Restablecer GPOs por defecto

dcgpofix /ignoreschema /target:DC Default Domain Controllers Policy dcgpofix /ignoreschema /target:Domain Default Domain Policy dcgpofix /ignoreschema /target:BOTH

PROYECTO PORTAL CAUTIVO

Escenario del laboratorio:

• Server 2019
• Pfsense
• Máquina W10

Accederemos desde winscp en la máquina W10 para cambiar los ficheros.

Después de cambiar el archivo .

Cambiar el nombre de un dominio de Active Directory

 El siguiente procedimiento muestra cómo cambiar el nombre de un dominio de Active Directory.

1. Se abre una ventana de comando en modo «administrador» y ponemos el siguiente comando que generará un archivo Domainlist.xml  :

rendom /list

2. Edite el archivo xml, cambiando su antiguo dominio por el nuevo :

<?xml version ="1.0"?>

<Forest>

<Domain>

<!-- PartitionType:Application -->

<Guid>0731e77c-1b86-4dd4-949a-191f75acab61</Guid>

<DNSname>ForestDnsZones.amaya.org</DNSname>

<NetBiosName></NetBiosName>

<DcName></DcName>

</Domain>

<Domain>

<!-- PartitionType:Application -->

<Guid>664c9a1d-a68b-490b-8e6b-f3504998d914</Guid>

<DNSname>DomainDnsZones.amaya.org</DNSname>

<NetBiosName></NetBiosName>

<DcName></DcName>

</Domain>

<Domain>

<!-- ForestRoot -->

<Guid>30a6dbd6-5032-461b-afd5-afad708ccbca</Guid>

<DNSname>amaya.org</DNSname>

<NetBiosName>AMAYA</NetBiosName>

<DcName></DcName>

</Domain>

</Forest>

En el archivo, modifiqué aso.org a amaya.org.

3. Desde la línea de comandos ponemos lo siguiente para verificar la coincidencia :

rendom /showforest

4. Desde la línea de comandos ponemos lo siguiente para cargar el archivo:

rendom /upload

5. Desde la línea de comandos ponemos lo siguiente que se pondrá en contacto con todos los controladores de dominio y los preparará para el cambio.

rendom /prepare

6. Desde la línea de comandos ponemos lo siguiente para iniciar el cambio de nombre. Los controladores se reiniciarán automáticamente :

rendom /execute

7. Desde la línea de comandos ponemos lo siguiente para reparar enlaces de GPO:

gpfixup /olddns:aso.org /newdns:amaya.org

gpfixup /oldnb:aso.org /newnb:amaya.org

8. El siguiente comando debe pasarse cuando esté seguro de que todas los servidores han tenido en cuenta el cambio de nombre porque elimina los reenviadores del nombre antiguo al nuevo.    

rendom /clean

CREAR UN DISCO VDI A PARTIR DE UN VMDK

 C:\Program Files\Oracle\VirtualBox>VBoxManage.exe clonehd --format VDI D:\netinvm_2022-12-29_vmware\netinvm_2022-12-29_vmware\netinvm_2022-12-29.vmdk  D:\NuevoDiscoenVDI.vdi

0%...10%...20%...30%...40%...50%...60%...70%...80%...90%...100%

Clone medium created in format 'VDI'. UUID: 18da819a-9149-4c6c-943f-d0a84b1b69bf

Add Atributos AD

PS C:\Users\Administrador> Get-ADUser kk -Properties dni |Where-Object {($_.dni -like "*T")} 

DistinguishedName : CN=kk1,CN=Users,DC=aso,DC=org dni : 13141004T 

Enabled : True 

GivenName : kk Name : kk1 

ObjectClass : user ObjectGUID : 6a55380d-190c-4c2e-9fef-dcc5c43286a0 

SamAccountName : kk SID : S-1-5-21-1837460305-2229785238-1185557869-1108 

Surname : UserPrincipalName : kk@aso.org 

 PS C:\Users\Administrador> Get-ADUser kk -Properties dni |Where-Object {($_.dni -like "*M")} PS C:\Users\Administrador>

Windows Server. ¿Qué es el catálogo global?

 

Funciones del Catálogo Global (Global Catalog)

La funcionalidad de Catálogo Global (Global Catalog) es algo que pueden cumplir solamente los Controladores de Dominio.

A diferencia de FSMO Roles, esta funcionalidad la pueden cumplir uno, varios, o inclusive todos los Controladores de Dominio.

Esta función es necesaria para que los usuarios normales puedan iniciar sesión. Aunque recordemos que por omisión el cliente si puede utiliza “cached credentials” que permiten el acceso local, esto no funcionará cuando el usuario quiera acceder a un recurso de red ya que en ese caso el Controlador de Dominio que lo autentica debe poder consultar a un Catálogo Global.

Po lo anterior es fundamental que todo Bosque tenga por lo menos dos Catálogo Global.
¿Qué sucedería si tuviéramos un único Catálogo Global y éste no estuviera disponible? ¿perderíamos todo? No, de ninguna forma, las cuentas pertenecientes al grupo Administradores del Dominio (Domain Admins) pueden igualmente iniciar sesión, indicar a algún Controlador de Dominio como Catálogo Global, y en cuanto éste disponga de la información necesaria todo funcionará normalmente.

¿Cuál es esa “información necesaria” que nombramos antes? Bien, un Catálogo Global tiene una copia de sólo-lectura de todos los objetos del Bosque, aunque no de todos los atributos de cada objeto

¿Entonces para qué se usa un Catálogo Global?

Búsquedas
Supongamos que tenemos un Bosque con varios Dominios, y debemos localizar una cuenta de usuario o máquina, pero no sabemos en qué Dominio está creada.
La opción de hacer búsquedas en cada uno de los Dominios puede ser laboriosa, en cambio si hacemos la búsqueda sobre un Catálogo Global, nos proporcionará fácilmente la ubicación de la cuenta sin importar en qué Dominio del Bosque esté.

Creación de Cuentas en Active Directory
Cuando un administrador crea una cuenta en Active Directory el sistema debe asegurarse que se cumplen las reglas de unicidad. Por ejemplo que no exista otra cuenta con el mismo User Principal Name (UPN usuario@dominio.sufijo)
Si un administrador creara una cuenta mientras no hay acceso al Catálogo Global, esta cuenta permanecerá desactivada hasta que se pueda comprobar

Requerido para Iniciar Sesión
Cuando un usuario inicia sesión, además de la autenticación y entre otras se debe asignar la membresía en grupos Universales
Y además, si el usuario iniciara sesión usando su UPN (usuario@dominio.sufijo) habría que resolver en qué Dominio tiene cuenta el usuario, ya que “dominio.sufijo” podría corresponder al Dominio Raíz y el usuario tener cuenta en un subdominio, o inclusive no tener relación con el nombre del Dominio Active Directory, sino corresponder a su dirección de correo electrónico.

Que en las credenciales de usuario (Access Token) figure la membresía en los grupos Universales es un requisito para iniciar sesión, ya que la falta en los mismos podría hacer que escale privilegios, o que los pierda no pudiendo hacer su labor. Por lo tanto el sistema no permite “logon incompletos”.

Fuente :https://windowserver.wordpress.com/2011/06/24/funciones-del-catlogo-global-global-catalog/

Funciones FSMO de Active Directory en Windows

Descarga aquí el ejercicio

Migrar controlador de dominio con Windows Server 2012 R2 a Windows Server 2019 y 2022

Fuente:https://blog.ragasys.es/migrar-controlador-de-dominio-con-windows-server-2012-r2-a-windows-server-2016

Servidor iSCSI Windows Server 2019

Fuente:https://www.jmsolanes.net/es/servidor-iscsi-windows-2k12/

WLAN EN SERVER R2

 

Ahí damos clic a “Administrar / Manage” y  “Agregar roles y características / Add Roles and Features”

Se abre el siguiente asistente 

Hacemos clic en siguiente y se nos muestra lo siguiente

Hacemos clic en siguiente, teniendo seleccionada la opción “Instalación basada en características o en roles / Role-based or feature-based installation”

Hacemos clic en siguiente, seleccionando el servidor en el que se instalará la nueva característica.

Como no agregaremos un rol, sino una característica, en esta pantalla simplemente hacemos clic en siguiente.

En características seleccionamos “Servicio WLAN / Wireless LAN Service” y damos siguiente.

Después de instalar nos mostrará lo siguiente, debemos reiniciar el equipo para que los cambios surtan efecto.

Vamos a Panel de control > Herramientas administrativas > Servicios, y vemos que el servicio está en ejecución.

Ahora podemos ver que se muestra el ícono de red inalámbrica en la barra de inicio y si damos clic nos muestra las redes inalámbricas que encuentra la tarjeta de red.

ELIMINAR DC Y CAMBIAR IP A OTRO DC

netdom query fsmo

repadmin /showrepl

dcdiag /s:server.aso.org 

            /test:dns

            /fix

https://learn.microsoft.com/en-us/troubleshoot/windows-server/identity/dsa-object-cannot-be-deleted 

https://techcommunity.microsoft.com/t5/itops-talk-blog/step-by-step-manually-removing-a-domain-controller-server/ba-p/280564

Active Directory: Verificar la Replicación de Controladores de Dominio

REPADMIN /ShowRepl

REPADMIN /ReplSummary

DCDIAG /TEST:Replications

Pruebas con GPOs

La idea es probar la herencia  el bloqueo de herencia , Exigido y por lo tanto la resolución de conflictos en el caso que las GPOs se contradigan. También debemos probar el filtrado de seguridad teniendo en cuenta que Denegar una GPO prevalecerá sobre Permitir. 

1. Eliminar el acceso al Panel de Control
2. Eliminar los botones de Inicio/Apagado
3. Mostrar mensaje Login
4. Desactivar el firewall
5. Cambiar el fondo de Escritorio
6. Página de inicio de IE sea nuestro Blog
7. GPO “Contraseñas y Bloqueo Cuentas”, esta GPO está vinculada sobre el dominio y su función será definir una política de contraseñas para nuestros usuarios y una política para el bloqueo de las cuentas de los usuarios de nuestro dominio Configuración Equipo /Directivas/ Configuración de Windows /Configuración de seguridad / Directivas de cuenta /Directiva de contraseña
8. GPO “No Ejecución Aplicaciones Especificadas”, esta GPO está vinculada sobre una OU (ASO1) y su función será no permitir la ejecución de las aplicaciones que hemos definido en la lista Configuración Usuario /Directivas/Plantillas Administrativas/Sistema /Directiva/No ejecutar aplicaciones de Windows especificas
9. GPO “Bloqueo Inicio Sesion Local”, esta GPO está vinculada sobre una OU (ASO1) y su función será que los equipos que se encuentren dentro de esta OU sólo van a poder iniciar sesión en ellos los administradores del dominio, así evitaremos que el usuario que utilice ese equipo pueda iniciar sesión, ya sea por motivos de seguridad Configuración Equipo /Directivas/ Configuración de Windows /Configuración de seguridad/Directivas locales/Asignación de Derechos de usuario /Permitir el inicio de sesión local
10. GPO “Bloquear Pendrives” Configuración Equipo /Directivas/Plantillas administrativas/Sistema/Acceso de almacenamiento extraíble
11.  GPO “Mapear unidades de red” Configuración de usuario> Preferencias> Configuración de Windows> Drive Maps

Active Directory: Password Settings Objects (PSOs)

 

Prácticas con GPOs

Evitar el acceso al panel de Control

Cree una nueva directiva de grupo.

Escriba un nombre para la nueva directiva de grupo.

En nuestro ejemplo, el nuevo GPO se nombró: MY-GPO.

En la pantalla Administración de directivas de grupo, expanda la carpeta denominada Objetos de directiva de grupo.

Haga clic con el botón derecho en el nuevo objeto de directiva de grupo y seleccione la opción Editar.

En la pantalla del editor de directivas de grupo, expanda la carpeta Configuración de usuario y busque el siguiente elemento.

Copy to Clipboard

1

User Configuration > Policies > Administrative Templates > Control Panel

Acceda a la carpeta denominada Panel de control.

Habilite el elemento denominado Prohibir acceso a la configuración del Panel de control y del PC.

Para guardar la configuración de directiva de grupo, debe cerrar el editor de directivas de grupo.

Tutorial GPO - Deshabilitar el acceso al Panel de control

En la pantalla Administración de directivas de grupo, debe hacer clic con el botón derecho en la unidad organizativa deseada y seleccionar la opción para vincular un GPO existente.

En nuestro ejemplo, vamos a vincular la directiva de grupo denominada MY-GPO a la raíz del dominio.

En nuestro ejemplo, usamos un GPO para impedir el acceso al Panel de control.

Mensaje de login

Herramientas -administración de directivas de grupo -default Domain Policy -editar -Configuración de equipo -directivas-configuración de windows-configuración de seguridad-opciones de seguridad-inicio de sesión interactivo:título del mensaje para los usuarios que intentan iniciar una sesión y texto del mensaje....

Cree una nueva directiva de grupo.

Escriba un nombre para la nueva directiva de grupo.

En nuestro ejemplo, el nuevo GPO se nombró: MY-GPO.

En la pantalla Administración de directivas de grupo, expanda la carpeta denominada Objetos de directiva de grupo.

Haga clic con el botón derecho en el nuevo objeto de directiva de grupo y seleccione la opción Editar.

En la pantalla del editor de directivas de grupo, expanda la carpeta Configuración del equipo y busque el siguiente elemento.

Copy to Clipboard

1

Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options

Acceda a la carpeta denominada Opciones de seguridad.

Habilite el siguiente elemento y configure el texto del mensaje deseado.

• Inicio de sesión interactivo: texto del mensaje para los usuarios que intentan iniciar sesión.

Habilite el siguiente elemento y configure el título del mensaje deseado.

• Inicio de sesión interactivo: título del mensaje para los usuarios que intentan iniciar sesión.

Para guardar la configuración de directiva de grupo, debe cerrar el editor de directivas de grupo.

Tutorial GPO - Mostrar un mensaje de texto para los usuarios después de iniciar sesión

En la pantalla Administración de directivas de grupo, debe hacer clic con el botón derecho en la unidad organizativa deseada y seleccionar la opción para vincular un GPO existente.

En nuestro ejemplo, vamos a vincular la directiva de grupo denominada MY-GPO a la raíz del dominio.

Después de aplicar el GPO es necesario esperar 10 o 20 minutos.

Durante este tiempo, el GPO se replicará en otros controladores de dominio.

En un equipo remoto, inicie sesión y compruebe que se muestra el mensaje de alerta.

En nuestro ejemplo, agregamos un banner de inicio de sesión mediante GPO.

Configurar la hora de manera centralizada

Configuración del equipo /directivas/plantillas administrativas/sistema /Servicio de hora de Windows/Proveedores de hora


Cargar fondo de escritorio
Configuración del Usuario /directivas /Plantillas /Active Desktop/Active desktop

Habilitar Active desktop 

• Tapiz de escritorio

\\server2\imagen\kk.jpg

Tutorial GPO - Configurar el fondo de pantalla

Cree una carpeta compartida y coloque una copia del fondo de pantalla.

Este será el punto de distribución del archivo de fondo de pantalla a la red.

En nuestro ejemplo, se creó una carpeta compartida denominada WALLPAPER.

Todos los usuarios del dominio y todos los equipos de dominio recibieron permiso de lectura sobre esta carpeta.

En nuestro ejemplo, esta es la ruta de acceso para acceder al recurso compartido de red.

Copy to Clipboard

1

\\tech-dc01\WALLPAPER

En el controlador de dominio, abra la herramienta de administración de directivas de grupo.

Cree una nueva directiva de grupo.

Escriba un nombre para la nueva directiva de grupo.

En nuestro ejemplo, el nuevo GPO se nombró: MY-GPO.

En la pantalla Administración de directivas de grupo, expanda la carpeta denominada Objetos de directiva de grupo.

Haga clic con el botón derecho en el nuevo objeto de directiva de grupo y seleccione la opción Editar.

En la pantalla del editor de directivas de grupo, expanda la carpeta Configuración de usuario y busque el siguiente elemento.

Copy to Clipboard

1

User Configuration > Preferences > Windows Settings > Files

Haga clic con el botón derecho en la opción Archivos y cree un nuevo archivo.

Seleccione la acción Actualizar.

En el campo de origen, escriba la ruta de red del fondo de pantalla.

En el campo de destino, escriba la ruta local para guardar una copia del fondo de pantalla.

En nuestro ejemplo, el GPO creará una copia local del archivo de fondo de pantalla.

A continuación, configure el GPO para habilitar automáticamente la copia local del archivo de imagen como fondo de pantalla.

En la pantalla del editor de directivas de grupo, expanda la carpeta Configuración de usuario y busque el siguiente elemento.

Copy to Clipboard

1

User Configuration > Policies > Administrative Templates > Desktop > Desktop

Acceda a la carpeta denominada Escritorio.

Habilite el elemento denominado Fondo de escritorio.

Introduzca la ruta de acceso a la copia local del archivo de fondo de pantalla.

Para guardar la configuración de directiva de grupo, debe cerrar el editor de directivas de grupo.

Tutorial GPO - Fondo de escritorio

En la pantalla Administración de directivas de grupo, debe hacer clic con el botón derecho en la unidad organizativa deseada y seleccionar la opción para vincular un GPO existente.

En nuestro ejemplo, vamos a vincular la directiva de grupo denominada MY-GPO a la raíz del dominio.

En nuestro ejemplo, usamos un GPO para configurar automáticamente el fondo de pantalla de Windows.

Inicio de sesión local 
Configuración del equipo/Directivas/configuración de Windows/configuración de seguridad/directivas locales/asignación de derechos de usuario/Permitir el inicio de sesión local
Agregamos el usuario prueba

Directiva de contraseñas para el dominio
Configuración del equipo /Directivas/Configuración de Windows/Configuración de seguridad
Directivas de cuenta/Directiva de contraseñas

Impedir el acceso al símbolo de sistema

Configuración de usuario /Plantillas administrativas/Sistema/Impedir el acceso al símbolo de sistema

https://www.google.com/amp/s/windowserver.wordpress.com/2017/07/11/directivas-de-grupo-gpo-herencia-forzado-y-resolucin-de-conflictos/amp/

gpupdate /force