Introducción
Este documento describe los cambios a su entorno de Windows que son hechos por nuestro script de configuración del controlador de dominio.
Descripción general del script de configuración DC
Cada controlador de dominio requiere un registro único con la API o el panel de Umbrella. Nuestro script de configuración de DC inicia esto junto con estas funciones:
- Compruebe que se han configurado los permisos y las reglas de firewall necesarios
- (Opcional) Configure automáticamente esos permisos
- (Opcional) Registre el controlador de dominio con el panel/API de Umbrella, solo si estas comprobaciones se realizan correctamente.
Nota: La compatibilidad con Umbrella también puede registrar manualmente una lista de controladores de dominio. Esto suele ser útil en situaciones en las que la API o el acceso a Internet no son posibles para el controlador de dominio. Sin embargo, los cambios de permisos descritos DEBEN seguir configurándose, por lo que recomendamos encarecidamente ejecutar el script de configuración.
Al ejecutar la secuencia de comandos inicialmente, no se realizan cambios en el entorno. La secuencia de comandos comprueba si se han establecido todos los permisos necesarios. Si hay algún problema, se le pedirá (S/N)
pero que realice los cambios.
Una vez que el script de registro se ha completado, no se requiere ningún software para ejecutarse en el controlador de dominio. Sin embargo, el servicio del conector OpenDNS debe estar instalado en al menos un equipo (p. ej. Controlador de dominio o servidor miembro).
Fase 1: Pruebas
El script recopila inicialmente esta información:
- Comprueba la versión del SO y el nivel funcional del bosque
- Comprueba si la secuencia de comandos se está ejecutando como Administrador.
- Obtiene la información de dirección IP, nombre de host y nombre de dominio de los servidores
- Compruebe si Firewall de Windows está habilitado y si la regla integrada 'Administración remota' está permitida
- Comprueba la cuenta de usuario de dominio necesaria 'OpenDNS_Connector'
Nota: Si el usuario OpenDNS_Connector no existe, la secuencia de comandos imprime los resultados y anula. Este usuario de dominio debe crearse manualmente antes de ejecutar el script. Si existe la cuenta OpenDNS_Connector, el script continúa con estas comprobaciones.
- Comprueba si el usuario de OpenDNS_Connector tiene permisos para 'Habilitar remoto' y 'Leer seguridad' en el espacio de nombres root\cimv2 WMI.
- Comprueba si la cuenta OpenDNS_Connector tiene el permiso 'Replicating Directory Changes' de Active Directory, que normalmente lo concede la pertenencia al grupo Enterprise Read-Only Domain Controllers.
- Comprueba si la cuenta OpenDNS_Connector es miembro del grupo 'Lectores del registro de eventos'
- Comprueba si la cuenta OpenDNS_Connector es miembro del grupo 'Usuarios de COM distribuidos'
- Comprueba el conjunto resultante de directivas (RSOP) para ver si 'Auditar eventos de inicio de sesión' está habilitado mediante la directiva de grupo
- Comprueba el conjunto resultante de directivas (RSOP) para ver si la cuenta OpenDNS_Connector tiene el derecho 'Administrar registro de auditoría y seguridad' asignado
Etapa 1b - Resultados de la prueba
Los resultados impresos por el script de configuración difieren según la versión del sistema operativo.
En el servidor 2003 y versiones posteriores, verá estos resultados:
AD User Exists: true/false
WMI Permissions Set: true/false
DCOM Permissions Set: true/false
RDC Permissions Set: true/false
Audit Policy Set: true/false
Manage Event Log Policy Set: true/false
Distributed COM MemberOf: true/false
En Server 2008 y versiones posteriores (sólo cuando el nivel funcional del bosque es 2008+), también se muestra esta información. (Este grupo no existe en versiones anteriores):
Event Log Readers MemberOf: true/false
Etapa 2: Cambios de configuración automática
Si esta comprobación falla, se le preguntará "¿Desea que configuremos automáticamente este controlador de dominio (s o n)?"
antes de realizar ningún cambio.
Estos cambios se realizan:
- Habilita la regla integrada de Firewall de Windows 'Administración remota', si es necesario
- Otorga explícitamente a la cuenta 'OpenDNS_Connector' los permisos 'Remote Enable' y 'Read Security' en el espacio de nombres root\cimv2 WMI.
- Otorga explícitamente los permisos de la cuenta 'OpenDNS_Connector' 'Replicating Directory Changes'
- Agrega la cuenta 'OpenDNS_Connector' al grupo 'Usuarios COM distribuidos'
En 2008+ también se realiza este cambio:
- Agrega la cuenta 'OpenDNS_Connector' al grupo 'Lectores del registro de eventos'
Nota: Si se rechaza la configuración automática o estos cambios fallan, el script no continúa con el registro.
Fase 2b: Advertencias de configuración automática
El script genera advertencias si la configuración de la directiva de grupo no es correcta. La secuencia de comandos no puede corregir estos problemas.
Todos los sistemas operativos:
- El script ADVIERTE si la configuración 'Auditar eventos de inicio de sesión' no está configurada correctamente en la directiva de grupo, pero no modifica la directiva de grupo.
En 2003 (Y 2003 a nivel funcional):
- El script ADVIERTE si el derecho 'Administrar registro de auditoría y seguridad' no está configurado correctamente en Directiva de grupo, pero no modifica la Directiva de grupo.
Nota: Corrija manualmente este problema y vuelva a ejecutar el script de configuración. La secuencia de comandos no continúa con el registro hasta que se corrigen.
Etapa 3: Registro
El script pregunta antes de registrar el controlador de dominio con Umbrella "¿Desea registrar este controlador de dominio (s o n)?".
Esta información se envía a Umbrella:
- Nombre de host/etiqueta del controlador de dominio
- Nombre de dominio
- IP Address
- Su ID de organización y token únicos (incluidos en el guión) para identificar de forma exclusiva el DC con su organización de referencia.
El registro se realiza de forma segura mediante https://api.opendns.com