lunes, 31 de agosto de 2015

Proteger un directorio con AD RMS

Hola Mundo
La pregunta del millón es: ¿se puede proteger un directorio con Active Directory Rights Management Services (AD RMS)? 
La respuesta es: No precisamente.

AD RMS es un servicio que funciona a nivel de dominio que se encarga de la protección del contenido de documentos de Office, correos electrónicos y, eventualmente, otro tipo de documentos como los PDF.

Si se tiene un número considerable de documentos a los que se necesita proteger y este número de documentos aumenta de manera periódica, existe una herramienta gratuita llamada Active Directory Rights Management Services Bulk Protection Tool que se encarga de proteger los documentos de una carpeta en base a plantillas de permisos.

Las plantillas de permisos deben ser generadas en la consola de AD RMS. En la plantilla, se puede asignar permisos por usuario o por grupo.


Las plantillas se deben guardar en un directorio compartido. Esta configuración se realiza, de igual manera, en la consola de AD RMS.

Lo importante es definir de manera correcta los permisos.
Al ir seleccionando los permisos que tendrá el grupo o usuario de Active Directory sobre el (o los) documento, los privilegios que son dependencias de otros se irán seleccionando de forma automática en la medida que son requeridos.

Una vez que la plantilla está creada y disponible en un directorio compartido, se invoca a la herramienta que protege de forma masiva. Esta herramienta debe estar instalada en el  mismo servidor donde están los documentos. Se puede tomar como si fuera un servidor de archivos.

La forma de usar la herramienta es:
RMSBulk [/decrypt location] [/encrypt location rms_template [owner_email]] [/log log_file [/append] [/simple]] [/preserveattributes] [/silent]


La herramienta no tiene interfaz gráfica. Deja abierta la posibilidad de crear un script y automatizar el proceso. Mejor aun, crear una tarea programada con la secuencia de comandos.

Con una buena organización de directorios y plantillas, se puede automatizar la protección de documentos  a gran escala.

¡Hasta la próxima!


lunes, 10 de agosto de 2015

Agregar usuarios administradores a AD RMS

Hola Mundo:
Cuando se implementa AD RMS y no se agregan  otros usuarios administradores de la plataforma, se verá el siguiente error cuando intenten acceder a la plataforma:



Como AD RMS funciona sobre IIS, es un servicio web, los códigos de error y mensajes corresponden a los del protocolo HTTP.  El estado 401 indica que el usuario no cuenta con la autorización para acceder a la consola de administración.

Para agregar un usuario como administrador, solo basta agregar la cuenta de usuario de dominio al grupo local, donde se implementó AD RMS, AD RMS Enterprise Administrators

Ésta configuración se debe hacer en cada máquina del cluster.

Espero que les sea de utilidad.

Chau!



viernes, 17 de julio de 2015

Desinstalar actualización de Microsoft con SCCM 2012 R2

Hola Mundo:

SCCM tiene numerosos roles que se instalan según la funcionalidad que se necesite de la implementación.
Uno de ellos es el rol de Software Update Point que se encarga de la distribución de actualizaciones de Windows. Funciona sobre el rol de Windows Server Update Services (WSUS).
A través del asistente se pueden implementar actualizaciones hacia una colección de dispositivos.

Entonces ¿cómo quitar un update? 
La gram mayoría de las actualizaciones de Microsoft se instalan con la herramienta wusa.exe ubicada en C:\Windows\System32  o C:\Windows\SysWoW64
Esta herramienta tiene parámetros que se encargan de la desinstalación pasiva y silenciosa de actualizaciones. Los parámetros son /uninstall /quiet /norestart
Por ejemplo:
Si se necesita desinstalar un update que su código corresponde al KB1234567 se debe ejecutar la línea:
wusa.exe /uninstall /kb:1234567 /quiet /norestart

Conociendo esto se puede pensar en distribuir un script a través de un paquete o la línea de comandos a través de un paquete para hacer la desinstalación.
Sorpresa causará cuando vean que el update no se desinstalará y arrojará error.

El procedimiento adecuado es usar un Task Sequence.
Habitualmente los Task Sequence se utilizan para desplegar imágenes de sistemas operativos, pero ahora se usará para ejecutar una línea de comandos.

Creación de un Task Sequence personalizado. Ya conté más arriba que no se usará para desplegar una imagen de Sistema Operativo.

Información descriptiva del Task Sequence. No es necesario una imagen de booteo, porque no se desplegará una imagen de sistema operativo.

Resumen de la creación del Task Sequence.

Creación Exitosa.

Una vez creado el Task Sequence, no tiene ningún paso. En este paso es cuando se agrega una tarea de ejecución de línea de comandos.

Configuración de la tarea. En la caja de línea de comandos, se especifica qué update se quiere quitar usando la herramienta wusa.exe. Guardar y aplicar los cambios.

Una vez creado el Task Sequence hay que implementar en la colección que se necesite.



jueves, 28 de mayo de 2015

Error al instalar AD RMS en Windows Server 2008 R2

Hola Mundo:

Para la implementación del rol de AD RMS, se puede utilizar una base de datos interna del rol o se puede utilizar un servidor SQL Server externo.
La instalación no es compleja. Es un asistente que pide datos bastante precisos.
El problema está cuando muestra el siguiente error:


El error hace referencia a la falta de un procedimiento almacenado. El SP se llama sp_dboptions y fue retirado en SQL Server Denali (Pre SQL Server 2012) y el fallo se va arrastrando para las próximas versiones de SQL Server.

El hotfix que se debe es instalar es el KB2619256 y se descarga desde el mismo sitio de Microsoft: https://support.microsoft.com/es-cl/kb/2619256

Para complementar la lectura, sugiero leer la documentación en Technet: https://technet.microsoft.com/en-us/library/dd772673(v=ws.10).aspx