencias se ha rediseado por completo. Para Windows Server 2012 Standard y Datacenter, el

clculo de licencias "por servidor" cambia por licencias "por procesador". Preste atencin, en adelante, al

hardware de sus servidores. Por defecto, estas versiones parten de una licencia para dos procesadores. La nica

diferencia entre ambas versiones reside en el derecho a la virtualizacin: ilimitado en la versin Datacenter y de

dos mquinas virtuales en la versin Standard.

Encontrar la FAQ oficial (en ingls) correspondiente a las licencias en la siguiente direccin:

http://download.microsoft.com/download/4/D/B/4DB352D1-C610-466A-9AAF-

EEF4F4CFFF27/WS2012_Licensing-Pricing_FAQ.pdf

Se aplica, a su vez, un licenciamiento particular a las mquinas virtuales. Todos estos detalles se encuentran en

la siguiente documentacin:http://download.microsoft.com/download/3/D/4/3D42BDC2-6725-4B29-B75A-

A5B04179958B/WindowsServer2012VirtualTech_VLBrief.pdf

Dado que las versiones Foundation y Essentials estn mucho menos extendidas en la empresa, este documento

se centra en las ediciones Standard y Datacenter.

Los grandes ejes de Windows Server 2012 R2

Durante el estudio de los ejes principales de esta versin de Windows Server, Microsoft tiene en consideracin

la carga de trabajo, la presin creciente sobre el servicio IT de las empresas y la explosin del Cloud

Computing. El sistema operativo deber, por tanto, dar respuesta a estas tres exigencias esenciales.

1. Un mejor control de la informacin

Windows Server 2012 R2 provee un mejor control de la informacin para garantizar una mayor eficacia en la

administracin y, en consecuencia, una mejora en la productividad. La nueva interfaz, de tipo mosaico, es

coherente con el resto de la nueva gama de los OS Windows. Aunque le pueda resultar algo desconcertante,

Microsoft ha rectificado su estrategia en la versin R2 reintegrando el botn Inicio. Es posible que la toma de

control suponga, todava, algn problema, por ello le invito a leer la siguiente pgina, a riesgo de que no sea

capaz de volver a reiniciar su servidor salvo por lnea de comando: http://technet.microsoft.com/es-

es/library/hh831491.aspx#BKMK_run

Para aumentar esta calidad en la administracin, en Windows Server 2012 R2 se ha aumentado la capacidad de

script y de automatizacin de tareas gracias al lenguaje de script Windows PowerShell. La automatizacin de

tareas corrientes de administracin se ve, de este modo, mejorada enormemente gracias a esta nueva

funcionalidad. Prcticamente todas las acciones realizadas en el seno del sistema se pueden automatizar con

PowerShell, y existen muchos asistentes que proponen, como ltimo paso, recuperar la sintaxis PowerShell

equivalente a las acciones realizadas.

El servicio de directorio de Active Directory est dotado, desde Windows Server 2008 R2, de funcionalidades

tales como la papelera de reciclaje de Active Directory, la administracin automtica de cuentas de servicio o

incluso la posibilidad de administrar de forma grfica las directivas de contraseas mltiples, que encantarn a

todo administrador. El control de acceso dinmico permite controlar el acceso a los datos de forma dinmica.

Identifica la criticidad del dato (segn los atributos que se hayan definido) y guarda, a continuacin, el control

sobre el que se ubican en el seno del Sistema de Informacin.

La instalacin basada en roles y caractersticas, gracias a la consola nica Administracin del servidor, facilita

la administracin. Los asistentes disponibles permiten limitar al mximo los errores de configuracin gracias a

sus numerosas explicaciones, que guan al administrador en la etapa de instalacin de un componente Windows.

La consola permite, a su vez, instalar y administrar servidores fsicos remotos o virtuales, tanto desde un

servidor como desde un puesto de trabajo, mediante las herramientas de administracin RSAT. Es, por tanto,

fcil crear un grupo de servidores que tengan que gestionarse de manera conjunta.

Microsoft ofrece, a su vez, la opcin de instalar por defecto una versin mnima de Windows Server 2012 R2,

conocida con el nombre de Windows Server Core. Esta versin funciona, de hecho, sin una interfaz grfica y

todo debe configurarse por lnea de comandos. La ventaja principal de este tipo de administracin reside en el

hecho de que la superficie de ataque se reduce por el hecho de que solamente se instalan en el servidor aquellos

componentes imprescindibles. Los administradores agregarn, a continuacin, los roles que deseen. La interfaz

grfica se considera una caracterstica ms que es posible desinstalar.

Consolas tales como el monitor de confiabilidad y rendimiento de Windows permite detectar problemas de

configuracin en sus sistemas operativos, e informar automticamente al servicio informtico. Ofrece, a su vez,

mucha informacin precisa sobre el uso de componentes del sistema.

En lo sucesivo, es posible realizar una mejor administracin de la impresin. En efecto, es posible instalar

impresoras automticamente sobre equipos de usuario mediante directivas de grupo.

La consola MMC le permite gestionar, controlar y resolver mejor los fallos de las impresoras de su dominio.

Por ltimo, y una buena noticia ms para los administradores, las reglas Applocker permitirn realizar un mejor

control de las aplicaciones cuyo uso se autorice con Windows Server 2008 R2/2012/2012 R2 y Windows

7/8/8.1.

2. Una mejor proteccin del Sistema de Informacin orientada a la movilidad y al Cloud

Microsoft ha rehecho completamente el ncleo de su sistema operativo desde Windows Server 2008. Existe un

ncleo NT 6.x desde Windows Vista/2008 (Windows 2000 y XP se basaban en el ncleo NT 5.x). Windows 8 y

2012 se basan en el ncleo 6.2.

Este ncleo posee la tecnologa Patchguard, desarrollada por Microsoft para proteger al mximo el sistema

operativo y, de este modo, mantener una barrera para los rootkits o cualquier otro ataque que trate de modificar

el ncleo del sistema. Windows Server 2012/2012 R2, igual que Windows 8/8.1, aprovechan la funcionalidad

ELAM (Early Launch Anti-Malware) que permite cargarse nicamente a aquellos drivers firmados, tras el

arranque del sistema.

La proteccin de acceso a redes (NAP) est, tambin, accesible y le permite implementar condiciones de uso

de su sistema dentro de la empresa. Se terminaron las personas externas que llegaban con un ordenador porttil

que no cumpliera con las reglas de la organizacin y los usuarios sin el antivirus actualizado! El acceso a la red

se les denegar mientras no cumplan con los criterios de conformidad que usted haya juzgado convenientes.

El acceso a la red de la empresa cobra una nueva dimensin con la simplicidad en la implementacin de

DirectAccess, que permite a los administradores aprovechar un control mayor sobre los equipos, pudiendo, de

este modo, administrarlos incluso antes de que se conecte un usuario (GPO disponibles, etc.). Se termin la

necesidad de tener una infraestructura IPv6 para aprovechar esta solucin, como ocurra con Windows Server

2008 R2.

Los controladores de dominio de solo lectura (RODC) refuerzan la seguridad de sus dominios Active

Directory en la medida en que puede limitar la difusin de ciertas contraseas en caso de que se vea

comprometido algn controlador de dominio. stos encontrarn, por ejemplo, su lugar en las pequeas redes de

agencia donde la seguridad del controlador de dominio no puede garantizarse.

El acceso VPN a travs de protocolos tales como SSL facilitan el acceso al Sistema de Informacin y, tambin,

intercambiar datos con otros equipos. La pasarela sitio-a-sitio multi-inquilino provee, de este modo, la opcin

de utilizar una misma pasarela Site To Site para conectar clientes que posean el mismo plan de direccionamiento

IP.

El firewall avanzado de Windows Server 2012 R2 permite limitar la superficie de ataque de sus servidores

realizando un filtrado de los puertos sobre el trfico de red entrante o saliente. El firewall analiza el flujo a nivel

de aplicacin, de modo que puede no autorizar el trfico para un servicio especfico. Adems, la nueva consola

de gestin MMC para el firewall avanzado permite configurar los flujos IPsec para asegurar la integridad o

cifrar el flujo entre equipos. Esto resulta ideal para definir un cifrado entre controladores de dominio o entre

equipos de administracin y servidores de administracin.

El cifrado del lector de disco se realiza con BitLocker, que permite, a su vez, impedir el acceso a los datos de su

disco duro desde una instalacin paralela de otro sistema operativo.

Los servicios asociados a Active Directory refuerzan, a su vez, la seguridad de su infraestructura informtica. El

rol AD CS (Active Directory Certificate Services) permite difundir certificados basados en el nuevo modelo de

certificados versin 4. El rol AD RMS (Active Directory Rights Management Services) le da la posibilidad de

controlar la difusin de los documentos en su empresa. El rol AD FS permite favorecer enormemente los

intercambios de informacin con equipos asociados externos, o incluso mejorar el uso de terminales personales

para conectarse al Sistema de Informacin de la empresa (BYOD) con un control mnimo sobre estos equipos

gracias a Workplace Join.

Siempre desde un punto de vista de apetura hacia la movilidad, la funcionalidad de Carpetas de trabajo

permiten sincronizar archivos profesionales entre varios PC o dispositivos que pertenezcan al mismo usuario,

pertenezcan o no a la empresa.

Las funcionalidades de seguridad presentes en Windows Server 2012 R2 permiten, por tanto, limitar el riesgo de

ataque sobre el servidor garantizando una productividad y una flexibilidad importantes.

3. Una plataforma que evoluciona

Windows Server 2012 R2 es una plataforma capaz de adaptarse y responde a las necesidades de evolucin de

una sociedad.

La tecnologa hypervisor (Hyper-V) responde a la necesidad, cada vez mayor, de las empresas que desean

virtualizar algunos de sus servidores. Esta tecnologa responde, de este modo, de forma ultra-reactiva a los

cambios de trabajo dinmicos y al desarrollo de la cloud privada. Las rplicas de Hyper-V resultarn

interesantes para ms de una PYME que no disponga del presupuesto suficiente para la implementacin de una

solucin de replicacin para responder ante un desastre o siniestro. Una rplica de Hyper V permitir replicar

una mquina virtual hacia otra, ahorrando el mximo de ancho de banda, gracias a una compresin y un registro

de los cambios en un disco de una mquina virtual.

Un espacio de almacenamiento, novedad funcional desde Windows Server 2012, permite utilizar discos duros

econmicos para crear zonas de almacenamiento. Esta zona puede, por tanto, dividirse en espacios que se

utilizarn como discos fsicos. Un poco de manera similar a como ocurre con SAN, aunque de forma mucho

menos onerosa, esta funcionalidad permite incluir discos auxiliares en caliente y utilizar mtodos de

redundancia (paridad, mirroring, etc.).

El protocolo SMB (Server Message Block) pasa a la versin 3.0 y se ha visto mejorado considerablemente.

Tiene en cuenta funcionalidades tales como la conmutacin automtica SMB, la consideracin de SMB, el

testigo de carpeta, etc. Tiene en cuenta, tambin, el almacenamiento en archivos VHD o un sistema de bases de

datos SQL.

Los servicios Terminal Server aportan una gran cantidad de innovaciones que mejorarn enormemente la

experiencia de usuario.

Es posible realizar un acceso centralizado a las aplicaciones de cara a desasociar, poco a poco, el puesto de

trabajo de las aplicaciones que son necesarias para los usuarios.

Tambin puede hacer disponibles aplicaciones (publicacin de aplicaciones) sin que tengan que estar instaladas

en el equipo del usuario. El acceso directo de la aplicacin aparece, ahora, en el escritorio del usuario junto a las

aplicaciones instaladas de manera local en su equipo. El usuario no es capaz de distinguir, a primera vista, las

aplicaciones locales de aquellas remotas, lo que le permite ganar tiempo en trmino de formacin de los

usuarios. La funcionalidad RemoteFX, que haba hecho su aparicin con Windows Server 2008 R2, se ha visto

mejorada y ya no requiere ninguna configuracin particular para aprovechar una calidad grfica excepcional

mediante RDP (lectura de animaciones, webcam, etc.).

Un servicio de pasarela Terminal Services (tambin llamado RD Gateway) le permite no tener que multiplicar

los puertos a abrir en su red o a implementar una red privada virtual. Basta con tener un nico punto de entrada,

a travs de un portal Web, que le permite acceder a su red privada virtual. El trfico RDP se encapsula, en

efecto, de manera transparente en un flujo SSL (HTTPS).

El acceso Web a los servicios Terminal Server (RD Web Access) es una interfaz Web que le permite acceder

a las aplicaciones RemoteApp que haya decidido publicar. Estas aplicaciones estn, de este modo, accesibles

desde su navegador de Internet. Esta solucin se basa en IIS y puede, a su vez, integrarse en un portal

SharePoint.

Gracias a Windows Server 2012 puede gestionar la evolucin de la empresa y, en particular, administrar

aplicaciones que requieran una alta disponibilidad.

El clster de servidores tiene como cometido contener varios a servidores con un mismo rol. Si alguno de los

servidores (llamados nodos del clster) no est disponible, el sistema de clster bascula, automticamente, hacia

otro nodo disponible. Esto se realiza sin ninguna intervencin por parte de los administradores, lo que limita la

duracin de la indisponibilidad de una aplicacin.

El servicio de alta disponibilidad se caracteriza, a su vez, por la posibilidad de hacer un reparto de la carga de

red (llamada, a su vez, NLB por Network Load Balancing). Este reparto o equilibrado de carga permite repartir

la carga de red entre varios servidores que presenten la misma informacin. El reparto de carga de red puede, de

este modo, responder a un desarrollo importante de la actividad de un sitio de Internet, por ejemplo,

seleccionando dirigir las demandas de conexin al servidor Web en el servidor IIS menos ocupado.

Por ltimo, el ciclo de vida de su servidor resulta ms sencillo de gestionar gracias a un conjunto de

herramientas adaptadas y tiles.

Entre todas ellas, podemos citar la caracterstica de copia de seguridad que le permite administrar sus copias de

seguridad y restauraciones gracias a asistentes muy intuitivos. La tecnologa de las instantneas permite realizar

copias de seguridad de sus archivos en ejecucin de forma casi inmediata.

El servidor de actualizaciones WSUS3 permite administrar el conjunto de actualizaciones (correctivos, parches

de seguridad) de los sistemas operativos y de algunas aplicaciones Microsoft en el seno de su red empresarial.

Este libro tiene tambin como objetivo presentarle las principales funcionalidades de Windows Server

2012/2012 R2, insistiendo especialmente en aquellas novedades aparecidas tras el salto tecnolgico que separa a

Windows Server 2003 de Windows Server 2008.

Est salpicado de consejos y recomendaciones de expertos en herramientas Microsoft y se dirige, de este modo,

a aquellas personas que ya posean cierta experiencia. No obstante, esta obra tambin pretende explicar los

conceptos bsicos de modo que resulte accesible a aquellas personas que no posean una experiencia notoria con

la tecnologa de servidor de Microsoft.

Las numerosas direcciones de Internet provistas en las pginas de este libro se recopilan en una webografa,

disponible en la pgina Informacin.

DOMINIO ACTIVE DIRECTORY

Introduccin

Este captulo est dedicado al directorio de Microsoft Active Directory. El servicio de

directorio de Microsoft resulta indispensable en la gestin de la informacin en el seno de

una empresa.

En la primera parte, se presenta el servicio de directorio en Windows Server 2012 R2. A

continuacin, seguiremos con explicaciones sobre los principales componentes ligados al

servicio de directorio, tales como las directivas de grupo y otros servicios relacionados al

propio directorio.

Presentacin del servicio de directorio de Microsoft: Active Directory Domain Services

Usted ya conocer, sin duda alguna, el principio de funcionamiento del directorio Active

Directory. Esta obra no tiene como objetivo volver a explicar lo que ya conoce, de modo que

los principios generales de un directorio Active Directory (tambin llamado Active Directory

Domain Services o AD DS) se abordan de manera muy breve para, as, poder centrar su

atencin en las especificidades aportadas por Windows Server 2012 R2.

1. Definicin de un dominio de Active Directory

Active Directory es un servicio de directorio que permite referenciar y organizar objetos tales

como cuentas de usuario, nombres de recursos compartidos, autorizaciones mediante grupos

de dominio, etc. La informacin puede, as, centralizarse en un directorio de referencia con el

objetivo de facilitar la administracin del Sistema de Informacin.

Desde un punto de vista tecnolgico cabe tener en cuenta tres nociones:

El dominio es la unidad bsica encargada de agrupar los objetos que comparten un

mismo espacio de nombres (un dominio debe, en efecto, basarse necesariamente sobre

un sistema DNS que soporte actualizaciones dinmicas y registros de tipo SRV).

Una arborescencia de dominios es la agrupacin jerrquica de varios dominios

que comparten un mismo espacio de nombres (por ejemplo, los dominios

madrid.MiEmpresa.Priv y barcelona.MiEmpresa.Priv).

Un bosque trata de reagrupar varias arborescencias de dominio que tienen en comn

un catlogo global y que no comparten, obligatoriamente, un espacio de nombres

comn.

Desde un punto de vista fsico, cabe tener en cuenta tres elementos principales:

Los controladores de dominio se encargan de almacenar el conjunto de los datos y de

administrar las interacciones entre los usuarios y el dominio (apertura de sesin,

bsquedas en el directorio, etc.). Al contrario que con los antiguos sistemas NT, en el

dominio tiene lugar una replicacin multimaestro, lo que permite a cualquier

controlador poder iniciar una modificacin (agregar una cuenta de usuario, cambiar

una contrasea de usuario, etc.).

Cada controlador de dominio contiene, a su vez, particiones. Microsoft ha decidido

compartir la informacin en varias particiones para, as, limitar la extensin de los

datos que hay que replicar. Cada particin tiene, por tanto, su mbito de replicacin.

Todos los controladores de dominio de un mismo bosque tienen en comn las

particiones de esquema y de configuracin.

Todos los controladores de dominio de un mismo dominio comparten una particin de

dominio comn.

La cuarta particin (presente de forma opcional) es la particin de aplicacin. sta

almacena los datos sobre las aplicaciones utilizadas en Active Directory y se replica

sobre los controladores de dominio que usted elija que formen parte del mismo

bosque.

Los sitios Active Directory ponen en evidencia la agrupacin fsica de objetos de un

mismo dominio. Debe, adems, asociar uno (o varios) controlador(es) de dominio a

un mismo sitio Active Directory si estos controladores de dominio se comunican con

un enlace de red que tenga una buena velocidad de transferencia. En efecto, los

controladores de dominio de un mismo sitio dialogan de manera mucho ms frecuente

que los controladores de dominio definidos en dos sitios de Active Directory distintos.

Esto le permite, tambin, reducir de manera importante el trfico de red en un enlace

que separe a dos sitios remotos.

Los roles FSMO (Flexible Single Master Operation) son un total de cinco en el seno

de una infraestructura Active Directory. Estos roles deben estar contenidos en

controladores de dominio y son necesarios para el correcto funcionamiento de un

dominio de Active Directory.

Segn los roles, son nicos por dominio o bien por bosque. La siguiente tabla

muestra con detalle cada uno de estos cinco roles:

Nombre del rol

FSMO Ubicacin Rol

Maestro de

nomenclatura de

dominios

nico en el

seno de un

bosque

Se encarga de inscribir a los dominios

en el bosque.

Gestiona la nomenclatura del

dominio.

Maestro de esquema nico en el

seno de un

bosque

Gestiona la modificacin del

esquema Active Directory.

Maestro RID nico en el

seno de un

dominio

Distribuye rangos de RID para los

2.

Func

ionalidades de Active Directory en Windows Server 2012

R2

Windows Server 2012 R2 proporciona un gran nmero de funcionalidades, las cuales

gustarn tanto a aquellas personas que no tengan un conocimiento previo como a aquellas que

deseen poseer un conocimiento avanzado.

Se le explica cmo instalar un controlador de dominio de Active Directory con Windows

Server 2012 R2, cmo utilizar las directivas de contrasea especficas, etc.

Estas funcionalidades se le presentarn mediante casos prcticos a lo largo de este captulo

para que pueda constatar, usted mismo, la utilidad de estas ltimas.

a. Instalacin de un directorio de Active Directory

Desde un punto de vista general, los asistentes de configuracin se han visto mejorados

considerablemente a lo largo de las versiones de Windows. Descubrir, rpidamente, que

estos ltimos son muy tiles e intuitivos. Por ejemplo, en lo sucesivo puede hacer referencia a

la mayora de las opciones avanzadas de instalacin del directorio Active Directory desde el

asistente creado a este efecto.

Es necesario agregar un nuevo rol en su servidor Windows Server 2012 R2 para instalar su

directorio Active Directory.

Puede acceder desde el Administrador del servidor. Utilizar, por tanto, esta consola para

agregar el rol Servicios de dominio de Active Directory (tambin conocido bajo el nombre

AD DS por Active Directory Domain Services). Volveremos un poco ms adelante sobre las

etapas detalladas ligadas a esta instalacin.

En primer lugar, el conjunto de manipulaciones debe realizarse con una cuenta de usuario que

posea los permisos de Administrador del servidor.

SID.

Maestro de

infraestructura

nico en el

seno de un

dominio

Gestiona los movimientos de objetos

de un dominio a otro.

Emulador PDC nico en el

seno de un

dominio

Garantiza una compatibilidad con los

sistemas operativos anteriores (NT,

en particular).

Sirve como servidor de tiempo de

referencia para el resto del dominio.

Sirve como punto de referencia

durante los procesos de cambio de

contrasea y bloqueo de cuentas.

Asegrese, en primer lugar, que tiene bien definido el nombre NetBIOS de su futuro

controlador de dominio, as como una direccin IP fija vlida. Se recomienda, siempre,

definir estos parmetros antes de realizar la promocin de un servidor a controlador de

dominio.

Por defecto, el Administrador del servidor se ejecuta cada vez que inicia Windows, y le

permite configurar su servidor una vez instalado.

Haga clic en Configurar este servidor local (o Servidor local) para visualizar la

configuracin propia a este servidor y modificarla si fuera necesario.

Escoja configurar las opciones de red haciendo clic en los enlaces de hipertexto que se

encuentran en la misma fila que Ethernet y Nombre de equipo. Podr, de este modo, definir

una direccin IPv4 fija, as como un nombre de equipo descriptivo para su servidor.

En nuestro ejemplo, el nombre de equipo ser DC2012 (DC por Domain Controller o

controlador de dominio). A continuacin deber reiniciar el servidor.

Vuelva sobre Panel, siempre desde la consola Administrador del servidor.

Haga clic en Agregar roles y caractersticas.

A continuacin se abre el Asistente para agregar roles y caractersticas. La primera

pgina aparece, por defecto, con cada ejecucin del asistente. Tiene como objetivo permitirle

verificar un conjunto de buenas prcticas antes de continuar con la instalacin de un rol en su

servidor (contrasea fuerte, direccin IP esttica, parches de seguridad al da). Haga clic en

Siguiente.

Escoja la opcin Instalacin basada en caractersticas o en roles y, a continuacin, haga

clic en Siguiente.

Como es posible instalar, desde este asistente, roles o caractersticas sobre un servidor

definido en un grupo de servidores o desde un disco duro virtual, esta etapa le permite

precisar el servidor o el disco duro virtual en cuestin. En nuestro ejemplo, se trata de un

servidor fsico. Seleccione la opcin Seleccionar un servidor del grupo de servidores y, a

continuacin, haga clic en Siguiente.

Observe que todos los comandos de instalacin se basan en PowerShell y pueden ejecutarse

de manera remota.

Seleccione, a continuacin, el rol o la caracterstica que desea instalar. Como se trata de la

instalacin de un controlador de dominio Active Directory, debe escoger la opcin Servicios

de dominio de Active Directory.

El asistente le invitar a agregar la instalacin de varias caractersticas necesarias (o, al

menos, tiles) para este rol (Herramientas administrativas, Administracin de directivas de

grupo, etc.). Las siguientes etapas del asistente se actualizan de manera dinmica en funcin

del rol seleccionado. Haga clic en Siguiente.

A continuacin se le pregunta si quiere aprovechar para instalar las caractersticas

suplementarias de su servidor. No es necesaria ninguna para el buen funcionamiento de

Active Directory, las caractersticas necesarias ya se le han presentado en la ventana anterior.

Haga clic en Siguiente.

El asistente le explica, rpidamente, el rol de los servicios de dominio de Active Directory

as como la principal informacin a tener en cuenta. Le invita, a su vez, a consultar los

artculos disponibles en la ayuda de Windows para ms informacin. Haga clic en Siguiente.

La ltima etapa consiste en confirmar la instalacin del rol en cuestin. Los mensajes de

informacin le avisan de que el servidor se reiniciar al finalizar la instalacin. Reinicio que

puede escoger que se realice automticamente o no. Haga clic en Instalar. Comienza la

instalacin del rol.

Es posible exportar los parmetros de configuracin. Esto ser til para poder reutilizarlos

mediante comandos PowerShell si fuera necesario.

Es posible cerrar el asistente y continuar trabajando con el servidor sin que la instalacin se

detenga. Puede ver el grado de avance de la instalacin en la consola Administracin del

servidor, dentro del rea marcada con la bandera de notificacin.

Una vez terminada la instalacin, se dar cuenta rpidamente de la potencia y de la utilidad

de los asistentes de Windows Server 2012 R2. Estos ltimos le guiarn de manera muy

intuitiva en las siguientes etapas a realizar.

En el rea de notificaciones, puede apreciar, pasados algunos minutos, un signo de

exclamacin que se corresponde con la Configuracin posterior a la instalacin que debe

realizar para continuar con la instalacin de Active Directory. Si no apareciera, aunque la

instalacin haya terminado, cierre el Administrador del servidor y, a continuacin, bralo de

nuevo (o haga clic en el botn Actualizar que se encuentra justo al lado (a la izquierda) del

icono con forma de bandera de notificacin). Haga clic en el enlace Promover este servidor

a controlador de dominio. Si bien sigue existiendo, el comando dcpromo ya no se utiliza

desde Windows Server 2012. Servir nicamente para facilitar la transicin de algunas

empresas que hayan desarrollado scripts con este comando. La norma es, ahora, utilizar los

scripts PowerShell, puesto que, ahora, todo se basa en ellos. Los cmdlets PowerShell que

pueden resultar tiles son Install-ADDSForest, Install-ADDSDomain, Install-

ADDSDomainController y Add-ADDSReadOnlyDomainControllerAccount. Puede encontrar

ms informacin en la siguiente direccin: http://technet.microsoft.com/en-

us/library/hh472162.aspx

Antes de poder instalar un controlador de dominio en Windows Server 2012 R2, el nivel

funcional del bosque deber ser, como mnimo, Windows Server 2008. A modo de

recordatorio, para que el nivel funcional del bosque sea Windows Server 2008, es preciso que

el nivel funcional de todos los dominios del bosque sean, como mnimo, Windows Server

2008. Esto implica que ya no ser posible tener un controlador de dominio con Windows

Server 2003 en un bosque que tenga un DC con Windows Server 2012 R2.

Si no fuera el caso, deber, obligatoriamente, extender el esquema a Windows Server 2012 y,

a continuacin, actualizar el dominio funcional del (o de los) dominio(s) y el bosque

impactados.

Estas etapas resultan, a menudo, temidas por los administradores puesto que la marcha atrs

es compleja (habr que restaurar, como mnimo, un dominio por bosque). Microsoft ha

optado por simplificar esta etapa integrando directamente la actualizacin del esquema y del

dominio en el asistente de promocin de un controlador de dominio desde el Administrador

del servidor.

El asistente ejecuta como tarea de fondo el comando adprep. Este comando es necesario para

preparar un bosque y un dominio para la instalacin de un controlador de dominio de una

versin superior. Este comando slo est disponible en versin 64 bits.

Si sus antiguos controladores de dominio ejecutan, todava, una versin de 32 bits, es posible

ejecutar adprep de manera remota desde un servidor Windows Server 2008 versin 64 bits,

Windows Server 2008 R2, Windows Server 2012 o Windows Server 2012 R2 miembro del

dominio, incluso aunque no se trate de un controlador de dominio. Adprep se ubica en la

carpeta soporte\adprep del DVD de instalacin de Windows Server 2012 R2. Encontrar

mucha ms informacin sobre la instalacin manual de adprep en la siguiente direccin:

http://technet.microsoft.com/en-us/library/hh472161.aspx

Si, en el seno de su dominio, todos los controladores de dominio funcionan con Windows

Server 2012 R2, puede aumentar el nivel de su dominio a Windows Server 2012 R2 mediante

la consola Dominios y confianzas de Active Directory o mediante el centro de

administracin de Active Directory (encontrar ms informacin en la direccin:

http://technet.microsoft.com/es-es/library/cc753104.aspx). Si, en el seno de su bosque, todos

los controladores de dominio funcionan con Windows Server 2012 R2 puede, tambin,

aumentar el nivel funcional de su bosque, siempre mediante alguna de estas consolas

(encontrar ms informacin en la direccin: http://technet.microsoft.com/es-

es/library/cc730985.aspx)

Existen varios motivos para aumentar el nivel funcional del dominio o del bosque. Aporta, la

mayora de veces, funcionalidades y caractersticas suplementarias. Estas funcionalidades se

resumen en la siguiente direccin: http://technet.microsoft.com/en-us/library/understanding-

active-directory-functional-levels(v=ws.10).aspx

Observe, no obstante, que algunos componentes no requieren ms que la preparacin del

dominio para agregar nuevas funcionalidades (sin tener, obligatoriamente, que implementar

el nivel funcional del dominio o del bosque). Es el caso, por ejemplo, del proxy web de

aplicacin (Web Application Proxy) que se basa nicamente en las clases del esquema

creadas tras la implementacin del esquema (mediante el comando adprep /forestprep) para

poder funcionar.

Observe, a su vez, que (siempre y cuando la papelera de reciclaje de Active Directory no est

activada) es posible disminuir el nivel funcional de un dominio o de un bosque de Windows

Server 2012 o Windows Server 2008 R2 a Windows Server 2008 mediante los comandos

PowerShell siguientes:

Import-Module ActiveDirectory

Set-AdDomainMode -identity MiEmpresa.Priv -server dc2012.MiEmpresa.Priv

-domainmode

Windows2008Domain

Set-AdForestMode -identity MiEmpresa.Priv -server dc2012..MiEmpresa.Priv

-forestmode

Windows2008Forest

Haga clic, a continuacin, en el vnculo Promover este servidor a controlador de dominio

disponible en la lista de tareas o, tal y como se ha indicado antes, haga clic en Promover este

servidor como controlador de dominio.

Se inicia el Asistente para instalacin de Servicios de dominio de Active Directory.

Seleccione una configuracin de despliegue. En nuestro ejemplo, seleccione: Agregar un

nuevo bosque. Observe que el asistente le indica un vnculo hacia el archivo de ayuda en

lnea de Windows que trata las distintas configuraciones de despliegue posibles.

Si ha seleccionado agregar un controlador de dominio a un dominio existente, tendr la

posibilidad, ms adelante, de definir la instalacin del controlador de dominio a partir de un

medio externo (una copia de seguridad, por ejemplo). Esto resulta bastante til para sitios

remotos, por ejemplo, para evitar que se produzca un trfico de red demasiado elevado y se

sature el ancho de banda durante la primera sincronizacin entre los controladores de

dominio. Puede, si no, definir un controlador de dominio particular para la primera

sincronizacin del directorio de Active Directory para indicar un controlador de dominio del

mismo sitio y, de este modo, evitar que la sincronizacin no se realice desde un sitio remoto

que podra tener un ancho de banda limitado.

D nombre a la raz del bosque. En nuestro ejemplo, el nombre del dominio ser

miempresa.priv y, a continuacin, haga clic en Siguiente.

Se recomienda, en cualquier caso, informar un nombre de dominio con dos niveles.

No cree, por tanto, ningn dominio Active Directory que tenga, por ejemplo, el nombre

Miempresa. Piense, tambin, en prohibir el uso de un guin bajo (underscore) en su nombre

de dominio. Si se diera el caso, realice una migracin a un nombre de dominio sin este

carcter, que le generar una serie de inconvenientes en el futuro, especialmente con

Exchange.

Observe que desde Windows Server 2008 R2, el asistente no le permite crear un nombre de

dominio de un solo nivel, bien sea para un bosque o para un nuevo dominio en un bosque ya

existente. S le dejar, por el contrario, agregar un nuevo controlador que se ejecute bajo 2008

R2 o superior en un dominio con un nico nivel ya existente. La KB de Microsoft KB300684

(http://support.microsoft.com/kb/300684) analiza este caso.

De aqu a dos aos, los fabricantes de certificados pblicos no certificarn ms dominios con

extensiones privadas tales como: interna.MiEmpresa.es. Es conveniente disociar los nombres

de dominio interno y externo para evitar, en particular, tener que realizar una gestin algo

ms compleja en su zona DNS interna.

Tras hacer clic en Siguiente, el asistente trata de resolver el nombre de dominio para

contactar con un eventual bosque ya existente.

Encontrar ms informacin sobre los distintos tipos de zona DNS y sobre la replicacin en

el captulo Implementar los servicios de red de la empresa - Implementar los sistemas de

resolucin de nombres.

Es preciso definir el nivel funcional del bosque. Seleccione Windows Server 2012 R2 dado

que, en este ejemplo, se trata de un servidor que es el nico controlador de dominio y del

bosque.

Deje marcada la opcin Servidor DNS para instalar este rol sobre el futuro controlador de

dominio. La opcin Catlogo global aparece marcada obligatoriamente puesto que todava

no existe ningn catlogo en el dominio, dado que hemos seleccionado la opcin de crear un

nuevo dominio en un nuevo bosque.

Defina una contrasea de restauracin de servicios de directorio. Se utilizar cuando se

acceda en modo de restauracin del directorio Active Directory pulsando la tecla [F8] durante

el arranque del sistema operativo. Esta contrasea deber responder a la complejidad

requerida por la directiva de contrasea.

Si bien puede resultar tentador, no defina la misma contrasea que para la cuenta de

Administrador actual por motivos de seguridad.

A continuacin, haga clic en Siguiente.

Aprovechar automticamente, de este modo, las ventajas ligadas al nuevo funcionamiento

del dominio de Windows Server 2012 R2, como las directivas de contrasea especfica

(disponibles desde el nivel funcional Windows Server 2012 y que ver, tambin, ms

adelante en la seccin Directivas de contrasea especfica y de bloqueo de cuenta granular de

este captulo).

El sistema trata, a continuacin, de contactar con el servidor DNS definido a nivel de los

parmetros TCP/IP de la tarjeta de red del servidor. Si no responde al nombre de dominio

Active Directory definido, y si no se ha instalado ningn servidor DNS, el asistente mostrar

el siguiente mensaje (haciendo clic en Ver ms en la barra de alerta de color amarillo ubicada

en la parte superior del asistente).

Observe, tambin, que si se define un servidor DNS en las propiedades TCP/IP del servidor,

ste se borrar automticamente de estas propiedades de modo que el futuro controlador de

dominio ser cliente de su propio DNS. El anterior servidor DNS se informar en la pestaa

Reenviadores en las propiedades del servicio DNS.

Haga clic en Siguiente. Deje el nombre NetBIOS por defecto y, a continuacin, haga clic en

Siguiente.

Como se encuentra trabajando en un entorno de pruebas, deje la ruta por defecto para la base

de datos, los archivos de registro y SYSVOL. En un entorno de produccin, se recomienda

encarecidamente separar la base de datos y los archivos de registro para, as, evitar la

saturacin de I/O (entradas/salidas). Haga clic en Siguiente.

Aparece un resumen que muestra las distintas opciones que ha definido a lo largo de las

etapas del asistente. Es posible exportar estos parmetros para poder reutilizarlos en un

archivo de respuestas.

Podr, de este modo, desplegar fcilmente otros controladores de dominio reduciendo el

riesgo de error durante la configuracin de este rol. El comando que debe utilizarse es, en este

caso, dcpromo /answer:NombreDelArchivoCreado (si no se trata de promover un DC en

Windows Server 2012 R2) o, directamente, mediante PowerShell mediante el script

disponible haciendo clic en la opcin Ver script.

Haga clic en Siguiente. El asistente realiza, a continuacin, una verificacin de requisitos

previos necesarios para la instalacin del rol de controlador de dominio sobre este servidor.

Aparece un mensaje de advertencia que indica los problemas que puede encontrar debido al

enriquecimiento del algoritmo de cifrado utilizado para establecer un canal de seguridad con

un cliente SMB. Por defecto, los anteriores sistemas operativos como, por ejemplo, Windows

NT 4.0 no podrn acceder a los recursos compartidos que se encuentren en un servidor

Windows Server 2008/2008 R2/2012 o 2012 R2.

Recorra esta lista de advertencias y, si no existe ningn punto bloqueante, haga clic en

Instalar.

Observe que puede realizar las acciones correctivas necesarias y, a continuacin, hacer clic

en el vnculo que le permite volver a verificar si se cumplen los requisitos previos.

Haga clic en Instalar para arrancar la instalacin. El servidor reinicia, automticamente, al

finalizar la instalacin.

Enhorabuena! Acaba de instalar con xito un controlador de dominio en Windows Server

2012 R2.

Le faltar verificar la instalacin de Active Directory y realizar las primeras acciones

esenciales. El siguiente enlace le ofrece todos los elementos necesarios:

http://technet.microsoft.com/en-us/library/cc794717(WS.10).aspx

b. Presentacin de la auditora ligada al servicio de directorio

Auditar estos servidores es una actividad que consiste en censar los eventos que se consideren

interesantes en el registro de eventos. Esto le permitir evidenciar problemas de

configuracin o incluso verificar la seguridad de ciertos elementos crticos del sistema

operativo. Preste atencin, no obstante, a no definir demasiados objetos a auditar, puesto que

el rendimiento del servidor se ver impactado inmediatamente.

Antes de Windows Server 2008 R2, poda configurar los eventos de auditora editando su

directiva de grupo (desde el men Inicio - Herramientas administrativas y Gestion des

Directiva de grupo) a nivel, por ejemplo, de Directiva Default Domain Controllers Policy

(Configuracin de equipo - Directivas - Configuracin de Windows - Configuracin de

seguridad - Directivas locales - Directivas de auditora).

La informacin que se muestra es, no obstante, confusa, pues es posible ser mucho ms

preciso!

Las directivas de auditora pueden, en efecto, definirse de forma mucho ms precisa y los

parmetros visualizados a nivel de la directiva de grupo ms arriba no representan ms que de

una forma muy vasta la configuracin efectiva.

En Windows XP slo existen nueve categoras de evento que pueden auditarse. Desde

Windows Vista/Windows Server 2008, puede optar por auditar hasta 53 categoras de eventos

distintos volviendo, de este modo, la creacin de objetos mucho ms granular.

La visualizacin y la configuracin de estos parmetros no son idnticos entre Windows

Server 2008 R2 y Windows Server 2012 R2.

En Windows Server 2008 (o Vista con las herramientas de administracin RSAT), puede

mostrar y aplicar de forma ms precisa las directivas de auditora realmente posibles

nicamente por lnea de comandos mediante el comando Auditpol.exe.

El siguiente comando permite mostrar las distintas categoras posibles para la auditora:

Auditpol.exe /get /Category:*

En Windows Server 2008 R2 y Windows 2012/2012 R2 (o Windows 7 - Windows 8/8.1 con

las herramientas de administracin RSAT instaladas), es posible configurar, desplegar y

administrar la auditora detallada desde la consola GPMC. La configuracin de la auditora

detallada se realiza a nivel de Configuracin del equipo - Directivas - Configuracin de

Windows - Configuracin de seguridad - Configuracin de directiva de auditora

avanzada - Directivas de auditora.

Estas directivas pueden aplicarse, de este modo, sobre OU especficas para controlar la

actividad de las cuentas de administrador, etc. Tenga en mente, no obstante, que esta

configuracin definida mediante GPO se ejecutar nicamente en equipos Windows Server

2008 R2/2012/2012 R2 o Windows 7/8/8.1.

Cabe destacar, tambin, que Microsoft desaconseja la configuracin de la auditora

simultneamente a nivel de Configuracin del equipo - Configuracin de Windows -

Configuracin de seguridad - Directivas locales - Directivas de auditora y de

Configuracin del equipo - Configuracin de Windows - Configuracin de seguridad -

Configuracin de directiva de auditora avanzada - Directivas de auditora. Para ello,

Microsoft recomienda configurar la opcin Auditora: forzar la configuracin de

subcategoras de la directiva de auditora (Windows Vista o posterior) para invalidar la

configuracin de la categora de directiva de auditora que se define a nivel de

Configuracin del equipo - Configuracin de Windows - Configuracin de seguridad -

Opciones de seguridad. Si este parmetro no est habilitado, las opciones definidas a nivel

de la auditora bsica (las siete categoras histricas) podran entrar en conflicto con las

definidas de manera ms precisa en la directiva de auditora avanzada.

Para desplegar estos parmetros en Windows Server 2008 o Windows Vista, es preciso

utilizar la opcin auditpol.exe. Ms adelante se ofrece un enlace a la KB que explica cmo

poner en marcha este despliegue.

Con la llegada de Windows Server 2008 R2 y Windows 7, Microsoft introduce la posibilidad

de auditar el acceso a objetos globales. Tiene, en efecto, la posibilidad de definir una

directiva de auditora para un usuario particular sobre una accin precisa y para un conjunto

de servidores. Esto puede resultar muy prctico si tiene que justificar, en particular, la

auditora de la seguridad de un servidor de cara a afrontar una auditora SOX.

Los eventos generados por las auditoras de acceso a los archivos o al registro estarn mucho

ms detalladas si activa la opcin Auditar la manipulacin de identificadores puesto que se

mostrar el "motivo del acceso", que le permitir, en particular, poner de relieve errores de

configuracin (como, por ejemplo, un usuario que tiene acceso de escritura en lugar de tener

un acceso de slo lectura).

Con Windows Server 2012/2012 R2 es posible crear directivas de auditora basadas en

expresiones con el objetivo de precisar mejor la informacin que se quiere mostrar en funcin

de varios criterios (usuarios, equipos, recursos, etc.). Este aspecto se aborda en detalle en el

captulo Securizar su arquitectura.

Encontrar la gua paso a paso para implementar una directiva de grupo avanzada en la

siguiente direccin: http://technet.microsoft.com/es-es/library/dd408940(WS.10).aspx

Observar, entonces, que las opciones de auditora son mucho ms ricas respecto a las

versiones anteriores de Windows.

Se han conservado las principales categoras, y muchas subcategoras enriquecen y hacen que

la recogida de eventos sea mucho ms precisa. Su registro de eventos estar, por tanto, mucho

ms limpio de eventos intiles.

Sepa, no obstante, que si utiliza la directiva de grupo para definir las categoras principales de

auditora, no tendr la posibilidad de definir de forma ms precisa los parmetros de las

subcategoras. Una directiva de auditora configurada a nivel de las directivas de grupo

activa, automticamente, las subcategoras.

Para configurar de forma ms precisa la auditora sobre los equipos tendr que utilizar el

comando auditpol en los equipos o servidores seleccionados a travs de un script, por

ejemplo.

Si desea, en cambio, poder administrar la configuracin de las subcategoras de sus equipos

Windows Vista/2008 de manera centralizada (y, en consecuencia, tener que utilizar el

comando auditpol en cada equipo), consulte la solucin provista en el siguiente artculo de la

Kb de Microsoft: http://support.microsoft.com/kb/921469

Una de estas nuevas subcategoras de auditora se ha creado especialmente desde Windows

2008 R2 para dar respuesta a una necesidad importante de los administradores de dominio

Active Directory.

Esta nueva subcategora se denomina Directory Service Changes (categora hija de DS

Access). Le permitir registrar los antiguos y los nuevos valores atribuidos a un objeto de

Active Directory y a sus atributos. A ttulo informativo, antes un controlador de dominio en

Windows 2000 o 2003 indicaba simplemente el nombre del objeto o del atributo modificado,

pero no los valores anterior y modificado del mismo.

Una vez configurada la auditora de esta subcategora, los eventos se almacenan en el registro

de Seguridad. La siguiente tabla recoge los cuatro tipos de eventos sobre los objetos de

Active Directory:

Nmero de evento Tipo de evento

5136 Modificacin con xito de un atributo de Active Directory.

5137 Creacin de un nuevo objeto de Active Directory.

Si

desea,

por

ejemplo, activar la auditora para todas las subcategoras referentes al acceso al directorio

Active Directory, siga el procedimiento siguiente:

Ejecute, desde una ventana de smbolo del sistema de un controlador de dominio, el

siguiente comando: auditpol /set /category:"Acceso DS" /success:enable. Todas las

subcategoras de auditora del acceso DS se activarn. Es posible activar nicamente la

subcategora que nos interese, en nuestro caso, ejecutando auditpol /set

/subcategory:"modificacin del servicio de directorio" /success:enable y auditpol /set

/subcategory:"Administracin de cuentas de usuario" /success:enable.

Existe un bug en la versin espaola de auditpol y todas las categoras o subcategoras que

posean un apstrofe no funcionarn si lo escribe. Existen dos soluciones para evitar este

problema: o bien copia/pega la opcin desde una pgina web codificada correctamente, o

bien utiliza el cdigo ASCII presionando [Alt] y 0146 para proveer la versin esperada del

smbolo.

Modifique, a continuacin, la fecha de caducidad de una cuenta de usuario de Active

Directory mediante la consola Centro de administracin de Active Directory, tambin

llamada ADAC (Active Directory Administrative Center) en el resto del libro (desde el men

Inicio - Ejecutar - dsac.exe).

Abra el registro de eventos de su controlador de dominio (desde el men Inicio - Ejecutar -

Eventvwr.msc). Puede comprobar que existe un evento 4738 y detalla el o los valores que

acaban de modificarse, en nuestro ejemplo el valor Expiracin de cuenta:.

5138 Restauracin de un objeto de Active Directory.

5139 Desplazamiento de un objeto de Active Directory.

Por otro lado, Windows Server 2012 ha introducido las directivas de auditora de seguridad

basadas en las expresiones que permiten acotar los eventos a informar utilizando expresiones

basadas en reivindicaciones (claims) de usuario, de equipo y de recurso. Esta mejora est

ligada a otra novedad: el control de acceso dinmico, del que hablaremos con detalle en el

captulo Securizar su arquitectura.

Tenga en cuenta que, desde ahora, esta funcionalidad le permite auditar todos los usuarios

que traten de acceder a recursos para los que no se ha definido ninguna habilitacin o, por el

contrario, administradores que utilicen sus permisos de manera abusiva.

Para ello, a nivel de GPO en el servidor de archivos, siga estas etapas:

Desde Configuracin del equipo - Directivas - Configuracin de Windows -

Configuracin de seguridad - Configuracin de directiva de auditora avanzada -

Directivas de auditora - Acceso a objetos, a nivel de parmetro Auditar sistema de

archivos y del parmetro Auditar almacenamiento provisional de directiva de acceso

central, active la auditora Correcto y error.

A nivel de la carpeta a auditar:

Desde las Propiedades de la carpeta a auditar (una carpeta sensible accesible nicamente

por el servicio financiero de la empresa, por ejemplo), pestaa Seguridad - Opciones

avanzadas - pestaa Auditora - Agregar - Seleccionar una entidad de seguridad, escoja

un grupo habilitado para acceder a esta carpeta, en nuestro ejemplo GSU-Finanzas-RW.

Agregue una condicin que indique, por ejemplo: Usuario - Grupo - Miembro de cada -

Valor - [Administradores de dominio] y [Administradores].

Si un administrador accede a algn archivo de esta carpeta, se registrar un evento en el

registro de eventos de seguridad.

Los eventos 4656 y 4663 pueden generarse durante la activacin de la auditora de la

manipulacin de identificadores o de la SAM. Estos eventos son propios de Windows 2012

R2 y Windows 8/8.1.

Se podra, tambin, citar como ejemplo la posibilidad de poder auditar todos los proveedores

que traten de acceder a documentos vinculados a proyectos sobre los que no trabajen. La

auditora sera: Auditar - Todos - Todo - User.EmploymentStatus=Vendor AND

User.Project Not_AnyOf Resource.Project.

Si un usuario del servicio financiero trata de acceder, no se registrar ningn evento en el

registro de seguridad, lo que evitar reportar accesos vlidos. Tambin es posible asociar la

auditora de acceso global a los objetos con directivas de auditora basadas en expresiones, lo

que permite fusionar las directivas de auditora mltiples ubicadas en varios clientes.

De este modo el administrador de un permetro limitado podr definir una directiva de

auditora de acceso global a los objetos correspondientes a su permetro mientras que un

administrador global podr, por su parte, definir otra directiva de acceso global para un

permetro ms amplio.

Entre las mejoras aportadas por Windows Server 2012 y Windows 8 cabe destacar, tambin,

que es posible configurar el parmetro Auditar los inicios de sesin (Configuracin de

directiva de auditora avanzada - Inicio y cierre de sesin).

Se genera el evento 4624 cada vez que un usuario inicia una sesin sobre un equipo local o

remoto. Obtendr ms informacin sobre los nuevos eventos generados en la siguiente

direccin: http://technet.microsoft.com/es-es/library/hh831382.aspx

Estos parmetros pueden acoplarse con el control de acceso dinmico que se aborda en el

captulo Securizar su arquitectura.

c. Controlador de dominio de solo lectura

Desde Windows Server 2008, es posible crear controladores de dominio de solo lectura

(llamados, tambin, RODC por Read Only Domain Controller). Un controlador de

dominio de solo lectura contiene toda la informacin de un controlador de dominio clsico

salvo la contrasea de los usuarios. Esta informacin se almacena en solo lectura nicamente

y no es posible iniciar ninguna modificacin a nivel de dominio desde un RODC.

Sepa, por otra parte, que si no desea que se replique algn atributo sensible en su RODC es

posible modificar las propiedades del mismo para limitar su replicacin nicamente a

aquellos controladores de dominio inscribibles. Para ello, tendr que modificar el valor

searchFlags del atributo que desee a nivel de particin de esquema. El rol maestro de

esquema tendr que encontrar, preferentemente, la informacin sobre algn controlador de

dominio en Windows Server 2008 R2 como mnimo. Encontrar ms informacin a este

respecto en la siguiente direccin (en ingls):

http://technet2.microsoft.com/windowsserver2008/en/library/f62c9720-a5c3-40c9-aa40-

440026f585e91033.mspx?mfr=true