viernes, 17 de abril de 2015

Exchange. Grupo de distribución. Enviar en nombre de


Me he encontrado el caso que para tener un buzón común y carpetas de un grupo de usuarios se estaba creando en el Exchange/AD un usuario (Ejemplo usuario: DeptInformática) y luego se estaban dando permisos "Manage Send As Permission..." a todos los usuarios que lo necesitaban.

Este usuario nunca se usará como tal (no hará logon), y si tenemos bien montado el AD, estará expuesto a las políticas de seguridad de caducidades de contraseña, obligatoriedad a cambiar la contraseña, informes de usuarios sin acceder desde hace X tiempo, etc ....

Un ejemplo de como se estaba haciendo hasta el momento sería que una vez seleccionado un usuario del AD, en este caso "Informes", se va a la consola del Exchange y con el botón derecho accederemos a lo siguiente:



No es una opción demasiado elegante y luego los emails te llegan como reenviados.

La nueva opción que propongo sería creando un grupo de distribución en el AD (no un usuario, y dando permisos a los usuarios que deban usarlo.

Ejecutar "dsa.msc", creamos el grupo:


Añadimos los usuarios



Las siguientes opciones será usando PowerShell.



Muy importante, arrancar el PS como administrador, sino indicará que no conoce los comandos:


Para asegurar que no vamos a tener problemas con los comandos deberías hacer las siguientes importaciones:


# Import the ActiveDirectory cmdlets
Import-Module ActiveDirectory

# Import the Exchang cmdlets

Add-PSSnapin Microsoft.Exchange.Management.PowerShell.Admin

Si da algún problema cuando se ejecuten los siguientes usuarios es que estás en el servidor que no tiene el Rol que modifica estos parámetros.
Opción A:

Add-AdPermission "GrupoDistribuciónCorreo" -user "UsuarioAD_SendAS" -AccessRights extendedright -extendedrights "send as"


Set-DistributionGroup -Identity"GrupoDistribuciónCorreo" -GrantSendOnBehalfTo UsuarioAD_SendAS

Ejemplo:

Add-AdPermission "Depto Informática" -user "Bill Gates" -AccessRights extendedright -extendedrights "send as"

Opción B:


Get-DistributionGroup "Depto Informática" | Add-AdPermission -ExtendedRights Send-As -User "Bill Gates" -AccessRights ExtendedRight
Set-DistributionGroup -Identity "Depto Informática"  -GrantSendOnBehalfTo Bill.Gates

Opción C:


Add-ADPermissions -Identity <Distribution Group> -User <User\Security Group> -ExtendedRigths Send-As



Todo esto va bien sin no tienen un punto central donde compartir carpetas, sino que todos reciben copia de la documentación.

Probado Exchange 2007, la información es posible que sea válida para versiones superiores.

GoN. mayo 2015 v2

martes, 14 de abril de 2015

WSUS. WindowsUpdate. Maneras de verificar que se han aplicado los parches en un servidor - hosts


Se que hay muchas maneras de comprobar que hemos parcheado un host, aquí pondré algunas que se me han ocurrido.


Mi empresa actualmente está bajo constantes auditorias internas, con lo que como mínimo recomiendo usar un par de de las opciones que comentaré aquí para estar tranquilos.

Antes de nada verificamos que nuestro host esté bien configurado

reg query HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate
reg query HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU

OPCIÓN A
Conectarse al “Windows update” de la máquina que queremos verificar:



[1] Volver a Buscar actualizaciones, hasta que ponga que no hay disponibles “Check online updates from Windows Update”




Esto no acaba de ser fiable, puede que pasado un rato y cambiar de estado. 

En ocasiones da problemas al intentar actualizar:


Podemos intentar solucionarlo con:

Desconectar el FW
net stop wuauserv
reg Delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate /v PingID /f
reg Delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate /v AccountDomainSid /f
reg Delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate /v SusClientId /f 
reg Delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate /v SusClientIDValidation /f
net start wuauserv
wuauclt.exe /resetauthorization /detectnow 

También podemos probar con:


[2] Verificar los parches instalados por fecha

Damos a la opción “View update history



Hay que asegurarse que todo lo que esté fallido acabe “Succeful




OPCIÓN B

Conectarse al WSUS

[1] Buscar la máquina que queremos verificar



Cuando la encuentras si le das doble click nos saldrá un informe.
Para ver lo que nos interesa podemos modificar los parámetros del informe de la siguiente manera.

[1.1] Ir Opciones del informe


Poner las siguientes clasificaciones:


Y podemos dar a: 

En la primera página del informe nos saldrá algo parecido a:



OPCIÓN  C

Usar el programa Microsoft Baseline Security Analyzer






Recomendación:

Para quedarse tranquilo y revisar un poco el estado del sistema miraría:

A. Que todos los servicios que tengan el "Startup Type" en Automático estén "Started"


B. Revisar el visor de evento por si hay errores



GoN.  Abril 2015

lunes, 13 de abril de 2015

WSUS. Diagnosticos. Localizar y Solucionar problemas.

Cuando me encuentro que un servidor esta bien configurado y no acaba de conectarse (aparecer) en el WSUS  lo primero que hago son los siguientes comandos en el servidor que no aparece:

Todos los comandos hay que ejecutarlos con privilegios administrativos.

gpupdate /forece
net stop wuauserv
net start wuauserv
wuauclt /ResetAuthorization /DetectNow

Aún y así vi que me aparecían pero a los días volvían a desaparecer.

Aumenté la lista de servicios a actualizar

Primero, Deshabilitar FW y luego:
w32tm /resync
ipconfig /flushdns
ipconfig /registerdns
gpupdate
gpupdate /force
net stop bits
net stop wuauserv
net start wuauserv
net start bits
wuauclt /ResetAuthorization
wuauclt /DetectNow  


Y pasaba lo mismo, durante un tiempo aparecían hasta que por algún motivo volvían a desaparecer.

Estuve mirando cosas como:

Microsoft tiene una herramienta de diagnostico muy sencilla que nos puede ayudar a localizar problemas, es un ejecutable, no hay que instalar:

El error 0x80070002 que sale esta documentado en: 

http://blogs.technet.com/b/emeasetup/archive/2009/03/17/eehndlr-warning-failed-to-populate-servicestartup-entries-in-cache-error-0x80070002.aspx
Yo no lo he probado.

Hay algún otro fabricante que tiene utilidades gratuitas pero necesitan ser instaladas: 


Pero no conseguí gran cosa hasta dar con unos cuantos artículos que coincidían en hacer lo siguiente:

(Hay que hacerlo en cada servidor con un usuario con privilegios admistrativos)

net stop wuauserv 
reg Delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate /v PingID /f 
reg Delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate /v AccountDomainSid /f 
reg Delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate /v SusClientId /f  
reg Delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate /v SusClientIDValidation /f 
net start wuauserv 
wuauclt.exe /resetauthorization /detectnow 


Algunas de las líneas en mi caso me dieron error, (ya que no tengo los registro que buscaban). Pero con las últimas que si me fueron conseguí que apareciesen permanentemente los servidores que se resistían a aparecer.

Esto último también arregla el error:





GON Abril 2015