Anda di halaman 1dari 37

INFORMACION

Windows Server 2012 R2Administracin avanzada


Este libro est dirigido a aquellos administradores e ingenieros de sistemas que deseen adquirir conocimientos avanzados sobre Windows Server 2012 R2 y dominarlo en profundidad. Responde a la necesidad de disponer de una mayor experiencia por parte del lector, tratando con profundidad, desde un punto de vista terico y prctico, roles imprescindibles tales como Active Directory, DFS, Hyper-V, BitLocker, el reparto de carga o incluso la VPN. Tambin se describen todas las especificidades de Windows Server 2012 R2 (como, por ejemplo, los avances en trminos de virtualizacin, de seguridad, los Work Folders, IPAM, Workplace Joint, la Experiencia con Windows Server Essentials, etc.), para permitirle aprovechar al mximo el potencial de esta versin. Desde el despliegue, pasando por el clustering, y hasta la virtualizacin, este libro es el compaero ideal para aprender hasta el ltimo detalle de esta versin de Windows Server. Aporta un alto nivel de experiencia y su vocacin es convertirse en una obra de referencia. Los autores ponen a disposicin del lector sus conocimientos en tecnologas Microsoft (MVP, MCSE y/o MCITP, MCSA) y su experiencia, muy significativa, en infraestructuras integrales y complejas, para proveer un nivel de calidad que respete las mejores prcticas del mundo profesional de la empresa. Los captulos del libro: Introduccin Dominio Active Directory Arquitectura distribuida de acceso a los recursos Alta disponibilidad Implementar los servicios de Red de la empresa La evolucin de la red Servicios de Escritorio remoto Acceso remoto Aplicaciones de Internet Reducir la superficie de ataque Consolidar sus servidores Despliegue de servidores y puestos de trabajo Securizar su arquitectura El ciclo de vida de su infraestructura Prepararse para el futuro Thierry DEMAN - Freddy ELMALEH - Sbastien NEILD Thierry DEMAN es Arquitecto de Sistemas y domina las tecnologas Microsoft tras numerosos aos trabajando en el seno de Permis Informatique. Est reconocido como Microsoft MVP (Most Valuable Professional) en Exchange tras varios aos. Est certificado, entre otros, en MCSE Messaging 2013 y MCSA Windows Server 2008 et 2012. Freddy ELMALEH es consultor freelance, experto en Seguridad y soluciones de Infraestructura de Microsoft. Fundador de la empresa Active IT, colabora con muchas grandes empresas en servicios de consultora y auditora de sistemas y seguridad. Est reconocido como Microsoft MVP (Most Valuable Professional) en Directory Services desde 2007 gracias, en particular, a su activa participacin en el seno de la comunidad Microsoft (Foro Technet y laboratorio Microsoft). Tambin est certificado en MCITP Server Administrator para Windows Server 2012. Sbastien NEILD es Ingeniero de Sistemas y Redes en una empresa de servicios. Colabora como responsable de proyectos de Active Directory y Exchange y ha participado en numerosos proyectos de despliegue y migracin de infraestructuras Windows Server. Est certificado en MCSE y MCITP Server Administrator para Windows Server 2008. Maxence VAN JONES es consultor freelance, Arquitecto de sistemas y redes, Jefe de proyecto, formador MCT y fundador de MVJ CONSULTING. Interviene como experto en proyectos de diseo de parques informticos, de virtualizacin y de securizacin siempre en relacin con tecnologas Microsoft. Est, entre otros, certificado en MCITP Enterprise Administrator para Windows Server 2008 y MCSA para Windows Server 2012.

Introduccin
Este libro trata sobre la ltima versin del sistema operativo de la gama Windows Server de Microsoft Se trata, evidentemente, de Windows Server 2012 R2. Microsoft, fiel a su estrategia, busca dinamizar la evolucin de sus productos, prefiriendo, de este modo, definir un ciclo de vida ms corto a sus productos para aportar, de manera regular, mejoras y evolutivos tcnicos adaptados al mercado. Windows Server 2012 no se sale de esta norma, y algunos meses despus de la aparicin de la versin R1, ha hecho su aparicin Windows Server 2012 R2 y se pone a disposicin de todos los profesionales. Microsoft ha diseado Windows Server 2012 para ofrecer una plataforma flexible y completa que responda a las necesidades, cada vez ms exigentes, de las empresas. Esta versin evoluciona de acuerdo a su tiempo teniendo en cuenta la tendencia hacia la virtualizacin de servidores, al Cloud Computing y a la premisa "Bring Your Own Device". Podr, de este modo, aprovechar las nuevas funcionalidades, tiles y prcticas, que le permitirn basar el conjunto de sus Sistemas de Informacin en una solucin Microsoft.

Las distintas ediciones de Windows Server 2012/2012 R2


Como es habitual, Microsoft Windows Server 2012 R2, as como Windows Server 2012, est disponible en distintas versiones. La eleccin de una u otra edicin depender, especialmente: Del rol del servidor que prev instalar. De la estrategia de virtualizacin empleada. Del tipo de licencia utilizado.

Para realizar esta eleccin, hay disponibles cuatro ediciones de Windows Server 2012 R2: Windows Server 2012 R2 Datacenter: se trata de la versin ms completa, que soporta hasta 64 procesadores. Se trata de una versin destinada a servidores especialmente potentes que slo est disponible bajo un programa de clave de licencia por volumen. Su modelo de licencia se calcula en funcin del nmero de procesadores y del nmero de CAL. Permite alojar un nmero ilimitado de mquinas virtuales. Windows Server 2012 R2 Standard: se trata de una versin idntica a la edicin Datacenter, salvo que slo permite el uso de dos instancias virtuales. Windows Server 2012 R2 Essentials: esta versin remplaza a Small Business Server Essentials. Algunos roles no estn disponibles en comparacin con una versin Standard (Server Core, Hyper-V, etc.). Esta edicin est limitada a una nica instancia fsica o virtual, con un mximo de 25 usuarios. Las versiones Standard y Datacenter permiten utilizar ciertas funcionalidades que, habitualmente, son propias de la versin Essentials (tales como la copia de seguridad de los equipos cliente, los cuadros de mando, etc.). Windows Server 2012 R2 Foundation: esta edicin no ofrece solucin de virtualizacin (no es posible instalar Hyper-V), y est limitada a 15 usuarios. Es posible obtener ms informacin sobre las especificaciones (idnticas entre las versiones 2012 y 2012 R2) de esta versin en la siguiente direccin: http://technet.microsoft.com/en-us/library/jj679892.aspx

Observe que existe, a su vez, una versin gratuita llamada Hyper-V Server 2012. Est preconfigurada para ejecutar una versin mnima (Core) de Windows Server 2012 y slo puede alojar el rol Hyper-V. Es posible encontrar ms informacin en la siguiente direccin: http://technet.microsoft.com/eses/evalcenter/dn205299.aspx Windows Server 2012 R2 est disponible nicamente en versin 64 bits; las versiones de 32 bits e Itanium ya no estn disponibles. Si desea informacin ms precisa, encontrar una descripcin detallada de las distintas versiones de Windows en la siguiente direccin (en ingls): http://www.microsoft.com/en-us/server-cloud/windows-server/buy.aspx La gestin de las licencias se ha rediseado por completo. Para Windows Server 2012 Standard y Datacenter, el clculo de licencias "por servidor" cambia por licencias "por procesador". Preste atencin, en adelante, al hardware de sus servidores. Por defecto, estas versiones parten de una licencia para dos procesadores. La nica diferencia entre ambas versiones reside en el derecho a la virtualizacin: ilimitado en la versin Datacenter y de dos mquinas virtuales en la versin Standard. Encontrar la FAQ oficial (en ingls) correspondiente a las licencias en la siguiente direccin: http://download.microsoft.com/download/4/D/B/4DB352D1-C610-466A-9AAFEEF4F4CFFF27/WS2012_Licensing-Pricing_FAQ.pdf Se aplica, a su vez, un licenciamiento particular a las mquinas virtuales. Todos estos detalles se encuentran en la siguiente documentacin:http://download.microsoft.com/download/3/D/4/3D42BDC2-6725-4B29-B75AA5B04179958B/WindowsServer2012VirtualTech_VLBrief.pdf Dado que las versiones Foundation y Essentials estn mucho menos extendidas en la empresa, este documento se centra en las ediciones Standard y Datacenter.

Los grandes ejes de Windows Server 2012 R2


Durante el estudio de los ejes principales de esta versin de Windows Server, Microsoft tiene en consideracin la carga de trabajo, la presin creciente sobre el servicio IT de las empresas y la explosin del Cloud Computing. El sistema operativo deber, por tanto, dar respuesta a estas tres exigencias esenciales.

1. Un mejor control de la informacin


Windows Server 2012 R2 provee un mejor control de la informacin para garantizar una mayor eficacia en la administracin y, en consecuencia, una mejora en la productividad. La nueva interfaz, de tipo mosaico, es coherente con el resto de la nueva gama de los OS Windows. Aunque le pueda resultar algo desconcertante, Microsoft ha rectificado su estrategia en la versin R2 reintegrando el botn Inicio. Es posible que la toma de control suponga, todava, algn problema, por ello le invito a leer la siguiente pgina, a riesgo de que no sea capaz de volver a reiniciar su servidor salvo por lnea de comando: http://technet.microsoft.com/eses/library/hh831491.aspx#BKMK_run Para aumentar esta calidad en la administracin, en Windows Server 2012 R2 se ha aumentado la capacidad de script y de automatizacin de tareas gracias al lenguaje de script Windows PowerShell. La automatizacin de tareas corrientes de administracin se ve, de este modo, mejorada enormemente gracias a esta nueva funcionalidad. Prcticamente todas las acciones realizadas en el seno del sistema se pueden automatizar con PowerShell, y existen muchos asistentes que proponen, como ltimo paso, recuperar la sintaxis PowerShell equivalente a las acciones realizadas. El servicio de directorio de Active Directory est dotado, desde Windows Server 2008 R2, de funcionalidades tales como la papelera de reciclaje de Active Directory, la administracin automtica de cuentas de servicio o incluso la posibilidad de administrar de forma grfica las directivas de contraseas mltiples, que encantarn a todo administrador. El control de acceso dinmico permite controlar el acceso a los datos de forma dinmica. Identifica la criticidad del dato (segn los atributos que se hayan definido) y guarda, a continuacin, el control sobre el que se ubican en el seno del Sistema de Informacin. La instalacin basada en roles y caractersticas, gracias a la consola nica Administracin del servidor, facilita la administracin. Los asistentes disponibles permiten limitar al mximo los errores de configuracin gracias a sus numerosas explicaciones, que guan al administrador en la etapa de instalacin de un componente Windows. La consola permite, a su vez, instalar y administrar servidores fsicos remotos o virtuales, tanto desde un servidor como desde un puesto de trabajo, mediante las herramientas de administracin RSAT. Es, por tanto, fcil crear un grupo de servidores que tengan que gestionarse de manera conjunta. Microsoft ofrece, a su vez, la opcin de instalar por defecto una versin mnima de Windows Server 2012 R2, conocida con el nombre de Windows Server Core. Esta versin funciona, de hecho, sin una interfaz grfica y todo debe configurarse por lnea de comandos. La ventaja principal de este tipo de administracin reside en el hecho de que la superficie de ataque se reduce por el hecho de que solamente se instalan en el servidor aquellos componentes imprescindibles. Los administradores agregarn, a continuacin, los roles que deseen. La interfaz grfica se considera una caracterstica ms que es posible desinstalar. Consolas tales como el monitor de confiabilidad y rendimiento de Windows permite detectar problemas de configuracin en sus sistemas operativos, e informar automticamente al servicio informtico. Ofrece, a su vez, mucha informacin precisa sobre el uso de componentes del sistema. En lo sucesivo, es posible realizar una mejor administracin de la impresin. En efecto, es posible instalar impresoras automticamente sobre equipos de usuario mediante directivas de grupo. La consola MMC le permite gestionar, controlar y resolver mejor los fallos de las impresoras de su dominio. Por ltimo, y una buena noticia ms para los administradores, las reglas Applocker permitirn realizar un mejor control de las aplicaciones cuyo uso se autorice con Windows Server 2008 R2/2012/2012 R2 y Windows 7/8/8.1.

2. Una mejor proteccin del Sistema de Informacin orientada a la movilidad y al Cloud


Microsoft ha rehecho completamente el ncleo de su sistema operativo desde Windows Server 2008. Existe un ncleo NT 6.x desde Windows Vista/2008 (Windows 2000 y XP se basaban en el ncleo NT 5.x). Windows 8 y 2012 se basan en el ncleo 6.2. Este ncleo posee la tecnologa Patchguard, desarrollada por Microsoft para proteger al mximo el sistema operativo y, de este modo, mantener una barrera para los rootkits o cualquier otro ataque que trate de modificar el ncleo del sistema. Windows Server 2012/2012 R2, igual que Windows 8/8.1, aprovechan la funcionalidad ELAM (Early Launch Anti-Malware) que permite cargarse nicamente a aquellos drivers firmados, tras el arranque del sistema. La proteccin de acceso a redes (NAP) est, tambin, accesible y le permite implementar condiciones de uso de su sistema dentro de la empresa. Se terminaron las personas externas que llegaban con un ordenador porttil que no cumpliera con las reglas de la organizacin y los usuarios sin el antivirus actualizado! El acceso a la red se les denegar mientras no cumplan con los criterios de conformidad que usted haya juzgado convenientes. El acceso a la red de la empresa cobra una nueva dimensin con la simplicidad en la implementacin de DirectAccess, que permite a los administradores aprovechar un control mayor sobre los equipos, pudiendo, de este modo, administrarlos incluso antes de que se conecte un usuario (GPO disponibles, etc.). Se termin la necesidad de tener una infraestructura IPv6 para aprovechar esta solucin, como ocurra con Windows Server 2008 R2. Los controladores de dominio de solo lectura (RODC) refuerzan la seguridad de sus dominios Active Directory en la medida en que puede limitar la difusin de ciertas contraseas en caso de que se vea comprometido algn controlador de dominio. stos encontrarn, por ejemplo, su lugar en las pequeas redes de agencia donde la seguridad del controlador de dominio no puede garantizarse. El acceso VPN a travs de protocolos tales como SSL facilitan el acceso al Sistema de Informacin y, tambin, intercambiar datos con otros equipos. La pasarela sitio-a-sitio multi-inquilino provee, de este modo, la opcin de utilizar una misma pasarela Site To Site para conectar clientes que posean el mismo plan de direccionamiento IP. El firewall avanzado de Windows Server 2012 R2 permite limitar la superficie de ataque de sus servidores realizando un filtrado de los puertos sobre el trfico de red entrante o saliente. El firewall analiza el flujo a nivel de aplicacin, de modo que puede no autorizar el trfico para un servicio especfico. Adems, la nueva consola de gestin MMC para el firewall avanzado permite configurar los flujos IPsec para asegurar la integridad o cifrar el flujo entre equipos. Esto resulta ideal para definir un cifrado entre controladores de dominio o entre equipos de administracin y servidores de administracin. El cifrado del lector de disco se realiza con BitLocker, que permite, a su vez, impedir el acceso a los datos de su disco duro desde una instalacin paralela de otro sistema operativo. Los servicios asociados a Active Directory refuerzan, a su vez, la seguridad de su infraestructura informtica. El rol AD CS (Active Directory Certificate Services) permite difundir certificados basados en el nuevo modelo de certificados versin 4. El rol AD RMS (Active Directory Rights Management Services) le da la posibilidad de controlar la difusin de los documentos en su empresa. El rol AD FS permite favorecer enormemente los intercambios de informacin con equipos asociados externos, o incluso mejorar el uso de terminales personales para conectarse al Sistema de Informacin de la empresa (BYOD) con un control mnimo sobre estos equipos gracias a Workplace Join. Siempre desde un punto de vista de apetura hacia la movilidad, la funcionalidad de Carpetas de trabajo permiten sincronizar archivos profesionales entre varios PC o dispositivos que pertenezcan al mismo usuario, pertenezcan o no a la empresa. Las funcionalidades de seguridad presentes en Windows Server 2012 R2 permiten, por tanto, limitar el riesgo de ataque sobre el servidor garantizando una productividad y una flexibilidad importantes.

3. Una plataforma que evoluciona


Windows Server 2012 R2 es una plataforma capaz de adaptarse y responde a las necesidades de evolucin de una sociedad. La tecnologa hypervisor (Hyper-V) responde a la necesidad, cada vez mayor, de las empresas que desean virtualizar algunos de sus servidores. Esta tecnologa responde, de este modo, de forma ultra-reactiva a los cambios de trabajo dinmicos y al desarrollo de la cloud privada. Las rplicas de Hyper-V resultarn interesantes para ms de una PYME que no disponga del presupuesto suficiente para la implementacin de una solucin de replicacin para responder ante un desastre o siniestro. Una rplica de Hyper V permitir replicar una mquina virtual hacia otra, ahorrando el mximo de ancho de banda, gracias a una compresin y un registro de los cambios en un disco de una mquina virtual. Un espacio de almacenamiento, novedad funcional desde Windows Server 2012, permite utilizar discos duros econmicos para crear zonas de almacenamiento. Esta zona puede, por tanto, dividirse en espacios que se utilizarn como discos fsicos. Un poco de manera similar a como ocurre con SAN, aunque de forma mucho menos onerosa, esta funcionalidad permite incluir discos auxiliares en caliente y utilizar mtodos de redundancia (paridad, mirroring, etc.). El protocolo SMB (Server Message Block) pasa a la versin 3.0 y se ha visto mejorado considerablemente. Tiene en cuenta funcionalidades tales como la conmutacin automtica SMB, la consideracin de SMB, el testigo de carpeta, etc. Tiene en cuenta, tambin, el almacenamiento en archivos VHD o un sistema de bases de datos SQL. Los servicios Terminal Server aportan una gran cantidad de innovaciones que mejorarn enormemente la experiencia de usuario. Es posible realizar un acceso centralizado a las aplicaciones de cara a desasociar, poco a poco, el puesto de trabajo de las aplicaciones que son necesarias para los usuarios. Tambin puede hacer disponibles aplicaciones (publicacin de aplicaciones) sin que tengan que estar instaladas en el equipo del usuario. El acceso directo de la aplicacin aparece, ahora, en el escritorio del usuario junto a las aplicaciones instaladas de manera local en su equipo. El usuario no es capaz de distinguir, a primera vista, las aplicaciones locales de aquellas remotas, lo que le permite ganar tiempo en trmino de formacin de los usuarios. La funcionalidad RemoteFX, que haba hecho su aparicin con Windows Server 2008 R2, se ha visto mejorada y ya no requiere ninguna configuracin particular para aprovechar una calidad grfica excepcional mediante RDP (lectura de animaciones, webcam, etc.). Un servicio de pasarela Terminal Services (tambin llamado RD Gateway) le permite no tener que multiplicar los puertos a abrir en su red o a implementar una red privada virtual. Basta con tener un nico punto de entrada, a travs de un portal Web, que le permite acceder a su red privada virtual. El trfico RDP se encapsula, en efecto, de manera transparente en un flujo SSL (HTTPS). El acceso Web a los servicios Terminal Server (RD Web Access) es una interfaz Web que le permite acceder a las aplicaciones RemoteApp que haya decidido publicar. Estas aplicaciones estn, de este modo, accesibles desde su navegador de Internet. Esta solucin se basa en IIS y puede, a su vez, integrarse en un portal SharePoint. Gracias a Windows Server 2012 puede gestionar la evolucin de la empresa y, en particular, administrar aplicaciones que requieran una alta disponibilidad. El clster de servidores tiene como cometido contener varios a servidores con un mismo rol. Si alguno de los servidores (llamados nodos del clster) no est disponible, el sistema de clster bascula, automticamente, hacia otro nodo disponible. Esto se realiza sin ninguna intervencin por parte de los administradores, lo que limita la duracin de la indisponibilidad de una aplicacin.

El servicio de alta disponibilidad se caracteriza, a su vez, por la posibilidad de hacer un reparto de la carga de red (llamada, a su vez, NLB por Network Load Balancing). Este reparto o equilibrado de carga permite repartir la carga de red entre varios servidores que presenten la misma informacin. El reparto de carga de red puede, de este modo, responder a un desarrollo importante de la actividad de un sitio de Internet, por ejemplo, seleccionando dirigir las demandas de conexin al servidor Web en el servidor IIS menos ocupado. Por ltimo, el ciclo de vida de su servidor resulta ms sencillo de gestionar gracias a un conjunto de herramientas adaptadas y tiles. Entre todas ellas, podemos citar la caracterstica de copia de seguridad que le permite administrar sus copias de seguridad y restauraciones gracias a asistentes muy intuitivos. La tecnologa de las instantneas permite realizar copias de seguridad de sus archivos en ejecucin de forma casi inmediata. El servidor de actualizaciones WSUS3 permite administrar el conjunto de actualizaciones (correctivos, parches de seguridad) de los sistemas operativos y de algunas aplicaciones Microsoft en el seno de su red empresarial. Este libro tiene tambin como objetivo presentarle las principales funcionalidades de Windows Server 2012/2012 R2, insistiendo especialmente en aquellas novedades aparecidas tras el salto tecnolgico que separa a Windows Server 2003 de Windows Server 2008. Est salpicado de consejos y recomendaciones de expertos en herramientas Microsoft y se dirige, de este modo, a aquellas personas que ya posean cierta experiencia. No obstante, esta obra tambin pretende explicar los conceptos bsicos de modo que resulte accesible a aquellas personas que no posean una experiencia notoria con la tecnologa de servidor de Microsoft.

Las numerosas direcciones de Internet provistas en las pginas de este libro se recopilan en una webografa, disponible en la pgina Informacin.

DOMINIO ACTIVE DIRECTORY

Introduccin
Este captulo est dedicado al directorio de Microsoft Active Directory. El servicio de directorio de Microsoft resulta indispensable en la gestin de la informacin en el seno de una empresa. En la primera parte, se presenta el servicio de directorio en Windows Server 2012 R2. A continuacin, seguiremos con explicaciones sobre los principales componentes ligados al servicio de directorio, tales como las directivas de grupo y otros servicios relacionados al propio directorio.

Presentacin del servicio de directorio de Microsoft: Active Directory Domain Services


Usted ya conocer, sin duda alguna, el principio de funcionamiento del directorio Active Directory. Esta obra no tiene como objetivo volver a explicar lo que ya conoce, de modo que los principios generales de un directorio Active Directory (tambin llamado Active Directory Domain Services o AD DS) se abordan de manera muy breve para, as, poder centrar su atencin en las especificidades aportadas por Windows Server 2012 R2.

1. Definicin de un dominio de Active Directory


Active Directory es un servicio de directorio que permite referenciar y organizar objetos tales como cuentas de usuario, nombres de recursos compartidos, autorizaciones mediante grupos de dominio, etc. La informacin puede, as, centralizarse en un directorio de referencia con el objetivo de facilitar la administracin del Sistema de Informacin. Desde un punto de vista tecnolgico cabe tener en cuenta tres nociones:

El dominio es la unidad bsica encargada de agrupar los objetos que comparten un mismo espacio de nombres (un dominio debe, en efecto, basarse necesariamente sobre un sistema DNS que soporte actualizaciones dinmicas y registros de tipo SRV). Una arborescencia de dominios es la agrupacin jerrquica de varios dominios que comparten un mismo espacio de nombres (por ejemplo, los dominios madrid.MiEmpresa.Priv y barcelona.MiEmpresa.Priv). Un bosque trata de reagrupar varias arborescencias de dominio que tienen en comn un catlogo global y que no comparten, obligatoriamente, un espacio de nombres comn.

Desde un punto de vista fsico, cabe tener en cuenta tres elementos principales:

Los controladores de dominio se encargan de almacenar el conjunto de los datos y de administrar las interacciones entre los usuarios y el dominio (apertura de sesin, bsquedas en el directorio, etc.). Al contrario que con los antiguos sistemas NT, en el dominio tiene lugar una replicacin multimaestro, lo que permite a cualquier controlador poder iniciar una modificacin (agregar una cuenta de usuario, cambiar una contrasea de usuario, etc.). Cada controlador de dominio contiene, a su vez, particiones. Microsoft ha decidido compartir la informacin en varias particiones para, as, limitar la extensin de los datos que hay que replicar. Cada particin tiene, por tanto, su mbito de replicacin. Todos los controladores de dominio de un mismo bosque tienen en comn las particiones de esquema y de configuracin. Todos los controladores de dominio de un mismo dominio comparten una particin de dominio comn. La cuarta particin (presente de forma opcional) es la particin de aplicacin. sta almacena los datos sobre las aplicaciones utilizadas en Active Directory y se replica sobre los controladores de dominio que usted elija que formen parte del mismo bosque.

Los sitios Active Directory ponen en evidencia la agrupacin fsica de objetos de un mismo dominio. Debe, adems, asociar uno (o varios) controlador(es) de dominio a un mismo sitio Active Directory si estos controladores de dominio se comunican con un enlace de red que tenga una buena velocidad de transferencia. En efecto, los controladores de dominio de un mismo sitio dialogan de manera mucho ms frecuente que los controladores de dominio definidos en dos sitios de Active Directory distintos. Esto le permite, tambin, reducir de manera importante el trfico de red en un enlace que separe a dos sitios remotos. Los roles FSMO (Flexible Single Master Operation) son un total de cinco en el seno de una infraestructura Active Directory. Estos roles deben estar contenidos en controladores de dominio y son necesarios para el correcto funcionamiento de un dominio de Active Directory. Segn los roles, son nicos por dominio o bien por bosque. La siguiente tabla muestra con detalle cada uno de estos cinco roles:

Nombre del rol FSMO Maestro nomenclatura dominios

Ubicacin de nico en el de seno de un bosque


Rol Se encarga de inscribir a los dominios en el bosque. Gestiona la nomenclatura del dominio. Gestiona la modificacin esquema Active Directory. del

Maestro de esquema nico en el seno de un bosque Maestro RID nico en el seno de un dominio

Distribuye rangos de RID para los

SID. Maestro infraestructura Emulador PDC de nico en el seno de un dominio nico en el seno de un dominio

2.

Gestiona los movimientos de objetos de un dominio a otro. Garantiza una compatibilidad con los sistemas operativos anteriores (NT, en particular). Sirve como servidor de tiempo de referencia para el resto del dominio. Sirve como punto de referencia durante los procesos de cambio de contrasea y bloqueo de cuentas.

Func ionalidades de Active Directory en Windows Server 2012 R2


Windows Server 2012 R2 proporciona un gran nmero de funcionalidades, las cuales gustarn tanto a aquellas personas que no tengan un conocimiento previo como a aquellas que deseen poseer un conocimiento avanzado. Se le explica cmo instalar un controlador de dominio de Active Directory con Windows Server 2012 R2, cmo utilizar las directivas de contrasea especficas, etc. Estas funcionalidades se le presentarn mediante casos prcticos a lo largo de este captulo para que pueda constatar, usted mismo, la utilidad de estas ltimas.

a. Instalacin de un directorio de Active Directory


Desde un punto de vista general, los asistentes de configuracin se han visto mejorados considerablemente a lo largo de las versiones de Windows. Descubrir, rpidamente, que estos ltimos son muy tiles e intuitivos. Por ejemplo, en lo sucesivo puede hacer referencia a la mayora de las opciones avanzadas de instalacin del directorio Active Directory desde el asistente creado a este efecto. Es necesario agregar un nuevo rol en su servidor Windows Server 2012 R2 para instalar su directorio Active Directory. Puede acceder desde el Administrador del servidor. Utilizar, por tanto, esta consola para agregar el rol Servicios de dominio de Active Directory (tambin conocido bajo el nombre AD DS por Active Directory Domain Services). Volveremos un poco ms adelante sobre las etapas detalladas ligadas a esta instalacin. En primer lugar, el conjunto de manipulaciones debe realizarse con una cuenta de usuario que posea los permisos de Administrador del servidor.

Asegrese, en primer lugar, que tiene bien definido el nombre NetBIOS de su futuro controlador de dominio, as como una direccin IP fija vlida. Se recomienda, siempre, definir estos parmetros antes de realizar la promocin de un servidor a controlador de dominio. Por defecto, el Administrador del servidor se ejecuta cada vez que inicia Windows, y le permite configurar su servidor una vez instalado. Haga clic en Configurar este servidor local (o Servidor local) para visualizar la configuracin propia a este servidor y modificarla si fuera necesario.

Escoja configurar las opciones de red haciendo clic en los enlaces de hipertexto que se encuentran en la misma fila que Ethernet y Nombre de equipo. Podr, de este modo, definir una direccin IPv4 fija, as como un nombre de equipo descriptivo para su servidor. En nuestro ejemplo, el nombre de equipo ser DC2012 (DC por Domain Controller o controlador de dominio). A continuacin deber reiniciar el servidor. Vuelva sobre Panel, siempre desde la consola Administrador del servidor. Haga clic en Agregar roles y caractersticas.

A continuacin se abre el Asistente para agregar roles y caractersticas. La primera pgina aparece, por defecto, con cada ejecucin del asistente. Tiene como objetivo permitirle verificar un conjunto de buenas prcticas antes de continuar con la instalacin de un rol en su servidor (contrasea fuerte, direccin IP esttica, parches de seguridad al da). Haga clic en Siguiente. Escoja la opcin Instalacin basada en caractersticas o en roles y, a continuacin, haga clic en Siguiente.

Como es posible instalar, desde este asistente, roles o caractersticas sobre un servidor definido en un grupo de servidores o desde un disco duro virtual, esta etapa le permite precisar el servidor o el disco duro virtual en cuestin. En nuestro ejemplo, se trata de un servidor fsico. Seleccione la opcin Seleccionar un servidor del grupo de servidores y, a continuacin, haga clic en Siguiente. Observe que todos los comandos de instalacin se basan en PowerShell y pueden ejecutarse de manera remota.

Seleccione, a continuacin, el rol o la caracterstica que desea instalar. Como se trata de la instalacin de un controlador de dominio Active Directory, debe escoger la opcin Servicios de dominio de Active Directory.

El asistente le invitar a agregar la instalacin de varias caractersticas necesarias (o, al menos, tiles) para este rol (Herramientas administrativas, Administracin de directivas de grupo, etc.). Las siguientes etapas del asistente se actualizan de manera dinmica en funcin del rol seleccionado. Haga clic en Siguiente.

A continuacin se le pregunta si quiere aprovechar para instalar las caractersticas suplementarias de su servidor. No es necesaria ninguna para el buen funcionamiento de Active Directory, las caractersticas necesarias ya se le han presentado en la ventana anterior. Haga clic en Siguiente. El asistente le explica, rpidamente, el rol de los servicios de dominio de Active Directory as como la principal informacin a tener en cuenta. Le invita, a su vez, a consultar los artculos disponibles en la ayuda de Windows para ms informacin. Haga clic en Siguiente.

La ltima etapa consiste en confirmar la instalacin del rol en cuestin. Los mensajes de informacin le avisan de que el servidor se reiniciar al finalizar la instalacin. Reinicio que puede escoger que se realice automticamente o no. Haga clic en Instalar. Comienza la instalacin del rol.

Es posible exportar los parmetros de configuracin. Esto ser til para poder reutilizarlos mediante comandos PowerShell si fuera necesario.

Es posible cerrar el asistente y continuar trabajando con el servidor sin que la instalacin se detenga. Puede ver el grado de avance de la instalacin en la consola Administracin del servidor, dentro del rea marcada con la bandera de notificacin. Una vez terminada la instalacin, se dar cuenta rpidamente de la potencia y de la utilidad de los asistentes de Windows Server 2012 R2. Estos ltimos le guiarn de manera muy intuitiva en las siguientes etapas a realizar. En el rea de notificaciones, puede apreciar, pasados algunos minutos, un signo de exclamacin que se corresponde con la Configuracin posterior a la instalacin que debe realizar para continuar con la instalacin de Active Directory. Si no apareciera, aunque la instalacin haya terminado, cierre el Administrador del servidor y, a continuacin, bralo de nuevo (o haga clic en el botn Actualizar que se encuentra justo al lado (a la izquierda) del icono con forma de bandera de notificacin). Haga clic en el enlace Promover este servidor a controlador de dominio. Si bien sigue existiendo, el comando dcpromo ya no se utiliza desde Windows Server 2012. Servir nicamente para facilitar la transicin de algunas empresas que hayan desarrollado scripts con este comando. La norma es, ahora, utilizar los scripts PowerShell, puesto que, ahora, todo se basa en ellos. Los cmdlets PowerShell que pueden resultar tiles son Install-ADDSForest, Install-ADDSDomain, InstallADDSDomainController y Add-ADDSReadOnlyDomainControllerAccount. Puede encontrar ms informacin en la siguiente direccin: http://technet.microsoft.com/enus/library/hh472162.aspx

Antes de poder instalar un controlador de dominio en Windows Server 2012 R2, el nivel funcional del bosque deber ser, como mnimo, Windows Server 2008. A modo de recordatorio, para que el nivel funcional del bosque sea Windows Server 2008, es preciso que el nivel funcional de todos los dominios del bosque sean, como mnimo, Windows Server

2008. Esto implica que ya no ser posible tener un controlador de dominio con Windows Server 2003 en un bosque que tenga un DC con Windows Server 2012 R2. Si no fuera el caso, deber, obligatoriamente, extender el esquema a Windows Server 2012 y, a continuacin, actualizar el dominio funcional del (o de los) dominio(s) y el bosque impactados. Estas etapas resultan, a menudo, temidas por los administradores puesto que la marcha atrs es compleja (habr que restaurar, como mnimo, un dominio por bosque). Microsoft ha optado por simplificar esta etapa integrando directamente la actualizacin del esquema y del dominio en el asistente de promocin de un controlador de dominio desde el Administrador del servidor. El asistente ejecuta como tarea de fondo el comando adprep. Este comando es necesario para preparar un bosque y un dominio para la instalacin de un controlador de dominio de una versin superior. Este comando slo est disponible en versin 64 bits. Si sus antiguos controladores de dominio ejecutan, todava, una versin de 32 bits, es posible ejecutar adprep de manera remota desde un servidor Windows Server 2008 versin 64 bits, Windows Server 2008 R2, Windows Server 2012 o Windows Server 2012 R2 miembro del dominio, incluso aunque no se trate de un controlador de dominio. Adprep se ubica en la carpeta soporte\adprep del DVD de instalacin de Windows Server 2012 R2. Encontrar mucha ms informacin sobre la instalacin manual de adprep en la siguiente direccin: http://technet.microsoft.com/en-us/library/hh472161.aspx Si, en el seno de su dominio, todos los controladores de dominio funcionan con Windows Server 2012 R2, puede aumentar el nivel de su dominio a Windows Server 2012 R2 mediante la consola Dominios y confianzas de Active Directory o mediante el centro de administracin de Active Directory (encontrar ms informacin en la direccin: http://technet.microsoft.com/es-es/library/cc753104.aspx). Si, en el seno de su bosque, todos los controladores de dominio funcionan con Windows Server 2012 R2 puede, tambin, aumentar el nivel funcional de su bosque, siempre mediante alguna de estas consolas (encontrar ms informacin en la direccin: http://technet.microsoft.com/eses/library/cc730985.aspx) Existen varios motivos para aumentar el nivel funcional del dominio o del bosque. Aporta, la mayora de veces, funcionalidades y caractersticas suplementarias. Estas funcionalidades se resumen en la siguiente direccin: http://technet.microsoft.com/en-us/library/understandingactive-directory-functional-levels(v=ws.10).aspx Observe, no obstante, que algunos componentes no requieren ms que la preparacin del dominio para agregar nuevas funcionalidades (sin tener, obligatoriamente, que implementar el nivel funcional del dominio o del bosque). Es el caso, por ejemplo, del proxy web de aplicacin (Web Application Proxy) que se basa nicamente en las clases del esquema creadas tras la implementacin del esquema (mediante el comando adprep /forestprep) para poder funcionar. Observe, a su vez, que (siempre y cuando la papelera de reciclaje de Active Directory no est activada) es posible disminuir el nivel funcional de un dominio o de un bosque de Windows

Server 2012 o Windows Server 2008 R2 a Windows Server 2008 mediante los comandos PowerShell siguientes:
Import-Module ActiveDirectory Set-AdDomainMode -identity MiEmpresa.Priv -server dc2012.MiEmpresa.Priv -domainmode Windows2008Domain Set-AdForestMode -identity MiEmpresa.Priv -server dc2012..MiEmpresa.Priv -forestmode Windows2008Forest

Haga clic, a continuacin, en el vnculo Promover este servidor a controlador de dominio disponible en la lista de tareas o, tal y como se ha indicado antes, haga clic en Promover este servidor como controlador de dominio.

Se inicia el Asistente para instalacin de Servicios de dominio de Active Directory. Seleccione una configuracin de despliegue. En nuestro ejemplo, seleccione: Agregar un nuevo bosque. Observe que el asistente le indica un vnculo hacia el archivo de ayuda en lnea de Windows que trata las distintas configuraciones de despliegue posibles.

Si ha seleccionado agregar un controlador de dominio a un dominio existente, tendr la posibilidad, ms adelante, de definir la instalacin del controlador de dominio a partir de un medio externo (una copia de seguridad, por ejemplo). Esto resulta bastante til para sitios remotos, por ejemplo, para evitar que se produzca un trfico de red demasiado elevado y se sature el ancho de banda durante la primera sincronizacin entre los controladores de dominio. Puede, si no, definir un controlador de dominio particular para la primera sincronizacin del directorio de Active Directory para indicar un controlador de dominio del

mismo sitio y, de este modo, evitar que la sincronizacin no se realice desde un sitio remoto que podra tener un ancho de banda limitado. D nombre a la raz del bosque. En nuestro ejemplo, el nombre del dominio ser miempresa.priv y, a continuacin, haga clic en Siguiente.

Se recomienda, en cualquier caso, informar un nombre de dominio con dos niveles. No cree, por tanto, ningn dominio Active Directory que tenga, por ejemplo, el nombre Miempresa. Piense, tambin, en prohibir el uso de un guin bajo (underscore) en su nombre de dominio. Si se diera el caso, realice una migracin a un nombre de dominio sin este carcter, que le generar una serie de inconvenientes en el futuro, especialmente con Exchange. Observe que desde Windows Server 2008 R2, el asistente no le permite crear un nombre de dominio de un solo nivel, bien sea para un bosque o para un nuevo dominio en un bosque ya existente. S le dejar, por el contrario, agregar un nuevo controlador que se ejecute bajo 2008 R2 o superior en un dominio con un nico nivel ya existente. La KB de Microsoft KB300684 (http://support.microsoft.com/kb/300684) analiza este caso. De aqu a dos aos, los fabricantes de certificados pblicos no certificarn ms dominios con extensiones privadas tales como: interna.MiEmpresa.es. Es conveniente disociar los nombres de dominio interno y externo para evitar, en particular, tener que realizar una gestin algo ms compleja en su zona DNS interna.

Tras hacer clic en Siguiente, el asistente trata de resolver el nombre de dominio para contactar con un eventual bosque ya existente.

Encontrar ms informacin sobre los distintos tipos de zona DNS y sobre la replicacin en el captulo Implementar los servicios de red de la empresa - Implementar los sistemas de resolucin de nombres. Es preciso definir el nivel funcional del bosque. Seleccione Windows Server 2012 R2 dado que, en este ejemplo, se trata de un servidor que es el nico controlador de dominio y del bosque. Deje marcada la opcin Servidor DNS para instalar este rol sobre el futuro controlador de dominio. La opcin Catlogo global aparece marcada obligatoriamente puesto que todava no existe ningn catlogo en el dominio, dado que hemos seleccionado la opcin de crear un nuevo dominio en un nuevo bosque. Defina una contrasea de restauracin de servicios de directorio. Se utilizar cuando se acceda en modo de restauracin del directorio Active Directory pulsando la tecla [F8] durante el arranque del sistema operativo. Esta contrasea deber responder a la complejidad requerida por la directiva de contrasea.

Si bien puede resultar tentador, no defina la misma contrasea que para la cuenta de Administrador actual por motivos de seguridad. A continuacin, haga clic en Siguiente.

Aprovechar automticamente, de este modo, las ventajas ligadas al nuevo funcionamiento del dominio de Windows Server 2012 R2, como las directivas de contrasea especfica (disponibles desde el nivel funcional Windows Server 2012 y que ver, tambin, ms adelante en la seccin Directivas de contrasea especfica y de bloqueo de cuenta granular de este captulo). El sistema trata, a continuacin, de contactar con el servidor DNS definido a nivel de los parmetros TCP/IP de la tarjeta de red del servidor. Si no responde al nombre de dominio Active Directory definido, y si no se ha instalado ningn servidor DNS, el asistente mostrar el siguiente mensaje (haciendo clic en Ver ms en la barra de alerta de color amarillo ubicada en la parte superior del asistente).

Observe, tambin, que si se define un servidor DNS en las propiedades TCP/IP del servidor, ste se borrar automticamente de estas propiedades de modo que el futuro controlador de dominio ser cliente de su propio DNS. El anterior servidor DNS se informar en la pestaa Reenviadores en las propiedades del servicio DNS. Haga clic en Siguiente. Deje el nombre NetBIOS por defecto y, a continuacin, haga clic en Siguiente.

Como se encuentra trabajando en un entorno de pruebas, deje la ruta por defecto para la base de datos, los archivos de registro y SYSVOL. En un entorno de produccin, se recomienda encarecidamente separar la base de datos y los archivos de registro para, as, evitar la saturacin de I/O (entradas/salidas). Haga clic en Siguiente. Aparece un resumen que muestra las distintas opciones que ha definido a lo largo de las etapas del asistente. Es posible exportar estos parmetros para poder reutilizarlos en un archivo de respuestas. Podr, de este modo, desplegar fcilmente otros controladores de dominio reduciendo el riesgo de error durante la configuracin de este rol. El comando que debe utilizarse es, en este caso, dcpromo /answer:NombreDelArchivoCreado (si no se trata de promover un DC en Windows Server 2012 R2) o, directamente, mediante PowerShell mediante el script disponible haciendo clic en la opcin Ver script.

Haga clic en Siguiente. El asistente realiza, a continuacin, una verificacin de requisitos previos necesarios para la instalacin del rol de controlador de dominio sobre este servidor.

Aparece un mensaje de advertencia que indica los problemas que puede encontrar debido al enriquecimiento del algoritmo de cifrado utilizado para establecer un canal de seguridad con un cliente SMB. Por defecto, los anteriores sistemas operativos como, por ejemplo, Windows NT 4.0 no podrn acceder a los recursos compartidos que se encuentren en un servidor Windows Server 2008/2008 R2/2012 o 2012 R2. Recorra esta lista de advertencias y, si no existe ningn punto bloqueante, haga clic en Instalar. Observe que puede realizar las acciones correctivas necesarias y, a continuacin, hacer clic en el vnculo que le permite volver a verificar si se cumplen los requisitos previos. Haga clic en Instalar para arrancar la instalacin. El servidor reinicia, automticamente, al finalizar la instalacin. Enhorabuena! Acaba de instalar con xito un controlador de dominio en Windows Server 2012 R2. Le faltar verificar la instalacin de Active Directory y realizar las primeras acciones esenciales. El siguiente enlace le ofrece todos los elementos necesarios: http://technet.microsoft.com/en-us/library/cc794717(WS.10).aspx

b. Presentacin de la auditora ligada al servicio de directorio

Auditar estos servidores es una actividad que consiste en censar los eventos que se consideren interesantes en el registro de eventos. Esto le permitir evidenciar problemas de configuracin o incluso verificar la seguridad de ciertos elementos crticos del sistema operativo. Preste atencin, no obstante, a no definir demasiados objetos a auditar, puesto que el rendimiento del servidor se ver impactado inmediatamente. Antes de Windows Server 2008 R2, poda configurar los eventos de auditora editando su directiva de grupo (desde el men Inicio - Herramientas administrativas y Gestion des Directiva de grupo) a nivel, por ejemplo, de Directiva Default Domain Controllers Policy (Configuracin de equipo - Directivas - Configuracin de Windows - Configuracin de seguridad - Directivas locales - Directivas de auditora).

La informacin que se muestra es, no obstante, confusa, pues es posible ser mucho ms preciso! Las directivas de auditora pueden, en efecto, definirse de forma mucho ms precisa y los parmetros visualizados a nivel de la directiva de grupo ms arriba no representan ms que de una forma muy vasta la configuracin efectiva. En Windows XP slo existen nueve categoras de evento que pueden auditarse. Desde Windows Vista/Windows Server 2008, puede optar por auditar hasta 53 categoras de eventos distintos volviendo, de este modo, la creacin de objetos mucho ms granular. La visualizacin y la configuracin de estos parmetros no son idnticos entre Windows Server 2008 R2 y Windows Server 2012 R2.

En Windows Server 2008 (o Vista con las herramientas de administracin RSAT), puede mostrar y aplicar de forma ms precisa las directivas de auditora realmente posibles nicamente por lnea de comandos mediante el comando Auditpol.exe. El siguiente comando permite mostrar las distintas categoras posibles para la auditora: Auditpol.exe /get /Category:*

En Windows Server 2008 R2 y Windows 2012/2012 R2 (o Windows 7 - Windows 8/8.1 con las herramientas de administracin RSAT instaladas), es posible configurar, desplegar y administrar la auditora detallada desde la consola GPMC. La configuracin de la auditora detallada se realiza a nivel de Configuracin del equipo - Directivas - Configuracin de Windows - Configuracin de seguridad - Configuracin de directiva de auditora avanzada - Directivas de auditora. Estas directivas pueden aplicarse, de este modo, sobre OU especficas para controlar la actividad de las cuentas de administrador, etc. Tenga en mente, no obstante, que esta configuracin definida mediante GPO se ejecutar nicamente en equipos Windows Server 2008 R2/2012/2012 R2 o Windows 7/8/8.1.

Cabe destacar, tambin, que Microsoft desaconseja la configuracin de la auditora simultneamente a nivel de Configuracin del equipo - Configuracin de Windows Configuracin de seguridad - Directivas locales - Directivas de auditora y de Configuracin del equipo - Configuracin de Windows - Configuracin de seguridad Configuracin de directiva de auditora avanzada - Directivas de auditora. Para ello, Microsoft recomienda configurar la opcin Auditora: forzar la configuracin de subcategoras de la directiva de auditora (Windows Vista o posterior) para invalidar la configuracin de la categora de directiva de auditora que se define a nivel de Configuracin del equipo - Configuracin de Windows - Configuracin de seguridad Opciones de seguridad. Si este parmetro no est habilitado, las opciones definidas a nivel de la auditora bsica (las siete categoras histricas) podran entrar en conflicto con las definidas de manera ms precisa en la directiva de auditora avanzada. Para desplegar estos parmetros en Windows Server 2008 o Windows Vista, es preciso utilizar la opcin auditpol.exe. Ms adelante se ofrece un enlace a la KB que explica cmo poner en marcha este despliegue.

Con la llegada de Windows Server 2008 R2 y Windows 7, Microsoft introduce la posibilidad de auditar el acceso a objetos globales. Tiene, en efecto, la posibilidad de definir una directiva de auditora para un usuario particular sobre una accin precisa y para un conjunto de servidores. Esto puede resultar muy prctico si tiene que justificar, en particular, la auditora de la seguridad de un servidor de cara a afrontar una auditora SOX. Los eventos generados por las auditoras de acceso a los archivos o al registro estarn mucho ms detalladas si activa la opcin Auditar la manipulacin de identificadores puesto que se mostrar el "motivo del acceso", que le permitir, en particular, poner de relieve errores de configuracin (como, por ejemplo, un usuario que tiene acceso de escritura en lugar de tener un acceso de slo lectura). Con Windows Server 2012/2012 R2 es posible crear directivas de auditora basadas en expresiones con el objetivo de precisar mejor la informacin que se quiere mostrar en funcin de varios criterios (usuarios, equipos, recursos, etc.). Este aspecto se aborda en detalle en el captulo Securizar su arquitectura. Encontrar la gua paso a paso para implementar una directiva de grupo avanzada en la siguiente direccin: http://technet.microsoft.com/es-es/library/dd408940(WS.10).aspx Observar, entonces, que las opciones de auditora son mucho ms ricas respecto a las versiones anteriores de Windows. Se han conservado las principales categoras, y muchas subcategoras enriquecen y hacen que la recogida de eventos sea mucho ms precisa. Su registro de eventos estar, por tanto, mucho ms limpio de eventos intiles. Sepa, no obstante, que si utiliza la directiva de grupo para definir las categoras principales de auditora, no tendr la posibilidad de definir de forma ms precisa los parmetros de las subcategoras. Una directiva de auditora configurada a nivel de las directivas de grupo activa, automticamente, las subcategoras.

Para configurar de forma ms precisa la auditora sobre los equipos tendr que utilizar el comando auditpol en los equipos o servidores seleccionados a travs de un script, por ejemplo.

Si desea, en cambio, poder administrar la configuracin de las subcategoras de sus equipos Windows Vista/2008 de manera centralizada (y, en consecuencia, tener que utilizar el comando auditpol en cada equipo), consulte la solucin provista en el siguiente artculo de la Kb de Microsoft: http://support.microsoft.com/kb/921469 Una de estas nuevas subcategoras de auditora se ha creado especialmente desde Windows 2008 R2 para dar respuesta a una necesidad importante de los administradores de dominio Active Directory. Esta nueva subcategora se denomina Directory Service Changes (categora hija de DS Access). Le permitir registrar los antiguos y los nuevos valores atribuidos a un objeto de Active Directory y a sus atributos. A ttulo informativo, antes un controlador de dominio en Windows 2000 o 2003 indicaba simplemente el nombre del objeto o del atributo modificado, pero no los valores anterior y modificado del mismo. Una vez configurada la auditora de esta subcategora, los eventos se almacenan en el registro de Seguridad. La siguiente tabla recoge los cuatro tipos de eventos sobre los objetos de Active Directory: Nmero de evento 5136 5137 Tipo de evento Modificacin con xito de un atributo de Active Directory. Creacin de un nuevo objeto de Active Directory.

Si desea, 5139 Desplazamiento de un objeto de Active Directory. por ejemplo, activar la auditora para todas las subcategoras referentes al acceso al directorio Active Directory, siga el procedimiento siguiente: 5138 Restauracin de un objeto de Active Directory. Ejecute, desde una ventana de smbolo del sistema de un controlador de dominio, el siguiente comando: auditpol /set /category:"Acceso DS" /success:enable. Todas las subcategoras de auditora del acceso DS se activarn. Es posible activar nicamente la subcategora que nos interese, en nuestro caso, ejecutando auditpol /set /subcategory:"modificacin del servicio de directorio" /success:enable y auditpol /set /subcategory:"Administracin de cuentas de usuario" /success:enable. Existe un bug en la versin espaola de auditpol y todas las categoras o subcategoras que posean un apstrofe no funcionarn si lo escribe. Existen dos soluciones para evitar este problema: o bien copia/pega la opcin desde una pgina web codificada correctamente, o bien utiliza el cdigo ASCII presionando [Alt] y 0146 para proveer la versin esperada del smbolo. Modifique, a continuacin, la fecha de caducidad de una cuenta de usuario de Active Directory mediante la consola Centro de administracin de Active Directory, tambin llamada ADAC (Active Directory Administrative Center) en el resto del libro (desde el men Inicio - Ejecutar - dsac.exe).

Abra el registro de eventos de su controlador de dominio (desde el men Inicio - Ejecutar Eventvwr.msc). Puede comprobar que existe un evento 4738 y detalla el o los valores que acaban de modificarse, en nuestro ejemplo el valor Expiracin de cuenta:.

Por otro lado, Windows Server 2012 ha introducido las directivas de auditora de seguridad basadas en las expresiones que permiten acotar los eventos a informar utilizando expresiones basadas en reivindicaciones (claims) de usuario, de equipo y de recurso. Esta mejora est ligada a otra novedad: el control de acceso dinmico, del que hablaremos con detalle en el captulo Securizar su arquitectura. Tenga en cuenta que, desde ahora, esta funcionalidad le permite auditar todos los usuarios que traten de acceder a recursos para los que no se ha definido ninguna habilitacin o, por el contrario, administradores que utilicen sus permisos de manera abusiva. Para ello, a nivel de GPO en el servidor de archivos, siga estas etapas: Desde Configuracin del equipo - Directivas - Configuracin de Windows Configuracin de seguridad - Configuracin de directiva de auditora avanzada Directivas de auditora - Acceso a objetos, a nivel de parmetro Auditar sistema de archivos y del parmetro Auditar almacenamiento provisional de directiva de acceso central, active la auditora Correcto y error. A nivel de la carpeta a auditar: Desde las Propiedades de la carpeta a auditar (una carpeta sensible accesible nicamente por el servicio financiero de la empresa, por ejemplo), pestaa Seguridad - Opciones

avanzadas - pestaa Auditora - Agregar - Seleccionar una entidad de seguridad, escoja un grupo habilitado para acceder a esta carpeta, en nuestro ejemplo GSU-Finanzas-RW. Agregue una condicin que indique, por ejemplo: Usuario - Grupo - Miembro de cada Valor - [Administradores de dominio] y [Administradores].

Si un administrador accede a algn archivo de esta carpeta, se registrar un evento en el registro de eventos de seguridad.

Los eventos 4656 y 4663 pueden generarse durante la activacin de la auditora de la manipulacin de identificadores o de la SAM. Estos eventos son propios de Windows 2012 R2 y Windows 8/8.1. Se podra, tambin, citar como ejemplo la posibilidad de poder auditar todos los proveedores que traten de acceder a documentos vinculados a proyectos sobre los que no trabajen. La auditora sera: Auditar - Todos - Todo - User.EmploymentStatus=Vendor AND User.Project Not_AnyOf Resource.Project. Si un usuario del servicio financiero trata de acceder, no se registrar ningn evento en el registro de seguridad, lo que evitar reportar accesos vlidos. Tambin es posible asociar la

auditora de acceso global a los objetos con directivas de auditora basadas en expresiones, lo que permite fusionar las directivas de auditora mltiples ubicadas en varios clientes. De este modo el administrador de un permetro limitado podr definir una directiva de auditora de acceso global a los objetos correspondientes a su permetro mientras que un administrador global podr, por su parte, definir otra directiva de acceso global para un permetro ms amplio. Entre las mejoras aportadas por Windows Server 2012 y Windows 8 cabe destacar, tambin, que es posible configurar el parmetro Auditar los inicios de sesin (Configuracin de directiva de auditora avanzada - Inicio y cierre de sesin). Se genera el evento 4624 cada vez que un usuario inicia una sesin sobre un equipo local o remoto. Obtendr ms informacin sobre los nuevos eventos generados en la siguiente direccin: http://technet.microsoft.com/es-es/library/hh831382.aspx Estos parmetros pueden acoplarse con el control de acceso dinmico que se aborda en el captulo Securizar su arquitectura.

c. Controlador de dominio de solo lectura


Desde Windows Server 2008, es posible crear controladores de dominio de solo lectura (llamados, tambin, RODC por Read Only Domain Controller). Un controlador de dominio de solo lectura contiene toda la informacin de un controlador de dominio clsico salvo la contrasea de los usuarios. Esta informacin se almacena en solo lectura nicamente y no es posible iniciar ninguna modificacin a nivel de dominio desde un RODC.

Sepa, por otra parte, que si no desea que se replique algn atributo sensible en su RODC es posible modificar las propiedades del mismo para limitar su replicacin nicamente a aquellos controladores de dominio inscribibles. Para ello, tendr que modificar el valor searchFlags del atributo que desee a nivel de particin de esquema. El rol maestro de esquema tendr que encontrar, preferentemente, la informacin sobre algn controlador de dominio en Windows Server 2008 R2 como mnimo. Encontrar ms informacin a este respecto en la siguiente direccin (en ingls): http://technet2.microsoft.com/windowsserver2008/en/library/f62c9720-a5c3-40c9-aa40440026f585e91033.mspx?mfr=true