lunes, 16 de julio de 2012

Cambiar configuracion TCP/IP con un usuario no Administrador

Mi amigo Mariano me consultó si me era posible ayudar a resolver el siguiente planteo:

"Hay muchos usuarios que trabajan como consultores en diferentes empresas, algunos necesitan cambiar la configuración TCP/IP de sus equipos cuando se conectan en las redes de las otras empresas, pero ninguno es administrador local de su equipo. ¿Se puede permitir a usuarios que no son administradores cambiar la configuración TCP/IP? ".

La respuesta fácil es "Si, se puede" pero me pareció más interesante dar la respuesta completa.

Para equipos con Windows 7, es posible incluir a los usuarios en el grupo "Network Configuration Operators", lo que les dará la posibilidad de cambiar las configuraciones de red pero sin la necesidad de ser administradores del equipo. Claro que para configurar muchos equipos, debemos utilizar GPOs. Comenzamos creando dos grupos de seguridad en nuestro AD (Figura 1). Uno de ellos lo usamos para administrar los usuarios que queremos que tengan derecho de cambiar la configuración de red y el otro para administrar los equipos sobre los cuales se va a poder realizar este cambio.


Figura 1

Luego creamos una GPO que configuramos para que actualice el grupo "Network configuation Operators (built-in)" con el grupo de usuarios que queremos que modifique la configuración de TCP/IP (Figura 2) (Computer Configuration-->Preferences-->Control Panel Settings-->Local Users and Groups).


Figura 2

En la GPO, cambiamos los Security Filtering (Figura 3) en donde quitamos "Authenticated Users" y agregamos al grupo de seguridad que incluye los equipos en donde queremos que se pueda realizar el cambio de configuración. Esta configuración, nos va a aplicar la GPO solo en esos equipos y no en todos los de la OU.


Figura 3

Cuando un usuario quiera cambiar la configuración TCP/IP de un equipo, el UAC va a pedir credenciales para poder hacer este cambio. Si el usuario y el equipo en donde está realizando la acción están incluidos en los grupos de seguridad que creamos previamente, solo debe introducir sus propias credenciales (Figura 4).


Figura 4

Realizar todas estas configuraciones es recomendable, que ya no queremos que todos los usuarios puedan cambiar la configuracion TCP/IP de cualquier equipo de la red. De igual manera tampoco queremos tener que realizar la configuración manualmente equipo por equipo.

Adicionalmente, podemos realizar otras restricciones sobre que pueden hacer los “Network Configuration Operators” (Figura 5) si no queremos, por ejemplo, que accedan a las configuraciones avanzadas de TCP/IP (User Configuration-->Policies-->Administrative Templates-->Network-->Network Connections).



lunes, 9 de julio de 2012

Windows 8 RTM en Agosto

Hoy 9 de Julio en la WWPC 2012 en Canada, Microsoft anunció que Windows 8 RTM estará disponible en Agosto para clientes con Software Assurance (SA).  Estos clientes tendrán derecho a utilizar Windows 8 Enterprise el cual incluirá características exclusivas que no estarán disponibles en otras versiones.

Windows To Go: Permitirá utilizar Windows 8 en un pendrive USB y bootear el sistema operativo desde ahí. Con esto BYOP (o Traiga su propia PC en castellano) estará facilmente soportado por las organizaciones de IT.

Mejoras VDI: Con RemoteFX y Windows Server 2012, la experiencia de usuario en un entorno VDI será más rica aún, permitiendo utilizar graficos 3d, dispositivos USB y touch-screen a través de cualquier tipo de red (LAN o WAN)

Nuevo método de despliegue de aplicaciones en Windows 8: Las PC y tablets unidas al dominio con Windows 8 Enterprise podrán recibir aplicaciones Metro de forma interna sin pasar por el Windows Store.

Al igual que con Windows 7 Enterprise, estarán disponibles AppLocker, BranchCache y DirectAccess de forma exclusiva para Windows 8 Enterprise. La posibilidad de realizar un inicio nativo desde un VHD y la opción encriptar dispositivos con Bitlocker y Bitlocker to Go ahora estarán disponible en Windows 8 Profesional.

Una última novedad es que habrá tres tipos de arquitectura soportadas: x86, x64 y ARM. Para esta última arquitectura se espera una versión especial llamada Windows 8 RT, la cual será OEM e incluirá Office.

viernes, 6 de julio de 2012

Boot directo a .VHD rápido (y no soportado)

En un artículo previo se explicó cómo es posible agregar un archivo .VHD para realizar un boot nativo desde ahí. La desventaja de esa explicación es que existe la necesidad de tener el equipo previamente instalado con un sistema operativo.

Es posible crear de forma rápida un equipo con boot nativo desde .VHD sin ningún sistema operativo previamente instalado, solo con nuestro DVD de instalación. El siguiente procedimiento  no está soportado, por lo que en otro artículo se explicará como realizarlo en forma soportada y más lenta.

Se puede aplicar este mismo procedimiento si tenemos Windows 7 en ejecución en el equipo y queremos crear un doble inicio, uno desde el HD y otro sobre un VHD.

Esta forma de instalación solo la podemos realizar con Windows 7 Enterprise, Windows 7 Ultimate, Hyper-V Server 2008R2 y Windows Server 2008R2. Seguramente con Windows Server 2012 y alguna versión de Windows 8 podamos hacer lo mismo, pero al momento de esta prueba aún no están disponibles las versiones finales.

Aquí realizaremos el procedimiento con Windows Server 2012 pero también lo probé con:

-Windows 7 Enterprise
-Windows Server 2008R2
-Hyper-V Server 2008R2

Lo primero es iniciar nuestra instalacion desde el DVD y cuando aparece la pantalla de instalación (Figura 1), pulsamos Shift+F10 para que nos abra una ventana de comando (Figura 2).


Figura 1

Figura 2

Ejecutamos los siguientes comandos (Figura 3) para formatear nuestro HD (el disco físico, ya que este equipo no tienen nada instalado):

-Diskpart (Herramienta de manejo de discos)
-List Disk (Lista los discos)
-Sel Disk 0 (Selecciona el disco 0)
-Create Partition Primary (Crea la particion primaria)
-List Partition (Lista las particiones del disco actual)
-Format Quick Override (Formatea el disco)
-Assig (Asigna al disco actual una letra de unidad)


Figura 3

Para nuestra comodidad usamos el comando MD para crear un directorio llamado "VM" en donde se pueden guardar las instalaciones virtuales que utilizaremos.

Ahora hay que crear el .VHD en donde instalaremos el Sistema Operativo (Figura 4):

-Diskpart (Herramienta de manejo de discos)
-Create Vdisk File="C:\VM\W2012Beta.vhd" Maximum=20000 Typer=Expandable (Crea el archivo VHD)
-Select Vdisk File="C:\VM\W2012Beta.vhd" (Selecciona el archivo .VHD)
-Attach Vdisk (Montamos el .VHD)

Figura 4
Con el archivo. VHD creado y montado en nuestro sistema, debemos formatearlo de forma similar a como hicimos con nuestro HD (Figura 5)

-Diskpart (Herramienta de manejo de discos)
-List Disk (Lista los discos)
-Sel Disk 1 (Selecciona el disco 1, nuestro VHD)
-Select Partition 1 (Selecciona la particion 1)
-Format Quick Override (Formatea el disco)

Figura 5

Ya estamos en condiciones de abandonar la linea de comando y continuar con nuestro asistente de instalación como lo hacemos de forma habitual, teniendo en cuenta de seleccionar una instalacion CUSTOM (Advanced). (Figura 6).

Figura 6

En el paso final seleccionamos en cuan disco queremos realizar la instlación. El disco 0 es el disco físico y el disco 1 es el .VHD. Sin importar de la advertencia que nos da ("Windows can´t be installed on drive 1 partition 1"), pulsamos "Next" (Figura 7).

Figura 7

Finalizado el proceso, tendremos un equipo que realiza boot desde un .VHD sin un SO instalado en el disco físico.

Importante recordar que este procedimiento no esta soportado, pero es ideal para rapidamente armar equipos en el laboratorio, ya que el VHD es portable a otro hardware.