lunes, 6 de diciembre de 2010

Como crear un usuario administrador desde la línea de comandos


Ya hemos hablado otras veces de ello en Applesfera, por mucho que desde Apple nos intenten facilitar las cosas de cara al sistema, en definitiva Mac OS X tiene corazón Unix, con todas las bondades que esto conlleva. Por eso nunca está de más conocer los entresijos del sistema puesto que nos pueden sacar de multitud de apuros. Uno de ellos es las cuentas de administrador, por regla general la cuenta que creamos al iniciar un Mac no tienen privilegios de administrador. Esto es así por una sencilla razón, evitar que un usuario inexperto con demasiados privilegios pueda corromper el sistema.
En verdad es mejor utilizar una cuenta sin este tipo de privilegios en el día a día con nuestro Mac, pero nunca está de más tener una cuenta de estas características para cuando todo falla y debemos realizar una reparación de permisos. Esperemos que no tengamos que recurrir nunca a ello, puesto que esto suele significar un fallo importante en nuestro sistema, así que guarda en un rinconcito de tu cerebro estos sencillos pasos para cuando la necesidad acucie.

Lo primero será arrancar nuestro Mac en modo “monousuario”. Esto ya os lo hemos comentado otras veces como hacerlo, según enciendas tu Mac, solo tienes que pulsar a la vez “Command+s”. De esta manera verás que tu Mac se arranca en modo consola dejándote una línea de terminal desde la que poder introducir comandos. Vamos a pasar a explicar detalladamente las líneas que debes seguir para conseguir crear una cuenta de Administrador en tu Mac.
Las líneas que debemos introducir en la terminal son las siguientes, teniendo en cuenta que cada linea responde a un comando, por lo que deberemos ejecutarlo antes de pasar a la línea siguiente.
/sbin/mount -uw /
sudo dscl . -create /Users/NombreUsuario
sudo dscl . -create /Users/NombreUsuario UserShell /bin/bash
sudo dscl . -create /Users/NombreUsuario RealName “FULL NombreUsuario”
sudo dscl . -create /Users/NombreUsuario UniqueID 603
sudo dscl . -create /Users/NombreUsuario PrimaryGroupID 80
sudo dscl . -create /Users/NombreUsuario NFSHomeDirectory /Local/Users/NombreUsuario
sudo dscl . -passwd /Users/NombreUsuario contraseña
sudo dscl . -append /Groups/admin GroupMembership NombreUsuario
shutdown -r now
En “NombreUsuario” pondremos el nombre para la cuenta de admin, podremos utilizar el que nosotros queramos, y en “contraseña” a su vez, la contraseña que consideremos oportuna para dicha cuenta. Podremos introducir las letras o símbolos que queramos, siendo mayúsculas o minúsculas, teniendo claro que vamos a tener que respetarlas cada vez que accedamos a dicha cuenta.
El valor introducido en “UniqueID” corresponde al valor ID del usuario dentro del sistema. Mac OS X empieza a crear usuarios a partir del número 501, por lo que barajando un número entre el 600 o el 700 nos aseguraremos que este nuevo usuario no va a crear ningún tipo de conflicto con el sistema. La última línea sera la encargada de reiniciarnos el sistema en modo gráfico, con la nueva cuenta de admin creada.
Cabe advertir que es conveniente utilizar tu Mac con una cuenta de usuario normal (la creada al encender tu Mac por primera vez, por ejemplo) en tu día a día. Esta nueva cuenta creada solo debería ser iniciada cuando vayamos a realizar algún tipo de mantenimiento en el sistema.

Extraído de Applesfera

viernes, 3 de diciembre de 2010

Consejos de una buena administración

Siempre que SoporteTi.net explica algo en algún articulo, nos va dando consejos y trucos.
Vamos a recordar alguno de ellos y otros de cosecha propia.

Cambiar el Nombre de las tarjetas de red:
Si en nuestro equipo servidor tenemos dos tarjetas de red. Supongamos:

Conexión1--> conecta con Internet
Conexión2--> conecta con nuestra red interna

Pondríamos los nombres correspondientes para no tener que mirar la IP de cada targeta  la hora de querer hacer alguna configuración en nuestro servidor. Por ejemplo quedando así:


WAN
LAN

Modificar una directiva y que se aplique al instante:
Cuando apliquemos una directiva siempre es recomendable hacer un gpupdate /force
Con esto conseguimos que la directiva se actualice inmediatamente en el equipo. Ya que por defecto la sincronización (o replicación ) entre el Servidor y el equipo cliente suele ser de 15 minutos, sino se establece una nueva conexión (al menos esto era así, si no mal recuerdo con Windows Server 2003)

Cambiar los directorios por defecto:
Otro consejo es crear cualquier BBDD fuera del directorio por defecto.
Me explico, si instalamos IIS que la ruta de nuestro servidor web esté en otra unidad (esto evitaría la facilidad de un atacante)

Nombre de nuestros servidores:
A la ora de nombrar un Equipo servidor es mejor no hacerlo por el propio servicio que da dicho servidor. Es decir, si tenemos un servidor con aplicaciones, no le pongáis " Servidor de aplicaciones" o "SRVAPP" es mejor inventarse nombres ficticios tipo:
Batman. Aún así procurar que no lleven ninguna correlación entre servidores y nombres. Si a un servidor de aplicaciones le llamamos Batman y a otro Robin evidentemente un atacante va a saber que si uno es la BBDD el otro tiene que ser el servidor de Backup o algo por el estilo.

Consejo de estructuramiento Logico:
La estructura Lógica desde mi punto de vista tienes que ser la siguiente:
Independientemente del numero de equipos/servidores que tengamos:

Internet
Router
ISAserver o Firwall
Switch
Srv DC AC

Esto en cuanto a tema de seguridad.

Visor de sucesos:
Esto parece una tontería pero a veces nos salva de muchas cosas, revisar el estado del equipo, por norma general si falla algo el registro de sucesos lo capta. No está demás echarle un ojo de vez en cuando.

En este mismo sentido, podemos comprobar si nuestro equipo se replica. Bien por consola de comando o por el entorno grafico.
Yo siempre recomiendo por consola de comando, no es la primera vez que el entorno grafico me ha dado una mala jugada, por no actualizarse correctamente.
La herramienta en concreto es Repadmin.exe

Licencias de Terminal Server
Cuidado con las licencias del servidor: Cuando instalamos un servidor el numero de licencias por conexión es de 5. Esto quiere decir que en el momento que tengamos a 5 administradores conectados por escritorio remoto, ya no aceptará más conexiones. 5 Conexiones en un mismo equipo quizás sea corto para una mediana empresa.
Y muy a tener en cuenta es que siempre que hagamos una conexión hay que cerrarla la sesión de usuario, esto no quieres decir que si cerramos la sesión se paren los servicios ni nada por el estilo. Si cerramos la ventana del escritorio remoto la sesión quedará abierta y nos contará como una licencia

Autenticación:
Existen varias maneras de autenticarse contra un dominio:

Usuario: usuario@dominio.com
Contraseña: pepito

Usuario: 192.168.1.236/usuario
Contraseña: pepito

Usuario: usuario
Contraseña: pepito

En muchas ocasiones cuando se hace un cambio en el dominio (un caso habitual es cuando reestablecemos la contraseña a un usuario) es posible que al intentar volver acceder, no podamos, esto se debe ha que por defecto los equipos guardan en una especie de caché, las credenciales.
Por eso es recomendable intentar acceder de cualquiera de estas tres maneras de acceso.

Existen más alternativas para refrescar la sincronización. de momento estas suelen ser las más rápidas.


No voy a entrar en detalles de algunas GPOs que se deberían de aplicar siempre como mínimo en un servidor. Esto lo dejaremos para el próximo capitulo.

Bueno no quiero aburriros más.
Solo quería recordar algunos consejos.
Si estamos acostumbrados a trabajar en entornos virtuales para hacer nuestras practicas, no está demás acostumbrarnos a todos estos consejos.