windows server 2012.docx

March 22, 2018 | Author: Julio Rusco Reisco | Category: Active Directory, Microsoft Windows, Microsoft, Web Server, Domain Name System


Comments



Description

INFORMACIONWindows Server 2012 R2Administración avanzada Este libro está dirigido a aquellos administradores e ingenieros de sistemas que deseen adquirir conocimientos avanzados sobre Windows Server 2012 R2 y dominarlo en profundidad. Responde a la necesidad de disponer de una mayor experiencia por parte del lector, tratando con profundidad, desde un punto de vista teórico y práctico, roles imprescindibles tales como Active Directory, DFS, Hyper-V, BitLocker, el reparto de carga o incluso la VPN. También se describen todas las especificidades de Windows Server 2012 R2 (como, por ejemplo, los avances en términos de virtualización, de seguridad, los Work Folders, IPAM, Workplace Joint, la Experiencia con Windows Server Essentials, etc.), para permitirle aprovechar al máximo el potencial de esta versión. Desde el despliegue, pasando por el clustering, y hasta la virtualización, este libro es el compañero ideal para aprender hasta el último detalle de esta versión de Windows Server. Aporta un alto nivel de experiencia y su vocación es convertirse en una obra de referencia. Los autores ponen a disposición del lector sus conocimientos en tecnologías Microsoft (MVP, MCSE y/o MCITP, MCSA) y su experiencia, muy significativa, en infraestructuras integrales y complejas, para proveer un nivel de calidad que respete las mejores prácticas del mundo profesional de la empresa. Los capítulos del libro: Introducción – Dominio Active Directory – Arquitectura distribuida de acceso a los recursos – Alta disponibilidad – Implementar los servicios de Red de la empresa – La evolución de la red – Servicios de Escritorio remoto – Acceso remoto – Aplicaciones de Internet – Reducir la superficie de ataque – Consolidar sus servidores – Despliegue de servidores y puestos de trabajo – Securizar su arquitectura – El ciclo de vida de su infraestructura – Prepararse para el futuro Thierry DEMAN - Freddy ELMALEH - Sébastien NEILD Thierry DEMAN es Arquitecto de Sistemas y domina las tecnologías Microsoft tras numerosos años trabajando en el seno de Permis Informatique. Está reconocido como Microsoft MVP (Most Valuable Professional) en Exchange tras varios años. Está certificado, entre otros, en MCSE Messaging 2013 y MCSA Windows Server 2008 et 2012. Freddy ELMALEH es consultor freelance, experto en Seguridad y soluciones de Infraestructura de Microsoft. Fundador de la empresa Active IT, colabora con muchas grandes empresas en servicios de consultoría y auditoría de sistemas y seguridad. Está reconocido como Microsoft MVP (Most Valuable Professional) en Directory Services desde 2007 gracias, en particular, a su activa participación en el seno de la comunidad Microsoft (Foro Technet y laboratorio Microsoft). También está certificado en MCITP Server Administrator para Windows Server 2012. Sébastien NEILD es Ingeniero de Sistemas y Redes en una empresa de servicios. Colabora como responsable de proyectos de Active Directory y Exchange y ha participado en numerosos proyectos de despliegue y migración de infraestructuras Windows Server. Está certificado en MCSE y MCITP Server Administrator para Windows Server 2008. Maxence VAN JONES es consultor freelance, Arquitecto de sistemas y redes, Jefe de proyecto, formador MCT y fundador de MVJ CONSULTING. Interviene como experto en proyectos de diseño de parques informáticos, de virtualización y de securización siempre en relación con tecnologías Microsoft. Está, entre otros, certificado en MCITP Enterprise Administrator para Windows Server 2008 y MCSA para Windows Server 2012. Introducción Este libro trata sobre la última versión del sistema operativo de la gama Windows Server de Microsoft Se trata, evidentemente, de Windows Server 2012 R2. Microsoft, fiel a su estrategia, busca dinamizar la evolución de sus productos, prefiriendo, de este modo, definir un ciclo de vida más corto a sus productos para aportar, de manera regular, mejoras y evolutivos técnicos adaptados al mercado. Windows Server 2012 no se sale de esta norma, y algunos meses después de la aparición de la versión R1, ha hecho su aparición Windows Server 2012 R2 y se pone a disposición de todos los profesionales. Microsoft ha diseñado Windows Server 2012 para ofrecer una plataforma flexible y completa que responda a las necesidades, cada vez más exigentes, de las empresas. Esta versión evoluciona de acuerdo a su tiempo teniendo en cuenta la tendencia hacia la virtualización de servidores, al Cloud Computing y a la premisa "Bring Your Own Device". Podrá, de este modo, aprovechar las nuevas funcionalidades, útiles y prácticas, que le permitirán basar el conjunto de sus Sistemas de Información en una solución Microsoft. Las distintas ediciones de Windows Server 2012/2012 R2 Como es habitual, Microsoft Windows Server 2012 R2, así como Windows Server 2012, está disponible en distintas versiones. La elección de una u otra edición dependerá, especialmente:    Del rol del servidor que prevé instalar. De la estrategia de virtualización empleada. Del tipo de licencia utilizado. Para realizar esta elección, hay disponibles cuatro ediciones de Windows Server 2012 R2:  Windows Server 2012 R2 Datacenter: se trata de la versión más completa, que soporta hasta 64 procesadores. Se trata de una versión destinada a servidores especialmente potentes que sólo está disponible bajo un programa de clave de licencia por volumen. Su modelo de licencia se calcula en función del número de procesadores y del número de CAL. Permite alojar un número ilimitado de máquinas virtuales. Windows Server 2012 R2 Standard: se trata de una versión idéntica a la edición Datacenter, salvo que sólo permite el uso de dos instancias virtuales. Windows Server 2012 R2 Essentials: esta versión remplaza a Small Business Server Essentials. Algunos roles no están disponibles en comparación con una versión Standard (Server Core, Hyper-V, etc.). Esta edición está limitada a una única instancia física o virtual, con un máximo de 25 usuarios. Las versiones Standard y Datacenter permiten utilizar ciertas funcionalidades que, habitualmente, son propias de la versión Essentials (tales como la copia de seguridad de los equipos cliente, los cuadros de mando, etc.). Windows Server 2012 R2 Foundation: esta edición no ofrece solución de virtualización (no es posible instalar Hyper-V), y está limitada a 15 usuarios. Es posible obtener más información sobre las especificaciones (idénticas entre las versiones 2012 y 2012 R2) de esta versión en la siguiente dirección: http://technet.microsoft.com/en-us/library/jj679892.aspx    Observe que existe, a su vez, una versión gratuita llamada Hyper-V Server 2012. Está preconfigurada para ejecutar una versión mínima (Core) de Windows Server 2012 y sólo puede alojar el rol Hyper-V. Es posible encontrar más información en la siguiente dirección: http://technet.microsoft.com/eses/evalcenter/dn205299.aspx Windows Server 2012 R2 está disponible únicamente en versión 64 bits; las versiones de 32 bits e Itanium ya no están disponibles. Si desea información más precisa, encontrará una descripción detallada de las distintas versiones de Windows en la siguiente dirección (en inglés): http://www.microsoft.com/en-us/server-cloud/windows-server/buy.aspx La gestión de las licencias se ha rediseñado por completo. Para Windows Server 2012 Standard y Datacenter, el cálculo de licencias "por servidor" cambia por licencias "por procesador". Preste atención, en adelante, al hardware de sus servidores. Por defecto, estas versiones parten de una licencia para dos procesadores. La única diferencia entre ambas versiones reside en el derecho a la virtualización: ilimitado en la versión Datacenter y de dos máquinas virtuales en la versión Standard. Encontrará la FAQ oficial (en inglés) correspondiente a las licencias en la siguiente dirección: http://download.microsoft.com/download/4/D/B/4DB352D1-C610-466A-9AAFEEF4F4CFFF27/WS2012_Licensing-Pricing_FAQ.pdf Se aplica, a su vez, un licenciamiento particular a las máquinas virtuales. Todos estos detalles se encuentran en la siguiente documentación:http://download.microsoft.com/download/3/D/4/3D42BDC2-6725-4B29-B75AA5B04179958B/WindowsServer2012VirtualTech_VLBrief.pdf Dado que las versiones Foundation y Essentials están mucho menos extendidas en la empresa, este documento se centra en las ediciones Standard y Datacenter. la presión creciente sobre el servicio IT de las empresas y la explosión del Cloud Computing. El control de acceso dinámico permite controlar el acceso a los datos de forma dinámica. de hecho. El sistema operativo deberá. recuperar la sintaxis PowerShell equivalente a las acciones realizadas.com/eses/library/hh831491. tanto desde un servidor como desde un puesto de trabajo. en Windows Server 2012 R2 se ha aumentado la capacidad de script y de automatización de tareas gracias al lenguaje de script Windows PowerShell. la opción de instalar por defecto una versión mínima de Windows Server 2012 R2. Identifica la criticidad del dato (según los atributos que se hayan definido) y guarda. 1. la administración automática de cuentas de servicio o incluso la posibilidad de administrar de forma gráfica las directivas de contraseñas múltiples.aspx#BKMK_run Para aumentar esta calidad en la administración. a riesgo de que no sea capaz de volver a reiniciar su servidor salvo por línea de comando: http://technet. La consola permite. desde Windows Server 2008 R2.microsoft. La ventaja principal de este tipo de administración reside en el hecho de que la superficie de ataque se reduce por el hecho de que solamente se instalan en el servidor aquellos componentes imprescindibles. Prácticamente todas las acciones realizadas en el seno del sistema se pueden automatizar con PowerShell. a su vez. todavía. En efecto. por tanto. a su vez. de tipo mosaico. . que encantarán a todo administrador. sin una interfaz gráfica y todo debe configurarse por línea de comandos. instalar y administrar servidores físicos remotos o virtuales. Aunque le pueda resultar algo desconcertante. fácil crear un grupo de servidores que tengan que gestionarse de manera conjunta. La automatización de tareas corrientes de administración se ve. es posible instalar impresoras automáticamente sobre equipos de usuario mediante directivas de grupo. Es posible que la toma de control suponga. En lo sucesivo. La interfaz gráfica se considera una característica más que es posible desinstalar. Microsoft ha rectificado su estrategia en la versión R2 reintegrando el botón Inicio. mediante las herramientas de administración RSAT. gracias a la consola única Administración del servidor. el control sobre el que se ubican en el seno del Sistema de Información. Es. Microsoft ofrece. a continuación. El servicio de directorio de Active Directory está dotado. una mejora en la productividad. los roles que deseen. Por último. por tanto. La instalación basada en roles y características. de funcionalidades tales como la papelera de reciclaje de Active Directory. Un mejor control de la información Windows Server 2012 R2 provee un mejor control de la información para garantizar una mayor eficacia en la administración y. Consolas tales como el monitor de confiabilidad y rendimiento de Windows permite detectar problemas de configuración en sus sistemas operativos. por ello le invito a leer la siguiente página. dar respuesta a estas tres exigencias esenciales. Ofrece. de este modo. Los administradores agregarán. es coherente con el resto de la nueva gama de los OS Windows. a su vez. algún problema. Los asistentes disponibles permiten limitar al máximo los errores de configuración gracias a sus numerosas explicaciones. e informar automáticamente al servicio informático.Los grandes ejes de Windows Server 2012 R2 Durante el estudio de los ejes principales de esta versión de Windows Server. y existen muchos asistentes que proponen. las reglas Applocker permitirán realizar un mejor control de las aplicaciones cuyo uso se autorice con Windows Server 2008 R2/2012/2012 R2 y Windows 7/8/8.1. es posible realizar una mejor administración de la impresión. conocida con el nombre de Windows Server Core. La consola MMC le permite gestionar. mejorada enormemente gracias a esta nueva funcionalidad. Microsoft tiene en consideración la carga de trabajo. Esta versión funciona. a continuación. La nueva interfaz. facilita la administración. como último paso. que guían al administrador en la etapa de instalación de un componente Windows. mucha información precisa sobre el uso de componentes del sistema. y una buena noticia más para los administradores. en consecuencia. controlar y resolver mejor los fallos de las impresoras de su dominio. Las funcionalidades de seguridad presentes en Windows Server 2012 R2 permiten.1. El acceso VPN a través de protocolos tales como SSL facilitan el acceso al Sistema de Información y. Windows Server 2012/2012 R2. de este modo. Éstos encontrarán. Además. etc. Windows 8 y 2012 se basan en el núcleo 6. El firewall avanzado de Windows Server 2012 R2 permite limitar la superficie de ataque de sus servidores realizando un filtrado de los puertos sobre el tráfico de red entrante o saliente. como ocurría con Windows Server 2008 R2. la opción de utilizar una misma pasarela Site To Site para conectar clientes que posean el mismo plan de direccionamiento IP.2. .). Se terminó la necesidad de tener una infraestructura IPv6 para aprovechar esta solución. El firewall analiza el flujo a nivel de aplicación. El acceso a la red de la empresa cobra una nueva dimensión con la simplicidad en la implementación de DirectAccess. la nueva consola de gestión MMC para el firewall avanzado permite configurar los flujos IPsec para asegurar la integridad o cifrar el flujo entre equipos. ¡Se terminaron las personas externas que llegaban con un ordenador portátil que no cumpliera con las reglas de la organización y los usuarios sin el antivirus actualizado! El acceso a la red se les denegará mientras no cumplan con los criterios de conformidad que usted haya juzgado convenientes. por tanto. Una mejor protección del Sistema de Información orientada a la movilidad y al Cloud Microsoft ha rehecho completamente el núcleo de su sistema operativo desde Windows Server 2008. por ejemplo. Este núcleo posee la tecnología Patchguard. limitar el riesgo de ataque sobre el servidor garantizando una productividad y una flexibilidad importantes. impedir el acceso a los datos de su disco duro desde una instalación paralela de otro sistema operativo. mantener una barrera para los rootkits o cualquier otro ataque que trate de modificar el núcleo del sistema. su lugar en las pequeñas redes de agencia donde la seguridad del controlador de dominio no puede garantizarse. también. El cifrado del lector de disco se realiza con BitLocker. de este modo.x). la seguridad de su infraestructura informática. El rol AD FS permite favorecer enormemente los intercambios de información con equipos asociados externos. de este modo. desarrollada por Microsoft para proteger al máximo el sistema operativo y. que permite a los administradores aprovechar un control mayor sobre los equipos. La protección de acceso a redes (NAP) está. pertenezcan o no a la empresa. Siempre desde un punto de vista de apetura hacia la movilidad. a su vez. que permite. El rol AD CS (Active Directory Certificate Services) permite difundir certificados basados en el nuevo modelo de certificados versión 4.2. La pasarela sitio-a-sitio multi-inquilino provee. de modo que puede no autorizar el tráfico para un servicio específico. Los servicios asociados a Active Directory refuerzan. igual que Windows 8/8. Los controladores de dominio de solo lectura (RODC) refuerzan la seguridad de sus dominios Active Directory en la medida en que puede limitar la difusión de ciertas contraseñas en caso de que se vea comprometido algún controlador de dominio. a su vez. o incluso mejorar el uso de terminales personales para conectarse al Sistema de Información de la empresa (BYOD) con un control mínimo sobre estos equipos gracias a Workplace Join. Existe un núcleo NT 6. la funcionalidad de Carpetas de trabajo permiten sincronizar archivos profesionales entre varios PC o dispositivos que pertenezcan al mismo usuario. Esto resulta ideal para definir un cifrado entre controladores de dominio o entre equipos de administración y servidores de administración. pudiendo. administrarlos incluso antes de que se conecte un usuario (GPO disponibles. El rol AD RMS (Active Directory Rights Management Services) le da la posibilidad de controlar la difusión de los documentos en su empresa. tras el arranque del sistema. aprovechan la funcionalidad ELAM (Early Launch Anti-Malware) que permite cargarse únicamente a aquellos drivers firmados. intercambiar datos con otros equipos. también. accesible y le permite implementar condiciones de uso de su sistema dentro de la empresa.x desde Windows Vista/2008 (Windows 2000 y XP se basaban en el núcleo NT 5. Gracias a Windows Server 2012 puede gestionar la evolución de la empresa y. dividirse en espacios que se utilizarán como discos físicos. etc. en el escritorio del usuario junto a las aplicaciones instaladas de manera local en su equipo. a su vez. El protocolo SMB (Server Message Block) pasa a la versión 3. de manera transparente en un flujo SSL (HTTPS). hacia otro nodo disponible. Tiene en cuenta. el almacenamiento en archivos VHD o un sistema de bases de datos SQL. mirroring. esta funcionalidad permite incluir discos auxiliares en caliente y utilizar métodos de redundancia (paridad. Si alguno de los servidores (llamados nodos del clúster) no está disponible. poco a poco. Basta con tener un único punto de entrada. La funcionalidad RemoteFX. El acceso directo de la aplicación aparece. Un espacio de almacenamiento. que le permite acceder a su red privada virtual. webcam. de las empresas que desean virtualizar algunos de sus servidores. de este modo. Una plataforma que evoluciona Windows Server 2012 R2 es una plataforma capaz de adaptarse y responde a las necesidades de evolución de una sociedad. El tráfico RDP se encapsula. ahorrando el máximo de ancho de banda. integrarse en un portal SharePoint. accesibles desde su navegador de Internet. lo que limita la duración de la indisponibilidad de una aplicación.). en particular.). Es posible realizar un acceso centralizado a las aplicaciones de cara a desasociar. Las réplicas de Hyper-V resultarán interesantes para más de una PYME que no disponga del presupuesto suficiente para la implementación de una solución de replicación para responder ante un desastre o siniestro. las aplicaciones locales de aquellas remotas. administrar aplicaciones que requieran una alta disponibilidad. se ha visto mejorada y ya no requiere ninguna configuración particular para aprovechar una calidad gráfica excepcional mediante RDP (lectura de animaciones. gracias a una compresión y un registro de los cambios en un disco de una máquina virtual. Una réplica de Hyper V permitirá replicar una máquina virtual hacia otra.3. Tiene en cuenta funcionalidades tales como la conmutación automática SMB. la consideración de SMB. que había hecho su aparición con Windows Server 2008 R2. El clúster de servidores tiene como cometido contener varios a servidores con un mismo rol. el puesto de trabajo de las aplicaciones que son necesarias para los usuarios. Los servicios Terminal Server aportan una gran cantidad de innovaciones que mejorarán enormemente la experiencia de usuario. Esto se realiza sin ninguna intervención por parte de los administradores. de forma ultra-reactiva a los cambios de trabajo dinámicos y al desarrollo de la cloud privada. también. Esta solución se basa en IIS y puede. La tecnología hypervisor (Hyper-V) responde a la necesidad. El usuario no es capaz de distinguir. de este modo. el testigo de carpeta. También puede hacer disponibles aplicaciones (publicación de aplicaciones) sin que tengan que estar instaladas en el equipo del usuario.0 y se ha visto mejorado considerablemente. El acceso Web a los servicios Terminal Server (RD Web Access) es una interfaz Web que le permite acceder a las aplicaciones RemoteApp que haya decidido publicar. aunque de forma mucho menos onerosa. a través de un portal Web. automáticamente. Un poco de manera similar a como ocurre con SAN. en efecto. . novedad funcional desde Windows Server 2012. lo que le permite ganar tiempo en término de formación de los usuarios. Esta zona puede. Un servicio de pasarela Terminal Services (también llamado RD Gateway) le permite no tener que multiplicar los puertos a abrir en su red o a implementar una red privada virtual. a primera vista. permite utilizar discos duros económicos para crear zonas de almacenamiento. etc. por tanto. etc. Esta tecnología responde. cada vez mayor. el sistema de clúster bascula. ahora. Estas aplicaciones están. El reparto de carga de red puede. esta obra también pretende explicar los conceptos básicos de modo que resulte accesible a aquellas personas que no posean una experiencia notoria con la tecnología de servidor de Microsoft. insistiendo especialmente en aquellas novedades aparecidas tras el salto tecnológico que separa a Windows Server 2003 de Windows Server 2008. Por último. NLB por Network Load Balancing). responder a un desarrollo importante de la actividad de un sitio de Internet. No obstante. el ciclo de vida de su servidor resulta más sencillo de gestionar gracias a un conjunto de herramientas adaptadas y útiles. Las numerosas direcciones de Internet provistas en las páginas de este libro se recopilan en una webografía. Está salpicado de consejos y recomendaciones de expertos en herramientas Microsoft y se dirige. a su vez. por la posibilidad de hacer un reparto de la carga de red (llamada.El servicio de alta disponibilidad se caracteriza. La tecnología de las instantáneas permite realizar copias de seguridad de sus archivos en ejecución de forma casi inmediata. . podemos citar la característica de copia de seguridad que le permite administrar sus copias de seguridad y restauraciones gracias a asistentes muy intuitivos. de este modo. seleccionando dirigir las demandas de conexión al servidor Web en el servidor IIS menos ocupado. Este reparto o equilibrado de carga permite repartir la carga de red entre varios servidores que presenten la misma información. Entre todas ellas. a su vez. por ejemplo. disponible en la página Información. Este libro tiene también como objetivo presentarle las principales funcionalidades de Windows Server 2012/2012 R2. a aquellas personas que ya posean cierta experiencia. parches de seguridad) de los sistemas operativos y de algunas aplicaciones Microsoft en el seno de su red empresarial. El servidor de actualizaciones WSUS3 permite administrar el conjunto de actualizaciones (correctivos. de este modo. poder centrar su atención en las especificidades aportadas por Windows Server 2012 R2. el principio de funcionamiento del directorio Active Directory. Definición de un dominio de Active Directory Active Directory es un servicio de directorio que permite referenciar y organizar objetos tales como cuentas de usuario. seguiremos con explicaciones sobre los principales componentes ligados al servicio de directorio. Esta obra no tiene como objetivo volver a explicar lo que ya conoce. Una arborescencia de dominios es la agrupación jerárquica de varios dominios que comparten un mismo espacio de nombres (por ejemplo. se presenta el servicio de directorio en Windows Server 2012 R2. Desde un punto de vista físico.Priv). La información puede. Un bosque trata de reagrupar varias arborescencias de dominio que tienen en común un catálogo global y que no comparten. cabe tener en cuenta tres elementos principales: . así. en efecto. obligatoriamente. basarse necesariamente sobre un sistema DNS que soporte actualizaciones dinámicas y registros de tipo SRV). un espacio de nombres común. Desde un punto de vista tecnológico cabe tener en cuenta tres nociones:    El dominio es la unidad básica encargada de agrupar los objetos que comparten un mismo espacio de nombres (un dominio debe. etc. 1. así.MiEmpresa. Presentación del servicio de directorio de Microsoft: Active Directory Domain Services Usted ya conocerá. sin duda alguna.Priv y barcelona. nombres de recursos compartidos. los dominios madrid.DOMINIO ACTIVE DIRECTORY Introducción Este capítulo está dedicado al directorio de Microsoft Active Directory.MiEmpresa. autorizaciones mediante grupos de dominio. centralizarse en un directorio de referencia con el objetivo de facilitar la administración del Sistema de Información. A continuación. de modo que los principios generales de un directorio Active Directory (también llamado Active Directory Domain Services o AD DS) se abordan de manera muy breve para. En la primera parte. tales como las directivas de grupo y otros servicios relacionados al propio directorio. El servicio de directorio de Microsoft resulta indispensable en la gestión de la información en el seno de una empresa. Estos roles deben estar contenidos en controladores de dominio y son necesarios para el correcto funcionamiento de un dominio de Active Directory. Al contrario que con los antiguos sistemas NT. Gestiona la modificación esquema Active Directory. Cada partición tiene. del Maestro de esquema Único en el seno de un bosque Maestro RID Único en el seno de un dominio   Distribuye rangos de RID para los . etc. La siguiente tabla muestra con detalle cada uno de estos cinco roles: Nombre del rol FSMO Maestro nomenclatura dominios Ubicación de Único en el de seno de un bosque   Rol Se encarga de inscribir a los dominios en el bosque. Esto le permite. los controladores de dominio de un mismo sitio dialogan de manera mucho más frecuente que los controladores de dominio definidos en dos sitios de Active Directory distintos. particiones. así. también. Debe. Cada controlador de dominio contiene. búsquedas en el directorio. reducir de manera importante el tráfico de red en un enlace que separe a dos sitios remotos. por tanto. cambiar una contraseña de usuario.  Los controladores de dominio se encargan de almacenar el conjunto de los datos y de administrar las interacciones entre los usuarios y el dominio (apertura de sesión.   Los sitios Active Directory ponen en evidencia la agrupación física de objetos de un mismo dominio. Ésta almacena los datos sobre las aplicaciones utilizadas en Active Directory y se replica sobre los controladores de dominio que usted elija que formen parte del mismo bosque. En efecto.). La cuarta partición (presente de forma opcional) es la partición de aplicación. Microsoft ha decidido compartir la información en varias particiones para. asociar uno (o varios) controlador(es) de dominio a un mismo sitio Active Directory si estos controladores de dominio se comunican con un enlace de red que tenga una buena velocidad de transferencia. en el dominio tiene lugar una replicación multimaestro.). además. Según los roles. a su vez. etc. lo que permite a cualquier controlador poder iniciar una modificación (agregar una cuenta de usuario. su ámbito de replicación. son únicos por dominio o bien por bosque. Los roles FSMO (Flexible Single Master Operation) son un total de cinco en el seno de una infraestructura Active Directory. Todos los controladores de dominio de un mismo bosque tienen en común las particiones de esquema y de configuración. Todos los controladores de dominio de un mismo dominio comparten una partición de dominio común. Gestiona la nomenclatura del dominio. limitar la extensión de los datos que hay que replicar. Se le explica cómo instalar un controlador de dominio de Active Directory con Windows Server 2012 R2. Por ejemplo. rápidamente. a. etc. que estos últimos son muy útiles e intuitivos. Maestro infraestructura Emulador PDC de Único en el seno de un dominio Único en el seno de un dominio  2. el conjunto de manipulaciones debe realizarse con una cuenta de usuario que posea los permisos de Administrador del servidor. Sirve como punto de referencia durante los procesos de cambio de contraseña y bloqueo de cuentas. en lo sucesivo puede hacer referencia a la mayoría de las opciones avanzadas de instalación del directorio Active Directory desde el asistente creado a este efecto. la utilidad de estas últimas. Es necesario agregar un nuevo rol en su servidor Windows Server 2012 R2 para instalar su directorio Active Directory. En primer lugar. en particular). Descubrirá. Utilizará. Garantiza una compatibilidad con los sistemas operativos anteriores (NT.    Func ionalidades de Active Directory en Windows Server 2012 R2 Windows Server 2012 R2 proporciona un gran número de funcionalidades. usted mismo. Puede acceder desde el Administrador del servidor. los asistentes de configuración se han visto mejorados considerablemente a lo largo de las versiones de Windows. por tanto. Volveremos un poco más adelante sobre las etapas detalladas ligadas a esta instalación. Estas funcionalidades se le presentarán mediante casos prácticos a lo largo de este capítulo para que pueda constatar. Sirve como servidor de tiempo de referencia para el resto del dominio. esta consola para agregar el rol Servicios de dominio de Active Directory (también conocido bajo el nombre AD DS por Active Directory Domain Services). cómo utilizar las directivas de contraseña específicas. Instalación de un directorio de Active Directory Desde un punto de vista general. . Gestiona los movimientos de objetos de un dominio a otro.SID. las cuales gustarán tanto a aquellas personas que no tengan un conocimiento previo como a aquellas que deseen poseer un conocimiento avanzado. Podrá.Asegúrese. de este modo. siempre desde la consola Administrador del servidor. en primer lugar. definir una dirección IPv4 fija. Se recomienda. Haga clic en Configurar este servidor local (o Servidor local) para visualizar la configuración propia a este servidor y modificarla si fuera necesario. el nombre de equipo será DC2012 (DC por Domain Controller o controlador de dominio). que tiene bien definido el nombre NetBIOS de su futuro controlador de dominio. y le permite configurar su servidor una vez instalado. Vuelva sobre Panel. En nuestro ejemplo. Haga clic en Agregar roles y características. siempre. Por defecto. . así como una dirección IP fija válida. Escoja configurar las opciones de red haciendo clic en los enlaces de hipertexto que se encuentran en la misma fila que Ethernet y Nombre de equipo. A continuación deberá reiniciar el servidor. definir estos parámetros antes de realizar la promoción de un servidor a controlador de dominio. el Administrador del servidor se ejecuta cada vez que inicia Windows. así como un nombre de equipo descriptivo para su servidor. . dirección IP estática. Haga clic en Siguiente.A continuación se abre el Asistente para agregar roles y características. a continuación. haga clic en Siguiente. La primera página aparece. Escoja la opción Instalación basada en características o en roles y. con cada ejecución del asistente. parches de seguridad al día). por defecto. Tiene como objetivo permitirle verificar un conjunto de buenas prácticas antes de continuar con la instalación de un rol en su servidor (contraseña fuerte. desde este asistente. Observe que todos los comandos de instalación se basan en PowerShell y pueden ejecutarse de manera remota.Como es posible instalar. Seleccione la opción Seleccionar un servidor del grupo de servidores y. esta etapa le permite precisar el servidor o el disco duro virtual en cuestión. haga clic en Siguiente. a continuación. roles o características sobre un servidor definido en un grupo de servidores o desde un disco duro virtual. . se trata de un servidor físico. En nuestro ejemplo. .Seleccione. debe escoger la opción Servicios de dominio de Active Directory. a continuación. Como se trata de la instalación de un controlador de dominio Active Directory. el rol o la característica que desea instalar. . Administración de directivas de grupo.). al menos. útiles) para este rol (Herramientas administrativas.El asistente le invitará a agregar la instalación de varias características necesarias (o. Las siguientes etapas del asistente se actualizan de manera dinámica en función del rol seleccionado. etc. Haga clic en Siguiente. rápidamente. Haga clic en Siguiente. . el rol de los servicios de dominio de Active Directory así como la principal información a tener en cuenta. Le invita. Haga clic en Siguiente.A continuación se le pregunta si quiere aprovechar para instalar las características suplementarias de su servidor. a su vez. El asistente le explica. a consultar los artículos disponibles en la ayuda de Windows para más información. las características necesarias ya se le han presentado en la ventana anterior. No es necesaria ninguna para el buen funcionamiento de Active Directory. La última etapa consiste en confirmar la instalación del rol en cuestión. . Los mensajes de información le avisan de que el servidor se reiniciará al finalizar la instalación. Comienza la instalación del rol. Reinicio que puede escoger que se realice automáticamente o no. Haga clic en Instalar. Esto será útil para poder reutilizarlos mediante comandos PowerShell si fuera necesario.Es posible exportar los parámetros de configuración. . el comando dcpromo ya no se utiliza desde Windows Server 2012. utilizar los scripts PowerShell. InstallADDSDomainController y Add-ADDSReadOnlyDomainControllerAccount. para que el nivel funcional del bosque sea Windows Server 2008. cierre el Administrador del servidor y. el nivel funcional del bosque deberá ser. ahora. Estos últimos le guiarán de manera muy intuitiva en las siguientes etapas a realizar. Si bien sigue existiendo. se dará cuenta rápidamente de la potencia y de la utilidad de los asistentes de Windows Server 2012 R2. aunque la instalación haya terminado.aspx Antes de poder instalar un controlador de dominio en Windows Server 2012 R2.com/enus/library/hh472162. Puede encontrar más información en la siguiente dirección: http://technet. La norma es. Servirá únicamente para facilitar la transición de algunas empresas que hayan desarrollado scripts con este comando. Windows Server 2008. Windows Server . es preciso que el nivel funcional de todos los dominios del bosque sean. Install-ADDSDomain. Una vez terminada la instalación. todo se basa en ellos. Haga clic en el enlace Promover este servidor a controlador de dominio. dentro del área marcada con la bandera de notificación. puesto que. puede apreciar. ahora. Si no apareciera.Es posible cerrar el asistente y continuar trabajando con el servidor sin que la instalación se detenga. En el área de notificaciones. pasados algunos minutos. Puede ver el grado de avance de la instalación en la consola Administración del servidor. como mínimo. Los cmdlets PowerShell que pueden resultar útiles son Install-ADDSForest. a continuación. A modo de recordatorio. un signo de exclamación que se corresponde con la Configuración posterior a la instalación que debe realizar para continuar con la instalación de Active Directory. ábralo de nuevo (o haga clic en el botón Actualizar que se encuentra justo al lado (a la izquierda) del icono con forma de bandera de notificación). como mínimo.microsoft. actualizar el dominio funcional del (o de los) dominio(s) y el bosque impactados. que algunos componentes no requieren más que la preparación del dominio para agregar nuevas funcionalidades (sin tener. Este comando sólo está disponible en versión 64 bits.2008. extender el esquema a Windows Server 2012 y. en el seno de su bosque. es posible ejecutar adprep de manera remota desde un servidor Windows Server 2008 versión 64 bits. incluso aunque no se trate de un controlador de dominio. Windows Server 2008 R2. a menudo. deberá. en el seno de su dominio. El asistente ejecuta como tarea de fondo el comando adprep. temidas por los administradores puesto que la marcha atrás es compleja (habrá que restaurar. a continuación. Esto implica que ya no será posible tener un controlador de dominio con Windows Server 2003 en un bosque que tenga un DC con Windows Server 2012 R2.com/en-us/library/hh472161. la mayoría de veces. Si.10).aspx). obligatoriamente. Adprep se ubica en la carpeta soporte\adprep del DVD de instalación de Windows Server 2012 R2. Windows Server 2012 o Windows Server 2012 R2 miembro del dominio. todos los controladores de dominio funcionan con Windows Server 2012 R2. siempre mediante alguna de estas consolas (encontrará más información en la dirección: http://technet. una versión de 32 bits. Si no fuera el caso.microsoft. Este comando es necesario para preparar un bosque y un dominio para la instalación de un controlador de dominio de una versión superior. Estas etapas resultan.com/en-us/library/understandingactive-directory-functional-levels(v=ws. Estas funcionalidades se resumen en la siguiente dirección: http://technet. a su vez. también. del proxy web de aplicación (Web Application Proxy) que se basa únicamente en las clases del esquema creadas tras la implementación del esquema (mediante el comando adprep /forestprep) para poder funcionar. un dominio por bosque). Observe. como mínimo.microsoft.com/eses/library/cc730985. Encontrará mucha más información sobre la instalación manual de adprep en la siguiente dirección: http://technet. obligatoriamente. que (siempre y cuando la papelera de reciclaje de Active Directory no esté activada) es posible disminuir el nivel funcional de un dominio o de un bosque de Windows .microsoft. puede aumentar el nivel de su dominio a Windows Server 2012 R2 mediante la consola Dominios y confianzas de Active Directory o mediante el centro de administración de Active Directory (encontrará más información en la dirección: http://technet. no obstante.microsoft. que implementar el nivel funcional del dominio o del bosque). Microsoft ha optado por simplificar esta etapa integrando directamente la actualización del esquema y del dominio en el asistente de promoción de un controlador de dominio desde el Administrador del servidor.com/es-es/library/cc753104. Si sus antiguos controladores de dominio ejecutan.aspx) Existen varios motivos para aumentar el nivel funcional del dominio o del bosque. todos los controladores de dominio funcionan con Windows Server 2012 R2 puede. por ejemplo.aspx Observe. aumentar el nivel funcional de su bosque. todavía. Es el caso.aspx Si. funcionalidades y características suplementarias. Aporta. Si ha seleccionado agregar un controlador de dominio a un dominio existente. Puede.Priv -server dc2012. de definir la instalación del controlador de dominio a partir de un medio externo (una copia de seguridad. tendrá la posibilidad. Observe que el asistente le indica un vínculo hacia el archivo de ayuda en línea de Windows que trata las distintas configuraciones de despliegue posibles.MiEmpresa.Priv -forestmode Windows2008Forest Haga clic. tal y como se ha indicado antes. En nuestro ejemplo. Esto resulta bastante útil para sitios remotos. a continuación. haga clic en Promover este servidor como controlador de dominio. Se inicia el Asistente para instalación de Servicios de dominio de Active Directory. seleccione: Agregar un nuevo bosque. en el vínculo Promover este servidor a controlador de dominio disponible en la lista de tareas o. para evitar que se produzca un tráfico de red demasiado elevado y se sature el ancho de banda durante la primera sincronización entre los controladores de dominio.Server 2012 o Windows Server 2008 R2 a Windows Server 2008 mediante los comandos PowerShell siguientes: Import-Module ActiveDirectory Set-AdDomainMode -identity MiEmpresa. si no. por ejemplo).Priv -server dc2012. definir un controlador de dominio particular para la primera sincronización del directorio de Active Directory para indicar un controlador de dominio del .. Seleccione una configuración de despliegue. más adelante.Priv -domainmode Windows2008Domain Set-AdForestMode -identity MiEmpresa.MiEmpresa. por ejemplo. priv y. Es conveniente disociar los nombres de dominio interno y externo para evitar. ningún dominio Active Directory que tenga. el nombre del dominio será miempresa. el nombre Miempresa.es. en prohibir el uso de un guión bajo (underscore) en su nombre de dominio. bien sea para un bosque o para un nuevo dominio en un bosque ya existente. también. Si se diera el caso. por ejemplo.microsoft. evitar que la sincronización no se realice desde un sitio remoto que podría tener un ancho de banda limitado. en particular. en cualquier caso.com/kb/300684) analiza este caso. haga clic en Siguiente. por el contrario. Dé nombre a la raíz del bosque. los fabricantes de certificados públicos no certificarán más dominios con extensiones privadas tales como: interna. No cree. el asistente no le permite crear un nombre de dominio de un solo nivel. Piense. por tanto. de este modo. tener que realizar una gestión algo más compleja en su zona DNS interna. . En nuestro ejemplo. realice una migración a un nombre de dominio sin este carácter.mismo sitio y. De aquí a dos años. especialmente con Exchange. Observe que desde Windows Server 2008 R2. que le generará una serie de inconvenientes en el futuro.MiEmpresa. agregar un nuevo controlador que se ejecute bajo 2008 R2 o superior en un dominio con un único nivel ya existente. informar un nombre de dominio con dos niveles. a continuación. Se recomienda. Sí le dejará. La KB de Microsoft KB300684 (http://support. Defina una contraseña de restauración de servicios de directorio. no defina la misma contraseña que para la cuenta de Administrador actual por motivos de seguridad. Esta contraseña deberá responder a la complejidad requerida por la directiva de contraseña.Tras hacer clic en Siguiente. dado que hemos seleccionado la opción de crear un nuevo dominio en un nuevo bosque. haga clic en Siguiente. Se utilizará cuando se acceda en modo de restauración del directorio Active Directory pulsando la tecla [F8] durante el arranque del sistema operativo. Seleccione Windows Server 2012 R2 dado que. en este ejemplo. Deje marcada la opción Servidor DNS para instalar este rol sobre el futuro controlador de dominio. Si bien puede resultar tentador. A continuación.Implementar los sistemas de resolución de nombres. el asistente trata de resolver el nombre de dominio para contactar con un eventual bosque ya existente. La opción Catálogo global aparece marcada obligatoriamente puesto que todavía no existe ningún catálogo en el dominio. . Es preciso definir el nivel funcional del bosque. Encontrará más información sobre los distintos tipos de zona DNS y sobre la replicación en el capítulo Implementar los servicios de red de la empresa . se trata de un servidor que es el único controlador de dominio y del bosque. y si no se ha instalado ningún servidor DNS. como las directivas de contraseña específica (disponibles desde el nivel funcional Windows Server 2012 y que verá. las ventajas ligadas al nuevo funcionamiento del dominio de Windows Server 2012 R2. el asistente mostrará el siguiente mensaje (haciendo clic en Ver más en la barra de alerta de color amarillo ubicada en la parte superior del asistente). también. más adelante en la sección Directivas de contraseña específica y de bloqueo de cuenta granular de este capítulo). El sistema trata. . a continuación. de contactar con el servidor DNS definido a nivel de los parámetros TCP/IP de la tarjeta de red del servidor. Si no responde al nombre de dominio Active Directory definido. de este modo.Aprovechará automáticamente. Haga clic en Siguiente. Deje el nombre NetBIOS por defecto y. El anterior servidor DNS se informará en la pestaña Reenviadores en las propiedades del servicio DNS. también.Observe. . a continuación. éste se borrará automáticamente de estas propiedades de modo que el futuro controlador de dominio será cliente de su propio DNS. haga clic en Siguiente. que si se define un servidor DNS en las propiedades TCP/IP del servidor. . se recomienda encarecidamente separar la base de datos y los archivos de registro para. desplegar fácilmente otros controladores de dominio reduciendo el riesgo de error durante la configuración de este rol. Podrá. directamente. así. El comando que debe utilizarse es. mediante PowerShell mediante el script disponible haciendo clic en la opción Ver script.Como se encuentra trabajando en un entorno de pruebas. Es posible exportar estos parámetros para poder reutilizarlos en un archivo de respuestas. dcpromo /answer:NombreDelArchivoCreado (si no se trata de promover un DC en Windows Server 2012 R2) o. los archivos de registro y SYSVOL. En un entorno de producción. en este caso. evitar la saturación de I/O (entradas/salidas). Haga clic en Siguiente. de este modo. Aparece un resumen que muestra las distintas opciones que ha definido a lo largo de las etapas del asistente. deje la ruta por defecto para la base de datos. Haga clic en Siguiente. . a continuación. una verificación de requisitos previos necesarios para la instalación del rol de controlador de dominio sobre este servidor. El asistente realiza. si no existe ningún punto bloqueante.aspx b. a continuación. al finalizar la instalación.10). Por defecto. haga clic en Instalar.com/en-us/library/cc794717(WS. Observe que puede realizar las acciones correctivas necesarias y.0 no podrán acceder a los recursos compartidos que se encuentren en un servidor Windows Server 2008/2008 R2/2012 o 2012 R2. Presentación de la auditoría ligada al servicio de directorio . Haga clic en Instalar para arrancar la instalación. los anteriores sistemas operativos como. El servidor reinicia.microsoft. Windows NT 4. ¡Enhorabuena! Acaba de instalar con éxito un controlador de dominio en Windows Server 2012 R2. automáticamente. El siguiente enlace le ofrece todos los elementos necesarios: http://technet.Aparece un mensaje de advertencia que indica los problemas que puede encontrar debido al enriquecimiento del algoritmo de cifrado utilizado para establecer un canal de seguridad con un cliente SMB. por ejemplo. Recorra esta lista de advertencias y. hacer clic en el vínculo que le permite volver a verificar si se cumplen los requisitos previos. Le faltará verificar la instalación de Active Directory y realizar las primeras acciones esenciales. Directivas .Configuración de Windows . no obstante.Herramientas administrativas y Gestion des Directiva de grupo) a nivel. Desde Windows Vista/Windows Server 2008. La visualización y la configuración de estos parámetros no son idénticos entre Windows Server 2008 R2 y Windows Server 2012 R2. En Windows XP sólo existen nueve categorías de evento que pueden auditarse. a no definir demasiados objetos a auditar.Directivas de auditoría). de Directiva Default Domain Controllers Policy (Configuración de equipo . Esto le permitirá evidenciar problemas de configuración o incluso verificar la seguridad de ciertos elementos críticos del sistema operativo. por ejemplo. la creación de objetos mucho más granular. La información que se muestra es. puede optar por auditar hasta 53 categorías de eventos distintos volviendo. podía configurar los eventos de auditoría editando su directiva de grupo (desde el menú Inicio .Auditar estos servidores es una actividad que consiste en censar los eventos que se consideren interesantes en el registro de eventos.Directivas locales . Antes de Windows Server 2008 R2.Configuración de seguridad . en efecto. de este modo. puesto que el rendimiento del servidor se verá impactado inmediatamente. no obstante. confusa. . definirse de forma mucho más precisa y los parámetros visualizados a nivel de la directiva de grupo más arriba no representan más que de una forma muy vasta la configuración efectiva. Preste atención. ¡pues es posible ser mucho más preciso! Las directivas de auditoría pueden. exe /get /Category:* En Windows Server 2008 R2 y Windows 2012/2012 R2 (o Windows 7 . etc.1 con las herramientas de administración RSAT instaladas).Windows 8/8. es posible configurar.En Windows Server 2008 (o Vista con las herramientas de administración RSAT).exe. que esta configuración definida mediante GPO se ejecutará únicamente en equipos Windows Server 2008 R2/2012/2012 R2 o Windows 7/8/8.1. puede mostrar y aplicar de forma más precisa las directivas de auditoría realmente posibles únicamente por línea de comandos mediante el comando Auditpol. Estas directivas pueden aplicarse.Configuración de Windows . . de este modo.Directivas . no obstante. desplegar y administrar la auditoría detallada desde la consola GPMC.Directivas de auditoría. El siguiente comando permite mostrar las distintas categorías posibles para la auditoría: Auditpol.Configuración de directiva de auditoría avanzada . sobre OU específicas para controlar la actividad de las cuentas de administrador. Tenga en mente.Configuración de seguridad . La configuración de la auditoría detallada se realiza a nivel de Configuración del equipo . Encontrará la guía paso a paso para implementar una directiva de grupo avanzada en la siguiente dirección: http://technet. Se han conservado las principales categorías. por ejemplo. Microsoft recomienda configurar la opción Auditoría: forzar la configuración de subcategorías de la directiva de auditoría (Windows Vista o posterior) para invalidar la configuración de la categoría de directiva de auditoría que se define a nivel de Configuración del equipo .Cabe destacar. en particular. Este aspecto se aborda en detalle en el capítulo Securizar su arquitectura. mucho más limpio de eventos inútiles. Los eventos generados por las auditorías de acceso a los archivos o al registro estarán mucho más detalladas si activa la opción Auditar la manipulación de identificadores puesto que se mostrará el "motivo del acceso".Configuración de Windows . que si utiliza la directiva de grupo para definir las categorías principales de auditoría.Configuración de Windows Configuración de seguridad . Más adelante se ofrece un enlace a la KB que explica cómo poner en marcha este despliegue.Directivas locales . Sepa. no tendrá la posibilidad de definir de forma más precisa los parámetros de las subcategorías. también. Con la llegada de Windows Server 2008 R2 y Windows 7. poner de relieve errores de configuración (como. Para desplegar estos parámetros en Windows Server 2008 o Windows Vista. las opciones definidas a nivel de la auditoría básica (las siete categorías históricas) podrían entrar en conflicto con las definidas de manera más precisa en la directiva de auditoría avanzada. Microsoft introduce la posibilidad de auditar el acceso a objetos globales. y muchas subcategorías enriquecen y hacen que la recogida de eventos sea mucho más precisa. Una directiva de auditoría configurada a nivel de las directivas de grupo activa. un usuario que tiene acceso de escritura en lugar de tener un acceso de sólo lectura).aspx Observará. no obstante.Configuración de seguridad Opciones de seguridad. equipos. la posibilidad de definir una directiva de auditoría para un usuario particular sobre una acción precisa y para un conjunto de servidores. Con Windows Server 2012/2012 R2 es posible crear directivas de auditoría basadas en expresiones con el objetivo de precisar mejor la información que se quiere mostrar en función de varios criterios (usuarios. Para ello.Configuración de Windows . es preciso utilizar la opción auditpol. las subcategorías.Directivas de auditoría. que le permitirá. Si este parámetro no está habilitado. etc. Tiene. entonces.com/es-es/library/dd408940(WS. Su registro de eventos estará.10). la auditoría de la seguridad de un servidor de cara a afrontar una auditoría SOX. automáticamente. que las opciones de auditoría son mucho más ricas respecto a las versiones anteriores de Windows.microsoft.Directivas de auditoría y de Configuración del equipo . por tanto.Configuración de seguridad Configuración de directiva de auditoría avanzada . en efecto.exe. . recursos. en particular. que Microsoft desaconseja la configuración de la auditoría simultáneamente a nivel de Configuración del equipo .). Esto puede resultar muy práctico si tiene que justificar. poder administrar la configuración de las subcategorías de sus equipos Windows Vista/2008 de manera centralizada (y. Le permitirá registrar los antiguos y los nuevos valores atribuidos a un objeto de Active Directory y a sus atributos. Creación de un nuevo objeto de Active Directory. .Para configurar de forma más precisa la auditoría sobre los equipos tendrá que utilizar el comando auditpol en los equipos o servidores seleccionados a través de un script. en cambio. Si desea.com/kb/921469 Una de estas nuevas subcategorías de auditoría se ha creado especialmente desde Windows 2008 R2 para dar respuesta a una necesidad importante de los administradores de dominio Active Directory. en consecuencia. tener que utilizar el comando auditpol en cada equipo). pero no los valores anterior y modificado del mismo. antes un controlador de dominio en Windows 2000 o 2003 indicaba simplemente el nombre del objeto o del atributo modificado. los eventos se almacenan en el registro de Seguridad. Una vez configurada la auditoría de esta subcategoría. Esta nueva subcategoría se denomina Directory Service Changes (categoría hija de DS Access). A título informativo. consulte la solución provista en el siguiente artículo de la Kb de Microsoft: http://support.microsoft. La siguiente tabla recoge los cuatro tipos de eventos sobre los objetos de Active Directory: Número de evento 5136 5137 Tipo de evento Modificación con éxito de un atributo de Active Directory. por ejemplo. Abra el registro de eventos de su controlador de dominio (desde el menú Inicio . activar la auditoría para todas las subcategorías referentes al acceso al directorio Active Directory. en nuestro ejemplo el valor Expiración de cuenta:. desde una ventana de símbolo del sistema de un controlador de dominio.Si desea. 5139 Desplazamiento de un objeto de Active Directory.dsac.Ejecutar Eventvwr. Puede comprobar que existe un evento 4738 y detalla el o los valores que acaban de modificarse. el siguiente comando: auditpol /set /category:"Acceso DS" /success:enable. también llamada ADAC (Active Directory Administrative Center) en el resto del libro (desde el menú Inicio . ejecutando auditpol /set /subcategory:"modificación del servicio de directorio" /success:enable y auditpol /set /subcategory:"Administración de cuentas de usuario" /success:enable. Es posible activar únicamente la subcategoría que nos interese. o bien utiliza el código ASCII presionando [Alt] y 0146 para proveer la versión esperada del símbolo. Todas las subcategorías de auditoría del acceso DS se activarán. la fecha de caducidad de una cuenta de usuario de Active Directory mediante la consola Centro de administración de Active Directory.msc). Existe un bug en la versión española de auditpol y todas las categorías o subcategorías que posean un apóstrofe no funcionarán si lo escribe. en nuestro caso. siga el procedimiento siguiente: 5138 Restauración de un objeto de Active Directory.exe).Ejecutar . por ejemplo. Ejecute. a continuación. Modifique. Existen dos soluciones para evitar este problema: o bien copia/pega la opción desde una página web codificada correctamente. . por el contrario. de equipo y de recurso.Configuración de directiva de auditoría avanzada Directivas de auditoría .Acceso a objetos. siga estas etapas: Desde Configuración del equipo . desde ahora.Por otro lado. esta funcionalidad le permite auditar todos los usuarios que traten de acceder a recursos para los que no se ha definido ninguna habilitación o. pestaña Seguridad . Para ello. del que hablaremos con detalle en el capítulo Securizar su arquitectura.Opciones . Windows Server 2012 ha introducido las directivas de auditoría de seguridad basadas en las expresiones que permiten acotar los eventos a informar utilizando expresiones basadas en reivindicaciones (claims) de usuario. por ejemplo). A nivel de la carpeta a auditar: Desde las Propiedades de la carpeta a auditar (una carpeta sensible accesible únicamente por el servicio financiero de la empresa.Configuración de Windows Configuración de seguridad . a nivel de GPO en el servidor de archivos. active la auditoría Correcto y error.Directivas . Esta mejora está ligada a otra novedad: el control de acceso dinámico. Tenga en cuenta que. administradores que utilicen sus permisos de manera abusiva. a nivel de parámetro Auditar sistema de archivos y del parámetro Auditar almacenamiento provisional de directiva de acceso central. escoja un grupo habilitado para acceder a esta carpeta.Seleccionar una entidad de seguridad.Agregar . Si un administrador accede a algún archivo de esta carpeta.pestaña Auditoría .Grupo . .[Administradores de dominio] y [Administradores].Miembro de cada Valor . se registrará un evento en el registro de eventos de seguridad.avanzadas . por ejemplo: Usuario . en nuestro ejemplo GSU-Finanzas-RW. Agregue una condición que indique. Se podría. La auditoría sería: Auditar . también. Si un usuario del servicio financiero trata de acceder.Project Not_AnyOf Resource.User.1. lo que evitará reportar accesos válidos. Estos eventos son propios de Windows 2012 R2 y Windows 8/8.EmploymentStatus=Vendor AND User. También es posible asociar la .Project.Los eventos 4656 y 4663 pueden generarse durante la activación de la auditoría de la manipulación de identificadores o de la SAM. citar como ejemplo la posibilidad de poder auditar todos los proveedores que traten de acceder a documentos vinculados a proyectos sobre los que no trabajen. no se registrará ningún evento en el registro de seguridad.Todo .Todos . tendrá que modificar el valor searchFlags del atributo que desee a nivel de partición de esquema. RODC por Read Only Domain Controller). también.com/es-es/library/hh831382. Se genera el evento 4624 cada vez que un usuario inicia una sesión sobre un equipo local o remoto.mspx?mfr=true . Sepa.com/windowsserver2008/en/library/f62c9720-a5c3-40c9-aa40440026f585e91033. lo que permite fusionar las directivas de auditoría múltiples ubicadas en varios clientes. definir otra directiva de acceso global para un perímetro más amplio. Obtendrá más información sobre los nuevos eventos generados en la siguiente dirección: http://technet.microsoft. El rol maestro de esquema tendrá que encontrar. preferentemente. Un controlador de dominio de solo lectura contiene toda la información de un controlador de dominio clásico salvo la contraseña de los usuarios.auditoría de acceso global a los objetos con directivas de auditoría basadas en expresiones. por su parte. la información sobre algún controlador de dominio en Windows Server 2008 R2 como mínimo. Encontrará más información a este respecto en la siguiente dirección (en inglés): http://technet2. que es posible configurar el parámetro Auditar los inicios de sesión (Configuración de directiva de auditoría avanzada . por otra parte.Inicio y cierre de sesión). es posible crear controladores de dominio de solo lectura (llamados. Esta información se almacena en solo lectura únicamente y no es posible iniciar ninguna modificación a nivel de dominio desde un RODC. Entre las mejoras aportadas por Windows Server 2012 y Windows 8 cabe destacar. también. c. que si no desea que se replique algún atributo sensible en su RODC es posible modificar las propiedades del mismo para limitar su replicación únicamente a aquellos controladores de dominio inscribibles. Para ello.microsoft. Controlador de dominio de solo lectura Desde Windows Server 2008.aspx Estos parámetros pueden acoplarse con el control de acceso dinámico que se aborda en el capítulo Securizar su arquitectura. De este modo el administrador de un perímetro limitado podrá definir una directiva de auditoría de acceso global a los objetos correspondientes a su perímetro mientras que un administrador global podrá.
Copyright © 2024 DOKUMEN.SITE Inc.