[How-To] Active Directory Domain Services | Cómo restaurar la “Default Domain Policy” y “Default Domain Controller Policy”
Default Domain Policy y Default Domain Controllers Policy son dos políticas (la primera aplicada al dominio y la segunda a los controladores de dominio solamente) que se generan en el momento de realizar la primera promoción de un controlador de dominio en un nuevo dominio de Active Directory Domain Services.
Si bien la recomendación es mantener una copia de seguridad regular de todo el contenido del Servicio de Directorio, podríamos necesitar ante alguna recuperación de desastres regenerar estas políticas a su estado original.
Microsoft provee una herramienta de línea de comandos para realizar esta acción rápidamente, de modo tal de regenerar estas políticas a su estado original. Por supuesto, debemos de tener algunas consideraciones al respecto dado que se pierden todas las personalizaciones realizadas posteriores al primer DCPROMO o la instalación de algún software que realice modificaciones (como Exchange Server).
[toc]
Introducción
Objetivo
Esta publicación tiene como objetivo demostrar cómo se pueden restaurar las dos políticas iniciales que existen en Active Directory Domain Services: “Default Domain Policy” y “Default Domain Controllers Policy”.
Audiencia
Este documento está dirigido a Consultores, Profesionales IT y personas que desarrollan tareas de Consultoría, Administración y Soporte o que simplemente están interesados en leer e investigar sobre la tecnología alcanzada por esta publicación.
Comentarios y Corrección de Errores
Hemos realizado nuestro mejor esfuerzo para no cometer errores, pero al fin y al cabo somos seres humanos. Si deseás reportar algún error o darnos feedback de qué te pareció esta publicación, por favor no dejes de comunicarte con nosotros a través de correo electrónico a la siguiente dirección: info@tectimes.net.
Alcance Técnico
Entender cuál es el alcance de la publicación nos ayuda a tener una expectativa real de lo que encontraremos en la misma, de modo tal que quién lo lee no espere ni más ni menos de lo que encontrará. Vamos a describir el objetivo técnico, tecnologías alcanzadas, escenario de trabajo y plan de trabajo en alto nivel.
Objetivo Técnico
El objetivo técnico de este tutorial es:
- Restaurar a su estado original luego de la primera promoción del Dominio la política “Default Domain Policy”.
- Restaurar a su estado original luego de la primera promoción del Dominio la política “Default Domain Controllers Policy”.
Tecnologías Alcanzadas
Las tecnologías alcanzadas por esta publicación son las siguientes:
- Active Directory Domain Services en Windows Server 2003.
- Active Directory Domain Services en Windows Server 2008.
- Active Directory Domain Services en Windows Server 2008 R2.
- Active Directory Domain Services en Windows Server 2012.
- Active Directory Domain Services en Windows Server 2012 R2.
Nótese que esta publicación también puede ser aplicable a otra tecnología o versión que haya salido con posterioridad a la última fecha de modificación realizada por el autor.
Escenario de Trabajo
El escenario de trabajo que da marco a esta publicación es el siguiente:
- 1 Bosque / Dominio de Active Directory Domain Services (single forest / single domain) con nivel functional Windows Server 2008 R2.
- 1 Controlador de Dominio de Active Directory Domain Services con Windows Server 2012 R2.
Plan de Trabajo
El plan de trabajo a desarrollar en esta publicación es el siguiente:
- Restauración de Default Domain Controllers Policy.
- Restauración de Default Domain Policy.
- Consideraciones a tener en cuenta.
Desarrollo
Vamos a realizar el desarrollo de los procedimientos necesarios para restaurar la “Default Domain Controllers Policy” y “Default Domain Policy” a su estado original.
Es importante aclarar que, de realizarse este procedimiento, estas políticas vuelven al estado original que se encontraban al momento de promover el dominio de Active Directory Domain Services. Además, hay algunas consideraciones a tener en cuenta sobre personalizaciones y modificaciones realizadas por software adicionales que están mencionadas y detalladas en el último punto de esta publicación llamada “Consideraciones a tener en cuenta”.
Preparación de la Herramienta
La herramienta a utilizar es Dcgpofix, incluida en los servicios de Active Directory Domain Services a partir de Windows Server 2008. Esta herramienta restaura, como ya hemos dicho anteriormente, las opciones de las dos políticas al momento de realizar el DCPROMO.
Es importante resaltar que, si bien no existen requisitos de preparación, es necesario que el usuario que ejecute esta herramienta tenga alguno de los siguientes permisos (o uno, u otro):
- Domain Admin
- Enterprise Admin
Para Windows Server 2003, la herramienta está alojada en “C:\Windows\Repair”.
Restauración de Default Domain Controllers Policy
Para restaurar esta política, debemos abrir un CMD con un usuario que tenga los permisos antes mencionados y ejecutar la siguiente línea de comandos:
dcgpofix /ignoreschema /target:DC
La tool nos generará información en pantalla y nos pedirá varias veces confirmación de acciones:
Una vez finalizado el proceso, la política se restauró a su estado original.
Restauración de Default Domain Policy
Para restaurar esta política, al igual que en el punto anterior debemos abrir un CMD con un usuario que tenga los permisos antes mencionados y ejecutar la siguiente línea de comandos:
dcgpofix /ignoreschema /target:Domain
La herramienta pedirá algunas confirmaciones:
Una vez finalizado el proceso, la política se restauró a su estado original.
Consideraciones a tener en cuenta
Una vez ejecutadas las acciones anteriores o alguna de ellas, es importante considerer los siguientes puntos:
- Por defecto, Dcgpofix.exe chequea la versión del Schema de AD DS para asegurar compatibilidad entre la versión del Dcgpofix y la configuración de AD DS. Si las versiones no son compatibles, Dcgpofix no se ejecutará. En los ejemplos anteriores, le sumamos el parámetro “/ignoreschema” para que esto no ocurra.
- Luego de ejecutar ambas o alguna de las acciones anteriores, es importante revisar las opciones de seguridad en estas GPOs y manualmente ajustar las personalizaciones que se deseen realizar. Recordar: el comando deja estas GPOs como en el primer DCPROMO.
- En continuación con el punto anterior, se deben ajustar las configuraciones que pueda realizar algún software como Exchange Server, dado que por ejemplo las opciones de seguridad que realiza la instalación de Exchange no son restauradas. Esto puede representar un grave problema dado que, luego de restaurar por defecto las GPOs mencionadas, Exchange Server dejará de funcionar correctamente y generará disrupción de servicio.
Conclusiones
La herramienta “dcgpofix.exe” nos permite, rápidamente, restaurar la default domain y default domain controllers policy a su estado original en Active Directory Domain Services (AD DS).
No obstante, es importante remarcar que antes de realizar esta acción hay que agotar las instancias de restauración vía copia de seguridad, dado que cualquier personalización realizada en estas políticas (ya sea por el administrador o por un software como Exchange Server) se perderán.
Referencias y Links
- Dcgpofix: http://technet.microsoft.com/en-us/library/hh875588.aspx
- The Dcgpofix tool does not restore security settings in the Default Domain Controller Policy to their original state: https://support2.microsoft.com/kb/833783