Consulta con el equipo de Windows : GPO

Diversas herramientas no muestran todos los miembros de un grupo en el Directorio Activo

esplat — Thu, 16 Apr 2009 12:59:05 GMT

Hola a todos.

En ocasiones, es posible que necesitemos inventariar los usuarios y/o grupos que tenemos en nuestro Directorio Activo.

En función del método que empleemos para extraer información, puede ser que los resultados obtenidos no sean los correctos o estén incompletos.

Sea, por ejemplo, el grupo big_group (un grupo Global de Seguridad en el dominio) que tiene unos 2000 miembros aproximadamente.

Si intentamos listar los miembros que tiene, obtenemos los siguientes resultados:

dsget group

En este caso, como podemos ver en la captura, la salida de la herramienta no nos devuelve resultados:

ldp.exe

La herramienta ldp.exe trunca los resultados obtenidos, no mostrando la totalidad de miembros del grupo:

Expanding base 'CN=big_group,CN=Users,DC=testdom,DC=local'...

Result <0>: (null)

Matched DNs:

Getting 1 entries:

>> Dn: CN=big_group,CN=Users,DC=testdom,DC=local

2> objectClass: top; group;

1> cn: big_group;

0> member:

1500> member;range=0-1499: CN=user1,CN=Users,DC=testdom,DC=local; CN=user2,CN=Users,DC=testdom,DC=local; CN=user3,CN=Users,DC=testdom,DC=local; CN=user4,CN=Users,DC=testdom,DC=local; CN=user5,CN=Users,DC=testdom,DC=local;...

A través de la herramienta ntdsutil, podemos controlar una serie de parámetros para las políticas LDAP de los DCs del dominio.

Entre otros, tenemos la posibilidad de alterar el valor del parámetro MaxValRange el cual controla el número de valores que se devuelve en una query para cualquier atributo de un objeto en el AD.

Sin embargo, hemos de tener en cuenta diversas consideraciones antes de realizar cualquier cambio en estas políticas:

· Las políticas de LDAP son comunes a todos los DCs del forest. No es posible tener distintos DCs con valores distintos para cada parámetro.

· El hecho de incrementar el número máximo de valores por atributo que nos devuelve un DC (MaxValRange), puede provocar un impacto en el rendimiento de los Controladores de Dominio.

Este valor tomará efecto para todos los atributos de todos los objetos del Directorio Activo, y no sólo para miembros de un grupo o para otro atributo concreto que nos interese.

Tenéis disponible más información sobre el tema aquí:

315071 - How to view and set LDAP policy in Active Directory by using Ntdsutil.exe

http://support.microsoft.com/kb/315071

[…]

• MaxValRange - This value controls the number of values that are returned for an attribute of an object, independent of how many attributes that object has, or of how many objects were in the search result. In Windows 2000, this control is "hard" coded at 1,000. If an attribute has more than the number of values that are specified by the MaxValRange value, you must use value range controls in LDAP to retrieve values that exceed the MaxValRange value. MaxValueRange controls the number of values that are returned on a single attribute on a single object.

Default value:

o Windows 2000 - 1,024

o Windows Server 2003 - 1,500

Como alternativa, y en caso de necesitar un listado de todos los miembros de un grupo (p.ej. de más de 1500 usuarios en Windows Server 2003), os proponemos el uso de scripts para realizar la tarea.

En el siguiente enlace podéis encontrar un ejemplo de implementación de esto:

Scripting Guy: List members of a group

http://www.microsoft.com/technet/scriptcenter/resources/qanda/apr05/hey0419.mspx

[…] It’s easy enough to list all the members of a group; for example, here’s a script that reports back all the members of the Finance Managers group:

Set objGroup = GetObject _
    ("LDAP://cn=Finance Managers, ou=Finance, dc=fabrikam, dc=com")

For Each strUser on objGroup.Member
        Wscript.Echo strUser
Next

Un saludo a todos,

Javier Rama

Cómo configurar el Firewall de Windows para el perfil de dominio excluyendo un interfaz de red

esplat — Fri, 26 Sep 2008 12:47:00 GMT

Hola, soy Javier Rama, del equipo de Directorio Activo / Networking. En algunas ocasiones hemos tenido casos en los que el cliente necesita configurar el Firewall de Windows a través de GPO en su dominio.

Como sabemos, tenemos multitud de settings para configurarlo desde la consola de edición de Políticas de Grupo en:

Computer Configuration\Administrative Templates\Network\Network Connections\Windows Firewall

Sin embargo, puede haber ocasiones en que necesitemos deshabilitar todas las reglas y excepciones que aplicamos en el Firewall para un interfaz de red concreto del equipo.

Esto no podemos conseguirlo directamente con el conjunto de parámetros que podemos configurar a través de GPO.

Para conseguirlo, debemos realizar los siguientes pasos:

1. Deshabilitar la siguiente política en el perfil de Dominio, Windows Firewall: Protect all network connections

Gracias a este setting , habilitamos o deshabilitamos el Firewall de Windows.

El inconveniente que nos encontramos estableciéndolo es que, además de habilitar el Firewall, también lo configuramos para que aplique todas las reglas en todos los interfaces de red disponibles en la máquina destino.

Por tanto, lo deshabilitaremos estableciéndolo a Disabled y ,como veremos a continuación, activaremos el Firewall gracias a la herramienta netsh.

2. A continuación, crearemos un script de inicio para el equipo con el siguiente contenido:

netsh firewall set opmode mode=enable profile=domain (Habilitar el Firewall de Windows para el perfil de dominio)

netsh firewall set opmode mode=enable interface=”Red” (Proteger este interfaz de red con el Firewall de Windows)

netsh firewall set opmode mode=disable interface=”Red Externa” (No aplicar las reglas del Firewall para este intefaz)

…

(Continuar con todos los dispositivos poniéndolos a enable o disable según nos interese)

Como vemos, es necesario especificarle el nombre completo de cada interfaz de red.

Tras la aplicación de este script, conseguiremos el siguiente efecto:

3. El resto de parámetros que queramos configurar, tales como reglas específicas o excepciones, podemos hacerlo normalmente a través de GPO.

- Javier Rama del Castillo

W2k8 Days Novedades en las GPO de Contraseñas y Bloqueo de Cuentas

esplat — Tue, 29 Jul 2008 11:53:00 GMT

Hola a tod@s,

Retomamos la serie de novedades en Windows Server 2008 con la presentación que realizó nuestro compañero Tolu Igbon sobre las nuevas "Fine Grained Password Policies".

Esta novedad cubre una funcionalidad que se ha pedido durante largo tiempo y que finalmente tenemos disponible y consiste en la posibilidad de definir diferentes políticas de contraseñas y bloqueo de cuentas para distintos usuarios en el dominio.

Ahora, con Windows Server 2008, ya podemos establecer distintas políticas de este tipo para distintos usuarios en un mismo dominio.

Un saludo.