Como crear un filtro WMI y como aplicarlo a una directiva de grupo (GPO).

Buenas.

Primero de todo comentaros que los filtros WMI son muy útiles en muchos casos. Para que tengáis una forma sencilla de realizar un filtro WMI y sin complicaros mucho os dejo este link de una herramienta que directamente os creará la select WMI que deberéis usar en otros programas por ejemplo desde las GPO de Active Directory.

El programa es WMI Code Creator: http://www.microsoft.com/downloads/details.aspx?FamilyID=2cc30a64-ea15-4661-8da4-55bbc145c30e&displaylang=en

Os enseño un poquillo como funciona. Arrancáis el programa:

Seleccionáis en el campo Classes la clase que queráis por ejemplo en este caso necesitaremos saber si el espacio disponible en disco es mayora a 2GB pues bien pulsamos sobre Win32_LogicalDisk

Ahora en Select the properties you want values for seleccionamos FreeSpace.

Pulsamos sobre Search for Property Values para comprobar algunas posibilidades de este filtro WMI.

Pulsamos sobre FreeSpace.

En la pantalla de la derecha Generated Code: Comprobamos que la consulta WMI que deberemos usar es: SELECT *FROM Win32_LogicalDisk WHERE FreeSpace = 200867135488”,,48)

Ahora ya tenemos una consulta WMI que podemos usar a nuestro antojo modificándola un poquito.

Leer el resto de esta entrada »

Problemas con parche SP2 Exchange 2003 y BlackBerry

Buenas noches.

Hace unos días actualicé un parche sobre el Service Pack 2 del Exchange y los usuarios de BlackBerry dejaron de enviar mensajes.

Lo que sucede es que este parche del SP2 de Exchange revoca el permiso "Send As" con lo que el usuario Besadmin no pueda enviar correos desde la BlackBerry. (Besadmin es el usuario por defecto que realiza la función de enviar como en un sistema Exchange con un servidor de BES).

Una solución a este problema es darle permisos “Send As” al usuario BESADMIN sobre el dominio entero. Así todos los usuarios en su pestaña “Seguridad” vuelven a tener el miembro BESADMIN con permisos de “Send As” como hasta antes de aplicar el parche.

Pero como siempre hay un pero y en Microsoft tienen la premisa que “La seguridad ante todo”: Los usuarios miembros de Operadores de cuentas, Operadores de servidores, Operadores de impresión, Operadores de copia de seguridad, Publicadores de certificados, Administradores de organización, Administradores de esquema, Administradores de dominio y Administradores no heredan los permisos del mismo sitio por un tema de seguridad y los heredan de un objeto de Active Directory llamado AdminSDHolder con lo que en el caso que un Administrador de dominio disponga de BlackBerry no le funcionará con el primer método usado, para solventarlo:

Únicamente dando permisos “Send As” sobre este objeto los miembros de los grupos “protegidos” heredarán estos permisos también y podrán enviar correos como lo hacían antes del parche del Service Pack 2.

Para realizar esta acción usaremos el comando para modificar permisos de seguridad en Active directroy dsacls, para ello es posible que debamos instalar las herramientas administrativas.

El comando se usa de la siguiente forma:

dsacls "cn=AdminSDHolder,cn=system,dc=megacrack,dc=es" /G "Megacrack\Besadmin:CA;Send As"

Deberéis sustituir dc=Megacrack por vuestro dominio, dc=com por vuestro sufijo y Megacrack\Besadmin por el usuario que utilicéis para enviar los correos a través de las BlackBerry.

Deberéis esperar unos 20 minutos para que se repliquen todos los cambios a nivel de seguridad a todos los objetos “protegidos”, recordad:

• Administradores
• Operadores de cuentas
• Operadores de servidores
• Operadores de impresión
• Operadores de copia de seguridad
• Administradores de dominio
• Administradores de esquema
• Administradores de organización
• Publicadores de certificados

Espero MegaCracks que esto os haya servido de ayuda-

Podéis leer más información sobre el tema en el siguiente enlace: http://support.microsoft.com/kb/907434/es

Solución al problema “Acceso denegado” al agregar equipos ya existentes al dominio.

Saludos Megacracks, estoy muy contento al poder decir que he encontrado la solución a un problema que desde hace tiempo me llevaba de cabeza.

El problema es simple:

Tenemos un equipo cliente llamado (BCN-WK-1) dentro del dominio Megacrack.es.

Este equipo se corrompe (virus por ejemplo) y se ha de volver a clonar o instalar desde cero. El técnico de campo en este caso clona el equipo y al añadirlo de nuevo al dominio le aparece un mensaje de Acceso denegado. (Esto ocurre por que el objeto en Active Directory ya existe y el técnico de campo no tiene permisos para poder restablecer ese objeto)

En este caso ha de avisar al administrador del dominio para que elimine el objeto Equipo de Active Directory y el técnico de campo pueda añadir el equipo al dominio de nuevo sin problemas.

En entornos de producción por ejemplo si el equipo es crítico y “casca” de noche el técnico de campo no puede realizar su trabajo completamente sin la ayuda del administrador de dominio. El servicio queda interrumpido hasta que el administrador del dominio llega y elimina el equipo de Active Directoy, eso como he dicho antes, en un entorno de producción no se debe permitir.

La solución a este problema es: 

Delegar control sobre la unidad organizativa donde residan los equipos y conceder permisos a los usuarios o miembros de un grupo específico para restablecer cuentas de equipo únicamente a objetos Equipo.

Leer el resto de esta entrada »

Como resolver problema con JRNL_WRAP_ERROR (FRS Event ID 13568 o 13561)

Buenos días, el otro día me encontré con un domain controller al que no le llegaba la réplica de Netlogon:

Mirando el visor de sucesos pude comprobar el siguiente error: The File Replication Service has detected that the replica set “DOMAIN SYSTEM VOLUME (SYSVOL SHARE)” is in JRNL_WRAP_ERROR.

Se replicaban los usuarios de Active Directory, se replicaban los DNS, se replicaba todo excepto la carpeta NETLOGON con lo que cualquier usuario nuevo que apuntara a ese domain controller para buscar su script de logon y es script se creara desde otro domain controller no funcionaba ya que estaba fallando la réplica.

Como solventar este problema?:

Lo único que hay que hacer es modificar o crear la siguiente clave de registro en el domain controller afectado: (Como sólo va a ser un parámetro de una cadena del registro no voy a hacer una copia de seguridad del registro, pero SÍ que deberíais hacerla del systemstate o al menos de la carpeta NETLOGON del domain controller que Sí que funciona para si se eliminan por cualquier motivo todos los scripts los podáis copiar de nuevo en un Domain Controller para poder replicar a los demás rápidamente).

Leer el resto de esta entrada »

Como hacer un dcpromo a un Windows 2003 R2 x64 en un dominio Windows 2003 x86.

Buenos días, hoy me he encontrado con un problema en la actualización del dominio que tengo en Windows 2003 x86 a un sistema Windows 2003 R2 x64, el problema es que para llevar a cabo esta operación se requiere poner el cd 2 de la instalación del windows server 2003 R2 x64 para poder ejecutar el adprep desde el cd en el domain controller con el sistema basado en arquitectura de 32 bits del que dispongo. El problema reside en que en el cd2 del R2 x64 se olvidaron de poner la versión de adprep para 32 bits, con lo que este proceso no se puede realizar a no ser que tengáis el cd del R2 en versión x86 también, pero existe una forma de solventarlo que os muestro a continuación:

Leer el resto de esta entrada »

Migrar dominio de Windows 2000 a Windows 2003.

Lo que os voy a mostrar en este post son los pasos a seguir para poder migrar un dominio que actualmente está con sistema operativo Windows 2000 a una versión más actual de Windows 2003 (También puede ser R2).

Lo primero que deberás hacer es seguir los pasos descritos en el post Como crear un controlador de dominio adicional en windows server 2003.

Cuando hayas terminado deberás hacer que ese servidor sea Global Catalog de la siguiente forma:

Leer el resto de esta entrada »

Como elevar el nivel funcional de un bosque en Windows 2003.

Para poder realizar esta tarea deberéis iros a Inicio -> Herramientas Administrativas -> Dominios y confianzas de Active Directory

 

Leer el resto de esta entrada »

Mover Roles FSMO mediante línea de comandos.

Buenas, en este post os voy a mostrar como detectar que controlador de dominio tiene los roles fsmo asignados y como transferirlos a un controlador de dominio secundario en Windows 2003 server.

Lo primero que debemos hacer es conectarnos al controlador de dominio destino, es decir al que queramos transferir los roles de maestro, con un usuario con permisos de administrador de dominio.
Leer el resto de esta entrada »

Mover Roles FSMO a un nuevo server mediante entorno gráfico.

Primero de todo comentaros que esto se puede hacer de distintas formas, pero en este primer post os voy a mostrar como hacerlo gráficamente, es decir con ventanitas.

Lo primero que debemos hacer es saber cuantos roles tiene un domain controller y en windows 2003 estos son 5: RID, PDC, Infraestructura, Maestro de operaciones y Maestro de esquema.

Empezaremos cambiando el, RID, PDC e Infraestructura que están en la misma pantalla, pero diferentes pestañas.

Leer el resto de esta entrada »

Como crear un controlador de dominio adicional en Windows Server 2003

Como os había prometido os voy a mostrar como se ha de hacer para crear un controlador de dominio adicional de un dominio existente.

En primera instancia necesitamos disponer de un dominio existente, en el post anterior os he mostrado como crear el primer controlador de dominio para un dominio llamado megacrack.es ahora es el momento de instalar un controlador adicional para poder en el caso que el primero caiga tener un sistema de alta disponibilidad manual que valide a los usuarios hasta resolver el problema con el servidor principal.

Lo primero que debemos hacer es instalar de nuevo el Windows 2003 Server y ponerle una ip fija, en nuestro caso le pondremos la ip 192.168.1.101 con mascara 255.255.255.0 y puerta de enlace 192.168.1.1 y en el dns ya podremos configurar 192.168.1.100 que es el controlador de dominio principal que hemos instalado en el post anterior. El nombre del servidor va a ser SecondDomain.

Leer el resto de esta entrada »

Como crear un dominio en Windows 2003 Server y una zona inversa en DNS.

Lo que vamos a hacer es crear el primer dominio llamado MegaCrack de un futuro bosque de dominios, también vamos a crear una zona de búsqueda inversa en el DNS que instalaremos con el Domain Controller. Espero que os sea de gran ayuda.

Esta será la pantalla final cuando arranquemos nuestra sesión con el Domain controller o con algún cliente que añadamos al dominio creado.

Leer el resto de esta entrada »

Eliminar el último Domain Controller de la organización y su DNS.

En este post os voy a mostrar la forma de eliminar el último Domain Controller de una organización, este domain controller también es Catalogo Global así que habrá un pantallazo que no os saldrá si vuestro controlador de dominio no es Global Catalog.

Se puede hacer de 2 formas distintas pero en este caso lo voy a hacer mediante el comando DCPROMO, la otra forma es mediante asistente, pero así es más rápido.

Lo primera pantalla que os saldrá después de ejecutar el comando es esta:

 

Pulsar Siguiente.

Leer el resto de esta entrada »