Es algo que me ha estado volviendo loco dos semanas. He creado una GPO que aplica solo a los servidores W2K3 R2 con Citrix/TS para que un usuario que pertenezca al grupo de EscritorioRemoto pueda tener un acceso limitado y los administradores total. Pues bien, después de hacer mil pruebas y ver que si aplico a nivel de usuarios y grupos va de vicio, pero si aplico a nivel de máquina no hay forma, he encontrado la solución:
1.- Ejecutamos GPEDIT.MSC para entrar en la consola de políticas locales de la máquina.
2.- Nos vamos a Local Computer Policy -> Computer Configuration -> Administrative Templates -> System -> Group Policy.
3.- Cambiamos la entrada User Group Policy loopback processing mode como Enabled.
Listo. Con este cambio ya puedo poner políticas por equipo y grupo. Ahora lo único que hay que hacer es indicar a la GPO que sólo aplique al grupo EscritorioRemoto y no a todos, pero ¿como lo hago?.
1.- Editarmos la política que tenemos asignada a la OU.
2.- En la pestaña Scope nos vamos a la ventana que pone Security Filtering
3.- Eliminamos el grupo Authenticated Users para que no aplique a todos y añadimos el grupo EscritorioRemoto
Ahora todos los usuarios que pertenezcan al grupo EscritorioRemoto y que se validen en ese servidor Citrix (o Terminal Server) para trabajar con su escritorio virtual, tendrán aplicadas mis políticas definidas en el GPO.
Fácil, ¿no?. Pues ya me lo podíasis haber dicho antes y no hubiese perdido el tiempo haciendo miles de pruebas hasta sacarlo.
jueves, 10 de diciembre de 2009
jueves, 3 de diciembre de 2009
Se ha desactivado el usuario admin local y no puedo entrar en Windows
¿Os ha pasado alguna vez que metéis un equipo en el AD y luego, al sacarlo resulta que tiene el administrador local desactivado?. Bien, esto normalmente supone buscarse la vida con liveCDs para volver a activarlo y demás, pero Microsoft ya ha pensado en ello y tiene un comandito 'secreto' para solucionarlo. los pasos son muy simples:
1.- Entra en el equipo en modo prueba de fallos con editor de comandos
2.- Haz login con ese usuario 'desactivado' que sea administrador local de la máquina. Curiosamente en este modo puedes logearte sin problema ;-)
3.- Tecleamos en el commant promt \> net user /active:yes
Si miráis la ayuda de 'net user' no aparece esta opción 'oculta', pero funciona y resulta muy práctica.
Nota: Desde PC-Duo/Netsupport se pueden mandar comandos remotos y también funcionaría sin necesidad de entrar en modo de prueba de fallos.
Esto puede ser muy práctico con equipo remotos. Supongo que usando psexec el resultado será similar, pero no lo he probado.
1.- Entra en el equipo en modo prueba de fallos con editor de comandos
2.- Haz login con ese usuario 'desactivado' que sea administrador local de la máquina. Curiosamente en este modo puedes logearte sin problema ;-)
3.- Tecleamos en el commant promt \> net user
Si miráis la ayuda de 'net user' no aparece esta opción 'oculta', pero funciona y resulta muy práctica.
Nota: Desde PC-Duo/Netsupport se pueden mandar comandos remotos y también funcionaría sin necesidad de entrar en modo de prueba de fallos.
Esto puede ser muy práctico con equipo remotos. Supongo que usando psexec el resultado será similar, pero no lo he probado.
miércoles, 2 de diciembre de 2009
Manifiesto en defensa de los derecho fundamentales en Internet
Ante la inclusión en el Anteproyecto de Ley de Economía sostenible de modificaciones legislativas que afectan al libre ejercicio de las libertades de expresión, información y el derecho de acceso a la cultura a través de Internet, los periodistas, bloggers, usuarios, profesionales y creadores de internet manifestamos nuestra firme oposición al proyecto, y declaramos que…
1.- Los derechos de autor no pueden situarse por encima de los derechos fundamentales de los ciudadanos, como el derecho a la privacidad, a la seguridad, a la presunción de inocencia, a la tutela judicial efectiva y a la libertad de expresión.
2.- La suspensión de derechos fundamentales es y debe seguir siendo competencia exclusiva del poder judicial. Ni un cierre sin sentencia. Este anteproyecto, en contra de lo establecido en el artículo 20.5 de la Constitución, pone en manos de un órgano no judicial -un organismo dependiente del ministerio de Cultura-, la potestad de impedir a los ciudadanos españoles el acceso a cualquier página web.
3.- La nueva legislación creará inseguridad jurídica en todo el sector tecnológico español, perjudicando uno de los pocos campos de desarrollo y futuro de nuestra economía, entorpeciendo la creación de empresas, introduciendo trabas a la libre competencia y ralentizando su proyección internacional.
4.- La nueva legislación propuesta amenaza a los nuevos creadores y entorpece la creación cultural. Con Internet y los sucesivos avances tecnológicos se ha democratizado extraordinariamente la creación y emisión de contenidos de todo tipo, que ya no provienen prevalentemente de las industrias culturales tradicionales, sino de multitud de fuentes diferentes.
5.- Los autores, como todos los trabajadores, tienen derecho a vivir de su trabajo con nuevas ideas creativas, modelos de negocio y actividades asociadas a sus creaciones. Intentar sostener con cambios legislativos a una industria obsoleta que no sabe adaptarse a este nuevo entorno no es ni justo ni realista. Si su modelo de negocio se basaba en el control de las copias de las obras y en Internet no es posible sin vulnerar derechos fundamentales, deberían buscar otro modelo.
6.- Consideramos que las industrias culturales necesitan para sobrevivir alternativas modernas, eficaces, creíbles y asequibles y que se adecuen a los nuevos usos sociales, en lugar de limitaciones tan desproporcionadas como ineficaces para el fin que dicen perseguir.
7.- Internet debe funcionar de forma libre y sin interferencias políticas auspiciadas por sectores que pretenden perpetuar obsoletos modelos de negocio e imposibilitar que el saber humano siga siendo libre.
8.- Exigimos que el Gobierno garantice por ley la neutralidad de la Red en España, ante cualquier presión que pueda producirse, como marco para el desarrollo de una economía sostenible y realista de cara al futuro.
9.- Proponemos una verdadera reforma del derecho de propiedad intelectual orientada a su fin: devolver a la sociedad el conocimiento, promover el dominio público y limitar los abusos de las entidades gestoras.
10.- En democracia las leyes y sus modificaciones deben aprobarse tras el oportuno debate público y habiendo consultado previamente a todas las partes implicadas. No es de recibo que se realicen cambios legislativos que afectan a derechos fundamentales en una ley no orgánica y que versa sobre otra materia.
Este texto se publica multitud de sitios web. Si estás de acuerdo, publícalo también en tu blog, twittéalo, facebookéalo.
1.- Los derechos de autor no pueden situarse por encima de los derechos fundamentales de los ciudadanos, como el derecho a la privacidad, a la seguridad, a la presunción de inocencia, a la tutela judicial efectiva y a la libertad de expresión.
2.- La suspensión de derechos fundamentales es y debe seguir siendo competencia exclusiva del poder judicial. Ni un cierre sin sentencia. Este anteproyecto, en contra de lo establecido en el artículo 20.5 de la Constitución, pone en manos de un órgano no judicial -un organismo dependiente del ministerio de Cultura-, la potestad de impedir a los ciudadanos españoles el acceso a cualquier página web.
3.- La nueva legislación creará inseguridad jurídica en todo el sector tecnológico español, perjudicando uno de los pocos campos de desarrollo y futuro de nuestra economía, entorpeciendo la creación de empresas, introduciendo trabas a la libre competencia y ralentizando su proyección internacional.
4.- La nueva legislación propuesta amenaza a los nuevos creadores y entorpece la creación cultural. Con Internet y los sucesivos avances tecnológicos se ha democratizado extraordinariamente la creación y emisión de contenidos de todo tipo, que ya no provienen prevalentemente de las industrias culturales tradicionales, sino de multitud de fuentes diferentes.
5.- Los autores, como todos los trabajadores, tienen derecho a vivir de su trabajo con nuevas ideas creativas, modelos de negocio y actividades asociadas a sus creaciones. Intentar sostener con cambios legislativos a una industria obsoleta que no sabe adaptarse a este nuevo entorno no es ni justo ni realista. Si su modelo de negocio se basaba en el control de las copias de las obras y en Internet no es posible sin vulnerar derechos fundamentales, deberían buscar otro modelo.
6.- Consideramos que las industrias culturales necesitan para sobrevivir alternativas modernas, eficaces, creíbles y asequibles y que se adecuen a los nuevos usos sociales, en lugar de limitaciones tan desproporcionadas como ineficaces para el fin que dicen perseguir.
7.- Internet debe funcionar de forma libre y sin interferencias políticas auspiciadas por sectores que pretenden perpetuar obsoletos modelos de negocio e imposibilitar que el saber humano siga siendo libre.
8.- Exigimos que el Gobierno garantice por ley la neutralidad de la Red en España, ante cualquier presión que pueda producirse, como marco para el desarrollo de una economía sostenible y realista de cara al futuro.
9.- Proponemos una verdadera reforma del derecho de propiedad intelectual orientada a su fin: devolver a la sociedad el conocimiento, promover el dominio público y limitar los abusos de las entidades gestoras.
10.- En democracia las leyes y sus modificaciones deben aprobarse tras el oportuno debate público y habiendo consultado previamente a todas las partes implicadas. No es de recibo que se realicen cambios legislativos que afectan a derechos fundamentales en una ley no orgánica y que versa sobre otra materia.
Este texto se publica multitud de sitios web. Si estás de acuerdo, publícalo también en tu blog, twittéalo, facebookéalo.
viernes, 27 de noviembre de 2009
Sacar el listado de usuarios de AD y la fecha de su último logon
Esto parece una tontería, porque si viene la baja de RRHH se debe desactivar inmediatamente la cuenta y luego borrarla, después de un tiempo prudencial, pero ¿nos acordamos siempre de borrarla?. Pasa saber el estado de los usuarios del Active directory lo mejor es sacar la información directamente de él, ¿no?.
Lo más sencillo es exportar la información del AD a un formato que podamos posteriormente manipular. Para eso MS tiene una herramienta llamada CSVDE que, como su nombre indica, Exporta el Dominio en formato CSV (me lo acabo de inventar)
Podemos exportar todo el dominio usando simplemente CSVDE -f MiDominio.csv o concretar un poco más con el listado de lo que queremos exportar. En mi caso quiero que exporte todos los usuarios con su nombre, apellido, clase, fecha de su último logon y el estado en el que se encuentra la cuenta. Para ello vamos a ejecutar el siguiente comando:
> csvde -r "(objectClass=user)" -f usuarios.csv -l cn,givenName,sn,n,ou,objectClass,lastLogon,UserAccountControl
Abrimos el fichero generado con Excel y cuando miramos la columna 'lastLogon' nos llevamos la primera sorpresa. El número que aparece es completamente ininteligible, ¿por qué?. La explicación es que Microsoft ha utilizado el 'timestamp' para marcar el tiempo, pero no el típico y normal de los segundos que han transcurrido desde la media noche del 1/1/1970, no, tenía que ser más original y crear un time stamp que se basa en un número de 64 bits que toma la fecha desde el 1/1/1601. Además lo cuenta en nanosegundos que luego divide entre 100. Fácil ¿no?. Pues resulta que lo metemos al Excel y este programita solo reconoce fechas desde el 1/1/1900, con lo que ya tenemos el lío otra vez formado. ¿Y ahora qué?. Por suerte el Excel es una hoja de cálculo y podemos aplicar una fórmula para sacarlo:
=IF(G2>0,G2/(8.64*10^11) - 109205,"")
NOTA: Excel 2010 me ha dado problemas con la fórmula de arriba. He utilizado esta otra:
=IF(G2>0; (G2/(8,64*10^11)) - 109205; "")
Digamos que G2 es la celda que contiene el 'timestamp'
Digamos que (8.64*10^11) es el número de nanosegundos de un día y dividido entre 100
Digamos que 109205 es el número de días desde 1601 hasta 1900
Digamos que hay que poner la columna de Excel que contiene este resultado en modo fecha
y de paso os pongo lo que significa cada 'UserAccountControl'
UserAccountControl_Num,Account_Status
512,Account: Enabled
514,Account: ACCOUNTDISABLE
528,Account: Enabled - LOCKOUT
530,Account: ACCOUNTDISABLE - LOCKOUT
544,Account: Enabled - PASSWD_NOTREQD
546,Account: ACCOUNTDISABLE - PASSWD_NOTREQD
560,Account: Enabled - PASSWD_NOTREQD - LOCKOUT
640,Account: Enabled - ENCRYPTED_TEXT_PWD_ALLOWED
2048,Account: INTERDOMAIN_TRUST_ACCOUNT
2080,Account: INTERDOMAIN_TRUST_ACCOUNT - PASSWD_NOTREQD
4096,Account: WORKSTATION_TRUST_ACCOUNT
8192,Account: SERVER_TRUST_ACCOUNT
66048,Account: Enabled - DONT_EXPIRE_PASSWORD
66050,Account: ACCOUNTDISABLE - DONT_EXPIRE_PASSWORD
66064,Account: Enabled - DONT_EXPIRE_PASSWORD - LOCKOUT
66066,Account: ACCOUNTDISABLE - DONT_EXPIRE_PASSWORD - LOCKOUT
66080,Account: Enabled - DONT_EXPIRE_PASSWORD - PASSWD_NOTREQD
66082,Account: ACCOUNTDISABLE - DONT_EXPIRE_PASSWORD - PASSWD_NOTREQD
66176,Account: Enabled - DONT_EXPIRE_PASSWORD - ENCRYPTED_TEXT_PWD_ALLOWED
131584,Account: Enabled - MNS_LOGON_ACCOUNT
131586,Account: ACCOUNTDISABLE - MNS_LOGON_ACCOUNT
131600,Account: Enabled - MNS_LOGON_ACCOUNT - LOCKOUT
197120,Account: Enabled - MNS_LOGON_ACCOUNT - DONT_EXPIRE_PASSWORD
532480,Account: SERVER_TRUST_ACCOUNT - TRUSTED_FOR_DELEGATION (Domain
Controller)
1049088,Account: Enabled - NOT_DELEGATED
1049090,Account: ACCOUNTDISABLE - NOT_DELEGATED
2097664,Account: Enabled - USE_DES_KEY_ONLY
2687488,Account: Enabled - DONT_EXPIRE_PASSWORD - TRUSTED_FOR_DELEGATION -
USE_DES_KEY_ONLY
4194816,Account: Enabled - DONT_REQ_PREAUTH
Digamos que ya he acabado esta entrada en el Blog ;-)
Lo más sencillo es exportar la información del AD a un formato que podamos posteriormente manipular. Para eso MS tiene una herramienta llamada CSVDE que, como su nombre indica, Exporta el Dominio en formato CSV (me lo acabo de inventar)
Podemos exportar todo el dominio usando simplemente CSVDE -f MiDominio.csv o concretar un poco más con el listado de lo que queremos exportar. En mi caso quiero que exporte todos los usuarios con su nombre, apellido, clase, fecha de su último logon y el estado en el que se encuentra la cuenta. Para ello vamos a ejecutar el siguiente comando:
> csvde -r "(objectClass=user)" -f usuarios.csv -l cn,givenName,sn,n,ou,objectClass,lastLogon,UserAccountControl
Abrimos el fichero generado con Excel y cuando miramos la columna 'lastLogon' nos llevamos la primera sorpresa. El número que aparece es completamente ininteligible, ¿por qué?. La explicación es que Microsoft ha utilizado el 'timestamp' para marcar el tiempo, pero no el típico y normal de los segundos que han transcurrido desde la media noche del 1/1/1970, no, tenía que ser más original y crear un time stamp que se basa en un número de 64 bits que toma la fecha desde el 1/1/1601. Además lo cuenta en nanosegundos que luego divide entre 100. Fácil ¿no?. Pues resulta que lo metemos al Excel y este programita solo reconoce fechas desde el 1/1/1900, con lo que ya tenemos el lío otra vez formado. ¿Y ahora qué?. Por suerte el Excel es una hoja de cálculo y podemos aplicar una fórmula para sacarlo:
=IF(G2>0,G2/(8.64*10^11) - 109205,"")
NOTA: Excel 2010 me ha dado problemas con la fórmula de arriba. He utilizado esta otra:
=IF(G2>0; (G2/(8,64*10^11)) - 109205; "")
Digamos que G2 es la celda que contiene el 'timestamp'
Digamos que (8.64*10^11) es el número de nanosegundos de un día y dividido entre 100
Digamos que 109205 es el número de días desde 1601 hasta 1900
Digamos que hay que poner la columna de Excel que contiene este resultado en modo fecha
y de paso os pongo lo que significa cada 'UserAccountControl'
UserAccountControl_Num,Account_Status
512,Account: Enabled
514,Account: ACCOUNTDISABLE
528,Account: Enabled - LOCKOUT
530,Account: ACCOUNTDISABLE - LOCKOUT
544,Account: Enabled - PASSWD_NOTREQD
546,Account: ACCOUNTDISABLE - PASSWD_NOTREQD
560,Account: Enabled - PASSWD_NOTREQD - LOCKOUT
640,Account: Enabled - ENCRYPTED_TEXT_PWD_ALLOWED
2048,Account: INTERDOMAIN_TRUST_ACCOUNT
2080,Account: INTERDOMAIN_TRUST_ACCOUNT - PASSWD_NOTREQD
4096,Account: WORKSTATION_TRUST_ACCOUNT
8192,Account: SERVER_TRUST_ACCOUNT
66048,Account: Enabled - DONT_EXPIRE_PASSWORD
66050,Account: ACCOUNTDISABLE - DONT_EXPIRE_PASSWORD
66064,Account: Enabled - DONT_EXPIRE_PASSWORD - LOCKOUT
66066,Account: ACCOUNTDISABLE - DONT_EXPIRE_PASSWORD - LOCKOUT
66080,Account: Enabled - DONT_EXPIRE_PASSWORD - PASSWD_NOTREQD
66082,Account: ACCOUNTDISABLE - DONT_EXPIRE_PASSWORD - PASSWD_NOTREQD
66176,Account: Enabled - DONT_EXPIRE_PASSWORD - ENCRYPTED_TEXT_PWD_ALLOWED
131584,Account: Enabled - MNS_LOGON_ACCOUNT
131586,Account: ACCOUNTDISABLE - MNS_LOGON_ACCOUNT
131600,Account: Enabled - MNS_LOGON_ACCOUNT - LOCKOUT
197120,Account: Enabled - MNS_LOGON_ACCOUNT - DONT_EXPIRE_PASSWORD
532480,Account: SERVER_TRUST_ACCOUNT - TRUSTED_FOR_DELEGATION (Domain
Controller)
1049088,Account: Enabled - NOT_DELEGATED
1049090,Account: ACCOUNTDISABLE - NOT_DELEGATED
2097664,Account: Enabled - USE_DES_KEY_ONLY
2687488,Account: Enabled - DONT_EXPIRE_PASSWORD - TRUSTED_FOR_DELEGATION -
USE_DES_KEY_ONLY
4194816,Account: Enabled - DONT_REQ_PREAUTH
Digamos que ya he acabado esta entrada en el Blog ;-)
jueves, 26 de noviembre de 2009
Instalar Windows 7 / Server 2008 desde USB y sin herramientas
Hoy por casualidad, me han pasado una maravillosa herramienta para crear pendrives USB de instalación de Windows 7. Y digo yo, ¿Y si no tengo conexión a Internet para bajarme la herramienta?, ¿Son tan maravillosas como cuentan?. Os voy a poner el procedimiento manual para que podáis comparar.
1.- Busca un USB de al menos 4 GB y pínchalo en el ordenador.
2.- Si tienes un equipo con Vista o superior ejecuta CMD como administrador. Si no, puedes arrancar con el DVD 'original' y pulsar Shift + F10 para salir al Prompt del Windows PE.
3.- Ejecuta los siguientes comandos desde la ventana negra:
> diskpart (Utilidad de manejo de discos y particiones)
> list disk (Para ver los discos conectados y su número asociado)
> select disk X (X es el número asociado al USB)
> clean (Elimina el contenido del disco)
> create partition primary (Crea la partición primaria)
> select partition 1 (Seleccionamos la partición primaria)
> active (Activamos la partición para que arranque)
> format fs=fat32 (Formateamos en FAT32)
> assign (Asignar el punto de montaje)
> exit (Salir de la utilidad DISKPART)
NOTA: Si queréis conocer algo más de la utilidad DISKPART, puedes consultar el KB300415 de Microsoft.
4.- Como ya tenemos el USB formateado y con la partición activa, solo nos falta el paso más importante de todos, copiar el contenido del DVD al pendrive USB.
5.- Asegúrate en la BIOS del ordenador que tienes permitido arrancar desde dispositivos USB.
Es sencillo, ¿no?. En fin, que podéis usar una herramienta externa o simplemente comandos. Vosotros mismos.
1.- Busca un USB de al menos 4 GB y pínchalo en el ordenador.
2.- Si tienes un equipo con Vista o superior ejecuta CMD como administrador. Si no, puedes arrancar con el DVD 'original' y pulsar Shift + F10 para salir al Prompt del Windows PE.
3.- Ejecuta los siguientes comandos desde la ventana negra:
> diskpart (Utilidad de manejo de discos y particiones)
> list disk (Para ver los discos conectados y su número asociado)
> select disk X (X es el número asociado al USB)
> clean (Elimina el contenido del disco)
> create partition primary (Crea la partición primaria)
> select partition 1 (Seleccionamos la partición primaria)
> active (Activamos la partición para que arranque)
> format fs=fat32 (Formateamos en FAT32)
> assign (Asignar el punto de montaje)
> exit (Salir de la utilidad DISKPART)
NOTA: Si queréis conocer algo más de la utilidad DISKPART, puedes consultar el KB300415 de Microsoft.
4.- Como ya tenemos el USB formateado y con la partición activa, solo nos falta el paso más importante de todos, copiar el contenido del DVD al pendrive USB.
5.- Asegúrate en la BIOS del ordenador que tienes permitido arrancar desde dispositivos USB.
Es sencillo, ¿no?. En fin, que podéis usar una herramienta externa o simplemente comandos. Vosotros mismos.
miércoles, 25 de noviembre de 2009
Cómo saber qué equipos ya no se encuentran en la red
Algo muy habitual cuando tenemos una red un poco grande, es que con el tiempo instalamos máquinas nuevas y no eliminamos las antiguas. Esto produce un número elevado de máquinas fantasmas que ya no existen y que siguen registradas en el AD. Para saber qué máquinas podemos eliminar de la red podemos utilizar una herramienta llamada DSQUERY, que como su propio nombre indica, realiza consultas al servicio de directorio.
En este caso vamos a ver un par de formas que he encontrado en el blog http://blogs.technet.com/opineda cuando estaba buscando documentación sobre DSQUERY y que he mirado por encima y me ha gustado bastante.
1ª Opción, desde la última vez que se ha iniciado la sesión con el PC:
- dsquery computer -inactive (número de semanas)
Por ejemplo, podemos buscar los equipos que hace 6 meses que no inician sesión. Puesto que un año tiene 54 semanas, vamos a ejecutar: dsquery computer -inactive 27
2ª Opción, desde la última vez que se cambió la contraseña de red desde el equipo:
- dsquery computer -stalepwd (número de días)
Por ejemplo, podemos buscar los equipos desde los que no se han actualizado las contraseñas de usuario de dominio en los últimos 6 meses. Puesto que un año tiene 365/366 días, vamos a ejecutar: dsquery computer -stalepwd 183
Depende de cómo tengamos diseñado el dominio se nos adaptará mejor una opción u otra. Por ejemplo, si las contraseñas de usuario no caducan (para mí uno de los peores fallos de seguridad), pues la segunda opción no tiene sentido. En cambio, si tenemos unas buenas políticas de cambio de contraseña cualquiera de las dos nos podría funcionar.
NOTA: Si cambiamos el objeto de la búsqueda de computer a user, encontraremos usuarios inactivos en el domino, pero supongo que es un caso raro, porque tener usuarios activos con acceso al dominio y sin control es un riesgo enorme de seguridad y no creo que ninguno de vosotros lo tengáis así, ¿no?
En este caso vamos a ver un par de formas que he encontrado en el blog http://blogs.technet.com/opineda cuando estaba buscando documentación sobre DSQUERY y que he mirado por encima y me ha gustado bastante.
1ª Opción, desde la última vez que se ha iniciado la sesión con el PC:
- dsquery computer -inactive (número de semanas)
Por ejemplo, podemos buscar los equipos que hace 6 meses que no inician sesión. Puesto que un año tiene 54 semanas, vamos a ejecutar: dsquery computer -inactive 27
2ª Opción, desde la última vez que se cambió la contraseña de red desde el equipo:
- dsquery computer -stalepwd (número de días)
Por ejemplo, podemos buscar los equipos desde los que no se han actualizado las contraseñas de usuario de dominio en los últimos 6 meses. Puesto que un año tiene 365/366 días, vamos a ejecutar: dsquery computer -stalepwd 183
Depende de cómo tengamos diseñado el dominio se nos adaptará mejor una opción u otra. Por ejemplo, si las contraseñas de usuario no caducan (para mí uno de los peores fallos de seguridad), pues la segunda opción no tiene sentido. En cambio, si tenemos unas buenas políticas de cambio de contraseña cualquiera de las dos nos podría funcionar.
NOTA: Si cambiamos el objeto de la búsqueda de computer a user, encontraremos usuarios inactivos en el domino, pero supongo que es un caso raro, porque tener usuarios activos con acceso al dominio y sin control es un riesgo enorme de seguridad y no creo que ninguno de vosotros lo tengáis así, ¿no?
miércoles, 4 de marzo de 2009
Cómo saber dónde está conectado un dispositivo en un switch de Cisco
Pues el título lo dice todo. Me ha pasado más de una vez, que alguien ha tocado el parcheo del rack y me han bailado los puertos y los puntos de datos, con lo que he perdido el control de los dispositivos conectados.
Para solucionarlo de una forma más o menos rápida y eficaz, es siguiendo los siguientes pasos. Posiblemente haya mejores formas de hacerlo, pero a mi me ha funcionado bien hasta ahora.
1.- Con un escaneador de red se buscan las direcciones MAC de los dispositivos a modificar. Yo he probado muchos y el que más me ha gustado por rapidez es el Advanced IP Scanner, que además es gratuido y lo podéis descargar de www.radmin.com.
2.- Te logeas en el switch donde crees que está el dispositivo y escribes:
# show mac-address-table address 0000.1111.2222
Aparecerá un mensaje como este:
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
1 0000.1111.2222 DYNAMIC Fa0/12
Total Mac Addresses for for this criterion: 1
Ahí se aprecia como en puerto FastEthernet 0/12 está pinchado el dispositivo con la dirección MAC que buscamos.
También podría salir algo como esto:
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
1 0000.1111.2222 DYNAMIC Gi0/2
Total Mac Addresses for this criterion: 1
Indica casi con toda seguridad, que el dispositivo no está conectado a ese switch, sino a otro que tiene conexión por el puerto GigaEthernet 0/2.
Si tienes pocos switches puedes saber cual está conectado en ese puerto con el comando:
#show cdp neighbor Gi0/2 detail
Donde nos mostrará algo parecido a esto:
Device ID: switch2
Entry address(es):IP address: 1.1.1.2
Platform: cisco WS-C3550-24-PWR, Capabilities: Switch IGMP
Interface: GigabitEthernet0/2, Port ID (outgoing port):
GigabitEthernet0/2
Pues listo, con esto sabrás dónde se encuentran esos dispositivos que quieres cambiar de VLAN.
Para solucionarlo de una forma más o menos rápida y eficaz, es siguiendo los siguientes pasos. Posiblemente haya mejores formas de hacerlo, pero a mi me ha funcionado bien hasta ahora.
1.- Con un escaneador de red se buscan las direcciones MAC de los dispositivos a modificar. Yo he probado muchos y el que más me ha gustado por rapidez es el Advanced IP Scanner, que además es gratuido y lo podéis descargar de www.radmin.com.
2.- Te logeas en el switch donde crees que está el dispositivo y escribes:
# show mac-address-table address 0000.1111.2222
Aparecerá un mensaje como este:
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
1 0000.1111.2222 DYNAMIC Fa0/12
Total Mac Addresses for for this criterion: 1
Ahí se aprecia como en puerto FastEthernet 0/12 está pinchado el dispositivo con la dirección MAC que buscamos.
También podría salir algo como esto:
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
1 0000.1111.2222 DYNAMIC Gi0/2
Total Mac Addresses for this criterion: 1
Indica casi con toda seguridad, que el dispositivo no está conectado a ese switch, sino a otro que tiene conexión por el puerto GigaEthernet 0/2.
Si tienes pocos switches puedes saber cual está conectado en ese puerto con el comando:
#show cdp neighbor Gi0/2 detail
Donde nos mostrará algo parecido a esto:
Device ID: switch2
Entry address(es):IP address: 1.1.1.2
Platform: cisco WS-C3550-24-PWR, Capabilities: Switch IGMP
Interface: GigabitEthernet0/2, Port ID (outgoing port):
GigabitEthernet0/2
Pues listo, con esto sabrás dónde se encuentran esos dispositivos que quieres cambiar de VLAN.
jueves, 29 de enero de 2009
Activar bloqueo de .mp3 en Filers de Netapp
Uno de los principales problemas del almacenamiento, es el poder controlar el tipo de fichero que nos llena los volúmenes innecesariamente. En este caso voy a poner un ejemplo de lo que sería el bloqueo de ficheros .mp3 en los sistemas de almacenamiento de Netapp. Concretamente los FAS3040a con Ontap 7.2.5.1, aunque es nativo en todos.
fas> options fpolicy.enable on
fas> fpolicy create no_mp3 screen
fas> fpolicy extension include set no_mp3 mp3
fas> fpolicy options no_mp3 required on
fas> fpolicy vol include add no_mp3 Volumen1,Volumen2
fas> fpolicy mon add no_mp3 -f create
fas> fpolicy enable no_mp3
fas> options fpolicy.enable on
fas> fpolicy create no_mp3 screen
fas> fpolicy extension include set no_mp3 mp3
fas> fpolicy options no_mp3 required on
fas> fpolicy vol include add no_mp3 Volumen1,Volumen2
fas> fpolicy mon add no_mp3 -f create
fas> fpolicy enable no_mp3
martes, 27 de enero de 2009
Virtual Server 2005 R2 - Cómo utilizar un recurso compartido de red para guardar las máquinas virtuales
- Vamos a empezar el blog con un tema que creo nos puede interesar a todos los responsables de sistemas y que nos cuelgan el marrón de montar un sistema de virtualización seguro sin poder hacer ningún tipo de inversión. Por más que he mirado y buscado, no he encontrado ninguna referencia por ahí, con lo que he tenido que buscarme la vida (como siempre). Si tienes un par de servidores con Virtual Server 2005 R2 (gratuito) y quieres compartir las máquinas virtuales, solo tenías la opción de almacenar los ficheros en los discos locales o LUNs y copiarlos a los otros servers. Esto es funcionalmente muy laborioso y poco eficaz. La solución de utilizar una carpeta de red del servidor de ficheros resolvería completamente el problema, pero por defecto Virtual Server 'SOLO' soporta discos locales. ¿Cómo lo he solucionado?. Pues el método que he utilizado es tan sencillo como práctico:
1.- He configurado los dos servidores con Virtual Server manualmente para que cojan las máquinas virtuales de E:\VirtualMachines\. Este disco E: es una partición del disco físico (RAID) de ambas máquinas.
2.- He puesto los mismos nombres a los interfaces de red y los he conectado a las mismas VLANs.
3.- Me he creado una máquina virtual de pruebas en cada uno de los servidores.
4.- He parado los servicios del Virtual Server.
5.- He cambiado la letra de unidad de E: a F: en ambos servidores con el administrador de discos.
6.- He mapeado la carpeta de red, que está en una apliance de Netapp (pero puede estar en otro servidor) como E:, para que se trague que el disco mapeado es el disco físico.
7.- He copiado el contenido de F: a E: (es decir, las máquinas virtuales de pruebas)
6.- He arrancado los servicios y ¡PREMIO! aparecen las máquinas virtuales ;-)
Si quieres pasar una máquina virtual de un servidor a otro, símplemente elimínala de la lista y añádela en el otro servidor. Pulsar arrancar y ¡Funciona!.
Nota1: Se pueden copiar máquinas de otros servidores y añadir en los Virtual Servers, pero hay que poner el path completo.
1.- He configurado los dos servidores con Virtual Server manualmente para que cojan las máquinas virtuales de E:\VirtualMachines\
2.- He puesto los mismos nombres a los interfaces de red y los he conectado a las mismas VLANs.
3.- Me he creado una máquina virtual de pruebas en cada uno de los servidores.
4.- He parado los servicios del Virtual Server.
5.- He cambiado la letra de unidad de E: a F: en ambos servidores con el administrador de discos.
6.- He mapeado la carpeta de red, que está en una apliance de Netapp (pero puede estar en otro servidor) como E:, para que se trague que el disco mapeado es el disco físico.
7.- He copiado el contenido de F: a E: (es decir, las máquinas virtuales de pruebas)
6.- He arrancado los servicios y ¡PREMIO! aparecen las máquinas virtuales ;-)
Si quieres pasar una máquina virtual de un servidor a otro, símplemente elimínala de la lista y añádela en el otro servidor. Pulsar arrancar y ¡Funciona!.
Nota1: Se pueden copiar máquinas de otros servidores y añadir en los Virtual Servers, pero hay que poner el path completo.
Suscribirse a:
Entradas (Atom)
