julianrv.commi blog personal

ADSI Edit es una utilidad que forma parte de las Support Tools que incluye Microsoft en el CD de instalación de Windows en el directorio /SUPPORT/TOOLS. Esta pequeña aplicación nos permite ver y modificar el esquema del directorio activo por lo que debe ser manejada con muchísimo cuidado ya que si modificamos erróneamente algún parámetro se puede corromper este ya que la herramienta no incorpora ningún tipo de control de errores sobre la edición y estos cambios se producen de manera inmediata.

Por defecto se nos abrirán los contextos de nombre de dominio (domain), esquema (schema) y configuración (configuration), si queremos conectar a algún contexto de denominación (name context) adicional o bien a global catalog en lugar del LDAP estándar se puede hacer haciendo click sobre el nodo ADSIEdit y eligiendo connect to.., también podemos elegir unas credenciales o dominio diferentes.

Para utilizar esta consola es necesario registrar una librería DLL incluida en el paquete ya que de otra manera nos aparecerá un error y no se llegara a abrir ADSI Edit, para ello hay que ejecutar el comando regsvr32 adsiedit.dll y nos aparecerá un mensaje informándonos de que se ha registrado correctamente la librería, este pequeño truco para que ADSI Edit funcione nos lo podemos ahorrar si instalamos las Support Tools mediante el fichero MSI incluido. Otro de los errores habituales que se produce es que si no estamos autenticados con usuario del dominio se producirá un error al arrancar la aplicación, la solución consiste en ejecutar una consola MMC primero (simplemente escribir MMC Ejecutar) y después abrir desde ahí el .msc correspondiente a ADSI Edit.

 
 Categorias: activedirectory  tools 

He descubierto que en ebay entre cachivaches de toda clase hay autenticas gangas de libros totalmente nuevos. Como siempre me han atraído mucho los dibujitos de las portadas de O’reilly y he aprovechado para comprar algunos libros de varios temas que me despiertan cierto interés últimamente.

 
 Categorias: varios 

Los sites (sitios) del directorio activo son la representación lógica de como se encuentran distribuidos los equipos físicamente, así posicionaremos en un mismo site todos los equipos que se encuentren interconectados mediante una red de alta velocidad o LAN mientras que estarán en distintos sites los equipos que se encuentren conectados mediante un enlace de baja velocidad (WAN). Al igual que a las OU’s y los dominios también de pueden aplicar directivas de grupo (GPO) a los sites de manera que los podemos considerar una unidad también a nivel administrativo. Un dominio puede contener uno o mas sites, mientras que un mismo site a su vez puede tener uno o mas dominios. Para administrar los sitios disponemos de la consola de Sitios y servicios de Active Directory (Active Directory Sites and Services).

Para cada site debemos crear uno o varios objetos de subred (subnets) de forma que definamos su ámbito de direcciones IP, cuando se añado un nuevo controlador de dominio automáticamente se unirá al site que corresponda a su rango IP o también nos será posible moverlo a un site manualmente. La razón por la que solo se añaden domain controllers y no otros equipos es porque el cometido de los sites en active directory es tanto crear una topología lógica de replicación que directamente relacionada con la topología física de red, por diseño del directorio activo los clientes usaran si esta disponible el controlador de dominio mas cercano por tanto el de su site sin necesidad de añadirlos a ningún site específicamente. Por defecto al crear un dominio se crea siempre el site Nombre-predeterminado-primer-sitio (Default-First-Site-Name) a donde van a parar todos los domain controllers que creemos antes de fijar distintos sites, podemos renombrar este u otros sites sin ningún tipo de problema aunque puede ser necesario reiniciar los DC afectados o al menos el servicio Netlogon.

Para plasmar directamente en la topología de replicación como se encuentran interconectados los distintos sites se usan los vinculos a sitios (site links) que unen a dos o mas sitios y definen si el transporte de datos se realizara mediante RPC o SMTP si la replicación se produce de forma asíncrona al no tener una conexión permanente o no estar correctamente enroutada entre ambos sites, también se nos muestra la opción IP que se trata de RPC sobre IP. Por defecto siempre se crea un vínculo entre sitios llamado DEFAULTIPSITELINK donde están incluidos todos los sitios.

  - Costo (link cost), la replicación siempre se realizara a trabes de la ruta que ofrezca el costo menor o suma de costos menor si esta comprende mas de un vinculo de sitios, por defecto el coste es 100.
  - Programación (replication schedule), indica las horas y días en las que se puede realizar la replicación.
  - Replicar cada, especifica la frecuencia de replicación, por defecto es de 180 minutos.

Existe la posibilidad de controlar la replicación entre sites que no están conectados directamente si prescindimos del vinculo por defecto DEFAULTIPSITELINK, se trata del puente de vínculos a sitios (site link bridge). Consiste en unir dos o mas vinculos de sitios de forma que se puedan comunicar aunque no exista conectividad directa entre los dos extremos, esto sobre todo es útil para redes que no tienen enrutamiento completo o entornos de directorio activo con gran numero de sites.

En los vinculos entre sitios la replicación entre sites siempre se produce a través de un controlador de dominio predeterminado, es el conocido como Servidor cabeza de puente (bridgehead server), lo podemos fijar tanto para protocolo IP (RPC) como SMTP si vamos a las propiedades del controlador de dominio dentro del directorio Servers de cada site.

 
 Categorias: directorioactivo 

Windows Server 2003 y Windows XP permiten restringir el uso de software a través de políticas, gracias a esto se puede evitar que se ejecute software no deseado. Estas políticas se pueden aplicar tanto a nivel de usuario como de equipo con lo que será posible adaptarlo a las necesidades del entorno, así que podemos encontrar esta directiva dentro de Configuración de Windows -> Configuración de seguridad tanto el el nodo de configuración del equipo como el de configuración de usuario. Para comenzar a crear una política solo tenemos que hacer click con el botón derecho o bien ir a acciones y en ambos casos hacer click sobre Nuevas directivas de restricción de software.

Si echamos un vistazo a la política podemos ver distintos objetos de configuración, Niveles de seguridad (security levels) se refiere a los dos métodos base que existen de restricción del software. Ilimitado (unrestricted), se trata del método utilizado por defecto también conocido como blacklisting que consiste en permitir que se ejecute todo el software excepto el que se especifique como no permitido. El otro método disponible es No permitido (disallowed), que hará whitelisting es decir que solo permitirá ejecutar los programas que nosotros especifiquemos, este método es mucho mas seguro. Tras seleccionar este método los ficheros que vamos a permitir ejecutar o no según si usamos ilimitado o no permitido se filtraran mediante las Reglas adicionales (additional rules).

Editores de confianza (trusted publishers) nos permite seleccionar quien puede configurar una confianza con un determinado editor, esto es especialmente relevante a la hora de aceptar la instalación de controles ActiveX y aceptación de certificados por lo que es recomendable que solo se lo permitamos a los administradores.

Obligatoriedad (enforcement), aquí nos permite también aplicar las reglas de restricción de software también a bibliotecas DLL de forma que si estamos en modo no permitir habría que agregar esas bibliotecas. Igualmente nos permite seleccionar si se deben aplicar o no las políticas a los administradores locales.

Tipos de archivos designados (designated file types), en esta opción podemos elegir a que tipos de ficheros se aplicaran las restricciones, por defecto todos los tipos habitualmente ejecutables como .exe, .bat, .msi, .vbs… estan incluidos, podemos tanto eliminar algún tipo como incluir uno nuevo simplemente escribiendo la extensión.

Existen cuatro tipos de Reglas adicionales según el método en el que basa para asignar restricciones o excepciones, por defecto están incluidos todos los ficheros del sistema mediante varias reglas de ruta de acceso con nivel de permiso ilimitado.

Regla de certificado (certificate rule), se puede añadir un certificado firmado por el fabricante del software de forma que todo el software de ese fabricante se pueda ejecutar.

Regla de hash, se nos solicitara que apuntemos al fichero para generar un hash único que identificara al fichero, esto permitirá que se restrinja su uso independientemente de su nombre o localización, esto nos puede servir para restringir el uso de una versión concreta de un programa. Esta técnica es similar a la que usan los antivirus para localización de ficheros infectados.

Regla de zona de Internet (internet zone), este tipo de regla solo se aplica a paquetes .MSI bajados a través de Internet Explorer y restringe su uso dependiendo del tipo de zona de Internet de donde se haya descargado el fichero.

Regla de ruta (path), esta regla nos permite tanto fijar restricciones directamente para un directorio o fichero concreto como hacerlo indirectamente apuntando a una entrada del registro que a su vez referencia a una ruta de fichero o directorio como por ejemplo se puede ver en las rutas que vienen definidas por defecto.

En un articulo de su blog, Mark Russinovich (de Sysinternals) explica como saltarse este tipo de software restriction policies si es están en modo blacklisting. Recordad que al implementar este tipo de políticas para que se apliquen al usuario o equipo es necesario reiniciar la sesión y también que esto solo funciona sobre XP y 2003, NO sobre Windows 2000.

 
 Categorias: seguridad  directorioactivo