Trabajo con discos y particiones (Básico) I

Normalmente estas actividades puede que no sean diarias, pero son fundamentales para el almacenamiento de datos en nuestros servidores. Para comenzar, en Windows Server 2008 R2 usaremos la utilidad de Administración de discos, trabaja con unidades de disco duro conectadas localmente, a excepción de usb y Firewire.

  1. Herramientas administrativas->Administrador del servidor (o Administración de equipos)
    discos01discos01b
  2. En el árbol izquierdo del Administrador del servidor(o Administración de equipos), pulsamos en Almacenamiento.
  3. Aquí pulsamos en Administración de discos y obtendremos la herramienta.
    discos02discos02b

Convertir un Disco básico en uno dinámico

Desde el administrador de discos vemos nuestros volúmenes y discos en el servidor. En el momento que los ponemos por primera vez en el sistema lo más probable es que sean discos básicos. Podemos elegir entre dejarlos así o convertirlos en dinámicos. Esto dependerá si queremos crear volúmenes distribuidos o seccionados. Es recomendable que los convirtamos antes de crear particiones o grabar datos en los volúmenes.

Clic derecho sobre el disco y seleccionamos convertir a dinámico, luego escogemos el disco y Aceptar.

discos03discos04

Importar un disco externo

Si cambiamos un disco dinámico desde un servidor a otro, se etiqueta como Externo(Foreign). Antes de poder usarlo debemos importarlo.

Clic derecho sobre el disco, Importar disco externo… En la pantalla de selección aparecerán los volúmenes existentes, se revisan, seleccionamos el disco y Aceptar.

Bb457110_f12zs03_big(l=en-us)

Tened en cuenta que podemos recibir mensajes de advertencia sobre pérdida de datos, que suele ocurrir cuando se importan discos y volúmenes que han sido parte de un RAID, si estamos seguros de importar y después de revisar los mensajes… poseso.

Discos

Si comenzamos a trabajar con la administración de discos y almacenamiento nos será útil comprender cierta terminología usada, es decir conocer algunos de los términos clave al respecto, cómo las particiones, o DISKPART. Los más básicos:

Término

Descripción/definición

Disco básico Este es el tipo predeterminado y viene desde el MS-DOS.
Disco dinámico Son usados para crear volúmenes que se distribuirán en varios discos duros. También pueden utilizarse para volúmenes simples.
Disco externo Encontraremos una opción de disco externo cuando cogemos un disco dinámico de un servidor y se lo conectamos a otro.
Particiones Esto define cómo dividimos los discos físicos. Pueden ser primarias o extendidas, y en las últimas a su vez tenemos las unidades lógicas.
Volumen simple Un volumen simple es el tipo más básico de volumen y puede crearse y usarse en un sólo disco físico.
Volumen distribuido Un volumen distribuido combina dos o más discos físicos y nos permite crear un volumen superior al tamaño de un disco físico. Los discos deben ser dinámicos.
Volumen seccionado Un volumen seccionado combina dos o más discos físicos. Los datos que se guardan en estos volúmenes están seccionados, lo cual significa que cuando se escriben en las unidades lo hacen de forma alternativa y en cantidades iguales entre todos los discos. Son más rápidos que los distribuidos y que los reflejados; aún así, no proporcionan ninguna redundancia. Los discos deben ser dinámicos. Se conoce también como RAID-0.
Volumen reflejado Combina dos discos físicos que se duplican uno en el otro. Esto proporciona una copia idéntica de los datos en dos discos distintos y por lo tanto cierta protección contra las pérdidas. Se conoce también como RAID-1
Volumen RAID-5 Este se basa en un array redundante de discos independientes. Particionados a diferentes niveles, todos ofrecen protección y redundancia si falla una unidad o volumen.
MBR El MBR es una parte del sistema del disco que utiliza la BIOS. Se almacena la información del proceso de inicio para así realizar la secuencia de arranque del sistema operativo. Su uso viene desde mucho tiempo y principalmente se usa en unidades de disco pequeñas, no se recomienda en aquéllos de tamaño mayor a 2TB.
GPT Este como el MBR, es otro sistema usado por la BIOS para la carga de la secuencia inicial del disco. Es un nuevo tipo de MBR pero que utiliza el interfaz de firmware extensible para trabajar con discos. Los discos GPT pueden tener más de 4 particiones y se diseño para poder usarse con discos grandes y pequeños, pero particularmente para discos de más de 2TB. El problema es que los sistemas operativos Windows previos no reconocen unidades GPT.

Copia de seguridad y restauración II

Habilitar las instantáneas

Las instantáneas nos ayudan a proteger los datos de recursos compartidos y Unidades de nuestro Windows Server 2008 R2. Las instantáneas son copias de seguridad en un instante temporal. Se encuentran habilitadas a nivel de volumen. Lo que significa que cuando las activamos en un volumen se protegen todos los recursos compartidos residentes en el mismo. Y aunque no podemos seleccionar recursos de manera individual, sí seremos capaces de recuperar información individualmente si fuese necesario ya qué el volumen está protegido.

Cuando se crea una instantánea de un archivo sólo se almacenan los cambios incrementales. Así que el espacio de almacenamiento necesario en la red está basado en cuántos archivos y la cantidad de cambios que se les hace. Las copias creadas se almacenan en el mismo volumen en la que están los datos. Podemos mover las instantáneas a otro volumen para ayudar en el rendimiento de las mismas y de los propios vólumenes. Antes de habilitar las instantáneas, debemos también tener en cuenta qué sólo podemos tener 64 copias en el volumen al mismo tiempo. Esto tendrá un impacto en la programación que se escoga como adecuada, que es de lunes a viernes y entre las 7 y las 12 de forma predeterminada. Las instantáneas se ejecutan por el VSS (Volume Shadow Copy Service). En cuanto las habilitamos se crea un espacio de 100MB de copia de seguridad de forma automática. Además, el máximo tamaño por defecto usado por las copias se establece en un 10% del total del espacio del volumen. Lo cual significa que si nos acercamos al límite de espacio el VSS comenzará el borrado de versiones anteriores de las instantáneas.

Permitiendo a tus usuarios trabajar rápidamente con estos vólumenes te ahorrará tener que usar medios de recuperación para restaurar datos perdidos. Sin embargo, las instantáneas no son un sustituto de una implementación de copia de seguridad y recuperación necesaria, sino más bien un complemento útil.

Para habilitar las instantáneas:

  • Herramientas administrativas
  • Administración de equipos

shadowscopies01

  • Clic derecho en las carpetas compartidas y en Todas las tareas, configurar Instantáneas.

shadowscopies02

shadowscopies03

Carpetas: seguridad, acceso y replicación IV

Crear y configurar un DFS Namespace

Después de la instalación del role DFS podemos comenzar el proceso de creación del espacio de nombres DFS y configurar la raíz DFS.

  1. Abrimos el administrador del servidor
  2. Expandimos Roles
  3. Expandimos servicios de archivo
  4. Seleccionamos el elemento Administración DFS
  5. Clic derecho, Nuevo espacio de nombres
    namespace01
  6. Escribimos el nombre del servidor o lo buscamos mediante Examinar.
    namespace02
  7. Siguiente
  8. Le damos nombre al espacio de nombres. (es el que verán los usuarios)
    namespace03
  9. Podemos editar la configuración, sino Siguiente
    namespace03settings
  10. Ahora se nos pregunta el tipo de espacio de nombres, basado en dominio (que es el que voy a seguir haciendo) o independiente.
    namespace04
  11. Un resumen de todo lo elegido antes de darle el sí final.
    namespace05
  12. Creación del espacio de nombres.
    namespace06namespace07
  13. Ahora ya tenemos la raíz DFS.
    namespace08
  14. Desde aquí, con clic derecho sobre esta raíz añadiremos las carpetas y sus rutas correspondientes.
    namespace09namespace10

 

Carpetas: seguridad, acceso y replicación III

Si queremos colocar datos accesibles tenemos varias opciones, como las carpetas compartidas y usar archivos fuera de línea. Si además queremos extender la disponibilidad de nuestros archivos y carpetas, deberíamos considerar tener más de un servidor de almacene dichos datos de forma que se copien y repliquen entre ellos. Con ello ganamos en consistencia, disponibilidad y rapidez de acceso desde sitios remotos. La replicación se configura mediante espacios de nombres DFS o Sistema Distribuido de Ficheros. Estos ‘namespaces’ nos permiten agrupar carpetas compartidas diseminadas en distintos servidores y conectar de forma transparente mediante uno o más de estos espacios de nombres. Un namespace es una vista virtual de carpetas compartidas en una red. Cuando creamos un namespace, seleccionamos qué carpetas compartidas se añaden, diseñamos la jerarquía en la que aparecerán y, le ponemos los nombres con las que aparecerán en el namespace. Un usuario al acceder al namespace verá las carpetas  como si residieran en un único disco, y navegarán entre ellas sin necesitar conocer los nombres de servidor o carpetas de datos.

La ruta de un ‘namespace’ es similar a la convención UNC para carpetas compartidas, \servidor\recurso\carpeta.

Para tener un espacio de nombres necesitamos un servidor de espacios de nombres, y éste puede ser un servidor miembro o un controlador de dominio.

Para instalar DFS necesitaremos añadir el Role DFS.

  1. Administrador del Servidor
  2. Clic derecho en Roles, o en el Role Servicios de Archivos
  3. Agregar Roles, o Agregar Servicios de Role
    DFS-a01DFS-b01
  4. Servicios de archivos
  5. Siguiente
  6. Marcamos Sistema de archivos distribuido(se añadirán dos roles)
    DFS-b02
  7. Siguiente
  8. Crear un espacio de nombres más adelante con el complemento Administración de DFS.
    DFS-b03
  9. Siguiente
  10. Instalar
    DFS-b04 DFS-b05
  11. Cerrar
    DFS-b06

Como durante el proceso anterior no creamos un Namespace, sino que escogimos crear un Espacio de nombres más adelante, Lo siguiente será crear y configurar ese Espacio de Nombres DFS.

 

 

Carpetas: seguridad, acceso y replicación II

¿Asegurar carpetas y archivos?

Las carpetas y los archivos contienen datos, estos pueden no tener importancia o sí tenerla, lo que nos indicará que necesiten más o menos protección, y dentro de esta puede que queramos una protección extendida. En cada uno de los casos necesitaremos implementar una estrategia de seguridad distinta: permisos, almacenamiento, cifrado y auditoría. Como ya comentamos los permisos, veamos otras opciones.

EFS Cifrado del sistema de archivos.

El cifrado es una característica de Windows que podemos utilizar para cifrar archivos y carpetas en nuestro disco y proporcionar un formato de almacenamiento seguro.

EFS es el núcleo de la tecnología de cifrado usada en volúmenes NTFS(sólo). Un archivo cifrado no puede utilizarse a menos que el usuario tenga acceso a las claves necesarias para descifrarlo. Los archivos no tienen porque ser manualmente cifrados/descifrados cada vez que se usen. Se abrirán y cerrarán justo como cualquier otro archivo. Una vez habilitado EFS, el cifrado es transparente para el usuario.

El uso de EFS es similar a utilizar permisos NTFS sobre archivos y carpetas. Sin embargo, un usuario que tuviera acceso físico a archivos cifrados seguiría siendo incapaz de leerlos debido a su cifrado.

Podemos cifrar o descifrar archivos y carpetas configurando el atributo de la propiedad de cifrado para ese archivo o carpeta. La propiedad de cifrado es un atributo que se aplica como los de solo-lectura, comprimido u oculto en archivos y carpetas.

Así pues:

 

cifrado01 Elegimos el archivo o carpeta, clic derecho, propiedades, botón avanzadas y marcamos el atributo de cifrado. Luego Aceptar.
cifrado02 Ahora le damos a Aplicar.
cifrado03 Se nos advierte para que cifremos la carpeta también para evitar copias sin cifrar.
cifrado04 Luego podemos ir de nuevo a Propiedades, botón avanzado y tenemos el botón Detalles activo, si lo pulsamos…
cifrado05 Nos muestra los detalles del archivo/carpeta. Aquí podemos agregar otros usuarios para que puedan acceder a ese archivo/carpeta cifrada, clic en Agregar.
cifrado08 Podemos ver los certificados dándole al botón de Ver certificado.
cifrado07 Pero nosotros elegimos el que pertenece al usuario a añadir y le damos a Aceptar.
cifrado09 Ya tenemos activos los usuarios que podrán acceder al archivo/carpeta.

Es importante ver que los atributos de Compresión y de Cifrado son excluyentes, es decir, sólo podemos marcar uno al mismo tiempo.

Otras consideraciones a tener en cuenta cuando usamos EFS son:

– Sólo pueden cifrarse archivos y carpetas en volúmenes NTFS. Podemos usar WebDAV si queremos tranferir archivos y carpetas cifradas.

– Los archivos/carpetas cifrados se descifrarán si los movemos a un volumen que no sea NTFS.

– Si movemos archivos/carpetas dentro de una carpeta cifrada producirá el cifrado de lo movido; sin embargo esto no sucede al contrario, si movemos un archivo/carpeta cifrado desde una carpeta cifrada a otra no cifrada, no se descifrarán automáticamente, deben descifrarse explícitamente de forma manual.

– Los archivos marcados con el atributo de archivos de sistema y aquéllos residentes en el directorio raíz del sistema no se pueden cifrar con EFS.

– Marcar un archivo/carpeta con el atributo de cifrado no impide que un usuario con los permisos NTFS adecuados puede borrarlos, listarlos o listar directorios si estos permisos permiten dichas funciones. USA EFS y permisos NTFS equilibradamente.

– Podemos cifrar/descifrar archivos y carpetas de un equipo remoto en el que ha sido habilitado el cifrado remoto. Cuando lo hacemos, los datos son transmitidos por la red de forma NO-Cifrada, deben usarse protocolos como SSL o IPSec para cifrar el tráfico.

Podemos implementar EFS mediante GPO, por supuesto. Configuración de Equipo\Configuración de Windows\Configuración de Seguridad\Directivas de Clave Pública\Sistema de cifrado de archivos (EFS). Mediante esta configuración podemos elegir diversas opciones sobre EFS.

BITLOCKER

Como vimos anteriormente, EFS no cifra los archivos marcados como de sistema o que se encuentren el el directorio raíz del mismo. Entonces, ¿qué podemos hacer? La respuesta es Bitlocker. Diseñado para cifrar la partición en la que se encuentra el sistema operativo. A diferencia de EFS, que permite al usuario seleccionar y escoger archivos y carpetas para cifrar, Bitlocker cifra particiones y/o unidades enteras. Puede utilizarse para unidades conectadas localmente, mientras que Bitlocker To Go puede usarse para dispositivos como sticks USB que pueden conectarse de forma temporal. Si el dispositivo se conecta a otro sistema, los datos son inaccesibles. Bitlocker usa una parte hardware incorporada en la placa base llamado chip TPM. Y lo usa para dar las claves que se usarán para desbloquear la unidad cifrada del sistema. Cuando iniciamos el sistema, bitlocker solicita la clave al chip TPM y la usa para desbloquear la unidad.

Cuando usamos una unidad cifrada con bitlocker, si añadimos nuevos archivos éstos se cifran automáticamente. Las unidades (fijas o extraíbles) pueden desbloquearse con una contraseña o tarjeta inteligente, o establecer que se desbloquee automáticamente en cuanto iniciemos sesión en el equipo.

Puede usarse junto a EFS. Tened clara la estrategia para que el impacto sobre los usuarios y el acceso a los datos no se penalice.

Habilitar Bitlocker:

Lo primero es habilitar el chip TPM en la BIOS.

Ahora podemos ir al Administrador del servidor y habilitar bitlocker:

– Características, añadir características, seleccionamos Cifrado de unidad Bitlocker y Seguir, luego le damos a Instalar. Se nos pedirá que reiniciemos el equipo, una vez reiniciado cerramos la ventana del administrador del servidor.

bitlocker01bitlocker02bitlocker03

– Desde el botón de inicio, escribir Bitlocker en la caja de búsqueda y pulsar INTRO.

bitlocker04

Desde aquí podemos activar el bitlocker.

En todo esto hay que tener en cuenta que algo puede ir mal, ¿qué pasa si algo va mal en un servidor con Bitlocker? ¿qué pasa si las claves que contienen el modulo TPM son inaccesibles? ¿Si un usuario pierde su PIN? ¿qué pasa si el hardware falla y queremos salvar el disco duro? Afortunadamente hay un sistema de recuperación y el proceso depende de un componente muy importante, la CLAVE de recuperación. Cuando activamos Bitlocker se nos pregunta por una ubicación en la que almacenar la clave de recuperación de Bitlocker. Si tenemos acceso a dicha clave podremos recuperar la unidad cifrada. Simple y directa:

– Iniciamos el ordenador

– Se nos indicará que no se encuentran las claves para iniciar el descifrado, y una opción de recuperación.

– Escribimos los 48 dígitos de la clave de recuperación.

– Se descifrará la unidad y el sistema iniciará con normalidad.

Aquí debemos tomar medidas: deshabilitar Bitlocker y descifrar la unidad (más adelante podemos volver a activarlo y crear una nueva serie de claves) o restablecer la conectividad con la clave original si aún disponemos de ella.

Bitlocker To Go

Esta herramienta nos proporciona el cifrado de una partición pero en unidades removibles. En lugar de usar una herramienta de cifrado, podemos usar Bitlocker para cifrar el contenido de una unidad removible. Como vemos en la imagen anterior de Bitlocker para usar Bitlocker To Go sólo se necesita insertar una unidad extraíble.

Esta herramienta difiere un poco con la anterior: No se necesita el chip TPM para guardar las claves. Necesitarás elegir el cómo quieres desbloquear la unidad. Puede hacerse mediante una contraseña que aportarás durante la instalación o con una tarjeta inteligente y su PIN. Así como en Bitlocker, aquí también hay una clave de recuperación asociada, guardar este archivo cuidadosamente en un lugar donde no se pierda, o mejor aún, se imprime y se guarda en lugar seguro. Recuerda que si el dispositivo se vuelve inaccesible por cualquier razón, la clave de recuperación será el único medio para recuperar los datos.

La unidad se cifrará de la misma forma que se cifra la unidad del sistema, un poco más rápido si el tamaño del extraíble es más pequeño. Ya cifrado, en cuanto lo insertemos en cualquier equipo se nos pedirá la contraseña o la tarjeta/PIN. Los archivos que se copien o muevan a la unidad se cifrarán.

Una opción para tener archivos y carpetas almacenadas en una unidad extraíble de forma segura. Podemos usar además las GPO para forzar Bitlocker To Go para usar unidades extraíbles y que las claves de guarden en AD.

 

Carpetas: seguridad, acceso y replicación.

Estaremos de acuerdo en qué uno de los propósitos de una red de servidores es, controlar el acceso a los recursos que se comparten en élla. Estos recursos, como sabemos, pueden ser archivos, carpetas, páginas web, BD, impresoras, etc… El trabajo de los servidores es proporcionar acceso a todas estas ‘cosas’. Si no hay cosas no es necesaria ninguna seguridad ni protección, no necesitamos Windows Server.

Los permisos

Un sistema de archivos por definición es una estructura jerárquica de carpetas que alojan archivos, y los aseguran mediante series de Listas de Control de Acceso (ACLs) y Entradas de Control de Acceso (ACEs) que definen el tipo de permisos que se permiten o niegan a aquéllas carpetas y archivos. Así que el primer método para asegurar carpetas y sus archivos en un mundo Windows son los permisos.

Los permisos se encuentran en dos variedades: los permisos para compartir y los permisos NTFS. Cuando se crea una carpeta en el sistema de archivos, hay un conjunto de permisos predeterminados que se le asignan. SYSTEM (el propio sistema), el usuario qué la ha creado y el grupo local de administradores del servidor donde se creó, todos ellos necesitan algún tipo de acceso sobre la carpeta creada. En este caso, al crear una carpeta en la raíz del disco un 2008 R2(de ejemplo), quedan así:

permissions01

Los permisos NTFS se asignan cuando se crea la carpeta, pero se pueden editar en cualquier momento por el usuario o miembro del grupo que tenga el permiso modificar sobre la carpeta.

A su vez, los permisos NTFS se dividen en dos tipos: permisos estándar y permisos especiales. Los primeros son exactamente, control total, modificar, lectura y ejecución, mostrar el contenido de la carpeta, lectura y escritura. Cada uno de ellos pueden permitirse o negarse. Ya que tenemos la opción de permitir o negar los permisos sobre una carpeta, en un sistema de archivos NTFS, disponemos de flexibilidad sobre el nivel de acceso a una carpeta predeterminada.

Como añadido a los permisos estándar, hay permisos especiales que también pueden establecerse en cada carpeta y/o archivo. Estos últimos hacen más que proporcionar acceso simple a la carpeta en la que se aplican, proporcionan la propiedad de la misma, así como la capacidad de cambiarle los permisos y la jerarquía que pueda existir por debajo de la misma.

Para configurar permisos NTFS hemos de seguir unos sencillos pasos:

– Clic derecho en la carpeta, seleccionar propiedades, seleccionar la pestaña Seguridad y pulsar el botón Editar.

A partir de aquí, podemos seleccionar un usuario/grupo existente de la lista de los que ya tienen permisos asignados o, también, añadir usuarios/grupos a los que queremos asignarles permisos sobre la carpeta. Estos usuarios/grupos pueden ser locales o pertenecientes al AD (si el equipo está en un dominio y no es un DC en el caso de usuarios locales porque no existen). Y eliminar usuarios/grupos de los que ya tienen permisos asignados.

permisosestandar01

Tengamos en cuenta una cosa importante, cualquiera no puede añadir, cambiar o eliminar permisos NTFS en una carpeta. Se necesita tener permisos sobre la carpeta para poder hacerlo. Los permisos para cambiar permisos o tomar la propiedad de la carpeta son permisos especiales.

Para establecer permisos especiales el camino es parecido:

Clic derecho en la carpeta y seleccionamos propiedades,

permisosespeciales01

Seleccionamos la pestaña Seguridad y clic en el Botón Opciones Avanzadas

permisosespeciales02

Ahora elegimos la pestaña Permisos y pulsaremos el botón Cambiar Permisos

permisosespeciales03

En la ventana de configuración de permisos dispondremos de la posibilidad de añadir, editar y cambiar la herencia de los mismos.

permisosespeciales04permisosespeciales05

Si lo que queremos es ver los permisos efectivos, en vez de elegir la pestaña Permisos, elegiremos la de Permisos efectivos.

permisosefectivos

Seleccionamos el grupo/usuario y le damos a aceptar.

permissions04

Para tomar la propiedad de la carpeta, seleccionamos la pestaña Propietario y usamos el botón Editar.

permissions05permissions06

Compartir

Para hacer que una carpeta y su contenido estén al alcance mediante la red:

  1. Escogemos la carpeta
  2. clic derecho y propiedades
  3. pestaña Compartir
    compartir01
  4. Aquí disponemos de dos opciones, un botón compartir y uno de Uso compartido Avanzado.
    1. Botón compartir
      1. Seleccionamos usuario/grupo
        compartir02
      2. Agregamos
        compartir03
      3. Seleccionamos los permisos
        compartir04
      4. le damos al botón compartir
        compartir05
    2. Uso compartido Avanzado
      1. Nos sirve tanto para compartir como para dejar de compartir (casilla compartir esta carpeta)
        compartir07
      2. Nombre del recurso, comentarios.
      3. Botón permisos, Agregamos usuarios/grupos y marcamos los permisos: sólo disponemos de tres.
        compartir08

El recurso finalmente compartido ya muestra en sus propiedades la ruta y que está compartido.

compartir06

Permisos compartir vs permisos NTFS, la lucha…

¿Por qué digo lucha? Pues porque el cruce de ambos tipos de permisos siempre producen quebraderos de cabeza, por experiencia.

Conflictos. Eso es lo que tienen los permisos compartir y NTFS, conflictos, pero ¿cómo los resolvemos? En principio os comentaré algo básico a tener en cuenta:

a) Cuando marcamos NEGAR siempre es precedente sobre PERMITIR.

b) Si los permisos COMPARTIR y NTFS chocan, siempre se aplica el MÁS RESTRICTIVO!

¿Qué quiero decir con esto? Pues viendo unos ejemplos quizás…

restriccion

Esto puede complicarse mucho si aplicamos permisos sobre usuarios/grupos, cuantos más usuarios y grupos más liado.

Yo normalmente utilizo un pequeño sistema, Aplico a COMPARTIR Control Total al grupo todos y me olvido de esta parte, desde aquí uso los NTFS sobre la carpeta y sólo me preocupo de estos. Así si veo que tiene Lectura y quiero que escriba, sólo modifico el correspondiente en la pestaña Seguridad. También podría hacerlo a la inversa, pero tendría menos granularidad.

En todo caso, me aseguro bien cuando aplico permisos diferentes en Compartir, es decir, si es un recurso que tengo claro que sólo debe leerse ni lo cambio, digan lo que digan los NTFS por la Red sólo podrá leerse.

Herramientas para Directivas (w2008R2)

Microsoft proporciona diversas herramientas para que podamos crear y administrar directivas locales o de dominio. La versión del sistema determina la funcionalidad que se ofrece a los administradores en su uso. Por ejemplo: si creamos una directiva con la consola de 2008/2008 R2, la carpeta de Directivas utiliza las nuevas plantillas ADMX/ADML, mientras que en XP/2003 se carga la plantilla ADM original en la carpeta de Directivas.

Repasemos las herramientas:

  • GPMC, La consola de administración de directivas de grupo.

gpmcgpmc02

La más funcional y útil de las herramientas de que disponemos para la creación y administración de las Directivas de Grupo en AD. Fue introducida después de la versión 2003; la funcionalidad incluída en los diferentes SO produce distintas opciones y resultados al crear y administrar las Directivas de Grupo.

Es un elemento de la MMC, que podemos añadir a cualquier consola personalizada. Con la proporcionada con Windows Server 2008 R2 podemos:

    • Habilitar las GPO de inicio, y crearne de nuevas.
    • Crear nuevas directivas de grupo de dominio
    • Crear nuevas directivas de grupo usando las GPO de inicio como plantillas
    • Crear y configurar vínculos de directivas a Sites, Dominios y Unidades Organizativas.
    • Ver y administrar Directivas de Grupo en dominios en el bosque AD local y de confianza.
    • Realizar copia de seguridad y restaurar una o todas las directivas en un dominio
    • Realizar copia de seguridad y restaurar una o todas las GPO de inicio en un dominio
    • Importar directivas de grupo desde dominios externos y migrar configuraciones de seguridad usando tablas de migración para asegurar una importación correcta.
    • Administrar Exigido en vínculos de directiva, y habilitar/deshabilitarlos.
    • Configurar la herencia en Sites, dominios y UOs.
    • Administrar el estado de las directivas para controlar que nodos de la directiva están habilitados/deshabilitados.
    • Crear y vincular filtros WMI para Directivas de Grupo
    • Administrar el filtrado de seguridad de Directivas de Grupo
    • Administrar la delegación y administración de seguridad
    • Administrar el orden de procesamiento en contenedores con múltiples vínculos de directiva
    • Ver todos los valores configurados de las directivas de grupo existentes y la info adicional, revisión, filtrado, delegación, y crear informes de exportación de la configuración.
    • Generar informes en HTML como resumen de configuraciones y ajustes.
    • Ejecutar el modelado de directivas para ver  cómo se aplicarán a usuarios y/o equipos en contenedores específicos.
    • Ejecutar el conjunto de resultados y ver cómo se han aplicado a usuarios y/o equipos específicos.

  • GPOE, Editor de objetos de Directiva de Grupo.

gpoegpoe02

El editor de objetos de directiva de grupo es la herramienta que utilizamos para editar las directivas de usuario y equipo locales. Cada servidor y equipo tiene una directiva de seguridad local predeterminada. A esta directiva se accede mediante el acceso directo al elemento de la MMC de directiva local de seguridad desde Herramientas administrativas. Ahora que Vista, w7, 2008 y 2008 R2 son compatibles con múltiples directivas de grupo, el editor se utiliza para administrar o crear cualquier directiva de grupo local, aparte de la predeterminada.

El editor nos sirve para ver la configuración de seguridad, los paquetes de instalación de sfotware, directivas restrictivas, scripts de usuarios y equipos y otras.

  • GPME Editor de administración de directivas de grupo.

GPMEGPME02

Para administrar directivas de grupo, se usa este editor con la misma funcionalidad que el anterior (GPOE), y alguna otra añadida. Una de las diferencias es que se incluye no sólo el nodo de valores de directiva sino que también incluye el nodo de valores de preferencia sólo accesible en dominios. Este editor se instala en Vista y W7 descargando las herramientas RSAT del service pack concreto del SO. En Windows Server 2008 y 2008 R2 se instala desde Añadir características desde Administrar el Servidor.

  • Editor de GPO de inicio.

GPO Editor

El editor de directivas de inicio se usa para editar las GPO de inicio creadas por los administradores. Esta consola sólo muestra los nodos de las plantillas administrativas bajo las secciones de Configuración de usuario y Configuración de equipo de una GPO de inicio. De forma predeterminada, los valores disponibles en las secciones de las plantillas administrativas son aquéllas que pueden establecerse en una GPO de inicio. Se incluye en las Herramientas de administración remota de servidor, RSAT.

  • Consola de impresión.

PrintManagementConsolePrintManagementConsole02

Se introdució por primera vez en Windows Server 2003 R2, la consola de impresión se usa para la gestión y administración de impresoras de impresoras en AD, equipos y servidores locales.Podemos ver las configuraciones, configurar controladores y sus opciones, y administrar los trabajos en un equipo particular o en el entorno de AD. También nos sirve para el despliegue de impresoras para equipos y/o usuarios usanto el nodo de despliegue y que es una función que extiende la funcionalidad de las Directivas de Grupo permitiéndonos el despliegue de impresoras a conjuntos predeterminados de usuarios y/o equipos a los qué está vinculada la directiva.

  • gpupdate.exe

Es una herramienta para el símbolo de sistema que nos ayuda en la resolución de problemas de procesamiento de las Directivas y de su inicio bajo demanda. Ciertas secciones de las directivas sólo se aplicarán en el inicio de un equipo o de sesión del usuario, mientras que otras se aplicarán durante los intervalos que están programados para refrescarse. Para las configuraciones que se aplican durante el arranque del equipo o los intervalos de inicio de sesión, si la conectividad de red con los DC no está disponible en ese momento los valores no se aplicarán. Así como los equipos remotos o equipos móviles, los sistemas que están hibernados o en suspensión y aquéllos usuarios que han iniciado sesión con las credenciales cacheadas.

La herramienta pues, nos ofrece la capacidad de aplicar las directivas a equipos y usuarios de inmediato. Un uso bastante extendido es añadir gpupdate.exe al script de conexión de VPN para permitir que los valores se apliquen a equipos remotos que pertenecen a la infraestructura de AD. Algunas opciones:

gpupdate.exe /Target:{equipo|usuario} Esto permite que sólo se procese el nodo específicado de la Directiva.

gpupdate.exe /Force Esto reaplica los valores de la Directiva. No reinicia el equipo o cierra sesión de los usuarios automáticamente.

gpupdate.exe /Wait Tiempo definido para el proceso completo de la directiva, de 600 segundos a 10 minutos.

gpupdate.exe /LogOff Cierra sesión del usuario después del proceso completo de la directiva.

gpupdate.exe /Boot Reinicia el equipo después del proceso completo de la directiva.

gpupdate.exe /Sync Procesa los valores que normalmente sólo lo hacen durante el arranque del equipo o el inicio de sesión del usuario. Se requieren privilegios para reiniciar el sistema o cerrar la sesión de usuario.

  • powershell

Esto requiere un estudio más profundo, pero que sepamos que MS ha introducido unos 25 cmdlets para Directivas de Grupo, que nos permiten llevar a cabo diferentes funciones desde powershell, tales como:

> Crear Directivas y Directivas de inicio.

> Crear nuevos vínculos a Directivas.

> Restaurar e importar Directivas.

> Eliminar Directivas y vínculos de directivas.

> Leer y/o establecer propiedades de una UO para que herede o bloquee las Directivas del contenedor padre.

> Renombrar Directivas.

> Crear informes de valores y configuraciones de Directiva.

> Generar informe de RSoP.

> Establecer permisos de administración de Directiva y su delegación.

> Establecer los valores y su preferencia que se almacena en el Registro.

Quizás lo importante en cuanto a powershell es saber que para que administremos o realicemos informes de cualquier Directiva, debemos conocer el GUID de la misma o el nombre exacto, y que aún hay cosas que no se pueden hacer desde powershell.

  • Microsoft Desktop Optimización Pack

Contiene diversas herramientas y características extra, pero sólo está disponible para Software Assurance.

  • Migrar plantillas ADM al nuevo formato ADMX

Desde sistemas anteriores a Windows Server 2008, es una herramienta que puede descargarse desde http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=15058

  • GPLogView

http://blogs.technet.com/b/grouppolicy/archive/2007/02/08/gplogview.aspx

Monitorizar o generar informes en texto, xml y html.

  • El todo registro del Visor de sucesos.

En Windows 7 y 2008 R2 se añaden multitud de eventos respecto a las Directivas.

 

R2 y las GPO -IV

Venimos de R2 y las GPO –III. Elementos de Directiva de Grupo.

GPO de inicio

La consola de administración de Directivas de grupo en Windows Server 2008 y 2008 R2 nos porporcionan una nueva característica de administración de directivas denominada GPO de inicio. GPO de inicio es parecido a las GPO corrientes, pero éstas sólo contienen configuraciones disponibles desde plantillas administrativas. Tal como podemos utilizar las plantillas de seguridad para importar y exportar los valores configurados dentro de la sección de seguridad de una directiva, las GPO de inicio pueden usarse para el relleno previo de valores configurados en las secciones de plantillas administrativas de la Configuración de Equipo y Configuración de Usuario dentro de una directiva. Después de Windows Server 2008 e incluído en 2008 R2, Microsoft liberó un conjunto de GPOs de inicio predefinidas para Windows Vista y Windows XP. Los valores predefinidos en estas GPO de inicio están basadas en información que puede hallarse en la guía de seguridad de Windows XP y Windows client publicada por Microsoft. Estas GPO de inicio particulares son directivas de sólo-lectura, pero los administradores pueden crear sus propias GPO de inicio según sus necesidades.

starterGPO

Valores de directiva

Los valores de directiva son simplemente las opciones configurables disponibles dentro de una directiva en particular. Estos valores se porporcionan desde las plantillas administrativas básicas, valores de seguridad, scripts, directivas basadas en QOS, y, en algunos casos, paquetes de despliegue de software. Muchos valores corresponden uno a uno con un valor y clave de Registro concreta. Dependieno de los valores en particular, distintos valores, incluído texto libre, pueden ser considerados como valores aceptables.

Los valores de directiva de grupo son normalmente configurables con uno de tres: No configurada, Habilitada y Deshabilitada. Es muy importante que los administradores entendamos no sólo la diferencia entre estos tres valores sino entender también lo que particularmente controla el valor de la directiva.

Los valores de Directiva de grupo se aplican tanto a un equipo como a un usuario. Dentro de una directiva en particular, un administrador puede hallar el mismo valor de directiva tanto en la Configuración de Equipo como en la Configuración de Usuario. En casos como este, si el valor de la directiva está configurada para ambos, el valor para el equipo sobrescribirá el del usuario si la directiva está enlazada al usuario en el equipo donde éste ha iniciado sesión.

Valores preferentes

Las directivas de grupo tienen dos nodos de valores principales, incluyendo los nodos de Equipo y Usuario. Cada uno de estos contiene dos nodos principales también, valores de directiva y valores preferentes. Las extensiones de la directiva mostrados en el nodo de preferentes proporcionan a los administradores la posibilidad de configurar muchos valores predefinidos o iniciales, y de entorno para usuarios y equipos. Una de las características más gratas de los preferentes de la directiva es la focalización a nivel de elemento, que sólo se aplica a cierta preferencia, como programar el botón de encendido, para que cierre sesión o apague el equipo, a sólo un grupo definido de usuarios o grupos dentro de la definición a nivel de elemento de la directiva. Cuando un usuario inicie sesión en un equipo y tenga aplicada esta preferencia se convertirá en el valor inicial, aunque los usuarios podrán cambiarla si así lo quieren. Una distinción importante que todos los administradores debemos hacer es qué directivas establecer y cuales valores obligar, mientras que las preferencias configuran valores iniciales y no los bloquean ante cambios.

Vínculos a objetos de Directiva de Grupo

Los vínculos de Directiva de Grupo son clave del despliegue de Directivas a un conjunto predeterminado de equipos y/o usuarios de AD. Los vínculos de directiva definen donde se aplicarán la directiva o directivas particulares, en la forma diseñada jerárquicamente de Sitios y Dominio de AD.

Las directivas pueden vincularse a Sitios, Dominios y OU’s. A su vez, una directiva única puede ser vinculada a múltiples Sitios, Dominios y OU’s en un bosque único. Esto nos permite tener flexibilidad para crear una directiva única y aplicarla a varios conjuntos diferentes de equipos y usuarios dentro del bosque de AD.

El diseño de la infraestructura de AD, Sitios, Dominios y jerarquía de OU’s, es crítica para la aplicación racional de las Directivas. Debe tenerse en cuenta una planificación cuidadosa y considerada, durante la fase de diseño del AD, con respecto a cómo se usarán las Directivas de Grupo y cómo se organizarán los objetos de usuario, grupos y equipos.

Los vínculos de Directivas pueden deshabilitarse cuando sea necesario, y ayudar a la resolución de problemas de aplicación y proceso de Directivas.

Exigir vínculos de Directiva

MS nos proporciona diversas formas para administrar su infraestructura, incluyendo configuraciones que obligan de arriba a abajo. El obligar al cumplimiento de una Directiva, lo que se conocía como ‘no anular’, es una opción de un vínculo de directiva que puede establecerse para asegurarnos que sus valores se aplicarán y mantendrán a pesar de si otra Directiva con la misma configuración y distintos valores está vinculada.

exigido

Esta función debe usarse con precaución ya que podría resultar en un funcionamiento no deseado o que el nivel de seguridad que necesita la ejecución de una aplicación o servicio se viese alterado. Antes de habilitar la obligación de cumplimiento de cualquier directiva sería deseable haberlo probado y asegurarnos que no romperá ninguna funcionalidad ni alterará políticas de regulación.

Herencia de Directivas de Grupo

Las directivas se pueden vincular al Sitio, Dominio, y múltiples niveles de OU. Cuando AD contiene Directivas vinculadas a nivel de dominio, cada OU que cuelgue del contenedor raíz del dominio heredará cualquier directiva vinculada a éste. Por ejemplo:

Tenemos dos Directivas vinculadas a nivel de dominio, la predefinida y una que he llamado restricción total, si observamos la OU predefinida de Controladores de dominio se ve:

herencia

Pero, y una OU creada aparte y denominada pruebas?:

herencia2

también hereda dichas directivas.

La herencia de Directivas nos permite establecer una directiva base común a través de la infraestructura de AD, mientras podemos permitir a otros administradores aplicar de forma más granular otras directivas a más bajo nivel que se aplicarán a subconjuntos de usuarios y equipos.

Las directivas heredadas se procesan antes que las vinculadas al contenedor mismo y el último valor de directiva aplicada es el valor resultante, si hay múltiples directivas con el mismo valor configurado y contienen distintos valores, el último será el aplicado. Esto se conoce como precedencia de Directivas, y que en las imágenes anteriores vemos como se encuentran numeradas.

Impedir la herencia de directivas

Sabemos que las directivas pueden heredarse, pero AD nos proporciona también la forma de impedir esa herencia de contenedores padres a contenedores hijos. Esto es, actualmente, una opción que se aplica a nivel de dominio o UO desde la consola de administración y NO sobre una Directiva.

Dicha opción nos puede ser útil si el contenedor contiene usuarios y/o equipos que son especialmentes sensibles a la seguridad o críticos.

bloqueoherencia

Orden de proceso de las Directivas

Las Directivas de grupo pueden vincularse en muchos niveles diferentes y en muchas infraestructuras de AD, múltiples directivas se vinculan en la misma OU o al mismo nivel de dominio. Esto es muy común y además se basa en una recomendación de buenas prácticas. Como las directivas se procesan UNA cada vez, las directivas vinculadas se procesan en un orden particular, comenzando por las Heredadas desde contenedores padre y seguidas por el orden de las vinculadas al contenedor. El impacto resultante de este orden de proceso es cuando múltiples directivas contienen el mismo valor configurado, la última directiva en aplicarse proporciona el valor resultante de configuración. Disponemos de la herramienta Resultant Set of Policy que nos proporciona una consola que muestra las configuraciones finales aplicadas de directiva, también se puede ejecutar el Modelado de directivas de grupo, ambos desde la consola de administración de directivas GPMC.

modeladodirectivas

Ya veremos como usar ambas herramientas.

Filtrado de directivas

La aplicación de Directivas puede ser difícil y el diseño del bosque, los dominios, los sitios y la jerarquía de OUs en Active Directory juega la mayor parte en esto. Una de las más importantes consideraciones cuando diseñamos la jerarquía de OUs dentro de un dominio es entender cómo los administradores del dominio piensan administrar los equipos y usuarios del dominio con Directivas.

En muchos casos, aún con el mayor cuidado en el planeamiento de la infraestructura de AD, las Directivas se aplicarán a equipos y/o usuarios que no necesariamente requieren los valores que contienen estas. Para conocer mejor a qué equipos y usuarios en particular se aplica una directiva, Microsoft ha construido diferentes mecanismos para ayudar a filtrar, o que sólo incluya los objetos necesarios para asegurar que sólo aquéllos equipos o usuarios deseados se les aplique la directiva. Los mecanismos que controlan o filtran el cómo se aplicará una directiva son:

  • Filtrado de seguridad de Directiva
  • Filtrado WMI de Directiva
  • Estado de Directiva para los nodos de configuración de usuario y configuración de equipo.

Filtrado de seguridad

El filtrado de seguridad de Directiva es el GRUPO en la Directiva de Grupo. Muchos administradores se sienten frustrados cuando se explica el hecho de que la Directiva de Grupo se aplica a usuarios y equipos y NO a Grupos. De hecho, el filtrado de seguridad es donde los administradores pueden definir que usuarios, equipos, o miembros de los grupos de seguridad se les aplicará la Directiva de Grupo.

De manera predeterminada, las Directivas se aplican al grupo de Usuarios autenticados, que incluye todos los usuarios y equipos del dominio. El ámbito de aplicación de la directiva es segmentada según la ubicación de los vínculos de Directiva. Puede segmentarse aún más eliminando el grupo de usuarios autenticados del filtrado de seguridad de directiva, reemplazándolo por un grupo de seguridad personalizado.

filtrado01filtrado02

Cuando el filtrado de seguridad de una Directiva se configura para aplicarse a un grupo de seguridad personalizado, sólo los miembros de dicho grupo, sean usuarios, otros grupos u equipos, se les aplicará esta directiva particular. Por último y no menos importante, hay que mantener siempre la pertenencia al grupo actualizada, de otra fomra la aplicación de la directiva puede ser incorrecta o incompleta.

Filtrado WMI

El filtrado de Directivas WMI es un concepto de directiva introducido en Windows XP y Windows Server 2003. Un filtro WMI es una consulta que se procesa sólo por equipos y puede usarse para incluir o excluir equipos en particular de la aplicación de la directiva que contiene el filtro. Por ejemplo, un filtro WMI puede consultar aquéllos equipos con un sistema operativo versión 6.1 (Windows 7 y 2008R2). Por supuesto, es importante señalar que los filtros WMI no los procesarán Windows 2000 o sistemas antiguos. El filtrado de seguridad debe también reunir los criterios de la Directiva para ser procesada. Los filtros WMI trabajan bien cuando la jerarquía de AD es relativamente lineal, pero mantener pertenencias de equipos a grupos puede ser tedioso.

Estado de Directiva

Seguramente ya se ha mencionado alguna vez, las Directivas se aplican a equipos y usuarios. Dentro de una directiva particular, la configuración disponible está segmentada en dos nodos distintos, Configuración de Equipo y Configuración de Usuario.

Configurar o cambiar el estado de una Directiva significa la posibilidad de escoger entre cuatro posibilidades:

gpostatus

Esta función de la directiva puede ser muy útil para resolver problemas así como optimizar el procesado de las mismas.

Bucle invertido en proceso de directiva

El proceso en bucle invertido de una directiva permite el procesado de ambos nodos, de equipo y usuario, dentro de una directiva aún cuando el usuario no se encuentre dentro del mismo contenedor que el equipo al que se vincula la directiva.

Administración de impresoras con la Consola de Administración de Impresión: configuración

Después de la instalación de la consola en el sistema se debe configurar para identificar las impresoras y servidores de impresión de la empresa. Las impresoras se pueden agregar manualmente o, se puede escanear la red e intentar la identificación automática de las impresoras.

Para ello lanzamos la consola:

  1. Inicio
  2. Herramientas Administrativas
  3. Administración de impresión
    agregarconsolaimpresion06
  4. Obtenemos la consola.
    agregarconsolaimpresion07

 Agregar impresoras como recursos compartidos de red

Tenemos dos caminos para agregar impresoras a un red Windows 2008 R2. Una es mediante el método estándar de instalación en Windows, usando la opción Agregar impresora. La otra es con la consola, mediante Añadir impresora. Ambos acaban dando el mismo resultado así que la única razón para el uso de la consola es para simplificar las tareas de añadir, modificar y administrar las impresoras desde una utilidad única.

El proceso de agregar desde la consola es idéntico al estándar en Windows, sin embargo aquí lo tenemos todo en una única interfaz:

  1. Extendemos la sección de Servidores de impresión en la consola
  2. clic derecho en cualquiera de los listados y escoger Agregar impresora.
    printconsole01
  3. Si la impresora está conectada directamente al servidor de impresión elegimos Agregar nueva impresora usando un puerto existente, y desde aquí usaríamos los pasos del primer método:printconsole02
    1. Inicio, panel de control, dispositivos e impresoras.
    2. Botón Agregar impresora para iniciar el asistente
    3. Agregar impresora local
    4. Escoger el puerto (LPT,COM,…) siguiente…
    5. nombre de la impresora, siguiente …
    6. cuestiones a responder, siguiente …
    7. clic en Finalizar.

Agregar servidores de impresión

  1. Abrimos la consola
  2. clic derecho en el elemento Servidores de impresión y seleccionamos Agregar/eliminar Servidores
    printservers01
  3. Escribimos el nombre del que se desea agregar, o le damos a Navegar para que el asistente busque entre los servidores del entorno.
    printservers02
  4. Clic en Aceptar para agregar el servidor de impresión elegido.

Uso de la consola

Toda vez tenemos añadidas las impresoras y los servidores de impresión en la consola, podemos administrarlos desde una vista central. Ahora podremos cambiar puertos de impresora, agregar o eliminar formularios, ver el estado, etc… desde la consola, y a la vez, crear filtros personales de impresoras que permiten a varios administradores ver y administrar las imrpesoras seleccionadas basado en Sitio, derechos o Roles.

Lo más general será por ejemplo:

> Actualizar los controladores de impresora. Clic derecho en el elemento Controladores del Servidor de impresión y seleccionamos Administrar controladores; desde aquí actualizaremos o cambiaremos el controlador de impresión de una impresora.

controladores01controladores02

> Administrar formularios. Clic derecho en el elemento Formularios del Servidor de impresión y seleccionando Administrar formularios; creación y eliminación de formularios compatibles con distintos tamaños del papel o, para especificar una cabecera de formulario de papel personalizada. También podemos cambiar el puerto al que está conectada la impresora, configurar el registro y habilitar la función de aviso a los usuarios cuando los trabajos de impresión se han imprimido completamente.

formularios01formularios02

Filtros personalizados

Una función única de la consola es la de filtros personalizados que habilita a los administradores a agrupar impresoras con el propósito de distribuir su administración. En empresas grandes donde existen diversos edificios, sitios y la administración de dispositivos como las impresoras tienen límites, los admin pueden crear filtros para vistas de impresoras que estén dentro de esos límites.

Para crear una vista personalizada:

  1. Clic derecho sobre Filtros personalizados
    customfilter01
  2. Escribes un nombre descriptivo, yo he puesto filtratge-exemple.
    customfilter02
  3. Se escogen los valores deseados para la creaión del filtro.
    customfilter03
  4. Si se desea establecer opciones de notificación y/o ejecución de scripts y luego Finalizar.
    customfilter04
  5. La nueva vista personalizada nos aparece en la consola.
    customfilter05