Windows Server 2019 es la nueva apuesta que Microsoft ha lanzado para las pequeñas, medianas y grandes empresas gracias a todas las novedades y mejoras que están integradas en él. Pero antes de que hablemos un poco sobre estas novedades es de vital importancia que comprendamos las necesidades de un servidor con Windows Server 2019. Esto implica el mantenimiento constante, evitar apagados o reinicios no previstos (esto porque allí se usan muchos roles y servicios al cual se enlazan los usuarios y equipos cliente de la organización, usar el hardware dedicado más especial y muchas otras acciones.
Windows Server 2019 está disponible para su descarga oficial en el siguiente enlace de Microsoft:
- Mejoras en las tareas de migración de clústeres entre dominios.
- Mayor seguridad usando la función de redes definidas por software (SDN) la cual ha sido creada para optimizar la ejecución de cargas de trabajo en los diferentes ambientes donde se usa Server 2019.
- Se ha integrado System Insights como una nuevas característica del servidor gracias a la cual se cuenta con una mayor capacidad de análisis predictivo local de forma nativa para el sistema operativo Windows Server 2019.
- Soporte para Kubernetes.
- Compatibilidad de la aplicación Server Core bajo demanda.
- Mejoras en el historial de rendimiento.
- Integración de HTTP/2 con el fin de acceder a una navegación web más rápida y segura en el servidor (aunque esto no sea una buena práctica de seguridad)
- Novedades en la protección avanzada contra amenazas de Windows Defender (ATP) (Windows Defender Advanced Threat Protection) con lo cual se evitarán los ataques a nivel de kernel y memoria impidiendo que los archivos maliciosos sean ejecutados.
- Soporte de Windows Admin Center y muchas funciones más.
Aún con todas las novedades de redes, seguridad, protocolos, interfaces, etc, existirán tareas simples pero esenciales en el servidor para que todo funcione como debe ser y esto es con el uso de usuarios y grupos, es lógico, si no tienes un usuario ¿cómo accedes el servidor o al dominio en un equipo cliente), y si no estamos en un grupo, ¿Cómo contamos con los permisos necesarios?, de allí la importancia tanto de los usuarios como de los grupos.
- Seguridad
- Organización
- Administración
- Control
- Auditoría y más.
De este modo, un área específica, por ejemplo IT, puede contar con un grupo específico y con usuarios que poseen permisos especiales sobre el servidor, permisos o accesos que los demás no tendrán. Esto evita que concedamos permisos a usuarios que no los requieren pero que si ponen en riesgo la seguridad del sistema y su estructura.
Aclaramos que podemos crear un usuario como el tipo de cuentas de servicio dedicadas para ser usadas en aplicaciones únicas en el servidor.
En Windows Server 2019, después de crear el dominio, por defecto se crean varias cuentas integradas y grupos de seguridad ya preconfigurados con los respectivos derechos y permisos según sea el caso, para ver estas cuentas de usuario y grupos debemos ir a la siguiente ruta:
- Administrador del servidor
- Herramientas
- Usuarios y equipos de Active Directory
Podemos ver los diversos tipos de usuarios y grupos con una pequeña descripción sobre que función o rol cumple.
- Administradores de servicios los cuales se encargan de mantener y gestionar los Servicios de dominio de Active Directory (AD DS), contando también la administración de controladores de dominio y la configuración de AD DS.
- Administradores de datos los cuales administran los datos almacenados en AD DS, en los servidores y en los equipos cliente del dominio.
No podemos llegar y crear un grupo o usuario sólo porque sí, debemos saber que función hará ese usuario y que tipo de grupo se creará, para ello Windows Server ofrece los siguientes tipos de usuario:
- Cuentas estándar la cual cumple el rol de acceso a las funciones del servidor a las cuales se ha asignado el respectivo permiso.
- Cuentas de administrador las cuales tienen control total en el dominio y esta se encuentra en el grupo Administradores
Ahora bien, a nivel de grupos encontramos las siguientes opciones en Windows Server 2019:
- Grupos de distribución los cuales podemos implementar para crear listas de distribución de correo electrónico.
- Grupos de seguridad, los cuales son especiales, ya que ellos asignan los permisos a los recursos compartidos en el dominio
Aparte de esto debemos tener presente que Windows Server 2019 administra los grupos en el siguiente nivel:
- Universal
- Global
- Dominio local
Ahora bien, con esta pequeña introducción vamos a aprender a crear un usuario y un grupo en Windows Server 2019 para administrar mejor todos estos parámetros y controlar cada acción de estos.
1. Cómo crear un usuario en Windows Server 2019
En Windows Server 2019 podemos crear nuevas OUs (Unidades Organizativas) para gestionar el trabajo en áreas, es decir, podemos crear una OU llamada RRHH para recursos humanos, una OU llamada IT para el área de tecnología etc, luego añadir los usuarios en cada una de estas OUs según sea el caso.
Si deseamos crear una OU, vamos a Usuarios y equipos de Active Directory y allí debemos dar clic derecho sobre el dominio y seleccionar la opción "Nuevo / Unidad organizativa"
Asignamos el nombre deseado de la OU. Pulsamos en Aceptar para crearla en la estructura del servidor.
Una vez creada, vamos a crear el usuario en dicha unidad organizativa y para ello accedemos a esta, damos clic derecho en algún lugar libre y seleccionamos la opción "Nuevo / Usuario"
Se desplegará el siguiente asistente donde registramos lo siguiente:
- Nombres y apellidos del usuario
- Cuenta de correo a asignar
Pulsamos en Siguiente y a continuación definimos:
- Contraseña del usuario
- Permisos sobre la cuenta como no cambiar la contraseña, evitar que la contraseña expire, obligar al cambio de la misma, etc
Veremos un resumen del usuario a crear como detalles y OU donde estará alojado. Pulsamos en Finalizar
Ahora veremos dicho usuario en la unidad que hemos seleccionado:
Este es el proceso básico de crear un usuario en Windows Server 2019, pero como sabemos que eres un profesional y te gusta ir más allá, te enseñaremos cómo crear un usuario usando Windows PowerShell la cual es la consola de administración del servidor. Para ello debemos usar una sintaxis muy simple, en este caso vamos a crear el usuario solvetic2 en la OU Solvetic IT, de modo que ejecutamos lo siguiente:
dsadd user “CN=solvetic2,OU=Solvetic IT,DC=Solvetic,DC=com”
Esto creará esta cuenta por defecto desactivada. Allí podemos acceder a la cuenta y activarla asignando una contraseña.
Sabemos muy bien que el perfil del usuario es su identidad en el dominio, por ello al dar doble clic sobre éste veremos lo siguiente:
Podemos ver una serie de pestañas donde es posible asignar datos específicos de este usuario como sitio web, ubicación, dirección, número de fax o teléfono, grupos a los cuales pertenece, rango de horario de actividad y más, cada uno de estos campos los podemos asignar en PowerShell también usando la siguiente sintaxis y completando los valores correctos:
dsadd user <UserDN> [-samid <SAMName>] [-upn <UPN>] [-fn <FirstName>] [-mi <Initial>] [-ln <LastName>] [-display <DisplayName>] [-empid <EmployeeID>] [-pwd {<Password> | *}] [-desc <Description>] [-memberof <Group> ...] [-office <Office>] [-tel <PhoneNumber>] [-email <Email>] [-hometel <HomePhoneNumber>] [-pager <PagerNumber>] [-mobile <CellPhoneNumber>] [-fax <FaxNumber>] [-iptel <IPPhoneNumber>] [-webpg <WebPage>] [-title <Title>] [-dept <Department>] [-company <Company>] [-mgr <Manager>] [-hmdir <HomeDirectory>] [-hmdrv <DriveLetter>:][-profile <ProfilePath>] [-loscr <ScriptPath>] [-mustchpwd {yes | no}] [-canchpwd {yes | no}] [-reversiblepwd {yes | no}] [-pwdneverexpires {yes | no}] [-acctexpires <NumberOfDays>] [-disabled {yes | no}] [{-s <Server> | -d <Domain>}] [-u <UserName>] [-p {<Password> | *}] [-q] [{-uc | -uco | -uci}]2. Cómo administrar usuarios en Windows Server 2019
Windows Server 2019 nos ahorra tiempo en la creación y edición de un usuario, por ejemplo, en caso de editar el perfil de un usuario, es normal que otro nuevo usuario posea el mismo perfil, entonces en lugar de agregar los datos de forma manual podemos copiar el usuario, esto es simple, podemos usar alguna de las siguientes opciones:
- Dar clic derecho sobre el usuario y seleccionar la opción Copiar
- Ir al menú Acción y allí seleccionar Copiar
Al seleccionar esta opción se desplegará la siguiente ventana donde ingresaremos los datos del nuevo usuario:
En la siguiente ventana asignamos la contraseña deseada y de este modo se copiarán todos los parámetros del usuario original en el nuevo usuario.
- Agregar el usuario a un nuevo grupo
- Deshabilitar la cuenta de este usuario
- Asignar una nueva contraseña
- Moverlo a otra OU
- Modificar su nombre
- Eliminarlo, etc.
Hasta aquí hemos visto como crear un usuario en Windows Server 201, ahora aprenderemos a crear un grupo y luego añadir este usuario a ese nuevo grupo.
3. Cómo crear un grupo en Windows Server 2019
Como hemos mencionado al inicio, los grupos son esenciales para otorgar permisos a las diferentes aplicaciones o configuración general del servidor Windows Server 2019.
Para crear nuestro grupo, lo haremos en la OU Solvetic IT, daremos clic derecho en ella y seleccionamos Nuevo / Grupo:
Será desplegado el siguiente asistente donde ingresaremos el nombre del grupo y definimos lo siguiente:
- El ámbito del grupo
- Tipo de grupo, si es para listas de correo seleccionaremos Distribución y si es para conceder permisos seleccionamos Seguridad
Los ámbitos posibles son:
En este caso dejamos esta opción y pulsamos en Aceptar para aplicar los cambios y veremos nuestro grupo creado:
Si deseamos agregar un usuario a este grupo lo podemos realizar de alguna de las siguientes formas:
Allí damos clic en el botón Agregar y en la ventana emergente ingresamos el nombre del usuario deseado y pulsamos en el botón Comprobar nombres para validar la existencia de ese usuario:
Pulsamos en Aceptar y veremos que se ha agregado este usuario al grupo seleccionado. Pulsamos en Aplicar y Aceptar para guardar los cambios.
Como vemos está el grupo que hemos creado anteriormente, para añadirlo a un nuevo grupo damos clic en el botón Agregar y en la ventana emergente ingresamos el nombre o iniciales de este para desplegar los resultados:
Seleccionamos el grupo deseado y pulsamos en Aceptar para integrarlo:
Pulsamos en Aceptar y ahora veremos este nuevo grupo en el perfil de usuario seleccionado. Pulsamos en Aplicar y Aceptar para guardar los cambios.
Si deseamos ver todos los grupos que están instalados por defecto en Windows Server 2019 debemos ir a la opción Usuarios y equipos de Active Directory y allí ir a la carpeta Builtin, esto desplegará todos los grupos disponibles en la actualidad:
Del mismo modo que con los usuarios, será posible crear un grupo en Windows Server 2019 usando Windows PowerShell, en este caso vamos a crear un grupo llamado IT usando la siguiente linea:
dsadd group “CN=IT,OU=Solvetic IT,DC=Solvetic,DC=com”
Ahora podemos ver que dicho grupo está disponible para ser usado en el momento deseado.Por defecto este será creado como un grupo Global de Seguridad.
Para este comando la sintaxis global es la siguiente:
dsadd group <GroupDN> [-secgrp {yes | no}] [-scope {l | g | u}] [-samid <SAMName>] [-desc <Description>] [-memberof <Group> ...] [-members <Member> ...] [{-s Server> | -d <Domain>}] [-u <UserName>] [-p {<Password> | *}] [-q] [{-uc | -uco | -uci}]Allí podemos establecer en la línea -secgrp {yes | no} si el grupo es de seguridad o no (yes es que es de seguridad y no es que será de distribución). En la línea -scope {l | g | u} definimos el ámbito del grupo (lo es local, g es global o u es universal).
Vemos como tanto los usuarios como los grupos juegan un rol fundamental en Windows Server 2019 y su uso y administración es una tarea de responsabilidad y cuidado.
