Problemas Ejecutando "Resource Monitor" en Windows Server 2012 R2

Recientemente necesitaba ejecutar el Monitor de Recursos o "Resource Monitor" en una VM con Windows Server 2012 R2 porque queria mas detalles  que los que me ofrece el "Task Manager" sobre unos procesos en ejecucion. El "Resource Monitor" se puede invocar directamente desde el tab "Performance" del Task Manager, haciando clic en "Open Resource Monitor" o tambien ejecutando "resmon.exe", pero en mi caso, cuando abria se presentaba la ventana en blanco, sin informacion, como se muestra a continuacion:

Lo primero que intente fue hacer clic en el menu superior a "Monitor" y hacer clic en "Start Monitoring", pero entonces recibia el siguiente error:

"When attempting to start Resource Monitor, the following error ocurred: Access is denied"

Este error se presentaba aun ejecutando ejecutando el comando como "Administrador". Lo primero que revise fue si el usuario con el que estaba logueado era miembro del grupo de Administradores Locales del servidor, o si era miembro de los grupos "Performance Monitor User" y "Performance Log Users" y si, pertenecia a ambos grupos. Probe en otros servidores y me di cuenta que presentaban el mismo error, pero encontre uno que no lo presentaba. Luego de compararlos me di cuenta que en el que funcionaba, habia una GPO que no se aplicaba, y por ahi segui revisando.

Finalmente encontre que en los servidores con este problema habia una Politica incluida en ese GPO que limitaba algunos permisos, en concreto el permiso "Create global objects", este setting se encuentra en:

Computer Configuration --> Policies --> Windows Settings --> Security Settings --> Local Policies" User Rights Assigments

Por alguna razon en esta politica no estaba incluido el Administrador ni el grupo Administrators, por esta razon me daba el problema de permisos. Una vez agregue los usuarios corresponidentes (y reiniciar los servidores afectados) pude ejecutar sin problemas el Resource Monitor:

Espero que esto les sea de utilidad.

Instalando/Actualizando Java RunTime via GPO

Como bien escribió Sergio de los Santos en uno de los artículos de "Una al Día" de Hispasec, "si no actualizas Java, estas infectado". Por lo que en nuestra red debemos primeramente mantener Java actualizado, y segundo minimizar su instalación, o sea, instalarlo únicamente en los equipos que estrictamente lo necesiten. En muchos casos no sera necesario tener esta aplicacion instalada, pero seguro habrán algunos casos que lo necesiten. Para seas computadoras en las que es necesario tenerlo instalado podemos crear una Política de Grupo o "GPO" que se encargue de realizar la instalación y que solo se aplique a estos equipos. Cuando salga una actualizacion de Java, solo tenemos que actualizar nuestra GPO con el nuevo paquete de instalación. Y esa es la idea de este Post, aquí veremos como crear la política y como aplicarla a un grupo especifico de computadoras.

Como seguro saben, para instalar un programa mediante una GPO necesitamos tener la instalación de este en un paquete ".MSI". Pero cuando vamos a la pagina de Java (en este link) para descargar la ultima versión, vemos que lo que nos ofrecen es un archivo ".EXE" de instalación. Por ejemplo, a la fecha de este post la versión mas reciente (de la rama 6) es la 6 Update 33, el archivo que se descarga se llama "jre.6u33-windows.exe". Lo bueno es que este archivo trae empaquetado la instalación del programa y un instalador en formato de Windows Installer (.MSI), y al hacer doble clic encima de este descomprime estos archivos en una carpeta temporal y luego ejecuta desde ahi el instalador. Para crear nuestra política de grupo  solo tenemos que copiar estos archivos una vez han sido descomprimidos a una carpeta compartida a la cual las computadoras a las que se les aplicara la GPO tengan acceso. En Windows 7 estos archivos se descomprimen en la ruta "C:\Users\nombre-de-usuario\AppData\LocalLow\Sun\Java\". Al hacer doble clic encima el ejecutable que descargamos se abrirá la ventana de bienvenida siguiente, en ese momento podemos ir a la carpeta que les mencione y encontraremos la carpeta con los archivos necesarios:

Al entrar a esta carpeta verán que se encuentran 2 archivos: un archivo de instalación "jre1.6.0_33.msi" y un archivo conteniendo los demás archivos necesarios llamado "Data1.cab". Copiaremos entonces la carpeta llamada "jre1.6.0_33", para el caso de la versión que estamos trabajando en este ejemplo, y la compartiremos en la red. Ya teniendo los archivos de instalación necesarios pasamos entonces a crear la GPO.

Para la creación de la GPO, en Windows 2008 abrimos la consola "Group Policy Management" y hacemos clic derecho encima del OU donde se encuentren las computadoras a las cuales aplicara la política. Se podría también crear la GPO a nivel del Dominio y luego configurar un filtro para que solo se aplique a un grupo especifico de Computadoras, de esta manera se podría aplicar la política a computadoras de diferentes OU. Para este ejemplo, crearemos un grupo llamado "Java_Computers" y haremos miembro de este grupo las computadoras a las que aplicaremos la política. La carpeta compartida que contiene el archivo "MSI" debe permitir el acceso a este grupo,  claro esta también los archivos dentro de esta. En este ejemplo crearemos la política a nivel de todo el dominio y mas adelante filtraremos en base al grupo "Java_Computers". Al hacer clic derecho encima del dominio, seleccionamos la opción "Create a GPO in this domain, and Link it here..." como se muestra a continuación:

Llamaremos a esta política "JavaInstall", haremos entonces clic derecho encima de nuestra nueva política y seleccionamos "Edit". En la ventana de edicion de la politica nos movemos a "Computer Configuration --> Policies --> Software Settings" y en "Software Installation" hacemos clic derecho, nos ponemos encima de "New" y hacemos clic en "Package":

Se abrirá entonces una ventana donde tenemos que indicar donde se encuentra el paquete de instalación a utilizar en esta Política, asi que escribiremos en la sección "File Name" la ruta completa al archivo que compartimos en la red. En el caso de este este ejemplo, los archivos de instalación se encuentran en "\\VBOXSRV\APPS\jre1.6.0_33\jre1.6.0_33.msi". Una vez hemos escrito la ruta hacemos clic en "Open"

Luego seleccionamos "Assigned" en la ventana de dialogo que aparecerá a continuación y hacemos clic en "OK", al concluir esta parte se vera entonces la política de instalación de software de esta manera:

Aquí podemos cerrar esta ventana y con esto hemos creado la GPO, ahora como la aplicamos al dominio, filtraremos ahora la Política para que solo se aplique a las computadoras que pertenezcan al grupo "Java_Computers". Para esto, en la consola "Group Policy Management", haremos clic encima de la política que acabamos de crear (JavaInstall), en haremos clic en el tab "Delegation", aquí entonces haremos clic en "Advanced", como se muestra a continuación:

En esta ventana se nos mostrara los permisos de la Política que hemos creado, eliminaremos el grupo "Authenticated Users" y agregaremos el grupo "Java_Computers" haciendo clic en "Add". Luego, estando encima de "Java_Computers" seleccionaremos "Allow" en la seccion "Apply group policy". De esta manera, solo las computadoras que pertenezcan a este grupo aplicaran esta política.

Hacemos clic en "OK" y cerramos la consola "Group Policy Management". Con esto ya hemos creado nuestra política y se aplicara a las computadoras que especificamos. Deben tener en cuenta que una vez hayan agregado la cuenta del dominio de las computadoras al grupo "Java_Computers" deben reiniciarlas para que se aplique su membresia al grupo. Otra cosa a tener en cuenta son los permisos de acceso a la carpeta donde se encuentre la instalación de Java, ya que la computadora debe poder acceder a estos archivos para iniciar la instalación, recuerden que no es el permiso del usuario, ya que la instalación iniciara antes de que se inserten las credenciales del usuario en el sistema, sino la cuenta de la computadora la que debe tener acceso al Share. En caso de que la instalación no se ejecute, pueden dirigirse al "Security Log" en Windows Events y revisar los errores, generalmente los errores son de acceso a los archivos de instalación.

Aplicar una GPO para un Terminal Services Server

Hola a todos otra vez! Luego de un largo tiempo sin publicar nada, me animo a escribir algo. La tardanza ha sido en parte por el tiempo (o la falta de el), en parte (en gran parte) por haraganería, pero mayormente porque me gusta escribir cosas que sean de utilidad y de relevancia para los que se animen a leer este blog y me gusta esperar tener algo para escribir que valga la pena, así que espero no equivocarme con este post :D. Entrando en el tema, no se si les ha pasado esto: Tiene un su compañía un servidor de Terminal Services al que algunos usuarios del dominio accederán de manera regular para realizar algunas tareas especificas o ejecutar alguna aplicacion. Pero como los usuarios son del dominio puede ser que tengan ciertas Políticas de Grupos (GPO) aplicadas que correspondan al OU que pertenecen o al grupo, y quisieramos que cuando inicien sesion en el Terminal Services Server se le aplique una Política mas restrictiva que la que se le aplica en su computadora. Por ejemplo, digamos que un usuario del dominio se le aplica una GPO que le permite tener acceso a los discos de su computadora y a algunos items del Panel de Control, pero este usuario necesita ejecutar algunas aplicaciones accediendo remotamente a un servidor Terminal Services, pero queremos que este no pueda acceder a los discos en este servidor, que no pueda entrar al Control Panel, etc. Para esto necesitamos que se le aplique una GPO especifica pero solo cuando haga Login en el equipo especifico, en este caso el Terminal Services Server.

Para esto lo primero que tenemos que hacer es crear un OU y mover a esta el o los servidores Terminal Services en el cual aplicaremos la política, por ejemplo, la OU la podríamos llamar "Terminal_Services_Sever". En el siguiente gráfico se muestra la OU que contiene un equipo llamado "TERMINAL_SRV_01".

Una vez hemos creado nuestro OU, abriremos la consola "Group Policy Management", esta consola se utiliza para administrar las políticas de grupo del dominio, viene incluida en Windows Server 2008 pero también puede utilizarse en Windows Server 2003, pero debe descargarse aparte. Si no la tienen la pueden descargar aquí. Cuando hayamos abierto la consola Group Policy Management, nos dirigimos a la nueva OU que creamos (Terminal_Services_Server) y hacemos clic derecho encima de esta, luego seleccionamos la opción "Create a GPO in this domain, and Link it here..." como se muestra en el siguiente gráfico:

Al hacer clic en esta opción se nos pedirá un nombre para la nueva GPO, en este caso elegí el nombre "Terminal_GPO". Cuando le hayamos puesto el nombre, nos aparecerá el link de la GPO debajo de la OU que creamos, como se muestra en el siguiente gráfico. Aquí debemos hacer clic derecho ahora encima de la GPO y seleccionamos "Edit..."

Se abrirá entonces la ventana del Editor de la Política de Grupo que acabamos de crear, aquí nos dirigiremos a la seccion "Computer Configuration" luego nos moveremos a "Policies" (en Windows Server 2003 este paso no es necesario), luego a "Administrative Templates", "System" y por ultimo hacemos clic encima de "Group Policy". Aquí buscamos la directiva "User Group Policy loopback processing mode", como se muestra en el siguiente gráfico:

Hacemos doble clic encima de la directiva indicada anteriormente y seleccionamos "Enable", luego en la sección "Mode" seleccionamos "Replace":

Con esto lo que hacemos es indicarle al equipo donde se aplique, en el caso de nuestro ejemplo al servidor Terminal Service, que no aplique al usuario que se loguea la política de grupo del dominio que corresponde al usuario, sino que la reemplace con la que se indica en esta misma politica. Una vez hacemos clic en aceptar, podemos movernos en el Editor de la Política a la sección "User Configuration" y personalizar el entorno de los usuarios que se conectaran a este Terminal Services como querramos, sin preocuparnos de que esta Política se le vaya a aplicar a los usuarios en sus computadoras también. Bueno, esto ha sido todo por ahora. Espero como siempre que les haya sido de utilidad.