¿Tenemos el control de los permisos en nuestro Directorio Activo? – Herramienta AD ACL Scanner.

El otro día me hacía una gran pregunta ¿Tenemos el control de los permisos en nuestro Directorio Activo? ¿Podemos revisar nuestra delegación de permisos en Directorio Activo?, es más ¿Podemos hacer tales cosas rápidamente.

Desde Suecia con amor nos llega una gran herramienta de consulta. Su Plataforma de PFE’s el pasado mayo editó un muy puen Post en su blog (ver aqui), donde hablaban de la herramienta AD ACL Scanner (la podemos descargar desde aqui).

¿Que hace AD ACL Scanner?

¿Quién tiene documentado todos los permisos y la delegación de los mismos en su Directorio Activo? …. Yo no. Mal ejemplo doy. Estoy tenemos que cambiarlo.

Bien, esta herramienta genera informes sobre las listas de control de acceso a nuestro Directorio Activo. Ahora ya no tenemos escusa para no documentarlo.

Para ejecutar esta herramienta/script, necesitamos lo siguiente:

  • PowerShell 2.0 o superior.
  • Windows 7/Windows Server 2008 o superior.
  • Habilitar la ejecución de scripts no firmados => Set-ExecutionPolicy Unrestricted , de andar por casa, o si queremos ser mas selectivos, Set-ExecutionPolicy Unrestricted -Scope CurrentUser

adaclscan0001

 

¿Cómo creamos un informe de una OU?

Básicamente son tres sencillos pasos:

  1. Hacemos click en el botón de Connect la herramienta se conectará a nuestro Directorio Activo o a la partición que necesitemos, Configuración, Dominio, Esquema o Custom.
  2. Nos aparecerá el arbol del Directorio Activo con todas sus Unidades Organizativas donde podremos ir moviendonos y seleccionando.
  3. Cuando hayamos seleccionado una OU, ejecutaremos el escaneo pertinente, o sea, click en botón Run.

Este es un ejemplo de informe:

adaclscan0002

Opciones del Escaner:

  • Por defecto solo se nos mostrará la información sobre la OU en la que estamos. Si queremos también la de todas sus hijas, deschequearemos el botón One Level. No tenemos que preocuparnos si la herramienta tarda en hacer su trabajo, sobre todo en grandes estructuras con infinitas OUs.
  • Si queremos la fecha cuando los permisos fueron modificados tenemos que hacer un check en la opción Replication Medatada, añadiéndonos una columna a nuestro informe con dicho valor. Veamos otro ejemplo:

adaclscan0003

adaclscan0004

 

  • También podemos visualizar todos los bojetos, cambiado la selección de OU a All Objects.

 

  • Podemos seleccionar que el informe sea formato HTML o CSV o ambos formatos, fijando la ruta de destino del fichero en formato CSV así como podemos intercambiar el resultado entre ambos formatos.

 

Aunque donde esta herramienta demuestra todo su potencial es en los siguientes puntos:

 

Comparaciones.- Podemos comparar el resultado del estado actual con un resultado de un estado previo. Al poder guardar la salida del informe en formato CSV podemos comparar ficheros a lo largo del tiempo y poder descubrir quién tiene ahora permisos que antes no tenía y viceversa.

adaclscan0005

 

Filtrado.- Podemos realizar los siguientes filtros:

 

  • Filtro de permiso de Permitir o Denegar.
  • Filtro por tipo de objeto, como pueden ser Usuarios, contactos, grupos, equipos, etc.
  • Filtro “By Trustee”, o sea por cualquier conjunto de letras que puedan corresponder a algo que se encuentre en nuestro Directorio Activo.

 

Con esta herramienta no se que escusa poner ahora.

Suerte.

Herramienta Active Directory Replication Status…

La semana pasada me enteré de la aparición de una nueva herramienta “Active Directory Replication Status” que nos permite, desde una consola gráfica (GUI), verificar y resolver los problemas de replicación entre Controladores de Dominio que tengamos tanto a nivel de Dominio como de Bosque.

La podemos descargar desde este Link: Aqui. Y tiene la siguiente pinta:

¿Que nos aporta?

  • Nos da una visión rápida y sencilla de la situación actual de replicación de Directorio Activo, de todas sus particiones, agrupando por Contrlador de Dominio.
  • Prioriza errores que nos aparezcan dependiendo de su necesidad de ser corregidos.
  • Permite la exportación de la información para su posterior análisis.

Aqui teneis un artículo completísimo sobre esta herramienta desde WindowsITPro, Calentito.
Nos vemos.

Arrancar una máquina virtual formato VHD desde un Windows 7 como arranque alternativo.

Llevaba tiempo tratando de poner este Post, sobre cómo configurar el arranque inicial del equipo, un Windows 7, para que aparezcan tanto el sistema operativo instalado como uno alternativo que está ubicado en nuestro propio equipo, desde un fichero de formato vhd, o sea, una máquina virtual Hyper-V o Virtual PC.

Para empezar tendremos que disponer de la máquina virtual. Para este ejemplo que mejor opción que montarnos un arranque dual entre Windows 7 y el nuevo Windows 8 Beta, que lo descargaremos desde aqui.

Abriremos el Administrador de discos y seleccionaremos con el bótón derecho la opción “Exponer VHD”:

Seleccionaremos la ubicación de nuestro fichero en formato .vhd:

Queda claro de qué máquina virtual se trata:
Una vez aceptemos, nos aparecerá la siguiente ventana emergente que nos informa de que se ha añadido un dispositivo VHD

Esto era lo mas dificil. Ahora nuestra intención es que cuando arranquemos el equipo nos aparezcan dos opciones de inicio, una con Windows 7 y la otra, con Windows 8. Aqui nos toca repasar comandos como bcdedit. Si ejecutamos desde una línea de comando “bcdedit” nos aparecere información sobre el arranque de nuestro equipo:

Primera recomendación, hacer una copia de seguridad (backup) de nuestra base de datos del gestor de arranque: Bcdedit /export c:bcdbackup.bak

Tendremos que crear una nueva entrada para Windows 8, generando un GUID. Pasos:

  • Generamos un GUID (Identificador único) mediante un proceso de copia de uno de los existentes.- bcdedit /copy {default} /d “vhd arranque”

mostrándonos el GUID a utiizar {c8fc6558-c0fe-11e1-9615-80c16eea2c06}

Si ejecutamos el comando bcdedit otra vez nos aparecera el GUID con la nueva descripción que le hemos puesto:

  • Asignamos la ruta del archivo formato vhd.- bcdedit /set {c8fc6558-c0fe-11e1-9615-80c16eea2c06} device vhd=[Z:]Windows8Windows8.vhd
  • y bcdedit /set {c8fc6558-c0fe-11e1-9615-80c16eea2c06} osdevice vhd=[Z:]Windows8Windows8.vhd
  • Cambiamos la descripción de la entrada.- bcdedit /set {5586dd33-361b-11e0-8df8-0018716eb820} description “Windows 8″

Cambiamos la descripción de la nueva entrada

Podemos comprobarlo, por ejemplo, desde el msconfig.exe:

Y este es el resultado:

Workarround.- En el caso de que todo haya ido mal o peor, pues nada, recuperamos nuestro backup del gestor de arranque con un simple Bcdedit /import c:bcdbackup.bak y listo.

Bibliografía
Technet.

¿Cómo saber qué parches tengo instalado en un equipo?

Esta pregunta me la he hecho esta mañana ya que necesitaba saber si un servidor tenía instalado o no un parche, el 937031, y digo ….. pues seguro que hay algún comando por ahí, escondido, que me soluciona la papeleta.

Efectivamente, ejecutamos desde una línea de comando wmic qfe list full /format:htable >c:hotfixes.htm

Y, en este caso obtendremos un listado de todos los parches de seguridad instalados en la máquina, eso si, en formato html:

Espero que os sea de interes,