Activando Wallpaper en Active Directory
Esto es ya una rutina vieja que anexo al blog en vista de lo dispersa que esta la información sobre como aplicarlo, es decir, rapidamente nos topamos con distintos lugares donde explican vagamente realizar esto. Algo que podria considerarse no tan importante pero que puede serlo si para alguien de “peso” como el Gerente, el Vice-President o el mismo Presidente de la empresa desean que la imagen o logo de la compania este presente en cado uno de los equipos de la organización, que es normalmente como deberia de ser en toda empresa que se rija por los correctos lineamientos y reglas que se dicten en dicha organización y de lo cual la plataforma tecnologica es puente que ayuda a que esto se cumpla.
Ya en una ocasión, se habia expuesto en este web-blog, el montar un Controlador de Dominio. Habia hecho ese instructivo debido a repasar los pasos y porque habian unas cosa que no eran tan exacto como los mismos pasos de montar un Controlador de Dominio que se puede encontrar en la misma web de Microsoft. Para que molestarse en armar un material explicativo sobre el tema cuando ya en la Web de Microsoft lo exponen, no tan ilustrativamente (sin cada pantalla a la vista) pero si su explicación paso a paso, que es más que suficiente para realizar la misma labor.
No borro el material del blog, en vista de que si ha llegado a ayudar a algunas personas, existen comentarios anexados al tema y como ya habia comentado anteriormente, el material es muy detallado y varia un poco en sus pasos, ademas de contar con la explicación de migrar la información de un viejo dominio al nuevo.
Instuctivo de montar un Controlador de Dominio de la Web de Microsoft.
Ademas, realmente al momento de montar un Controlador de Dominio, de DHCP, un Servidor de Archivos por medio del Wizard o Asistente, no son muchos los parametros que se deben de indicar, por lo que agregar funciones a un Sistema Operativo Windows Server, es cosa de clickear una seria de pasos, que puede leerse en la misma web de Microsoft.
Lo unico a indicar aqui seria el activar un Papel Tapiz (Wallpaper o Background) para las terminales/equipos que pertenencen al dominio del servidor.
Lo primero que debenos hacer es crear una carpeta compartida en el Servidor, por ejemplo, C:\Wallpaper. Dentro de esta carpeta, colocaremos la, o las imagenes que tengamos pensado que sera el Wallpaper de las estaciones de trabajo, de todo equipo presente en la empresa.
Cabe comentar que esto esta basdo para Windows Server 2003 en Espanol.
Luego de tener esta carpeta compartida, con la imagen, abrimos el Active Directory.
Inicio > Herramientas Administrativas > Usuarios y equipos de Active Directory, el cual se encuentra casi al final de la lista de servicios.
En el arbol de la izquierda, nos dirigimos a la Unidad Organizativa en donde tenemos las carpetas (otras unidades organizativas internas) en la cual estan los usuarios de ese Dpto, y en la carpeta (la unidad organizativa) boton derecho del mouse, Propiedades.
En la pestana “Directiva de grupo” crearemos una directiva, boton Nuevo, la llamamos Wallpaper o como queramos ponerle, luego de estar presente en la lista (la cual inicialmente esta vacia), pulsamos en el boton Modificar.
Se nos abrira el editor de objetos de directivas de grupo, en él, nos dirigimos a la ruta que se muestra en la imagen:
Debemos en los siguientes item del lado derecho:
El habilitar estos dos item de la lista, ya que si no esta habilitado el Active Desktop, obviamente no se reflejara el trabajo realizado en el segundo item mencionado, el cual se encuentra practicamente al final de la lista de items que figuran en la imagen anterior.
En la ventana anterior tenemos la ruta \\jdserver.itech.com como nombre del servidor, donde jdserver es el nombre del equipo servidor y itech.com es el dominio del servidor. Realmente esta dirección tan exacto no es necesario, simplemente con poner el nombre (sin .dominio) de igual forma sirve, es indiferente para la activación Desktop del Active Directory.
Esto es todo, si nos dirigimos a otro equipo el cual este dentro del dominio e iniciamos sesión con cualquier usuario de esta unidad organizativa, veremos que conforme se inicia la sesión de Windows de dicho equipo, no tardara en cargar el Wallpaper procedente del servidor mediante la Activación de la politica de grupo Desktop/Papel Tapiz que el Active Directory carga en el grupo que le hemos indicado. Si cargamos una sesión de usuario (de un usuario que no pertenece a esa unidad organizativa o grupo) no deberia mostrarse este wallpaper, ninguno o se mostraria algun wallpaper que hayamos especificado como politica global en el Active Directory y no por grupo individual, ya que puede establecerse una activación de Desktop no necesariamente por cada grupo del Active Directory, sino por medio de unas Politicas de Grupo del Windows Server.
Todos los equipos pueden tener el mismo Papel Tapiz, o uno diferente por Dptos o como se desee perfilarlo en la organización.
Hotfixes Unattended for Windows
En alguna oportunidad se nos presenta la necesidad de instalar una seria de archivos que corrigen fallas criticas y mejoras al sistema. Pero esto representa un problema cuando esto debe hacerse en muchos equipos.
La distribución/instalación de archivos de forma desatendida es nuestro aliado en esta tarea. Desde una carpeta compartida desde el servidor, podemos dejar instalando todos los archivos que pongan al dia todas las estaciones de trabajo, dejando correr la descompresión e instalación de estos paquetes y parches dejando solo el reiniciar los equipos al siguiente dia y sin obstaculizar la labor del personal (en horas de trabajo) y sin la vigilia de estar ante cada equipo realizando esta tarea de forma manual, lo cual solo ocasiona perdida de tiempo y recurso humano, como informaticos, siempre buscamos la automatización de los procesos o tareas manuales y optimizando en mejor medida las tareas.
Para descargar lo actual en correcciones/actualizaciones podemos recurrir al programa WUD el cual desde su web, podemos descargar Las Listas que indexan los paquetes que nos interesa instalar en el sistema de uno o varios equipos. Esta utilidad nos descargara todos estos archivos organizado en carpetas por categoria de descarga, con esto tenemos listo el 1er paso.
Windows Update Download
Luego recurrimos a otro programa RunOnceEx.cmd con la cual haremos una lista de cada uno de los paquetes/archivos ya descargados, indicando su ruta/archivo.exe duplicamos el primero para copiarlo debajo y simplemente cambiarle el nombre por el proximo archivo para el caso de varios archivos ubicados en una misma carpeta.
Instalación Desatendida de Archivos
El archivo que se crea se genera sin extensión por lo que debemos colocarle la extensión .cmd archivo el cual también podemos editar con el block de notas de Windows. Debemos quitarle los %PP% al inicio de la ruta de los archivos lo cual lo hacemos con la opción de Reemplazar del block de notas. Otro punto sobre la instalación desatendida de multiples archivos ya descargados es el parametro que debemos indicar al momento de crear el archivo .cmd, normalmente el paramtro /silent serviria pero puede presentarse el que solo descomprima el archivo mas no lo instale, por lo que los parametros para confirmar que esto funcione “podrian” ser /passive /norestart, algunos archivos necesitan el parametro o atributo /quiet. Esto puede variar dependiendo de la necesidad de instalación del paquete pero la mayoria se instalara con un mismo parametro o grupo de ellos.
Editando el archivo .cmd
Luego de una consola MSDOS que inicia el proceso, reiniciamos y es cuando empieza la instalación de todos los archivos de la lista. Para unas primeras pruebas, debemos verificar que todos los archivos realmente se estan instalando y si no presentan algun error o aviso conforme se van instalando para luego investigar cual seria el parametro que ese archivo necesita, lo cual podemos investigar en este link.
Instalación de cada archivo presente en la lista del archivo .cmd
Revisamos para coroborar la instalación de todos los paquetes que hemos indicado que se instalen, Panel de Control > Agregar/Quitar Programas y tildamos arriba donde se indica [ ] Mostrar Actualizaciones.
Lista de archivos instalados (actualizaciones del sistema)
De esta forma nos ahorramos el trabajo de estar frente al equipo (de cada equipo) instalando los archivos uno por uno, de forma remota podemos actualizar muchas estaciones de trabajo con herramientas gratuitas y de rápido impacto.
Compartir internet desde Windows XP
Algo que me toco hacer el dia de hoy y el cual anexo a mis memorias en este blog…
Tenemos la situación de 2 equipos, uno de ellos posee una conexión a internet por medio de un pendrive modem usb de movilnet. El 2do equipo debe de conectarse al 1er equipo para tener internet.
El 1er equipo, el cual posee la conexión, indica en su “conexiones de red” dos conexiones, las cuales son, la conexión logica creada por la instalación del pendrive modem y la conexión local propia del equipo, la NIC o tarjeta de red.
Debemos indicar el crear una conexión de red domestica o de oficina para ambos equipos. Inicio-Panel de Control- Conexiones de red- “configurar una red domestica o de oficinas pequeñas”.
Para el PC Servidor se indicaria:
Este equipo se conecta directamente a internet. los otros equipos de mi red se conectan a internet a través de este equipo
Para el 2do equipo (el cliente): hacemos lo mismo pero seleccionamos…
este equipo se conecta a internet a través de una puerta de enlace residencial o de otro equipo de mi red.
Ambos PCs deben estar bajo el mismo grupo de trabajo.
En las propiedades TCP/IP del pendrive modem lo unico que se debe hacer es activar o tildar alguna opción que indique algo como:
Esto puede ser igual o parecido en las propiedades TCP/IP de tu modem usb pendrive:
[ ] Permitir a usuarios de otras redes conectarse a través de la conexión a Internet de este equipo.
Si no se activa esto, los demás PCs, sea uno o más, no podrán navegar a travez del 1er equipo, el cual es el que principalmente es el que posee la conexión a internet.
Nos olvidamos de ajustar alguna IP fija a las propiedades TCP/IP del modem porque la IP es y debe ser dinamica, entregada por DHCP por el proveedor del servicio. Pero las propiedades TCP/IP de la NIC local de equipo, si le indicamos una IP fija, lo cual debe ser de la siguiente forma:
Equipo Servidor (quien ofrece el internet, pendrive modem)
IP: 192.168.0.1
SubMred: 255.255.255.0
Gateway: nada
DNS preferido: 200.44.32.12
DNS alternativo: 200.44.32.13
Los Servidores DNS lo podemos ver en una consola MSDOS con ipconfig /all
Equipo Cliente (PC conectada por cable al 1er equipo para tener internet)
IP: 192.168.0.2
SubMred: 255.255.255.0
Gateway: 192.168.0.1 –> La IP del PC Servidor
DNS preferido: 200.44.32.12
DNS alternativo: 200.44.32.13
Lista de DNS de Proveedores:
Servidor DNS de Cantv / Movilnet
DNS preferido: 200.44.32.12
DNS alternativo: 200.44.32.13
Servidor DNS de Digitel:
DNS preferido: 57.67.127.195
DNS alternativo: 57.73.127.195
Servidor DNS de Movistar:
DNS preferido: 200.35.65.3
DNS alternativo: 200.35.65.4
Para este caso, el pendirve modem es de movilnet por lo que nuestras IPs de ISP son las de Cantv/Movilnet.
Esto ofrece que un 2do equipo pueda navegar en internet por medio de un 1er equipo sin necesidad de instalar algun tipo de software tipo proxy ni indicar en las opciones del navegador que apunte a ningun servidor proxy, y podremos compartir carpetas e impresora entre estos equipos, aunque inicialmente el principal interes de esto es que otro(s) equipo(s) pueda(n) navegar por medio de un equipo principal con acceso a internet.
Esto se aplica no solo en casos como un PC con una conexión USB o cable Ethernet, en resumen de esta forma se puede conectar un equipos a otro equipo principal para salida de internet, se necesitaria un switche o router para el caso de mas de un equipo al equipo principal.
Palabras de Liderazgo
Hace poco estuve presente en un taller de Liderazgo Empresarial en el que se expuso un contenido dirigido a todo el personal de la empresa. Este taller se realizo debido a que en la empresa se realiza un concurso en donde cada departamento expone unos valores que deben ser inculcados o enfatisados en la organización, por lo que en el mes de Julio los dos valores son Humildad y Liderazgo, y de ahi el origen de haberse presentado este estupendo video en dicho taller, perfecto para toda reunion o taller en grupo, este video hablar por si solo.
DNS BlackList
Los servidores DNS de Listas Negras son en ocasiones una pesadilla para toda persona que administre un servidor de correo. Realmente si no fuesen por estas bases de datos que mantienen estos servidores, la constante orgia de correos masivos de spam y con virus seria mayor.
Considero que nadie que esté a cargo del correo de la empresa (correo propio de la empresa) pueda decir que nunca ha tenido problemas con estas Listas Negras. A finales del 2007 tuvimos la mala suerte de caer en una de estas listas, de la cual luego pudimos retirar la IP de ésta, gracias al direccionamiento de un correo de rebote.
Cuando el correo de tu dominio no sale, y se recibe mucho spam, es seguro que estamos en algun servidor DNS BlackList, y es cuando comienza la caseria para saber en cual o cuales de tantos serviores DNS que reciben el trafico de la internet entre ellos filtrando y marcadonos como spam por algun tipo de abuso en nuestros correos corporativos que ha violado alguna norma referente a correos electronicos.
Actualmente mi problema ha girado unos 180º ya que el primer caso el correo no salia, pero si entraba, ahora el correo sale, pero no entra. Luego de apagar todas las PCs para descargar que el problema seria un equipo al cual se le haya instalador algun tipo de programa que truncase la data en la red, bloqueara el puerto smtp 25, y de chequear los router y los mismos servidores. Ya se consideraba que el problema era de afuera de la intranet, sobre todo cuando se recibe información por parte del ISP de problemas en esta región del país (problemas que obviamente no explican) y que están procediendo a resolverlos.
Este problema del proveedor, comenzo el martes, el correo presento estos problemas el miercoles a jueves, viendo los Delivery de todos las pruebas e intentos de correo, que informaban de estar en un servidor DNS de listas negras. Comenzaba la busqueda de saber en cual lista estaria nuestra IP.
En varias partes, no estabamos listados, sin embargo www.dnsbl.info me apunto a la lista en la que estaba el problema, igual con www.robtex.com y www.mxtoolbox.com, todos apuntaban al mismo servidor DNS Aleman que nos tenía listados. Pero viendo en detalle el bloqueo, se vio que no era especificamente la IP de la empresa la que estaba listada, sino muchas IPs, ademas… UCEPROTECT (el DNS en el cual estamos listado) no deja la posibilidad de que retiremos la IP, como el caso de otra lista a finales del año pasado, en este caso, el problema es el proveedor de internet el que está listado, varias de sus IPs. Eso explica el que el correo salga pero no lleguen correos externos, normalmente el perfil de bloqueo es al reves, como el primer caso, el correo no sale, pero si puede entrar.
En lo personal, nadie pagara a UCEPROTECT por retirar la IP de la lista la cual indica en sus detalles de bloqueo al proveedor, este DNS actualizara su data en 7 días, posiblemente para esa fecha, el correo vuelva a funcionar, pero es demasiado tiempo y dejar que las cosas se arreglen solas no es la mejor opción, ni la más preferida, solo me queda contactar al proveedor de internet, lo cual es otra odisea.
Normalmente las personas que te atienden a los telefonos 0-500 no conocen de todos los problemas que pueden presentarse, en este caso, ningun operador ha sabido dar con alguna solución. Es como un juego de ajedres, los peones son los que nos atienden, cuando con quien nos interesa hablar están muy atras, la ultima linea de las piezas. No será fácil hablar con la persona indicada sin primero lidiar un buen tiempo con la primera linea de operadores telefonicos que no poseen el entrenamiento de atención al cliente necesario para este tipo de problemas, es frustante tener un problema que depende de terceros de personas externas aunque es un alivio saber que el problema no es interno, es una pesadilla cuando se sabe que contamos con la corrección del problema de personas ajenas lo cual hara que todo sea muuuy tardio.
Definitivamente siempre hay que chequear los filtros de correos en el servidor, para evitar que correos con contenido spam o con virus hagan que nuestro dominio termine en alguna de estas listas negras de internet, de ser necesario, comprar un programa pago para evitar este tipo de problemas en el futuro, que filtre bien la entada y la salida de los correos, pero creo que este tipo de inconvenientes es parte del día a día del mantenimiento de un servidor de correo, y la presión de solventarlo no ayuda cuando mucha gente debe recibir correos, cuando el dpto de RRHH coloca anuncios en la prensa, cuando la directiva comienza a preguntar ¿qué pasa con el correo? y saber que este es uno de esos problemas que no son tan faciles de resolver y que lleva su tiempo hacerlo.
El Extraño Mundo de Google
Debo decir que gracias a la naturaleza de la Internet, esto ha ayudado a que Google exista, un portal nada pesado, sencillo con un tipico fondo blanco, un baner que cambia conforme la epoca de celebración del año, y dos botones de busqueda.
Google ha sacado muchas cosas utiles y lo seguirá haciendo, en mi caso, con respecto a descargas, uso el GoogleDesktop y el Google Earth, ya en línea como mucha gente, el buscador inicialmente, y entre otras cosas, picasa, y demás páginas similares.
Detras de esa sencilla web, se esconde un enorme y muy complejo algoritmo, el cual es el que le da el poder a Google de ser lo que es, desplazando a muchos otros motores de busqueda.
Pero en la historia de Google han salido a la luz una seria de cosas verdaderamente extrañas, como por ejemplo, el famoso pero ya olvidado botón de [voy a tener suerte] el cual solo abarca el 1% de las veces que los usuarios usan Google para realizar sus busquedas. No he podido conseguir la noticia en que un representante de Google indicaba que si quitaban ese botón, se caeria la internet, es decir, colapsaría. Obviamente mucha gente se pregunta para qué ese botón si solo cumple la función de llevarnos al primer link de la lista.
Realmente considero que seria un error quitarlo, pero en el extraño mundo de Google han sucedido cosas que han salido a la luz, desde este botoncito y algunas otras cosas. Por ejemplo, si escribimos make google logo black and white y pulsamos el botón de “voy a tener suerte” nos llevara a una web Google con el logo en blanco y negro, una tonteria que alguien puso a capricho. Si por ejemplo buscamos encontrar un trabajo digno con un sueldo decente y nuevamente pulsamos el botón de “voy a tener suerte” nos llevara a una página de error siertamente curiosa por asi decirlo. Si usamos otros buscadores esto no sucede, obviamente, solo en Google.
Un caso verdaderamente raro, un internauta quien escribio una carta a Google quejandose de los constantes cambios de AdWords, uno de los tantos servicios de google, si no sabes que es AdWords, puedes saberlo en este enlace de wikipedia, un caso en el que el usuario indica que los constantes cambios de diseño de la web le daban dolores. El usuario le escribio una carta a Google titulada “Google, me estás dando dolor de cabeza” a lo cual recibio esto del querido Dr Google (Adam Lasnik):
Luego tenemos el caso de como Google busca personal, Cómo trabajar para Google otro extraño caso de Google que vivio un matemático y el cual cuenta su historia de como llegó finalmente a una web que le pedia su curriculum luego de una seria de problemas matemáticos para llegar a dicha web. Y sin salirnos mucho del tema, tenemos a leer en cualquier parte de la Internet obviamente recurriendo a hacerlo por google mucho mejor las extrañas preguntas que te harian en una entrevista de trabajo de Google como de costumbre, algo fuera de lo cotidiano.
Hace un tiempo, en una breve oportunidad de consulta, hable con alguien que trabajaba para Google España y debo decir que de 10 tornillos, le faltaban 9. Deben haber muchas otras curiosidades de Google y las que deben faltar por venir, todo esto demuestra que detrás de ese gran algoritmo que compone esquematicamente la estructura de google, también se encuentran un poco de gente safada de la cabeza que son los que le dan ese toque característico que tanto nos gusta de Google. 
Lo que más queda al aíre preguntar con respecto a Google sería:
¿Algún día podremos adjuntar archivos .exe, .mp3 y otros en los correos Gmail?, ¿los adjuntos de los correos más usados seguirá siendo de 10MB a pesar de los GB de bandeja de entrada?
Solucionando Problemas del iPod Suffle en Windows XP
Hace poco compre por internet el iPod Suffle el cual presenta problemas solo para algunos casos determinados y en especial particularidad. Desgraciadamente pertenezco a ese porcentaje en el que el dispositvo presenta problemas.
Existen casos, por lo que pude investigar en internet, en donde los dispositivos iPod en general, presentan problemas en Windows. Realmente el problema no está en el dispositivo, sino en el software que lo gestiona, el iTunes. Dicho problema consiste en que iTunes no puede sincronizar el dispositvo, presentando algunos avisos de error. Un error común o muy repetido es el aviso que indica:
El iPod de nombre no puede sincronizar. No se encuentra el disco requerido
Este error es debido por el “nombre del dispositivo” como unidad en un sistema Windows, ya que aunque el sistema operativo al detectarlo, le asigna una letra de unidad, la identificación del dispositivo de esa forma “nombre del dispositivo” en la conexión USB ocasiona un error de acceso al mismo que evita que el iTunes pueda interactuar correctamente con él ya que es este software el que identifica al iPod de esa forma.
Si intentamos usar el iPod en un sistema MAC funciona perfectamente, incluso en sistemas Vistas por ser el más nuevo actualmente (para la fecha de este post). Pero aunque nos bajemos el ultimo iTunes para Windows 2000/XP y nuestro dispositivo sea original de Apple, de todas formas puede presentarse este problema de interacción entre este programa con el iPod.
Buscando toda una noche, mismo dia en que recibi el producto, encuentro un blog en donde su autor trata un post sobre el iPod Suffle y en donde hace la observación del problema. Esta persona luego crea un minitutorial de un programa llamado MediaMonkey el cual interactua perfectamente con el iPod en plataforma Microsoft.
Con MediaMonkey como opción del iPod bajo Windows, puede desintalarse el iTunes el cual me dio sus buenos ratos de problema, mientras que MediaMonkey, todo fue como debio de haber sido desde un principio.
Si tu iPod, iPod nano, iPod Suffle presenta problemas en Windows, no te preocupes, no pienses que es el iPod que tiene defecto de fabrica, es el iTunes en Microsoft Windows. Lo mejor es no usar el iTunes e irse por otra via, tal como el MediaMonkey. Mejor mientras se espera que entre Apple y Microsoft las cosas se arreglen y en caso de que tu sistema operativo no sea MAC.
Instalando un Servidor de Dominio
Este post trata de la preparación y montaje de un Servidor DNS y un Servidor de Dominio bajo platafora Microsoft, en un computador cualquiera preferibblemente de buen desempeño ya que el Servidor de Dominio lo mejor es que quede sólo, es decir, que dicho computador no sea Servidor de compartir archivos en red, o el tener una base de datos de una aplicación administrativa en red, lo mejor es que quede sólo, un equipo solo y exclusivamente para cumplir la tarea o papel de ser un Servidor de Dominio. Todo este ejemplo se realizará en un equipo con Windows Sever 2003.
Un servidor de dominio controla la permisologia de usuarios y equipos en una red, en donde se crean usuarios que tendran restricciones. Dichos usuarios en sus estaciones de trabajo, al ingresar a su sesion de windows la cual pertenece al dominio, dependiendo de las restricciones que se les hayan impuesto, no podran instalar programas, usar o no una impresora en red u otro dispositivo en red, se planifican tareas tales como el que el usuario deba cambiar su password cada sierto tiempo o de lo contrario su cuenta caducara para el caso de usuarios no administrativos.
Cuando el servidor de dominio falla, los usuarios ya no pueden entrar a sus sesiones de usuario del dominio, el vinculo o enlace a las impresoras falla. Luego de que un servidor de dominio colapsa, algunos usuarios de la red aun pueden ingresar a sus sesiones de dominio, y otras no, hasta que con el tiempo, ya no pueden. Esto es debido porque se conserva una especie de cache, lista o base de datos que se crea entre el servidor de dominio y las estaciones que pertenecen a este, lo cual mantiene el que las sesiones de usuario de dominio aun puedan ser accedidas. Esto existe por la razón de que si un servidor de dominio sufre algun percance tal como un cuelgue, problemas en el cableado electrico, apagon o reinicio del servidor, los usuarios aun puedan sin problemas acceder a sus sesiones sin darse cuenta de lo ocurrido. Si el problema no se resuelve pronto, el usuario solo puede acceder varias veces a su sesion hasta que esto decae y el usuario ya no puede ingresar más a su sesión de usuario de dominio. Realmente la falla se comporta en que el usuario puede a veces ingresar a su sesión y otras no, hasta un punto en que ya no pueda hacerlo.
Comenzaremos realizando la instalación de servidor DNS para luego realizar la de dominio
Esto lo realice en un Windows Server 2003 Enterprise.
Al entrar al WinServer2003 como administrador nos carga esta ventana:
La cual también la podemos llamar en la siguiente ruta:
De esa ventana “Administre su servidor” pulsamos en “Agregar o quitar función” lo cual nos pasara a la siguiente ventana:
Luego llegaremos a esta ventana, pero es mejor escribir por medio del Ejecutar de Windows DCPROMO lo cual nos cargara esta misma ventana sin la necesidad de pasar por las ventanas anteriores:
Ya a partir de este punto comienza el rol de servidor de dominio que tendra nuestro servidor, comenzando su instalación con lo cual pasamos a la siguiente ventana:
La ventana anterior nos da una información muy importante en donde nos dice que los Windows 95 y NT 4.0 pueden presentar problemas. Si en la red existen PCs con versiones viejas de Windows, 95, 98, NT, estos equipos daran problemas en la red con respecto al servidor de dominio, los usuarios de esas estaciones tendran problemas de loggearse correctamente por lo que lo mejor es sacar de la red equipos con versiones viejas de Windows, es lo mejor y lo más factible. En todo caso, si esos PCs con versiones muy viejas de Windows cumplen tareas que no involucran a la red, por ejemplo, un programa adminisrativo que por una conexión ODBC se conecta a otro servidor el cual aloja una base de datos Microsof SQL Server, entonces no hay problema, de hacer uso de impresoras, lo preferible para equipos viejos es que estén conectadas directamente a ese equipo, ya que el uso de impresoras en red para estos equipos puede presentar problemas.
Seguimos indicando las configuraciones en el asistente el cual luego nos pasa a esta ventana:
Como en este caso nuestro Servidor será nuestro principal servidor de dominio, es decir, no hay otros, obviamente indicamos la primera opción y procedemos a pasar a la siguiente configuración en donde también escogemos la primera opción.
Luego se nos pide el nombre DNS el cual bajo el cual se asentara nuestras directivas de grupo que será lo que instalaremos luego. En caso de no haber una organización .com u otra nomenclatura, por ejemplo, terminer el nombre de nuestro DNS en .dom (de dominio) es factible. Para evitar problemas con esto del .com, .org etc, nos olvidamos de esto y para que Windows Server nos deja indicar un nombre de DNS, le indicamos el nombre que mejor consideremos y lo terminamos con un .dom al final.
En la siguiente ventana, se nos pide el nombre de dominio del servidor que se verá en la red, este será el nombre bajo el cual todos los demás usuarios verán al servidor.
En las dos siguientes imagenes se deja todo como esta:
La ventana que se muestra a continuación es un punto en el que Windows Server no detecto un servidor de dominio, lo cual es perfectamente normal, ya que no lo hay, debido a que precisamente el servidor de dominio es lo que se está instalando y configurando, el asistente nos deja en la segunda opción ya que al no detectar un servidor de dominio presente, Windows Server considera que dicho servidor es el que se está montando, de ahí a que caiga o nos seleccione la segunda opción, por lo que simplemente pasamos a la siguiente venana.
Información de la ventana:
Resultados de diagnóstico
El diagnóstico de registro se ejecutó 1 vez.
Ninguno de los servidores DNS utilizados por este equipo respondió en el intervalo de tiempo de espera.
Para obtener más información, incluidos los pasos necesarios para corregir el problema, consulte Ayuda.
Detalles
La consulta SOA de _ldap._tcp.dc_msdcs.midominio.dom para buscar el servidor DNS principal devolvió:
Esta operación ha regresado debido a que el tiempo de espera ha caducado.
(código de error 0×000005B4 “ERROR_TIMEOUT”)
Ahora pasamos a esta ventana en donde no nos interesa que usuarios anonimos al dominio puedan acceder a él, por lo que obviamente escogemos la segunda opción solo para acceso a usuarios autenticados dentro del dominio.
La siguiente ventana se explica por sí sola:
Caemos al resumen:
Y finalmente a la ventana que da por finalizado este proceso.
Culminado esto, el Wndows Server nos pedira reiniciar, en donde al hacerlo, veremos que la ventana de login de usuaro ahora muestra el perfil de red de “Conectarse a:” en donde la única opción presente en la lista (en este caso) es únicamente el Dominio que acabamos de crear y al cual nos logeamos para entrar.
Windows siempre tarda un poco más de lo acostumbrado cuando ingresamos por primera vez a una sesión de dominio, ya luego dicha demora será menor. Al ingresar por primera vez a la sesión de usuario administrativo por el dominio, Windows nos recibe con la siguiente ventana la cual confirma todo lo hecho anteriormente.
Ahora pasamos a crear la jerarquia de Unidades Organizativas, Grupos y usuarios para dar por terminado y listo nuestro Servidor de Dominio el cual será el que administrará a los usuarios y recursos de la red.
El Active Directory
Luego de ya instalado el Servidor DNS (la 1era fase de 2) ahora instalaremos el servidor de dominio, debemos crear las Unidades Organizativas, la estructura que compondra el control de los equipos, impresoras, carpetas y usuarios que administrara nuestro nuevo servidor de dominio de la red. Momentos antes de comenzar con esta segunda fase de instalación y configuración, debemos pensar cómo está constituida la red, de ser necesario, pasar por los distintos departamentos de la empresa para saber cuantas computadoras los constituyen, cuántas impresoras hay en dichos departamentos porque en base a esa información, estará organizada la estructura de nuestras carpetas en el servidor de dominio.
Tomemos el ejemplo de una empresa la cual contenga (por ejemplo) los siguientes departamentos:
Departamentos con nombres algo largos tales como “Atención al Cliente” o “Analisis de Crédito” es preferible resumirlos y tener una estructura que esté bajo un mismo perfil.
Iniciamos el Active Directory de Usuarios y Equipos el cual se encuentra en la siguiente ruta:
Al abrirlo vemos el nodo raíz del dominio que hemos creado hace unos momentos.
Desplegamos el árbol de contenido de nuestro dominio y aqui agregaremos unas cuentas cosas para formar nuestros grupos de usuarios y equipos.
En la imagen anterior vemos una estructura propia del Active Directory, nosotros creareos la nuestra, los computadores, usuarios y demás recursos de la red no estarán en las Unidades Organizativas default del Active Directory, sino en la nuestra. Cuando ya tengamos creado usuarios bajo el dominio de red que hemos creado y en sus estaciones de trabajo nos logeemos como esos usuarios, en la carpeta Computers aparecera un icono de PC de cada usuario que ha iniciado sesión a nuestro dominio. Esos PCs los vamos a “arrastrar” a nuestra propia carpeta de computadoras, lo cual se explicará mejor conforme lleguemos a ese punto.
Pulsando (en mi caso) midominio.dom boton derecho crearemos una Unidad Organizativa la cual llamaremos COMPUTADORAS.
Pero no solo será esa, de igual forma crearemos otras más las cuales serán GRUPOS Y USUARIOS
Ahora dentro de cada uno (COMPUTADORAS, GRUPOS, USUARIOS) les crearemos a cada uno, dos Unidades Organizativas las cuales serán NIVEL1 y NIVEL2.
La estructura debe quedar parecida a esta:
Hagamos nuevamente un repaso de la estructura que queremos hacer, las Unidades Organizativas COMPUTADORAS, GRUPOS, USUARIOS albergaran como su nombre asi lo indica, a todos los equipos en uno, a todos los usuarios en otro, y a todos los Dptos de la empresa en GRUPOS, para este ejemplo se agregaran en GRUPOS los siguientes dptos:
Los NIVEL1 y NIVEL2 son para separar a los usuarios, equipos y grupos tanto administrativos como no administrativos. En el NVEL1 de GRUPOS estara el o los grupos administradores de la red y en el NIVEL2 estará los demás grupos los cuales son los Dptos de la organización u empresa. En el NIVEL1 de USUARIOS estarán solamente los Administradores del sistema (de la red) y los Servidores de la Empresa, mientras que en el NIVEL2 estarán todos los demás usuarios.
Vamos a crear a los Grupos de cada dpto de la siguiente forma:
Esto nos ayudara a de una forma más organizada y esquematica el administrar las Politicas de Grupo y los Permisos sobre los recursos.
Comenzamos entonces a crear los distintos Dptos de la empresa, esto lo hacemos en la Unidad Organizativa GRUPOS. Primero crearemos el grupo INFORMATICA del cual perteneceran los o el usuario administrador de la red y luego crearemos los otro grupos a los cuales perteneceran los otros usuarios que crearemos luego.
INFORMATICA lo crearemos en el NIVEL1 el cual no tendrá restricciones en el dominio, los otros grupos estarán en el NIVEL2 que si tendran restricciones en el dominio.
El grupo que crearemos se llamara GG_INFORMATICA (GG por Global Group), dicho grupo como se observa en la ventana, será en Ambito de Grupo, Global y en Tipo de grupo será Seguridad. Si no mal recuerdo, de existir otros servidores de Dominio, Windows Server nos habria activado la opción Universal y la opción de Distribución también es referente al caso de existir otros dominios.
Ahora crearemos los grupos DL_INFORMATICA_CARPETAS y el grupo DL_INFORMATICA_IMPRESORAS (DL por lo de Domain Local). A diferencia del anteriror el cual era un grupo Global, los dos siguientes grupos serán de Dominio Local.
Luego de haber creado a estos grupos, tenemos la siguiente ventana:
Luego de haber creado el grupo Global y los de dominio local, debemos relacionarlos, clickeamos a GG_INFORMATICA, y pulsamos Agregar
Agregamos a DL_INFORMATICA_CARPETAS y a DL_INFORMATICA_IMPRESORAS, podemos escribir sus nombres completos o solo lo escribimos en parte y pulsamos Aceptar.
Sea en mayuscula o minuscula, escribimos dl_inf y al pulsar Aceptar se nos abrirá otra ventana que nos mostrará los grupos que coincidan con lo escrito.
Seleccionamos ambos de INFORMATICA y Aceptar
Estos grupos fueron creados en NIVEL1 de GRUPOS, por ser el grupo que estará vinculado a los usuarios administradores de red, los demas grupos estarán en el NIVEL2 y se crean de la misma forma que los anteriores, clickeamos en el NIVEL2 y crearemos los siguientes grupos, al terminar de agregarlos deberia quedar asi:
Ingresamos a cada grupo GG_DEPARTAMENTO y le indicamos en la pestaña “Miembro de” que es miembro de DL_DEPARTAMENTO_CARPETAS y DL_DEPARTAMENTO_IMPRESORAS. Por ejemplo igual como se hizo con GG_INFORMATICA, tomamos otro grupo, GG_COBRANZA e indicamos que es miembro de DL_COBRANZA_CARETAS y de DL_COBRANZA_IMPRESORAS y asi sucesivamente con los demas grupos.
No agregare a todos los dptos ya sitados, ya que se trata de entender como preparar un servidor de dominio y no es necesario completar todos los dptos, con las ventanas anteriores se expresa o capta la idea de crear los grupos. Lo que si hay que estar pendiente es en indicar Global a los grupos GG e indicar Dominio Local a los DL ya que de equivocarnos, se tendra que borrar y volver a crear porque no hay forma de editarlo luego de ya haberlo creado. Ahora pasaremos a crear a los usuarios que estarán relacionados a estos grupos.
Si intentamos agregar a un usuario sea un Administrdor en NIVEL1 de USUARIOS o en el NIVEL2 (usuaro común) se nos presentara un problema.
En las ventanas anteriores se trató de ingresar a un usuario pero las directivas de seguridad de contraseñas no permiten el ingreso de cuentas de usuario que no cumplan con las normas las cuales son el que la contraseña debe tener al menos una letra mayuscula, tanto letras como numeros y de ser posible también simbolos, es decir, una contraseña compleja. Aunque seguir bajo este perfil de seguridad es correcto, es algo engorroso para los usuarios puesto que ningún usuario pretendera recordar contraseñas tan complejas, por lo que en estos casos, lo que debe hacerse es modificar los requisitos de la directiva de contraseñas para que los usuarios puedan tener contraseñas no tan complejas pero a la vez no tan predecibles.
Esto se hace por medio de la “Directiva de Seguridad de Dominio” lo cual se encuentra en la siguiente ruta:
En la sección de la derecha de la ventana anterior vamos a cambiar una serie de cosas que son la causa por la cual Windows Server 2003 no nos permite crear usuarios con contraseñas de poca complejidad.
Pasamos de Habitada a Deshabilitada los requerimientos de complejidad para poder crear usuarios con password no tan complejos.
La parte de Forzar el Historial de Contraseñas tiene por defecto el recordar las ultimas 24 contraseñas, lo cual es demasiado exagerado por lo que lo colocaremos con solo recordar las 2 ultimas contraseñas.
La longitud minima de la contraseña es de 7, podemos dejarlo asi, podemos subirlo o bajarlo, yo escogo 6 para que los usuarios creen contraseñas no menor a 6 caracteres.
La vigencia minima de la contraseña se puede dejar de 1 día tal cual como lo tiene configurado por default Windows Server, si en ese plazo el usuario no ha entrado al dominio con su cuenta de usuario, expirará su clave y debera pedirle al administrador de la red que se la active nuevamente.
La vigencia de expiración de la contraseña Windows Server la tiene a 42 días, yo escogo indicarla a 60 días, puede ajustarse a gusto del administrador de la red. Esto es el tiempo en que durará la contraseña, a los 60 días el usuario deberá de cambiarla ya que por seguridad no es bueno tener la misma clave indefinidamente, sino el que cada cierto tiempo (3 semanas 1 mes o 2, etc) el usuario cambie su clave para garantizar seguridad de su cuenta.
Luego de hacer estos ajustes, ya podremos ingresar usuarios los cuales tendrán contraseñas mayor a 6 caracteres y no será necesario el que sea tan compleja.
Volviendo al punto de crear a nuestros primeros usuarios del Dominio que hemos instalado, y sabiendo que ya no tendremos problemas con las exigencias de la contraseña. Crearemos primero a los usuarios que administrarán la red. Creare uno solo, el cual sería el ejemplo del administrador de la red, este usuario estará en USUARIOS en NIVEL1 ya que ese nivel es el nivel de los usuarios que no tienen restricciones en el dominio.
En la siguiente ventana debe hacerse una observación importante, notese que luego de indicar el nombre y apellido del usuario, en su nombre de inicio de sesión hemos colocado jdiaz lo más correcto con respecto al login de los usuarios es mantener una estructura o esquema de logins iguales, por ejemplo, el perfil por el que me apego consiste en tomar la inicial de su primer nombre y seguido su apellido, todo en minuscula, en caso de haber usuarios que poseen casualmente el mismo primer nombre y primer apellido, se le agregaria la inicial del segundo nombre, lo necesario para diferenciarlos. De igual forma para todos los demás usuarios, esto es porque si comenzamos a meter login’s de diversas formas, nos complicara las cosas al momento de que necesitemos hacer algo con la cuenta de ese usuario desde su estación de trabajo. Además, los usuarios nunca recuerdan su nombre de sesion ya que este normalmente no se ingresa, los usuarios solo ingresan el password por lo que normalmente no recuerdan el login, sino solo el password, asi que con solo preguntarle al usuario su primer nombre y su primer apellido, sabremos su login y el password se le pedira al usuario que la ingrese, esto en el caso de presentarse la necesidad de realizar alguna tarea de mantenimiento o chequeo en su sesión de usuario en su estación de trabajo.
En la ventana siguiente tenemos la opción de que el usuario pueda cambiar la contraseña que le hemos puesto y que la cambie por la suya al momento de logearse por primera vez.
En la ventana anterior debe indicarse una observación, si es la primera vez que existe un dominio, una red bajo un dominio, entonces no hay problema para dejar tildado la opción de que el usuario cambie la clave por la suya, no podemos crear cuentas de usuario sin clave, ya que Windows Server no lo permite. En caso de que anteriormente ya existia un Dominio y éste se daño, entonces lo mejor es crear todos los usuarios sin activar el que pueda cambiar la clave en su primera sesión de usuario el porque de esto, lo explicare al momento.
Los usuarios que creemos debemos meterlos en sus respectivos grupos, los que ya hemos creado, por ejemplo, este usuario es administrador de la red, por lo que estará asignado al grupo INFORMATICA el cual pertenece a la Unidad Organizativa NIVEL1, el cual pertenece a la unidad organizativa GRUPOS.
Al usuario que hemos creado solo le falta indicarle que es miembro del grupo GG_INFORMATICA, entonces en la unidad organizativa USUARIOS, en NIVEL1 donde está ese usuario, lo seleccionamos para abrir su ventana y en la pestaña “Miembro de” debemos indicar a qué grupo pertenece.
Pulsamos Agregar y nuevamente nos aparecera la ventana como el caso de relacionar los grupos con otros, pero en este caso, estamos relacionando al usuario con el grupo al cual será miembro. Este usuario será miembro de GG_INFORMATICA por lo que esribimos gg_inf y pulsamos Aceptar, se agregara GG_INFORMATICA y de esa forma el usuario ahora es miembro de uno de los grupos ya creados.
Los usuarios que serán administradores del dominio, deben ser agregados al grupo Admins. del dominio ya que de lo contrario, no tendra todos los privilegios administrativos. Hay grupos como el comentado que no hemos creado, sino que son grupos propios por default del Active Directory.
Los otros usuarios perteneceran a otros grupos, por ejemplo, en caso de tener a Ana Gonzales (usuario: agonzales) quien pertenece al dpto de Ventas, este usuario ubicado en el NIVEL2 de USUARIOS, será miembro de GG_VENTAS y asi sucesivamente. Obviamente Ana sólo será miembro del grupo GG_VENTAS y no de “Admins. del dominio” porque Ana es un usuario con privilegios reducidos o pocos privilegios, no como Jose el cual si poseerá todos los privilegios por ser administrador del dominio.
Habiamos quedado en aclarar el que si los usuarios ya trabajan o lo hacian en un dominio que ya no se usara o que ya no funciona, eso significa que en todas las estaciones de trabajo, los usuarios ya tienen carpetas y archivos los cuales pertenecen a los perfiles de Windows del antiguo dominio.
Por ejemplo, si anteriormente existia un servidor de dominio llamado DominioA y el cual colapsó, y ahora hemos creado a DominioB, debemos ir a cada estación de trabajo (sea una red de 30, 60 o más equipos) y debemos pasar toda la información del viejo dominio al nuevo. Es un trabajo muy engorroso pero es la única forma de hacerlo.
Repasando lo que se ha hecho, creamos 3 unidades organizativas, las cuales son COMPUTADORAS, GRUPOS y USUARIOS, cada una con dos sub unidades organizativas, las cuales son NIVEL1 y NIVEL2. En GRUPOS creamos los grupos que conforman a cada departamento de la empresa y en USUARIOS creamos a los usuarios, en COMPUTADORAS no creamos nada, porque cuando el servidor detecte la petición de logeo de sesion de las estaciones de trabajo, las colocara en Computers, y de ahí las tomamos y las movemos a nuestra unidad organizativa COMPUTADORAS. En todo esto, dependiendo de los privilegios de cada usuario, estarán ya sea en NIVEL1 (todos los privilegios) o en el NIVEL2 (usuarios no administrativos de pocos privilegios).
Pasando las Carpetas y Archivos de los usuarios de un dominio al otro
En cada estación de trabajo, debemos ingresar como usuario administrador local, por medio del panel de control en “Conexiones de red” debemos hacer unos cambios con las configuraciones de IP del equipo, en esto ultimo no me voy a detallar tanto ya que es la tipica carpinteria de windows. La idea aqui es que las IP de DNS a las cuales apunta el computador, deben apuntar ahora al nuevo servidor donde la IP preferida es la IP del servidor (recordemos que todos los equipos tienen IP fija o estatica, desde los servidores hasta las estaciones de trabajo) solo esos ajustes en las configuraciones de IP de cada equipo.
Luego en las propiedades de “Mi PC” en la pestaña “nombre del equipo” debemos pasarlo al nuevo dominio. Es preferible que las estaciones se llamen por ejemplo, VENTAS1, VENTAS2, otro ejemplo MERCADEO1, MERCADEO2, MERCADEO3, etc, y en la Desripición el nombre del usuario que usa dicho equipo.
No es bueno colocar como nombre del PC el nombre del usuario porque los computadores en ocasiones son cambiados, es decir, un usuario podria usar el PC de otro usuario o el usuario podria no trabajar más en la empresa. Si un usuario ya no usara más dicha estación, simplemente se cambia la descripción que es donde está el nombre del usuario, pero el computador seguiría llamandose MERCADEO2 ya que es un computador perteneciente a dicho departamento, en caso de que el equipo sea mudado a otro dpto, en ese caso, si seria correcto el cambiarle el nombre al computador. Todo esto es porque con dicho nombre y con dicha descripción es que se identificará o se veran cada equipo en la red, de tal forma que si el administrador de la red debe ingresar desde la red a otro equipo, sabra a cual gracias a la forma como está identificado el computador en la red.
Una vez hecho los ajustes en la estación de trabajo como administrador local, reiniciamos el PC, lo cual el mismo windows nos lo pide, al llegar a la ventana de sesion de Windows, vemos que abajo aparece “Conectarse a:” en donde aparece el dominio que hemos creado, en caso de haber más dominios también estarían en la lista, igual que la opción de logearse localmente.
Nosotros hemos creado al usuario “jose díaz” el cual su login es jdiaz, el password seria el que le indicamos al momento de crear su cuenta, por ejemplo, 123456. Nos logeamos con este usuario para que se cree su perfil. Windows creara en C:\Document and Settings un nuevo perfil de usuario, que será jdiaz el cual contendra todo el perfil de sesion de sistema de este usuario. Luego de que el sistema ha creado su perfil, salimos de la sesion y entramos como administrador del dominio.
Entramos como administrador del dominio porque si el usuario no posee privilegios administrativos no podremos acceder a ciertas carpetas a las cuales accederemos, y también porque necesitabamos que el perfil del nuevo usuario del nuevo dominio estuviese creado, existiese en C:\Documment and Settings\jdiaz porque copiaremos todo su viejo o anterior perfil del antiguo dominio, al nuevo.
Por ejemplo, supongamos que jdiaz tiene del viejo dominio, un perfil de windows llamado josediaz, entonces debemos copiar todas las carpetas y archivos de ese perfil y copiarlos al nuevo, que seria jdiaz. Despues de unas dos semanas, borramos el viejo perfil, pero antes no por si nos haya faltado alguna información que haya quedado en el viejo perfil, si el usuario no da la alerta de que le faltan archivos o carpetas, entonces procedemos luego de ese periodo de tiempo ya transcurrido, a borrar su vieja cuenta del computador.
Esta “mudanza” es muy engorrosa, sobre todo si son muchos los equipos de la red, además, si el usuario usa algun programa de correo, como por ejemplo, el Outlook Expess, y si su correo era POP3 y no IMAP, eso significa que todos sus correos no están en un servidor, sino que han sido bajados a su computador, lo cual implica más trabajo ya que entonces debemos volver a crear su cuenta de correo en su computador en su nueva sesión de usuario del nuevo dominio e importar tanto su libreta de direcciones como sus correos.
Para cuando al siguiente día todos los usuarios lleguen a sus puestos de trabajo, antes de eso, ya debemos de haber indicado en las cuentas de correo del servidor de dominio el que el usuario debe cambiar la contraseña al iniciar la cuenta de usuario, para que cada usuario de cada estación ingrese su propia contraseña.
El que la red esté controlada o administrada por un servidor de dominio, garantiza la seguridad y control de recusos de la red. Por ejemplo, si el Dpto de Ventas posee 8 usuarios, y el dpto de Administración posee otros 3 o 4 usuarios, y ambos departamentos comparten una carpeta en red, pero un usuario de Administración solo tiene derecho de lectura en dicha carpeta, y dos usuarios de Ventas no tienen acceso pero los demás sí, entonces desde cualquier terminal (estación de trabajo) de la red, como administrador, solo debemos seleccionar dicha carpeta compartida, botón derecho, propiedades.
En la parte de Seguridad de la carpeta que se haya seleccionado vamos a darle permisos a un usuario que no está en la lista, tomando el ejemplo, del usuario que ya hemos creado, el cual es el usuario jdiaz por lo que procedemos a darle más permisos.
A un usuario podemos darle más permisos que a otro, a otros denegarle el acceso, modidificación etc de alguna carpeta u archivo.
Hay algo importante que debe de saberse, si borramos a un usuario y lo volvemos a crear exactemente igual, todo igual, de todas formas esto hará que el servidor de dominio cree otro perfil de usuario. Por ejemplo si el usuario José Diaz es borrado y su cuenta de usuario se crea nuevamente exactamente igual, de todas formas, cuando ese usuario entre a su sesion de usuario, esa sesión de usuaro no será la misma de antes. Si un usuario perdio su password, o desea tener la libertad de cambiarlo, debe hacerle la petición del cambio al administrador de la red. No es posible que desde el Active Directory se reescriba otro password, lo que se hace es activar la opción de que el usuario “nuevamente en caso de ya haberse hecho esto antes con este usuaro” es el indicar en su cuenta el que pueda cambiar su clave cuando vuelva a iniciar su sesión.
Luego de ya estar montado el servidor de dominio, debemos ir a cada PC de la red y debemos cambiar sus IP de DNS para que apunten al servidor.
En las direcciones de DNS debemos colocar como preferido, la IP de nuestro servidor de dominio, como alternativo la otra IP DNS o la de otro servidor DNS que pueda haber ya en la red. Aunque las IPs del equipo son internas, es decir, de la intranet, de todas formas oculto las direcciones por seguridad.
Luego de ya tener el equipo apuntando al servidor de dominio, finalmente podemos verificar o de ser necesario, cambiar el nombre del PC. Recordemos que en la Descripción iría el nombre del usuario, pero en el nombre del PC debe ir por ejemplo, VENTA2, ADMINISTRACION1, RECEPCION1, es decir, el perfil del Dpto al cual pertenece el equipo, ya que el usuario puede ser otro en el futuro, en caso de que el computador pertenezca en el futuro a otro dpto, entonces se cambia su nombre, pero mantener esta regla ayuda, ya que ese perfil es bajo el cual se identificará y se vera el computador en la red.
Y asi sucesivamente se identificaria cada equipo en la red, y es importante actualizar esto luego de que el PC pasa a manos de otro usuario u otro departamento.
En la siguiente ventana se indica el nombre del PC en la red y lo más importante, en la opción de Dominio o Grupo de Trabajo más abajo en la ventana, debe indicarse Dominio y coloca el nombre de nuestro servidor de dominio, que en nuestro caso seria midominio o midominio.dom es igual, recordemos que asi cree yo el nombre de dominio de mi servidor, en resumen, se coloca el nombre que se haya indicado en el servidor. Dicha sección se ve bloqueada pero es porque tomo la ventana desde el propio servidor, pero en las estaciones de Windows XP, todas las secciones de la ventana están activas para ser modificadas, obviamente esto solo desde una cuenta administrativa local en el computador, porque como administrador de dominio aun no es posible puesto que el equipo aun no pertenece al dominio, lo estamos agregando desde la cuenta de administrador local del equipo.
El equipo mostrará un aviso de bienvenida al nuevo dominio y pedira reiniciar el computador para que los cambios tengan efecto. Si sale algun aviso de error, de que el dominio indicado no existe, debe verificarse la IP del computador, ver si las IPs de DNS son las correctas, que esten apuntando al servidor correcto, verificar que la IP de Gateway (puerta de enlace) sea la correcta, que en muchos casos hablamos de un router, si el cable de red está bien conectado o no, algun programa firewall, algun antivirus instalado completo con su propio firewall que esté trancando la data en la red, etc. Ya anteriormente se habia indicado que el inicio de sesión del usuario dentro del dominio tardara un poco mientras el sistema operativo crea el perfil del usuario. Luego tendremos que mover toda la información del viejo dominio del usuario al nuevo, algo de lo cual ya se ha explicado.
Evitando Desactivación del Proxy
En toda empresa con acceso a internet, normalmente se planifica el que sólo algunos equipos tengan acceso, o el que éste sea restringido para algunas webs.
Por ejemplo, yo uso el FreeProxy el cual es gratuito y fácil de configurar, con el cual los usuarios tienen acceso a unas webs y a otras no. Para esto, ya con el Proxy corriendo, solo es cuestión de indicar en el navegador de cada equipo (boton Configuración de LAN), la activación del Proxy, y es precisamente en esto ultimo donde está el problema.
Aunque los usuarios no tienen privilegios administrativos en sus computadoras, lo cual evita que pueda instalar programas de cualquier tipo, existia el problema de que dentro de las restricciones de uso del sistema operativo, no estaba la activación/desactivación del proxy. Es decir, el usuario podía ingresar a la sección del navegador, desactivar el uso del proxy en el navegador sin importar sus limitados privilegios de usuario.
La solución para evitar que los usuarios en sus máquinas no desactivaran el uso del proxy en su navegador se realiza por medio de la Directiva de Grupo con lo cual se logrará (para el proposito de este caso) quitar la pestaña Conexiones para evitar que el usuario tenga acceso a la sección de activación/desactivación del proxy.
Ejecutando una herramienta propia del Windows XP la cual nos ayuda a administrar las aplicaciones y servicios del sistema, para este caso en particular en donde nos interesa que el usuario no pueda manipular el uso del proxy en su navegador web realizamos lo siguiente:
Desde la opción de Ejecutar del Windows, corremos la aplicación que nos ayudara con esto, escribimos MMC lo cual nos abrirá el Microsoft Management Console con el cual cargaremos un programa llamado gpdit (Directiva de Grupo) el cual se encuentra en la carpeta System32 de Windows XP. El gpdit directamente no lo podemos abrir, ya que Windows no reconoce a qué aplicación se relaciona, razón por la cual lo hacemos desde el MMC.
En la parte izquierda en el árbol de carpetas tenemos dos secciones, las cuales son Configuración del equipo y Configuración del usuario. Preferí hacerlo en ambas secciones, escogiendo la carpeta:
Plantillas administrativas-> Componentes de Windows-> Internet Explorer-> Panel de control de Internet
Con lo cual Deshabilitamos la página de Conexiones y de esa forma evitamos que el usuario pueda quitar el uso del Servidor Proxy en su estación de trabajo. El usuario no tiene privilegios para hacer estos cambios garantizando que no pueda desactivar el proxy.
La diferencia entre Linux y Windows
Siempre me ha gustado esa caricatura.
Una de las cosas que considero muy ventajosas de Linux es su dificil vulnerabilidad en virus, hay personas que sostienen que en Linux no hay virus, realmente si los hay pero son tan pocos y en particular el que funcionen es algo tan reducido, que por esto, muchas personas se atreven a indicar que en Linux no hay virus, el impacto de un malware de este tipo en comparación con Windows es muy pequeño.
Existen software que varian dependiendo de la versión de linux, y dependiendo de esa misma versión que tengamos es que sabremos mediante los varios links de descarga, cual es que el debemos descargar. Realmente dudo mucho que exista un virus para Linux que tenga existo de vulnerabilidad en varias versiones de Linux, ya que el problema no es solo de las distintas versiones sino tambien de las distintas distribbuciones cada una pasando de una versión a otra en meses.
Las actualizaciones de Windows estarian constituidas en sus parches, sus actualizaciones de Update, pero esto sucede igual en Ubuntu u otra distribución, pasa mayormente de una versión a otra una distribución linux que una versión de Windows. No puedo garantizarlo pero creo que en los sistemas MAC, la presencia de virus también es poca, por lo que todo esto de los virus siempre apunta a Windows. No solo en virus, también se conocen más bugs para Windows que para otros sistemas operativos, en el caso de Linux, es OpenSource cualquiera puede ver su estructura y detectarse y corregirse más rápido que en Windows cuando la corporación lo informe, podria haber varios bugs criticos justo ahora, saberlo de alguna web de detección de bugs y aun estar esperando un parche de Microsoft.
Indicar las difrencias entre Windows y Linux, muchas, las cuales se repiten en cualquier parte en internet (incluyendo este post), como los LiveCD, usar el PC sin disco duro, algo que no se puede hacer con Windows. Llevar Linux en un pendrive el cual solo necesitaria del equipo anfitrion donde se conecte, el uso de memoria, algo que Windows no puede hacer. Los usuarios de Linux saben que no es aconsejable usar la cuenta root en todo momento, salvo y unicamente en las operaciones del sistema que ameriten tales privilegios para algun proceso, mientras que los usuarios Windows siempre trabajan desde la cuenta de administrador, ya que deben salir de la sesión no-adm para instalar algo desde adm, por lo que prefieren quedarse, usar y hacer todo desde esa cuenta lo cual es el principal problema de vulnerabilidad.
Las personas creen que un virus puede causar su daño sin importar el nivel de privilegios de usuario del sistema, cuando en realidad el alcance destructivo de un virus depende del nivel de privilegios del sistema en el que se encuentre la cuenta infectada, por lo que no es raro que al momento en que un virus infecte a un sistema de Microsoft, se vea que el malware tiene a su total disposición todo el acceso del sistema para realizar su tarea. Claro, estan los antivirus, pero y si no, y si era versión de prueba, ya expiro y el usuario no se ha percatado de ello, y si el antivirus está desactualizado, y si el virus es muy nuevo. Incluso antivirus actualizados no seria la primera vez que veria un antivirus no detectar el virus y otro si, ya lo he visto antes. Las distintas casas de antivirus, no comparten su data.
Si un virus llegase a caer en un sistema Linux, primero es dificil que se replique en otras partes del disco, de que infecte a otros archivos, que se copie, etc, ya que para eso, debe tener permisos de ejecución, algo que si el usuario no le otorga el malware no podra hacer nada, un perfil clasico y por más de excelencia en los sistemas Unix y variantes del mismo. Ademas, como ya se indico anteriormente, si es un virus para Winows, no hara nada en un sistema Linux, no hay ninguna ruta C:\Windwos\System32 para alterar archivos del sistema, no hay ningun “registro de windows” para autoregistrarse y cargarse con el sistema, no existen archivos especificios de extensiones especificas. Para el caso de un virus de Linux, para tener exito, el sistema debe tener la versión de kernel especifica, lo cual es dificil. Además de que el usuario Linux normalmente no hace uso frecuente de la cuenta root por lo que el alcande de daño del malware se reduce considerablemente. Windows es más usado, porque es más facil, por eso los desarrolladores de virus apuntan más a este sistema. Otra cosa a tomar en cuenta es que existen más usuarios con un Windows pirata instalado en su equipo que uno original, lo cual incremente el riesgo, igual para el antivirus pirata, aunque considero que la pirateria siempre ha sabido vurlar tan bien todos estos impedimentos de compra y venta de un producto original que considero que muchos usuarios de software pirata gozan de igual forma o al menos de la gran mayoria de las utilidades y servicios online de las casas que los representan sea o no original.
En todo esto si mencionamos tambien la adquisición gratuita del Software Libre en comparación con uno propietario, el bajo costo de adquisicion por pago de materiales tales como el CD, el estuche donde viene, el envio, etc igual sigue siendo el mejor precio, sin dejar por fuera del soporte el cual en el software propietario también se paga y el cual expira y debe renovarse igual que la licencia del producto, esto no pasa en Linux.
Puedo ser tanto usuario de uno como del otro, no me pondre en posicion de guerra por odiar a quienes usen la otra plataforma, ni tampoco para el caso de quienes programan bajo un lenguaje privativo y otros en uno libre, puedo trabajar y estar entre ambos, sin estar en ningun momento, casado con alguno de ellos, como el caso de quienes defienden a Windows y toda su familia de aplicaciones de desarrollo simplemente porque tienen uno o más certificaciones Microsoft en su curriculum, la cual “sorpresa” (o tal vez no), debe renovarse o sino la pierde. Esta renovación es debido a la tecnologia a la infraestructura que cambia, se actualiza con el tiempo y en donde la persona certificada debe estar al día de igual forma para mantener tal certificación, o al menos eso debe ser, porque si no….
Linux sigue siendo un sistema seguro y que no requiere mucho hardware para funcionar, puede montarse un servidor Linux en un equipo de bajo perfil, incluso podria decirse que también uno Windows, pero Windows requiere más hardware, sobre todo el Vista, la tecnologia framework es pesada, Microsoft siempre se ha caracterizado por su demanda en hardware, algo que lo desfavorece desde el punto de vista del comprador el cual tiene a su alcance otras opciones que son mejores. Ya de fabrica vienen PCs con Linux, algo que antes no se veía, y era molesto comprar un equipo para luego quitarle un sistema que igual se nos fue cobrado junto con el computador.
Este post puede alargarse más pero lo dejo hasta este punto, ya hay mucha más información de entre las diferencias de estos dos señores en muchos otros rincones de la Internet como para seguir con este tema. Un poco más para el monton.
