220356922-windows-server-2012-docx
DESCRIPTION
Windows Server 2012TRANSCRIPT
-
INFORMACION
Windows Server 2012 R2Administracin avanzada
Este libro est dirigido a aquellos administradores e ingenieros de sistemas que deseen adquirir
conocimientos avanzados sobre Windows Server 2012 R2 y dominarlo en profundidad.
Responde a la necesidad de disponer de una mayor experiencia por parte del lector, tratando con profundidad,
desde un punto de vista terico y prctico, roles imprescindibles tales como Active Directory, DFS, Hyper-V,
BitLocker, el reparto de carga o incluso la VPN. Tambin se describen todas las especificidades de
Windows Server 2012 R2 (como, por ejemplo, los avances en trminos de virtualizacin, de seguridad, los
Work Folders, IPAM, Workplace Joint, la Experiencia con Windows Server Essentials, etc.), para
permitirle aprovechar al mximo el potencial de esta versin.
Desde el despliegue, pasando por el clustering, y hasta la virtualizacin, este libro es el compaero ideal para
aprender hasta el ltimo detalle de esta versin de Windows Server. Aporta un alto nivel de experiencia y su
vocacin es convertirse en una obra de referencia.
Los autores ponen a disposicin del lector sus conocimientos en tecnologas Microsoft (MVP, MCSE y/o
MCITP, MCSA) y su experiencia, muy significativa, en infraestructuras integrales y complejas, para proveer
un nivel de calidad que respete las mejores prcticas del mundo profesional de la empresa.
Los captulos del libro: Introduccin Dominio Active Directory Arquitectura distribuida de acceso a los recursos Alta disponibilidad Implementar los servicios de Red de la empresa La evolucin de la red Servicios de Escritorio remoto Acceso remoto Aplicaciones de Internet Reducir la superficie de ataque Consolidar sus servidores Despliegue de servidores y puestos de trabajo Securizar su arquitectura El ciclo de vida de su infraestructura Prepararse para el futuro
Thierry DEMAN - Freddy ELMALEH - Sbastien NEILD - Thierry DEMAN es Arquitecto de Sistemas y domina las tecnologas Microsoft
tras numerosos aos trabajando en el seno de Permis Informatique. Est
reconocido como Microsoft MVP (Most Valuable Professional) en Exchange tras
varios aos. Est certificado, entre otros, en MCSE Messaging 2013 y MCSA
Windows Server 2008 et 2012.
Freddy ELMALEH es consultor freelance, experto en Seguridad y soluciones
de Infraestructura de Microsoft. Fundador de la empresa Active IT, colabora con
muchas grandes empresas en servicios de consultora y auditora de sistemas y
seguridad. Est reconocido como Microsoft MVP (Most Valuable Professional)
en Directory Services desde 2007 gracias, en particular, a su activa participacin
en el seno de la comunidad Microsoft (Foro Technet y laboratorio Microsoft).
Tambin est certificado en MCITP Server Administrator para Windows Server
2012.
Sbastien NEILD es Ingeniero de Sistemas y Redes en una empresa de
servicios. Colabora como responsable de proyectos de Active Directory y
Exchange y ha participado en numerosos proyectos de despliegue y migracin de
infraestructuras Windows Server. Est certificado en MCSE y MCITP Server
Administrator para Windows Server 2008.
Maxence VAN JONES es consultor freelance, Arquitecto de sistemas y redes,
Jefe de proyecto, formador MCT y fundador de MVJ CONSULTING. Interviene
como experto en proyectos de diseo de parques informticos, de virtualizacin y
de securizacin siempre en relacin con tecnologas Microsoft. Est, entre otros,
certificado en MCITP Enterprise Administrator para Windows Server 2008 y
MCSA para Windows Server 2012.
-
Introduccin
Este libro trata sobre la ltima versin del sistema operativo de la gama Windows Server de
Microsoft
Se trata, evidentemente, de Windows Server 2012 R2.
Microsoft, fiel a su estrategia, busca dinamizar la evolucin de sus productos, prefiriendo, de
este modo, definir un ciclo de vida ms corto a sus productos para aportar, de manera regular,
mejoras y evolutivos tcnicos adaptados al mercado.
Windows Server 2012 no se sale de esta norma, y algunos meses despus de la aparicin de
la versin R1, ha hecho su aparicin Windows Server 2012 R2 y se pone a disposicin de
todos los profesionales.
Microsoft ha diseado Windows Server 2012 para ofrecer una plataforma flexible y completa
que responda a las necesidades, cada vez ms exigentes, de las empresas. Esta versin
evoluciona de acuerdo a su tiempo teniendo en cuenta la tendencia hacia la virtualizacin de
servidores, al Cloud Computing y a la premisa "Bring Your Own Device". Podr, de este
modo, aprovechar las nuevas funcionalidades, tiles y prcticas, que le permitirn basar el
conjunto de sus Sistemas de Informacin en una solucin Microsoft.
-
Las distintas ediciones de Windows Server 2012/2012 R2
Como es habitual, Microsoft Windows Server 2012 R2, as como Windows Server 2012, est disponible en
distintas versiones. La eleccin de una u otra edicin depender, especialmente:
Del rol del servidor que prev instalar.
De la estrategia de virtualizacin empleada.
Del tipo de licencia utilizado.
Para realizar esta eleccin, hay disponibles cuatro ediciones de Windows Server 2012 R2:
Windows Server 2012 R2 Datacenter: se trata de la versin ms completa, que soporta hasta 64 procesadores. Se trata de una versin destinada a servidores especialmente potentes que slo est
disponible bajo un programa de clave de licencia por volumen. Su modelo de licencia se calcula en
funcin del nmero de procesadores y del nmero de CAL. Permite alojar un nmero ilimitado de
mquinas virtuales.
Windows Server 2012 R2 Standard: se trata de una versin idntica a la edicin Datacenter, salvo que slo permite el uso de dos instancias virtuales.
Windows Server 2012 R2 Essentials: esta versin remplaza a Small Business Server Essentials. Algunos roles no estn disponibles en comparacin con una versin Standard (Server Core, Hyper-V,
etc.). Esta edicin est limitada a una nica instancia fsica o virtual, con un mximo de 25 usuarios.
Las versiones Standard y Datacenter permiten utilizar ciertas funcionalidades que, habitualmente, son
propias de la versin Essentials (tales como la copia de seguridad de los equipos cliente, los cuadros de
mando, etc.).
Windows Server 2012 R2 Foundation: esta edicin no ofrece solucin de virtualizacin (no es posible instalar Hyper-V), y est limitada a 15 usuarios. Es posible obtener ms informacin sobre las
especificaciones (idnticas entre las versiones 2012 y 2012 R2) de esta versin en la siguiente
direccin: http://technet.microsoft.com/en-us/library/jj679892.aspx
Observe que existe, a su vez, una versin gratuita llamada Hyper-V Server 2012. Est preconfigurada para
ejecutar una versin mnima (Core) de Windows Server 2012 y slo puede alojar el rol Hyper-V. Es posible
encontrar ms informacin en la siguiente direccin: http://technet.microsoft.com/es-
es/evalcenter/dn205299.aspx
Windows Server 2012 R2 est disponible nicamente en versin 64 bits; las versiones de 32 bits e Itanium ya no
estn disponibles.
Si desea informacin ms precisa, encontrar una descripcin detallada de las distintas versiones de Windows
en la siguiente direccin (en ingls): http://www.microsoft.com/en-us/server-cloud/windows-server/buy.aspx
La gestin de las licencias se ha rediseado por completo. Para Windows Server 2012 Standard y Datacenter, el
clculo de licencias "por servidor" cambia por licencias "por procesador". Preste atencin, en adelante, al
hardware de sus servidores. Por defecto, estas versiones parten de una licencia para dos procesadores. La nica
diferencia entre ambas versiones reside en el derecho a la virtualizacin: ilimitado en la versin Datacenter y de
dos mquinas virtuales en la versin Standard.
Encontrar la FAQ oficial (en ingls) correspondiente a las licencias en la siguiente direccin:
http://download.microsoft.com/download/4/D/B/4DB352D1-C610-466A-9AAF-
EEF4F4CFFF27/WS2012_Licensing-Pricing_FAQ.pdf
Se aplica, a su vez, un licenciamiento particular a las mquinas virtuales. Todos estos detalles se encuentran en
la siguiente documentacin:http://download.microsoft.com/download/3/D/4/3D42BDC2-6725-4B29-B75A-
A5B04179958B/WindowsServer2012VirtualTech_VLBrief.pdf
Dado que las versiones Foundation y Essentials estn mucho menos extendidas en la empresa, este documento
se centra en las ediciones Standard y Datacenter.
-
Los grandes ejes de Windows Server 2012 R2
Durante el estudio de los ejes principales de esta versin de Windows Server, Microsoft tiene en consideracin
la carga de trabajo, la presin creciente sobre el servicio IT de las empresas y la explosin del Cloud
Computing. El sistema operativo deber, por tanto, dar respuesta a estas tres exigencias esenciales.
1. Un mejor control de la informacin
Windows Server 2012 R2 provee un mejor control de la informacin para garantizar una mayor eficacia en la
administracin y, en consecuencia, una mejora en la productividad. La nueva interfaz, de tipo mosaico, es
coherente con el resto de la nueva gama de los OS Windows. Aunque le pueda resultar algo desconcertante,
Microsoft ha rectificado su estrategia en la versin R2 reintegrando el botn Inicio. Es posible que la toma de
control suponga, todava, algn problema, por ello le invito a leer la siguiente pgina, a riesgo de que no sea
capaz de volver a reiniciar su servidor salvo por lnea de comando: http://technet.microsoft.com/es-
es/library/hh831491.aspx#BKMK_run
Para aumentar esta calidad en la administracin, en Windows Server 2012 R2 se ha aumentado la capacidad de
script y de automatizacin de tareas gracias al lenguaje de script Windows PowerShell. La automatizacin de
tareas corrientes de administracin se ve, de este modo, mejorada enormemente gracias a esta nueva
funcionalidad. Prcticamente todas las acciones realizadas en el seno del sistema se pueden automatizar con
PowerShell, y existen muchos asistentes que proponen, como ltimo paso, recuperar la sintaxis PowerShell
equivalente a las acciones realizadas.
El servicio de directorio de Active Directory est dotado, desde Windows Server 2008 R2, de funcionalidades
tales como la papelera de reciclaje de Active Directory, la administracin automtica de cuentas de servicio o
incluso la posibilidad de administrar de forma grfica las directivas de contraseas mltiples, que encantarn a
todo administrador. El control de acceso dinmico permite controlar el acceso a los datos de forma dinmica.
Identifica la criticidad del dato (segn los atributos que se hayan definido) y guarda, a continuacin, el control
sobre el que se ubican en el seno del Sistema de Informacin.
La instalacin basada en roles y caractersticas, gracias a la consola nica Administracin del servidor, facilita
la administracin. Los asistentes disponibles permiten limitar al mximo los errores de configuracin gracias a
sus numerosas explicaciones, que guan al administrador en la etapa de instalacin de un componente Windows.
La consola permite, a su vez, instalar y administrar servidores fsicos remotos o virtuales, tanto desde un
servidor como desde un puesto de trabajo, mediante las herramientas de administracin RSAT. Es, por tanto,
fcil crear un grupo de servidores que tengan que gestionarse de manera conjunta.
Microsoft ofrece, a su vez, la opcin de instalar por defecto una versin mnima de Windows Server 2012 R2,
conocida con el nombre de Windows Server Core. Esta versin funciona, de hecho, sin una interfaz grfica y
todo debe configurarse por lnea de comandos. La ventaja principal de este tipo de administracin reside en el
hecho de que la superficie de ataque se reduce por el hecho de que solamente se instalan en el servidor aquellos
componentes imprescindibles. Los administradores agregarn, a continuacin, los roles que deseen. La interfaz
grfica se considera una caracterstica ms que es posible desinstalar.
Consolas tales como el monitor de confiabilidad y rendimiento de Windows permite detectar problemas de
configuracin en sus sistemas operativos, e informar automticamente al servicio informtico. Ofrece, a su vez,
mucha informacin precisa sobre el uso de componentes del sistema.
En lo sucesivo, es posible realizar una mejor administracin de la impresin. En efecto, es posible instalar
impresoras automticamente sobre equipos de usuario mediante directivas de grupo.
La consola MMC le permite gestionar, controlar y resolver mejor los fallos de las impresoras de su dominio.
Por ltimo, y una buena noticia ms para los administradores, las reglas Applocker permitirn realizar un mejor
control de las aplicaciones cuyo uso se autorice con Windows Server 2008 R2/2012/2012 R2 y Windows
7/8/8.1.
-
2. Una mejor proteccin del Sistema de Informacin orientada a la movilidad y al Cloud
Microsoft ha rehecho completamente el ncleo de su sistema operativo desde Windows Server 2008. Existe un
ncleo NT 6.x desde Windows Vista/2008 (Windows 2000 y XP se basaban en el ncleo NT 5.x). Windows 8 y
2012 se basan en el ncleo 6.2.
Este ncleo posee la tecnologa Patchguard, desarrollada por Microsoft para proteger al mximo el sistema
operativo y, de este modo, mantener una barrera para los rootkits o cualquier otro ataque que trate de modificar
el ncleo del sistema. Windows Server 2012/2012 R2, igual que Windows 8/8.1, aprovechan la funcionalidad
ELAM (Early Launch Anti-Malware) que permite cargarse nicamente a aquellos drivers firmados, tras el
arranque del sistema.
La proteccin de acceso a redes (NAP) est, tambin, accesible y le permite implementar condiciones de uso
de su sistema dentro de la empresa. Se terminaron las personas externas que llegaban con un ordenador porttil
que no cumpliera con las reglas de la organizacin y los usuarios sin el antivirus actualizado! El acceso a la red
se les denegar mientras no cumplan con los criterios de conformidad que usted haya juzgado convenientes.
El acceso a la red de la empresa cobra una nueva dimensin con la simplicidad en la implementacin de
DirectAccess, que permite a los administradores aprovechar un control mayor sobre los equipos, pudiendo, de
este modo, administrarlos incluso antes de que se conecte un usuario (GPO disponibles, etc.). Se termin la
necesidad de tener una infraestructura IPv6 para aprovechar esta solucin, como ocurra con Windows Server
2008 R2.
Los controladores de dominio de solo lectura (RODC) refuerzan la seguridad de sus dominios Active
Directory en la medida en que puede limitar la difusin de ciertas contraseas en caso de que se vea
comprometido algn controlador de dominio. stos encontrarn, por ejemplo, su lugar en las pequeas redes de
agencia donde la seguridad del controlador de dominio no puede garantizarse.
El acceso VPN a travs de protocolos tales como SSL facilitan el acceso al Sistema de Informacin y, tambin,
intercambiar datos con otros equipos. La pasarela sitio-a-sitio multi-inquilino provee, de este modo, la opcin
de utilizar una misma pasarela Site To Site para conectar clientes que posean el mismo plan de direccionamiento
IP.
El firewall avanzado de Windows Server 2012 R2 permite limitar la superficie de ataque de sus servidores
realizando un filtrado de los puertos sobre el trfico de red entrante o saliente. El firewall analiza el flujo a nivel
de aplicacin, de modo que puede no autorizar el trfico para un servicio especfico. Adems, la nueva consola
de gestin MMC para el firewall avanzado permite configurar los flujos IPsec para asegurar la integridad o
cifrar el flujo entre equipos. Esto resulta ideal para definir un cifrado entre controladores de dominio o entre
equipos de administracin y servidores de administracin.
El cifrado del lector de disco se realiza con BitLocker, que permite, a su vez, impedir el acceso a los datos de su
disco duro desde una instalacin paralela de otro sistema operativo.
Los servicios asociados a Active Directory refuerzan, a su vez, la seguridad de su infraestructura informtica. El
rol AD CS (Active Directory Certificate Services) permite difundir certificados basados en el nuevo modelo de
certificados versin 4. El rol AD RMS (Active Directory Rights Management Services) le da la posibilidad de
controlar la difusin de los documentos en su empresa. El rol AD FS permite favorecer enormemente los
intercambios de informacin con equipos asociados externos, o incluso mejorar el uso de terminales personales
para conectarse al Sistema de Informacin de la empresa (BYOD) con un control mnimo sobre estos equipos
gracias a Workplace Join.
Siempre desde un punto de vista de apetura hacia la movilidad, la funcionalidad de Carpetas de trabajo
permiten sincronizar archivos profesionales entre varios PC o dispositivos que pertenezcan al mismo usuario,
pertenezcan o no a la empresa.
Las funcionalidades de seguridad presentes en Windows Server 2012 R2 permiten, por tanto, limitar el riesgo de
ataque sobre el servidor garantizando una productividad y una flexibilidad importantes.
-
3. Una plataforma que evoluciona
Windows Server 2012 R2 es una plataforma capaz de adaptarse y responde a las necesidades de evolucin de
una sociedad.
La tecnologa hypervisor (Hyper-V) responde a la necesidad, cada vez mayor, de las empresas que desean
virtualizar algunos de sus servidores. Esta tecnologa responde, de este modo, de forma ultra-reactiva a los
cambios de trabajo dinmicos y al desarrollo de la cloud privada. Las rplicas de Hyper-V resultarn
interesantes para ms de una PYME que no disponga del presupuesto suficiente para la implementacin de una
solucin de replicacin para responder ante un desastre o siniestro. Una rplica de Hyper V permitir replicar
una mquina virtual hacia otra, ahorrando el mximo de ancho de banda, gracias a una compresin y un registro
de los cambios en un disco de una mquina virtual.
Un espacio de almacenamiento, novedad funcional desde Windows Server 2012, permite utilizar discos duros
econmicos para crear zonas de almacenamiento. Esta zona puede, por tanto, dividirse en espacios que se
utilizarn como discos fsicos. Un poco de manera similar a como ocurre con SAN, aunque de forma mucho
menos onerosa, esta funcionalidad permite incluir discos auxiliares en caliente y utilizar mtodos de
redundancia (paridad, mirroring, etc.).
El protocolo SMB (Server Message Block) pasa a la versin 3.0 y se ha visto mejorado considerablemente.
Tiene en cuenta funcionalidades tales como la conmutacin automtica SMB, la consideracin de SMB, el
testigo de carpeta, etc. Tiene en cuenta, tambin, el almacenamiento en archivos VHD o un sistema de bases de
datos SQL.
Los servicios Terminal Server aportan una gran cantidad de innovaciones que mejorarn enormemente la
experiencia de usuario.
Es posible realizar un acceso centralizado a las aplicaciones de cara a desasociar, poco a poco, el puesto de
trabajo de las aplicaciones que son necesarias para los usuarios.
Tambin puede hacer disponibles aplicaciones (publicacin de aplicaciones) sin que tengan que estar instaladas
en el equipo del usuario. El acceso directo de la aplicacin aparece, ahora, en el escritorio del usuario junto a las
aplicaciones instaladas de manera local en su equipo. El usuario no es capaz de distinguir, a primera vista, las
aplicaciones locales de aquellas remotas, lo que le permite ganar tiempo en trmino de formacin de los
usuarios. La funcionalidad RemoteFX, que haba hecho su aparicin con Windows Server 2008 R2, se ha visto
mejorada y ya no requiere ninguna configuracin particular para aprovechar una calidad grfica excepcional
mediante RDP (lectura de animaciones, webcam, etc.).
Un servicio de pasarela Terminal Services (tambin llamado RD Gateway) le permite no tener que multiplicar
los puertos a abrir en su red o a implementar una red privada virtual. Basta con tener un nico punto de entrada,
a travs de un portal Web, que le permite acceder a su red privada virtual. El trfico RDP se encapsula, en
efecto, de manera transparente en un flujo SSL (HTTPS).
El acceso Web a los servicios Terminal Server (RD Web Access) es una interfaz Web que le permite acceder
a las aplicaciones RemoteApp que haya decidido publicar. Estas aplicaciones estn, de este modo, accesibles
desde su navegador de Internet. Esta solucin se basa en IIS y puede, a su vez, integrarse en un portal
SharePoint.
Gracias a Windows Server 2012 puede gestionar la evolucin de la empresa y, en particular, administrar
aplicaciones que requieran una alta disponibilidad.
El clster de servidores tiene como cometido contener varios a servidores con un mismo rol. Si alguno de los
servidores (llamados nodos del clster) no est disponible, el sistema de clster bascula, automticamente, hacia
otro nodo disponible. Esto se realiza sin ninguna intervencin por parte de los administradores, lo que limita la
duracin de la indisponibilidad de una aplicacin.
-
El servicio de alta disponibilidad se caracteriza, a su vez, por la posibilidad de hacer un reparto de la carga de
red (llamada, a su vez, NLB por Network Load Balancing). Este reparto o equilibrado de carga permite repartir
la carga de red entre varios servidores que presenten la misma informacin. El reparto de carga de red puede, de
este modo, responder a un desarrollo importante de la actividad de un sitio de Internet, por ejemplo,
seleccionando dirigir las demandas de conexin al servidor Web en el servidor IIS menos ocupado.
Por ltimo, el ciclo de vida de su servidor resulta ms sencillo de gestionar gracias a un conjunto de
herramientas adaptadas y tiles.
Entre todas ellas, podemos citar la caracterstica de copia de seguridad que le permite administrar sus copias de
seguridad y restauraciones gracias a asistentes muy intuitivos. La tecnologa de las instantneas permite realizar
copias de seguridad de sus archivos en ejecucin de forma casi inmediata.
El servidor de actualizaciones WSUS3 permite administrar el conjunto de actualizaciones (correctivos, parches
de seguridad) de los sistemas operativos y de algunas aplicaciones Microsoft en el seno de su red empresarial.
Este libro tiene tambin como objetivo presentarle las principales funcionalidades de Windows Server
2012/2012 R2, insistiendo especialmente en aquellas novedades aparecidas tras el salto tecnolgico que separa a
Windows Server 2003 de Windows Server 2008.
Est salpicado de consejos y recomendaciones de expertos en herramientas Microsoft y se dirige, de este modo,
a aquellas personas que ya posean cierta experiencia. No obstante, esta obra tambin pretende explicar los
conceptos bsicos de modo que resulte accesible a aquellas personas que no posean una experiencia notoria con
la tecnologa de servidor de Microsoft.
Las numerosas direcciones de Internet provistas en las pginas de este libro se recopilan en una webografa,
disponible en la pgina Informacin.
-
DOMINIO ACTIVE DIRECTORY
Introduccin
Este captulo est dedicado al directorio de Microsoft Active Directory. El servicio de
directorio de Microsoft resulta indispensable en la gestin de la informacin en el seno de
una empresa.
En la primera parte, se presenta el servicio de directorio en Windows Server 2012 R2. A
continuacin, seguiremos con explicaciones sobre los principales componentes ligados al
servicio de directorio, tales como las directivas de grupo y otros servicios relacionados al
propio directorio.
Presentacin del servicio de directorio de Microsoft: Active Directory Domain Services
Usted ya conocer, sin duda alguna, el principio de funcionamiento del directorio Active
Directory. Esta obra no tiene como objetivo volver a explicar lo que ya conoce, de modo que
los principios generales de un directorio Active Directory (tambin llamado Active Directory
Domain Services o AD DS) se abordan de manera muy breve para, as, poder centrar su
atencin en las especificidades aportadas por Windows Server 2012 R2.
1. Definicin de un dominio de Active Directory
Active Directory es un servicio de directorio que permite referenciar y organizar objetos tales
como cuentas de usuario, nombres de recursos compartidos, autorizaciones mediante grupos
de dominio, etc. La informacin puede, as, centralizarse en un directorio de referencia con el
objetivo de facilitar la administracin del Sistema de Informacin.
Desde un punto de vista tecnolgico cabe tener en cuenta tres nociones:
El dominio es la unidad bsica encargada de agrupar los objetos que comparten un
mismo espacio de nombres (un dominio debe, en efecto, basarse necesariamente sobre
un sistema DNS que soporte actualizaciones dinmicas y registros de tipo SRV).
Una arborescencia de dominios es la agrupacin jerrquica de varios dominios
que comparten un mismo espacio de nombres (por ejemplo, los dominios
madrid.MiEmpresa.Priv y barcelona.MiEmpresa.Priv).
Un bosque trata de reagrupar varias arborescencias de dominio que tienen en comn
un catlogo global y que no comparten, obligatoriamente, un espacio de nombres
comn.
Desde un punto de vista fsico, cabe tener en cuenta tres elementos principales:
-
Los controladores de dominio se encargan de almacenar el conjunto de los datos y de
administrar las interacciones entre los usuarios y el dominio (apertura de sesin,
bsquedas en el directorio, etc.). Al contrario que con los antiguos sistemas NT, en el
dominio tiene lugar una replicacin multimaestro, lo que permite a cualquier
controlador poder iniciar una modificacin (agregar una cuenta de usuario, cambiar
una contrasea de usuario, etc.).
Cada controlador de dominio contiene, a su vez, particiones. Microsoft ha decidido
compartir la informacin en varias particiones para, as, limitar la extensin de los
datos que hay que replicar. Cada particin tiene, por tanto, su mbito de replicacin.
Todos los controladores de dominio de un mismo bosque tienen en comn las
particiones de esquema y de configuracin.
Todos los controladores de dominio de un mismo dominio comparten una particin de
dominio comn.
La cuarta particin (presente de forma opcional) es la particin de aplicacin. sta
almacena los datos sobre las aplicaciones utilizadas en Active Directory y se replica
sobre los controladores de dominio que usted elija que formen parte del mismo
bosque.
Los sitios Active Directory ponen en evidencia la agrupacin fsica de objetos de un
mismo dominio. Debe, adems, asociar uno (o varios) controlador(es) de dominio a
un mismo sitio Active Directory si estos controladores de dominio se comunican con
un enlace de red que tenga una buena velocidad de transferencia. En efecto, los
controladores de dominio de un mismo sitio dialogan de manera mucho ms frecuente
que los controladores de dominio definidos en dos sitios de Active Directory distintos.
Esto le permite, tambin, reducir de manera importante el trfico de red en un enlace
que separe a dos sitios remotos.
Los roles FSMO (Flexible Single Master Operation) son un total de cinco en el seno
de una infraestructura Active Directory. Estos roles deben estar contenidos en
controladores de dominio y son necesarios para el correcto funcionamiento de un
dominio de Active Directory.
Segn los roles, son nicos por dominio o bien por bosque. La siguiente tabla
muestra con detalle cada uno de estos cinco roles:
Nombre del rol
FSMO Ubicacin Rol
Maestro de
nomenclatura de
dominios
nico en el
seno de un
bosque
Se encarga de inscribir a los dominios
en el bosque.
Gestiona la nomenclatura del
dominio.
Maestro de esquema nico en el
seno de un
bosque
Gestiona la modificacin del
esquema Active Directory.
Maestro RID nico en el
seno de un
dominio
Distribuye rangos de RID para los
-
2.
Func
ionalidades de Active Directory en Windows Server 2012
R2
Windows Server 2012 R2 proporciona un gran nmero de funcionalidades, las cuales
gustarn tanto a aquellas personas que no tengan un conocimiento previo como a aquellas que
deseen poseer un conocimiento avanzado.
Se le explica cmo instalar un controlador de dominio de Active Directory con Windows
Server 2012 R2, cmo utilizar las directivas de contrasea especficas, etc.
Estas funcionalidades se le presentarn mediante casos prcticos a lo largo de este captulo
para que pueda constatar, usted mismo, la utilidad de estas ltimas.
a. Instalacin de un directorio de Active Directory
Desde un punto de vista general, los asistentes de configuracin se han visto mejorados
considerablemente a lo largo de las versiones de Windows. Descubrir, rpidamente, que
estos ltimos son muy tiles e intuitivos. Por ejemplo, en lo sucesivo puede hacer referencia a
la mayora de las opciones avanzadas de instalacin del directorio Active Directory desde el
asistente creado a este efecto.
Es necesario agregar un nuevo rol en su servidor Windows Server 2012 R2 para instalar su
directorio Active Directory.
Puede acceder desde el Administrador del servidor. Utilizar, por tanto, esta consola para
agregar el rol Servicios de dominio de Active Directory (tambin conocido bajo el nombre
AD DS por Active Directory Domain Services). Volveremos un poco ms adelante sobre las
etapas detalladas ligadas a esta instalacin.
En primer lugar, el conjunto de manipulaciones debe realizarse con una cuenta de usuario que
posea los permisos de Administrador del servidor.
SID.
Maestro de
infraestructura
nico en el
seno de un
dominio
Gestiona los movimientos de objetos
de un dominio a otro.
Emulador PDC nico en el
seno de un
dominio
Garantiza una compatibilidad con los
sistemas operativos anteriores (NT,
en particular).
Sirve como servidor de tiempo de
referencia para el resto del dominio.
Sirve como punto de referencia
durante los procesos de cambio de
contrasea y bloqueo de cuentas.
-
Asegrese, en primer lugar, que tiene bien definido el nombre NetBIOS de su futuro
controlador de dominio, as como una direccin IP fija vlida. Se recomienda, siempre,
definir estos parmetros antes de realizar la promocin de un servidor a controlador de
dominio.
Por defecto, el Administrador del servidor se ejecuta cada vez que inicia Windows, y le
permite configurar su servidor una vez instalado.
Haga clic en Configurar este servidor local (o Servidor local) para visualizar la
configuracin propia a este servidor y modificarla si fuera necesario.
Escoja configurar las opciones de red haciendo clic en los enlaces de hipertexto que se
encuentran en la misma fila que Ethernet y Nombre de equipo. Podr, de este modo, definir
una direccin IPv4 fija, as como un nombre de equipo descriptivo para su servidor.
En nuestro ejemplo, el nombre de equipo ser DC2012 (DC por Domain Controller o
controlador de dominio). A continuacin deber reiniciar el servidor.
Vuelva sobre Panel, siempre desde la consola Administrador del servidor.
Haga clic en Agregar roles y caractersticas.
-
A continuacin se abre el Asistente para agregar roles y caractersticas. La primera
pgina aparece, por defecto, con cada ejecucin del asistente. Tiene como objetivo permitirle
verificar un conjunto de buenas prcticas antes de continuar con la instalacin de un rol en su
servidor (contrasea fuerte, direccin IP esttica, parches de seguridad al da). Haga clic en
Siguiente.
Escoja la opcin Instalacin basada en caractersticas o en roles y, a continuacin, haga
clic en Siguiente.
-
Como es posible instalar, desde este asistente, roles o caractersticas sobre un servidor
definido en un grupo de servidores o desde un disco duro virtual, esta etapa le permite
precisar el servidor o el disco duro virtual en cuestin. En nuestro ejemplo, se trata de un
servidor fsico. Seleccione la opcin Seleccionar un servidor del grupo de servidores y, a
continuacin, haga clic en Siguiente.
Observe que todos los comandos de instalacin se basan en PowerShell y pueden ejecutarse
de manera remota.
-
Seleccione, a continuacin, el rol o la caracterstica que desea instalar. Como se trata de la
instalacin de un controlador de dominio Active Directory, debe escoger la opcin Servicios
de dominio de Active Directory.
-
El asistente le invitar a agregar la instalacin de varias caractersticas necesarias (o, al
menos, tiles) para este rol (Herramientas administrativas, Administracin de directivas de
grupo, etc.). Las siguientes etapas del asistente se actualizan de manera dinmica en funcin
del rol seleccionado. Haga clic en Siguiente.
-
A continuacin se le pregunta si quiere aprovechar para instalar las caractersticas
suplementarias de su servidor. No es necesaria ninguna para el buen funcionamiento de
Active Directory, las caractersticas necesarias ya se le han presentado en la ventana anterior.
Haga clic en Siguiente.
El asistente le explica, rpidamente, el rol de los servicios de dominio de Active Directory
as como la principal informacin a tener en cuenta. Le invita, a su vez, a consultar los
artculos disponibles en la ayuda de Windows para ms informacin. Haga clic en Siguiente.
-
La ltima etapa consiste en confirmar la instalacin del rol en cuestin. Los mensajes de
informacin le avisan de que el servidor se reiniciar al finalizar la instalacin. Reinicio que
puede escoger que se realice automticamente o no. Haga clic en Instalar. Comienza la
instalacin del rol.
-
Es posible exportar los parmetros de configuracin. Esto ser til para poder reutilizarlos
mediante comandos PowerShell si fuera necesario.
-
Es posible cerrar el asistente y continuar trabajando con el servidor sin que la instalacin se
detenga. Puede ver el grado de avance de la instalacin en la consola Administracin del
servidor, dentro del rea marcada con la bandera de notificacin.
Una vez terminada la instalacin, se dar cuenta rpidamente de la potencia y de la utilidad
de los asistentes de Windows Server 2012 R2. Estos ltimos le guiarn de manera muy
intuitiva en las siguientes etapas a realizar.
En el rea de notificaciones, puede apreciar, pasados algunos minutos, un signo de
exclamacin que se corresponde con la Configuracin posterior a la instalacin que debe
realizar para continuar con la instalacin de Active Directory. Si no apareciera, aunque la
instalacin haya terminado, cierre el Administrador del servidor y, a continuacin, bralo de
nuevo (o haga clic en el botn Actualizar que se encuentra justo al lado (a la izquierda) del
icono con forma de bandera de notificacin). Haga clic en el enlace Promover este servidor
a controlador de dominio. Si bien sigue existiendo, el comando dcpromo ya no se utiliza
desde Windows Server 2012. Servir nicamente para facilitar la transicin de algunas
empresas que hayan desarrollado scripts con este comando. La norma es, ahora, utilizar los
scripts PowerShell, puesto que, ahora, todo se basa en ellos. Los cmdlets PowerShell que
pueden resultar tiles son Install-ADDSForest, Install-ADDSDomain, Install-
ADDSDomainController y Add-ADDSReadOnlyDomainControllerAccount. Puede encontrar
ms informacin en la siguiente direccin: http://technet.microsoft.com/en-
us/library/hh472162.aspx
Antes de poder instalar un controlador de dominio en Windows Server 2012 R2, el nivel
funcional del bosque deber ser, como mnimo, Windows Server 2008. A modo de
recordatorio, para que el nivel funcional del bosque sea Windows Server 2008, es preciso que
el nivel funcional de todos los dominios del bosque sean, como mnimo, Windows Server
-
2008. Esto implica que ya no ser posible tener un controlador de dominio con Windows
Server 2003 en un bosque que tenga un DC con Windows Server 2012 R2.
Si no fuera el caso, deber, obligatoriamente, extender el esquema a Windows Server 2012 y,
a continuacin, actualizar el dominio funcional del (o de los) dominio(s) y el bosque
impactados.
Estas etapas resultan, a menudo, temidas por los administradores puesto que la marcha atrs
es compleja (habr que restaurar, como mnimo, un dominio por bosque). Microsoft ha
optado por simplificar esta etapa integrando directamente la actualizacin del esquema y del
dominio en el asistente de promocin de un controlador de dominio desde el Administrador
del servidor.
El asistente ejecuta como tarea de fondo el comando adprep. Este comando es necesario para
preparar un bosque y un dominio para la instalacin de un controlador de dominio de una
versin superior. Este comando slo est disponible en versin 64 bits.
Si sus antiguos controladores de dominio ejecutan, todava, una versin de 32 bits, es posible
ejecutar adprep de manera remota desde un servidor Windows Server 2008 versin 64 bits,
Windows Server 2008 R2, Windows Server 2012 o Windows Server 2012 R2 miembro del
dominio, incluso aunque no se trate de un controlador de dominio. Adprep se ubica en la
carpeta soporte\adprep del DVD de instalacin de Windows Server 2012 R2. Encontrar
mucha ms informacin sobre la instalacin manual de adprep en la siguiente direccin:
http://technet.microsoft.com/en-us/library/hh472161.aspx
Si, en el seno de su dominio, todos los controladores de dominio funcionan con Windows
Server 2012 R2, puede aumentar el nivel de su dominio a Windows Server 2012 R2 mediante
la consola Dominios y confianzas de Active Directory o mediante el centro de
administracin de Active Directory (encontrar ms informacin en la direccin:
http://technet.microsoft.com/es-es/library/cc753104.aspx). Si, en el seno de su bosque, todos
los controladores de dominio funcionan con Windows Server 2012 R2 puede, tambin,
aumentar el nivel funcional de su bosque, siempre mediante alguna de estas consolas
(encontrar ms informacin en la direccin: http://technet.microsoft.com/es-
es/library/cc730985.aspx)
Existen varios motivos para aumentar el nivel funcional del dominio o del bosque. Aporta, la
mayora de veces, funcionalidades y caractersticas suplementarias. Estas funcionalidades se
resumen en la siguiente direccin: http://technet.microsoft.com/en-us/library/understanding-
active-directory-functional-levels(v=ws.10).aspx
Observe, no obstante, que algunos componentes no requieren ms que la preparacin del
dominio para agregar nuevas funcionalidades (sin tener, obligatoriamente, que implementar
el nivel funcional del dominio o del bosque). Es el caso, por ejemplo, del proxy web de
aplicacin (Web Application Proxy) que se basa nicamente en las clases del esquema
creadas tras la implementacin del esquema (mediante el comando adprep /forestprep) para
poder funcionar.
Observe, a su vez, que (siempre y cuando la papelera de reciclaje de Active Directory no est
activada) es posible disminuir el nivel funcional de un dominio o de un bosque de Windows
-
Server 2012 o Windows Server 2008 R2 a Windows Server 2008 mediante los comandos
PowerShell siguientes:
Import-Module ActiveDirectory
Set-AdDomainMode -identity MiEmpresa.Priv -server dc2012.MiEmpresa.Priv
-domainmode
Windows2008Domain
Set-AdForestMode -identity MiEmpresa.Priv -server dc2012..MiEmpresa.Priv
-forestmode
Windows2008Forest
Haga clic, a continuacin, en el vnculo Promover este servidor a controlador de dominio
disponible en la lista de tareas o, tal y como se ha indicado antes, haga clic en Promover este
servidor como controlador de dominio.
Se inicia el Asistente para instalacin de Servicios de dominio de Active Directory.
Seleccione una configuracin de despliegue. En nuestro ejemplo, seleccione: Agregar un
nuevo bosque. Observe que el asistente le indica un vnculo hacia el archivo de ayuda en
lnea de Windows que trata las distintas configuraciones de despliegue posibles.
Si ha seleccionado agregar un controlador de dominio a un dominio existente, tendr la
posibilidad, ms adelante, de definir la instalacin del controlador de dominio a partir de un
medio externo (una copia de seguridad, por ejemplo). Esto resulta bastante til para sitios
remotos, por ejemplo, para evitar que se produzca un trfico de red demasiado elevado y se
sature el ancho de banda durante la primera sincronizacin entre los controladores de
dominio. Puede, si no, definir un controlador de dominio particular para la primera
sincronizacin del directorio de Active Directory para indicar un controlador de dominio del
-
mismo sitio y, de este modo, evitar que la sincronizacin no se realice desde un sitio remoto
que podra tener un ancho de banda limitado.
D nombre a la raz del bosque. En nuestro ejemplo, el nombre del dominio ser
miempresa.priv y, a continuacin, haga clic en Siguiente.
Se recomienda, en cualquier caso, informar un nombre de dominio con dos niveles.
No cree, por tanto, ningn dominio Active Directory que tenga, por ejemplo, el nombre
Miempresa. Piense, tambin, en prohibir el uso de un guin bajo (underscore) en su nombre
de dominio. Si se diera el caso, realice una migracin a un nombre de dominio sin este
carcter, que le generar una serie de inconvenientes en el futuro, especialmente con
Exchange.
Observe que desde Windows Server 2008 R2, el asistente no le permite crear un nombre de
dominio de un solo nivel, bien sea para un bosque o para un nuevo dominio en un bosque ya
existente. S le dejar, por el contrario, agregar un nuevo controlador que se ejecute bajo 2008
R2 o superior en un dominio con un nico nivel ya existente. La KB de Microsoft KB300684
(http://support.microsoft.com/kb/300684) analiza este caso.
De aqu a dos aos, los fabricantes de certificados pblicos no certificarn ms dominios con
extensiones privadas tales como: interna.MiEmpresa.es. Es conveniente disociar los nombres
de dominio interno y externo para evitar, en particular, tener que realizar una gestin algo
ms compleja en su zona DNS interna.
-
Tras hacer clic en Siguiente, el asistente trata de resolver el nombre de dominio para
contactar con un eventual bosque ya existente.
Encontrar ms informacin sobre los distintos tipos de zona DNS y sobre la replicacin en
el captulo Implementar los servicios de red de la empresa - Implementar los sistemas de
resolucin de nombres.
Es preciso definir el nivel funcional del bosque. Seleccione Windows Server 2012 R2 dado
que, en este ejemplo, se trata de un servidor que es el nico controlador de dominio y del
bosque.
Deje marcada la opcin Servidor DNS para instalar este rol sobre el futuro controlador de
dominio. La opcin Catlogo global aparece marcada obligatoriamente puesto que todava
no existe ningn catlogo en el dominio, dado que hemos seleccionado la opcin de crear un
nuevo dominio en un nuevo bosque.
Defina una contrasea de restauracin de servicios de directorio. Se utilizar cuando se
acceda en modo de restauracin del directorio Active Directory pulsando la tecla [F8] durante
el arranque del sistema operativo. Esta contrasea deber responder a la complejidad
requerida por la directiva de contrasea.
Si bien puede resultar tentador, no defina la misma contrasea que para la cuenta de
Administrador actual por motivos de seguridad.
A continuacin, haga clic en Siguiente.
-
Aprovechar automticamente, de este modo, las ventajas ligadas al nuevo funcionamiento
del dominio de Windows Server 2012 R2, como las directivas de contrasea especfica
(disponibles desde el nivel funcional Windows Server 2012 y que ver, tambin, ms
adelante en la seccin Directivas de contrasea especfica y de bloqueo de cuenta granular de
este captulo).
El sistema trata, a continuacin, de contactar con el servidor DNS definido a nivel de los
parmetros TCP/IP de la tarjeta de red del servidor. Si no responde al nombre de dominio
Active Directory definido, y si no se ha instalado ningn servidor DNS, el asistente mostrar
el siguiente mensaje (haciendo clic en Ver ms en la barra de alerta de color amarillo ubicada
en la parte superior del asistente).
-
Observe, tambin, que si se define un servidor DNS en las propiedades TCP/IP del servidor,
ste se borrar automticamente de estas propiedades de modo que el futuro controlador de
dominio ser cliente de su propio DNS. El anterior servidor DNS se informar en la pestaa
Reenviadores en las propiedades del servicio DNS.
Haga clic en Siguiente. Deje el nombre NetBIOS por defecto y, a continuacin, haga clic en
Siguiente.
-
Como se encuentra trabajando en un entorno de pruebas, deje la ruta por defecto para la base
de datos, los archivos de registro y SYSVOL. En un entorno de produccin, se recomienda
encarecidamente separar la base de datos y los archivos de registro para, as, evitar la
saturacin de I/O (entradas/salidas). Haga clic en Siguiente.
Aparece un resumen que muestra las distintas opciones que ha definido a lo largo de las
etapas del asistente. Es posible exportar estos parmetros para poder reutilizarlos en un
archivo de respuestas.
Podr, de este modo, desplegar fcilmente otros controladores de dominio reduciendo el
riesgo de error durante la configuracin de este rol. El comando que debe utilizarse es, en este
caso, dcpromo /answer:NombreDelArchivoCreado (si no se trata de promover un DC en
Windows Server 2012 R2) o, directamente, mediante PowerShell mediante el script
disponible haciendo clic en la opcin Ver script.
-
Haga clic en Siguiente. El asistente realiza, a continuacin, una verificacin de requisitos
previos necesarios para la instalacin del rol de controlador de dominio sobre este servidor.
-
Aparece un mensaje de advertencia que indica los problemas que puede encontrar debido al
enriquecimiento del algoritmo de cifrado utilizado para establecer un canal de seguridad con
un cliente SMB. Por defecto, los anteriores sistemas operativos como, por ejemplo, Windows
NT 4.0 no podrn acceder a los recursos compartidos que se encuentren en un servidor
Windows Server 2008/2008 R2/2012 o 2012 R2.
Recorra esta lista de advertencias y, si no existe ningn punto bloqueante, haga clic en
Instalar.
Observe que puede realizar las acciones correctivas necesarias y, a continuacin, hacer clic
en el vnculo que le permite volver a verificar si se cumplen los requisitos previos.
Haga clic en Instalar para arrancar la instalacin. El servidor reinicia, automticamente, al
finalizar la instalacin.
Enhorabuena! Acaba de instalar con xito un controlador de dominio en Windows Server
2012 R2.
Le faltar verificar la instalacin de Active Directory y realizar las primeras acciones
esenciales. El siguiente enlace le ofrece todos los elementos necesarios:
http://technet.microsoft.com/en-us/library/cc794717(WS.10).aspx
b. Presentacin de la auditora ligada al servicio de directorio
-
Auditar estos servidores es una actividad que consiste en censar los eventos que se consideren
interesantes en el registro de eventos. Esto le permitir evidenciar problemas de
configuracin o incluso verificar la seguridad de ciertos elementos crticos del sistema
operativo. Preste atencin, no obstante, a no definir demasiados objetos a auditar, puesto que
el rendimiento del servidor se ver impactado inmediatamente.
Antes de Windows Server 2008 R2, poda configurar los eventos de auditora editando su
directiva de grupo (desde el men Inicio - Herramientas administrativas y Gestion des
Directiva de grupo) a nivel, por ejemplo, de Directiva Default Domain Controllers Policy
(Configuracin de equipo - Directivas - Configuracin de Windows - Configuracin de
seguridad - Directivas locales - Directivas de auditora).
La informacin que se muestra es, no obstante, confusa, pues es posible ser mucho ms
preciso!
Las directivas de auditora pueden, en efecto, definirse de forma mucho ms precisa y los
parmetros visualizados a nivel de la directiva de grupo ms arriba no representan ms que de
una forma muy vasta la configuracin efectiva.
En Windows XP slo existen nueve categoras de evento que pueden auditarse. Desde
Windows Vista/Windows Server 2008, puede optar por auditar hasta 53 categoras de eventos
distintos volviendo, de este modo, la creacin de objetos mucho ms granular.
La visualizacin y la configuracin de estos parmetros no son idnticos entre Windows
Server 2008 R2 y Windows Server 2012 R2.
-
En Windows Server 2008 (o Vista con las herramientas de administracin RSAT), puede
mostrar y aplicar de forma ms precisa las directivas de auditora realmente posibles
nicamente por lnea de comandos mediante el comando Auditpol.exe.
El siguiente comando permite mostrar las distintas categoras posibles para la auditora:
Auditpol.exe /get /Category:*
En Windows Server 2008 R2 y Windows 2012/2012 R2 (o Windows 7 - Windows 8/8.1 con
las herramientas de administracin RSAT instaladas), es posible configurar, desplegar y
administrar la auditora detallada desde la consola GPMC. La configuracin de la auditora
detallada se realiza a nivel de Configuracin del equipo - Directivas - Configuracin de
Windows - Configuracin de seguridad - Configuracin de directiva de auditora
avanzada - Directivas de auditora.
Estas directivas pueden aplicarse, de este modo, sobre OU especficas para controlar la
actividad de las cuentas de administrador, etc. Tenga en mente, no obstante, que esta
configuracin definida mediante GPO se ejecutar nicamente en equipos Windows Server
2008 R2/2012/2012 R2 o Windows 7/8/8.1.
-
Cabe destacar, tambin, que Microsoft desaconseja la configuracin de la auditora
simultneamente a nivel de Configuracin del equipo - Configuracin de Windows -
Configuracin de seguridad - Directivas locales - Directivas de auditora y de
Configuracin del equipo - Configuracin de Windows - Configuracin de seguridad -
Configuracin de directiva de auditora avanzada - Directivas de auditora. Para ello,
Microsoft recomienda configurar la opcin Auditora: forzar la configuracin de
subcategoras de la directiva de auditora (Windows Vista o posterior) para invalidar la
configuracin de la categora de directiva de auditora que se define a nivel de
Configuracin del equipo - Configuracin de Windows - Configuracin de seguridad -
Opciones de seguridad. Si este parmetro no est habilitado, las opciones definidas a nivel
de la auditora bsica (las siete categoras histricas) podran entrar en conflicto con las
definidas de manera ms precisa en la directiva de auditora avanzada.
Para desplegar estos parmetros en Windows Server 2008 o Windows Vista, es preciso
utilizar la opcin auditpol.exe. Ms adelante se ofrece un enlace a la KB que explica cmo
poner en marcha este despliegue.
Con la llegada de Windows Server 2008 R2 y Windows 7, Microsoft introduce la posibilidad
de auditar el acceso a objetos globales. Tiene, en efecto, la posibilidad de definir una
directiva de auditora para un usuario particular sobre una accin precisa y para un conjunto
de servidores. Esto puede resultar muy prctico si tiene que justificar, en particular, la
auditora de la seguridad de un servidor de cara a afrontar una auditora SOX.
Los eventos generados por las auditoras de acceso a los archivos o al registro estarn mucho
ms detalladas si activa la opcin Auditar la manipulacin de identificadores puesto que se
mostrar el "motivo del acceso", que le permitir, en particular, poner de relieve errores de
configuracin (como, por ejemplo, un usuario que tiene acceso de escritura en lugar de tener
un acceso de slo lectura).
Con Windows Server 2012/2012 R2 es posible crear directivas de auditora basadas en
expresiones con el objetivo de precisar mejor la informacin que se quiere mostrar en funcin
de varios criterios (usuarios, equipos, recursos, etc.). Este aspecto se aborda en detalle en el
captulo Securizar su arquitectura.
Encontrar la gua paso a paso para implementar una directiva de grupo avanzada en la
siguiente direccin: http://technet.microsoft.com/es-es/library/dd408940(WS.10).aspx
Observar, entonces, que las opciones de auditora son mucho ms ricas respecto a las
versiones anteriores de Windows.
Se han conservado las principales categoras, y muchas subcategoras enriquecen y hacen que
la recogida de eventos sea mucho ms precisa. Su registro de eventos estar, por tanto, mucho
ms limpio de eventos intiles.
Sepa, no obstante, que si utiliza la directiva de grupo para definir las categoras principales de
auditora, no tendr la posibilidad de definir de forma ms precisa los parmetros de las
subcategoras. Una directiva de auditora configurada a nivel de las directivas de grupo
activa, automticamente, las subcategoras.
-
Para configurar de forma ms precisa la auditora sobre los equipos tendr que utilizar el
comando auditpol en los equipos o servidores seleccionados a travs de un script, por
ejemplo.
Si desea, en cambio, poder administrar la configuracin de las subcategoras de sus equipos
Windows Vista/2008 de manera centralizada (y, en consecuencia, tener que utilizar el
comando auditpol en cada equipo), consulte la solucin provista en el siguiente artculo de la
Kb de Microsoft: http://support.microsoft.com/kb/921469
Una de estas nuevas subcategoras de auditora se ha creado especialmente desde Windows
2008 R2 para dar respuesta a una necesidad importante de los administradores de dominio
Active Directory.
Esta nueva subcategora se denomina Directory Service Changes (categora hija de DS
Access). Le permitir registrar los antiguos y los nuevos valores atribuidos a un objeto de
Active Directory y a sus atributos. A ttulo informativo, antes un controlador de dominio en
Windows 2000 o 2003 indicaba simplemente el nombre del objeto o del atributo modificado,
pero no los valores anterior y modificado del mismo.
Una vez configurada la auditora de esta subcategora, los eventos se almacenan en el registro
de Seguridad. La siguiente tabla recoge los cuatro tipos de eventos sobre los objetos de
Active Directory:
Nmero de evento Tipo de evento
5136 Modificacin con xito de un atributo de Active Directory.
5137 Creacin de un nuevo objeto de Active Directory.
-
Si
desea,
por
ejemplo, activar la auditora para todas las subcategoras referentes al acceso al directorio
Active Directory, siga el procedimiento siguiente:
Ejecute, desde una ventana de smbolo del sistema de un controlador de dominio, el
siguiente comando: auditpol /set /category:"Acceso DS" /success:enable. Todas las
subcategoras de auditora del acceso DS se activarn. Es posible activar nicamente la
subcategora que nos interese, en nuestro caso, ejecutando auditpol /set
/subcategory:"modificacin del servicio de directorio" /success:enable y auditpol /set
/subcategory:"Administracin de cuentas de usuario" /success:enable.
Existe un bug en la versin espaola de auditpol y todas las categoras o subcategoras que
posean un apstrofe no funcionarn si lo escribe. Existen dos soluciones para evitar este
problema: o bien copia/pega la opcin desde una pgina web codificada correctamente, o
bien utiliza el cdigo ASCII presionando [Alt] y 0146 para proveer la versin esperada del
smbolo.
Modifique, a continuacin, la fecha de caducidad de una cuenta de usuario de Active
Directory mediante la consola Centro de administracin de Active Directory, tambin
llamada ADAC (Active Directory Administrative Center) en el resto del libro (desde el men
Inicio - Ejecutar - dsac.exe).
Abra el registro de eventos de su controlador de dominio (desde el men Inicio - Ejecutar -
Eventvwr.msc). Puede comprobar que existe un evento 4738 y detalla el o los valores que
acaban de modificarse, en nuestro ejemplo el valor Expiracin de cuenta:.
5138 Restauracin de un objeto de Active Directory.
5139 Desplazamiento de un objeto de Active Directory.
-
Por otro lado, Windows Server 2012 ha introducido las directivas de auditora de seguridad
basadas en las expresiones que permiten acotar los eventos a informar utilizando expresiones
basadas en reivindicaciones (claims) de usuario, de equipo y de recurso. Esta mejora est
ligada a otra novedad: el control de acceso dinmico, del que hablaremos con detalle en el
captulo Securizar su arquitectura.
Tenga en cuenta que, desde ahora, esta funcionalidad le permite auditar todos los usuarios
que traten de acceder a recursos para los que no se ha definido ninguna habilitacin o, por el
contrario, administradores que utilicen sus permisos de manera abusiva.
Para ello, a nivel de GPO en el servidor de archivos, siga estas etapas:
Desde Configuracin del equipo - Directivas - Configuracin de Windows -
Configuracin de seguridad - Configuracin de directiva de auditora avanzada -
Directivas de auditora - Acceso a objetos, a nivel de parmetro Auditar sistema de
archivos y del parmetro Auditar almacenamiento provisional de directiva de acceso
central, active la auditora Correcto y error.
A nivel de la carpeta a auditar:
Desde las Propiedades de la carpeta a auditar (una carpeta sensible accesible nicamente
por el servicio financiero de la empresa, por ejemplo), pestaa Seguridad - Opciones
-
avanzadas - pestaa Auditora - Agregar - Seleccionar una entidad de seguridad, escoja
un grupo habilitado para acceder a esta carpeta, en nuestro ejemplo GSU-Finanzas-RW.
Agregue una condicin que indique, por ejemplo: Usuario - Grupo - Miembro de cada -
Valor - [Administradores de dominio] y [Administradores].
Si un administrador accede a algn archivo de esta carpeta, se registrar un evento en el
registro de eventos de seguridad.
-
Los eventos 4656 y 4663 pueden generarse durante la activacin de la auditora de la
manipulacin de identificadores o de la SAM. Estos eventos son propios de Windows 2012
R2 y Windows 8/8.1.
Se podra, tambin, citar como ejemplo la posibilidad de poder auditar todos los proveedores
que traten de acceder a documentos vinculados a proyectos sobre los que no trabajen. La
auditora sera: Auditar - Todos - Todo - User.EmploymentStatus=Vendor AND
User.Project Not_AnyOf Resource.Project.
Si un usuario del servicio financiero trata de acceder, no se registrar ningn evento en el
registro de seguridad, lo que evitar reportar accesos vlidos. Tambin es posible asociar la
-
auditora de acceso global a los objetos con directivas de auditora basadas en expresiones, lo
que permite fusionar las directivas de auditora mltiples ubicadas en varios clientes.
De este modo el administrador de un permetro limitado podr definir una directiva de
auditora de acceso global a los objetos correspondientes a su permetro mientras que un
administrador global podr, por su parte, definir otra directiva de acceso global para un
permetro ms amplio.
Entre las mejoras aportadas por Windows Server 2012 y Windows 8 cabe destacar, tambin,
que es posible configurar el parmetro Auditar los inicios de sesin (Configuracin de
directiva de auditora avanzada - Inicio y cierre de sesin).
Se genera el evento 4624 cada vez que un usuario inicia una sesin sobre un equipo local o
remoto. Obtendr ms informacin sobre los nuevos eventos generados en la siguiente
direccin: http://technet.microsoft.com/es-es/library/hh831382.aspx
Estos parmetros pueden acoplarse con el control de acceso dinmico que se aborda en el
captulo Securizar su arquitectura.
c. Controlador de dominio de solo lectura
Desde Windows Server 2008, es posible crear controladores de dominio de solo lectura
(llamados, tambin, RODC por Read Only Domain Controller). Un controlador de
dominio de solo lectura contiene toda la informacin de un controlador de dominio clsico
salvo la contrasea de los usuarios. Esta informacin se almacena en solo lectura nicamente
y no es posible iniciar ninguna modificacin a nivel de dominio desde un RODC.
Sepa, por otra parte, que si no desea que se replique algn atributo sensible en su RODC es
posible modificar las propiedades del mismo para limitar su replicacin nicamente a
aquellos controladores de dominio inscribibles. Para ello, tendr que modificar el valor
searchFlags del atributo que desee a nivel de particin de esquema. El rol maestro de
esquema tendr que encontrar, preferentemente, la informacin sobre algn controlador de
dominio en Windows Server 2008 R2 como mnimo. Encontrar ms informacin a este
respecto en la siguiente direccin (en ingls):
http://technet2.microsoft.com/windowsserver2008/en/library/f62c9720-a5c3-40c9-aa40-
440026f585e91033.mspx?mfr=true