jueves, 9 de diciembre de 2021

Cómo dar permisos al registro vía GPO

 Seguro que todos nos hemos encontrado con esas aplicaciones que requieren permisos de administrador sobre el equipo para funcionar, como pueden ser, por poner un ejemplo, Contaplus, o similares. Si tenemos puesto el foco en la seguridad, lo de andar dando permisos de administrador en las maquinas a los usuarios es una locura, de manera que lo correcto es determinar dónde requieren dichas aplicaciones esos permisos, y concederlos sólo allí donde se necesiten. Por desgracia, esto nos obliga en algunas situaciones a facilitarlos en claves concretas de registro.

Puestos a modificar claves de registro a usuarios específicos por necesidades de aplicación, lo suyo es tener a dichos usuarios dentro de un mismo grupo de seguridad, y dar estos permisos al grupo. Esto simplifica sobre todo la gestión cuando se produce rotación de personal. Pero al grano: vamos a ver cómo dar permisos a un grupo de seguridad especifico vía GPO.

Para ello, abrimos la consola de administración de directivas de grupo, y editamos la GPO que proceda. En este caso, vamos a modificar una clave de HKLM, de manera que tocaremos en la parte de máquina de la gpo:

Como se ve en la imagen, debemos ir a la parte de configuración del equipo / directivas / configuración de Windows / configuración de seguridad / Registro. Aquí pulsamos botón derecho / agregar clave, y generamos la clave que queramos para modificar permisos. Por ejemplo... supongamos que quiero dar permisos a HKLM\Software\Microsoft\EnterpriseCertificates. Pues generamos el registro de la siguiente manera:

Segun damos a aceptar, llegamos a la pantalla de permisos. Es el momento de agregar el grupo de seguridad que queramos que tenga permisos sobre esta clave de registro, y su nivel de permisos:

Aplicamos y aceptamos, y nos preguntará cómo deben propagarse los permisos, si es que deben propagarse:

Con esto, tenemos la clave generada, y con la propagación necesaria, si corresponde. 

¡Espero que os sea de utilidad! Si te ha gustado el articulopuedes invitarme a un café  ;)

martes, 7 de diciembre de 2021

Crear perfiles de especificaciones personalizadas para VMs Windows en vCenter

 Cuando estas creando VMs constantemente, normalmente generas plantillas de las máquinas que vas a desplegar. Pero aun así, las máquinas generadas desde plantilla requieren cierta configuración, que se puede automatizar más todavía, simplemente utilizando perfiles de especificaciones personalizadas para VMs

Para ello, desde nuestro vCenter, accedemos a "Policies and profiles", y en el apartado izquierdo, seleccionamos "policies and profiles"

Pinchamos en "new" para generar un nuevo perfil, y le damos el nombre que queramos.

Es importante marcar la casilla "generate a new security identity (SID)" que en el fondo es lo que hace que la aplicacion de este perfil realice una especie de sysprep. De hecho, en esta pantalla puedes agregar un archivo de respuestas de sysprep si así lo deseas.

La siguiente pestaña tra pulsar siguiente, es "registration information" Basicamente, el owner del equipo y el nombre de la organización.

La siguiente pantalla tiene mas historia. Ya nos permite configurar cómo se va a llamar la VM. Normalmente marco introducir el nombre en el proceso del deployment/wizard.

Pulsamos siguiente, y nos encontramos en la pantalla de licenciamiento de Windows. Tendras que tener cuidado según si las licencias que tienes van por puesto o servidor

En "Administrator password" definimos el pass de la cuenta de administrador local de la maquina. Además, podemos definir que una vez montada la imagen, haga un primer login con este usuario.

En la siguiente pantalla definimos el time zone,

Comandos que podemos lanzar,

Podemos definir también la red,

Aunque no podemos definir la VLAN, solo podemos agregar perfiles de configuración de red (DHCP, mascara, gateway, DNS...).

El ultimo paso es para definir si trabajar en workgroup o en dominio.

Es importante tener en cuenta que si queremos meterla en este proceso en dominio debemos configurar en este paso la cuenta a utilizar con su password, y que por supuesto, la configuración de VLAN y de red definida en el proceso debe permitir la conexión al dominio para poder hacer la unión de la VM al dominio.

El último paso es un resumen de la configuración realizada, el típico resumen de opciones indicadas, junto con el botón "finalizar" para guardar el nuevo perfil.

Si te ha gustado el articulo, puedes invitarme a un café  ;)