Práctica obligatoria para Navidad

 

Cómo compartir una carpeta.

Cómo configurar los permisos de acceso.
Esa compartición se hace gracias al protocolo SMB (Server Message Block).
Recordemos que el último ataque de malware a nivel mundial (Wannacry) tuvo que ver con una  inseguridad del protocolo SMB1.
En consecuencia debemos utilizar SMB2 o SMB3, que viene por defecto activado.

Get-SmbServerConfiguration

#RECURSOS COMPARTIDOS 

Get-SmbShare -Special:$false

#CREAR CARPETA

Comprobamos con get-smbshare
Comprobamos los permisos Get-SmbShareAccess -name power|fl

Remove-SmbShare -name power


PS C:\Users\Administrador.SERVER2.000> new-SmbShare -path C:\power -name power -fullaccess amaya -readaccess usu1

#MODIFICAR UN RECURSO COMPARTIDO

 Set-SmbShare -name power -ConcurrentUserLimit 10 -force

Grant-SmbShareAccess -name power -AccountName usu1 -AccessRight Full

Name  ScopeName AccountName AccessControlType AccessRight
----  --------- ----------- ----------------- -----------
power *         ASO\amaya   Allow             Full       
power *         ASO\usu1    Allow             Full       


Revoke-SmbShareAccess -name power -AccountName usu1 -force

Name  ScopeName AccountName AccessControlType AccessRight
----  --------- ----------- ----------------- -----------

power *         ASO\amaya   Allow             Full       


Block-SmbShareAccess -name power -AccountName usu1 -force

Name  ScopeName AccountName AccessControlType AccessRight
----  --------- ----------- ----------------- -----------
power *         ASO\usu1    Deny              Full       

power *         ASO\amaya   Allow             Full       

#ELIMINAR RECURSO COMPARTIDO

Remove-SmbShare -name power

Actualizar a Windows Server 2016

Supported upgrade paths for Windows Server 2016
https://technet.microsoft.com/es-ar/windows-server-docs/get-started/supported-upgrade-paths

System Requirements
https://technet.microsoft.com/windows-server-docs/get-started/system-requirements–and-installation

Administración de servidores desde Powershell

Instalar y desinstalar la interfaz gráfica de Windows Server 2012

Por defecto, cuando instalamos Windows server 2012, nos lo trae sin interfaz, algo que es bueno, pero si no te sabes manejar mucho por linea de comandos o te gusta mas la interfaz gráfica, podemos instalar. Esto es lo que haremos:

• Escribimos powershell. Veremos que cambiara un poco la consola.
• Escribimos install-windowsfeature
• Escribimos server-gui-mgmt-infra
• Escribimos server-gui-shell
• Pulsamos Enter.

• Veremos que empezara a instalar, lo dejamos hasta que se instale. Si hay algún fallo, comprueba que has escrito bien los nombres. 
• Cuando este instalado nos aparecerá unas letras amarillo indicándonos que reiniciemos.

• Escribimos shutdown /r
• Esperamos a que se configure.

A partir de aquí ya tenemos instalada la interfaz gráfica para Windows Server 2012.

Si alguna vez queremos desinstalar la interfaz gráfica de Windows Server 2012, haremos lo siguiente:

• En la ventana de administrador del servidor, pinchamos en Administrar.
• Seleccionamos la opción Quitar roles y funciones.

• Pinchamos en selección de servidor, veremos que ahora la opción Características, en la misma columna donde hemos pinchado selección de servidor, pinchamos ahí.

• Buscamos la opción infraestructura e interfaces de usuarios, debemos deseleccionar para desinstalarlo. Todo lo que hay dentro se desinstalará también.

• Empezara a desinstalarse y debemos de reiniciar.

Cuando volvamos a tener el control, ya lo tendremos sin interfaz gráfica.

Fuente:https://www.discoduroderoer.es/instalar-y-desinstalar-la-interfaz-grafica-de-windows-server-2012/

Prácticas con GPOs

Se tienen que crear 2 usuarios del dominio, el primero, "usu1" se podrá logar en el controlador de dominio, pero no podrá acceder a la unidad c: y también podrá apagar el servidor. Cuando "usu1" se conecte al cliente windows 10, podrá acceder a la unidad C:\

 El usuario, "usu2" no se podrá logar en el servidor y en el cliente windows 10 podrá acceder a la unidad C:\.

UO	GPO
apagado	apaga	Permitir inicio de sesión local usu1, y apagar el sistema.Vincular y exigir por encima de Default Domain Controlers Policy
entraunidad	entra	Ocultar unidades especificas, no configurada. Vincular y exigir por encima de Default Domain Controlers Policy para usu1 y usu2.
noentraunidad	noentra	Ocultar unidades especificas, habilitada, unidad C:. Vincular y exigir por encima de Default Domain Policy para usu1.

En este primer vídeo se muestra la configuración de las GPO's oportunas, en un Windows Server 2016 y como el "usu1" no ve la unidad C:\ y puede apagar.

---

En este segundo vídeo se muestra como "usu1" puede acceder a la unidad C:\ en Windows 10.

Fuente :https://ssooasir.blogspot.com/search?q=gpo

GPO contraseñas que hereda de Default Domain Policy

Puesto que existe una GPO por defecto :Directivas de contraseña , ésta se hereda  . Y al crear una nueva GPO de directivas de contraseña , tenemos que vincular esta nueva y subir el orden de prioridad . 

De esta forma se adopta la nueva directiva .

Crear carpeta y acceso directo por GPO

Esta es una técnica que viene muy bien en entornos corporativos, ya que no te tienes que recorrer las máquinas de los usuarios para darles acceso a ciertas aplicaciones.

En mi ejemplo, lo voy a hacer de la siguiente forma:

• La misma GPO realiza lo siguiente:
  • Se lanzará en cada logon
  • Si un usuario borra la carpeta o el acceso directo, se regenera en el siguiente logon
  • Tiene que optimizar el logon. Si no lo borra la setting no debe aplicarse, para no ralentizar el logon
  • Un acceso directo a la web del Blog con Internet Explorer
  • Una carpeta llamada APPs:
    • Y dentro de ella voy a generar dos accesos directos a Notepad y CMD
    • El CMD limitado a administradores de dominio
  • A su vez, todas estas settings van a aplicar al Menú de Inicio como al Escritorio

Con todas estas premisas. Elegimos la OU donde vamos a lanzarla. Y generamos una GPO:

La editamos con el botón derecho. Vamos a generar la carpeta APP en el escritorio de los usuarios:

Botón derecho –> New Folder. La generamos en Create por la optimización y debe crearse en el perfil del usuario en el escritorio %username%\Desktop\APPS :

Una vez tenemos la carpeta, vamos a por los accesos directos. Con lo que hemos dicho, generaremos 3 accesos directos. 2 de ellos dentro de la carpeta que generamos y el otro en el escritorio. Vamos a ello:

• Olvidaros de las comillas, os darán problemas
• Acceso directo en el escritorio al Blog con Internet Explorer. Lo generaremos de la siguiente forma:

• Ahora vamos con los accesos directos a NOTEPAD y CMD pero dentro de la carpeta APPS que hemos pre-generado antes. Empezamos por el NOTEPAD que es para todo el mundo:

• El CMD lo haremos de la misma forma pero con alguna modificación ya que lo vamos a limitar a los Administradores de dominio:

• • Ahora vamos a la pestaña Common –> Marcamos Item-level targeting –> Pulsamos Targeting… –> New item –> Security group –> Y elegimos a los administradores de dominio:

• Para terminar copiaremos las settings de la carpeta y accesos directos que nos interesen:
  • CARPETA PATH: %username%\AppData\Roaming\Microsoft\Windows\Start Menu\APPS
  • ACCESO DIRECTO: Cambiamos location por Start Menu:

Y ahora dejamos que se aplique la GPO en una de las máquinas del dominio donde queremos aplicarlo:

https://www.maquinasvirtuales.eu/crear-carpeta-y-acceso-directo-por-gpo/

Creación de una GPO

Dos formas de acceder desde ejecutar gpmc.msc o desde el menú de herramientas > Administración de directivas de grupo

1.  Dentro de Administrador del servidor seleccionar Herramientas y Administración de directivas de grupo: 
2. 
   
3. Aparecen las GPO del dominio.
4. Para crear una nueva GPO desde cero, pulsar en Objetos de directiva de grupo con el botón derecho y seleccionar Nuevo: 
5. 
   
6. No seleccionar ninguna GPO de origen. Pulsar Aceptar:
7. 
   
8. Pulsar sobre la nueva GPO con el botón derecho y seleccionar Editar…
9. 
   

Una vez dentro de la edición de la GPO hay que asignar la unidad de red que los usuarios deben montar, siguiendo las políticas adecuadas.

1. Navegar a Configuración del usuario->Preferencias->Configuración de Windows->Asignaciones de Unidades y editar la unidad que viene asignada en la GPO pulsando sobre ella con el botón derecho y seleccionar Propiedades:
2. 
   
3. Seleccionar la ubicación, el nombre con el que se quiere mostrar la unidad, la letra que se le asignará y el usuario que se conectará:
4. 

---

Activar una GPO

Para activar una GPO se debe seleccionar la OU, dominio, sitio o equipo local donde se quiere activar la GPO.

Un usuario, estará en un equipo local que a su vez se ubica en un sitio, y este sitio pertenecerá a un dominio que será miembro de una OU. Se puede dar la situación en la que en un equipo local se aplique una GPO, en el sitio otra, y en el dominio y la OU otras, respectivamente. Cuando se den casos así, las políticas se aplicarán según unas prioridades que atienden a una serie de reglas que se describen a continuación.

En las GPO, las políticas asignadas a una OU prevalecen sobre las del dominio, que a su vez prevalecen sobre las del sitio y estas, sobre las del equipo local.  Esto no quiere decir que las políticas se anulen unas a otras, sino que siempre se suman y tan solo se anulan en caso de contradecirse entre ellas.

Se aplica el siguiente diagrama de flujo para leer las GPO y se comprueba si se contradicen o no, sumando las coherencias y prevaleciendo las más restrictivas.

Cada organización debe crear las GPO que más se acerquen a sus necesidades. Para añadir la GPO, por ejemplo al dominio, hacer click con el botón derecho y seleccionar Vincular GPO existente….Y por último personalizar a que usuarios o grupos se aplicará la política.

Fuente :https://cetatech.ceta-ciemat.es/2014/12/directivas-de-grupo-gpo-en-windows-server-2012/

Directivas de grupo local

En una máquina no añadida a un dominio ponemos la siguiente expresión :

(Escenario con W10 Education activado)

Establecer complejidad a las contraseñas de los usuarios de W10

 Inicio -> Buscar -> “gpedit.msc”

Se abre el editor  de directivas de grupo local.

Abrir "Configuración del equipo" -> "Configuración de Windows" -> "Configuración de seguridad" -> "Directivas de cuenta" -> "Directiva de contraseñas"

Establecer  qué usuarios pueden apagar el sistema W10

Abrir "Configuración del equipo" -> "Configuración de Windows" -> "Configuración de seguridad" -> "Directivas locales" -> "Asignación de derechos de usuarios" -> "Apagar el sistema"

Accedo con usuario prueba y  no tiene permisos para apagar el sistema.

Establecer que un usuario no pueda iniciar sesión local en un equipo

Abrir "Configuración del equipo" -> "Configuración de Windows" -> "Configuración de seguridad" -> "Directivas locales" -> "Asignación de derechos de usuarios" -> "Permitir el inicio de sesión local"

Accedo con usuario prueba y  no tiene permisos para inicio de sesión local.

Establecer que un usuario no pueda cambiar el tema

Abrir "Configuración de usuario " -> "Plantillas administrativas" ->  "Panel de control" -> "Personalización" 

Prohibir el acceso a las propiedades de una conexión LAN

 Abrir "Configuración de usuario " -> "Plantillas administrativas" ->  "Red" -> "Conexiones de Red" 

Vemos que al iniciar sesión con un usuario local , no me deja acceder a las conexiones de Red

Habilitar o Deshabilitar por completo las actualizaciones de Windows 10

 Abrir "Configuración de equipo " -> "Plantillas administrativas" ->  "Componentes de Windows"-> "Windows Update" ->"Configurar actualizaciones automáticas"

Opción Deshabilitada

Opción No Configurada

Aplicar una imagen de bloqueo de pantalla para Windows 10

 Abrir "Configuración de equipo" -> "Plantillas administrativas" ->  "Panel de control"-> "Personalización" ->"Aplicar una imagen de pantalla  de bloqueo predeterminada "

****Nota: esta opción solo se aplica a las SKU de Enterprise, Education y Server.