Exportar listado de permisos de buzones de Enterprise Vault

Aquí dejo una consulta de SQL muy útil que exporta todos los permisos asignados a todos los buzones dentro de Enterprise Vault.

El flujo de la consulta es más o menos este:

  1. Chequea si existe la función para convertir SID de texto a binary. Si existe la elimina.
  2. Crea la función para convertir SID de texto a binary
  3. Saca el listado de permisos
  4. Elimina la función creada en el paso 2

Viene genial para saber hacer auditoría de los buzones o para saber si hay que notificar a alguien antes de eliminar un buzón cualquiera.

La consulta la saqué de este video que por alguna razón el autor no la puso en los comentarios.

MDT 2013 para Lite-Touch no permite usar IP estática

Al iniciar un equipo con MDT 2013, si seleccionas la opción de configurar una IP estática te darás cuenta de que te aparece el siguiente error:

error mdt 1

Es un bug del MDT 2013 que aún no han solucionado. Por fortuna el workaround es muy sencillo. Solo tienes que pulsar F8 e introducir los siguientes comandos:


netsh interface ip set address "Ethernet" static IP MASCARA GATEWAY

netsh interface ip add dns "Ethernet" DNS

Una vez introducidos los comandos puedes continuar el despliegue o captura como siempre.

Referencia

Configuración de NXLog y Logstash para archivo Netlogon.log

En la entrada anterior explicaba cómo habilitar el debug log del servicio Netlogon para poder ver los enventos de logon usando NTLM en los controladores de dominio. Para analizar estos logs de forma más fácil podemos enviarlos a ELK usando NXLog.

NXLog es un forwarder de logs multiplataforma, no necesita Java y más liviano que el Logstash.

Los archivos de configuración del NXLog y Logstash para enviar los eventos de netlogon.log a ELK los puedes decargar desde aquí.

La instalación de ELK es bastante sencilla, yo usé la guía de Digital Ocean.

Habilitar logging de netlogon sólo para eventos de Logon

Si tienes habilitada la auditoría de eventos de logon en tus controladores de dominio probablemente te hayas dado cuenta de que solamente quedan registrados los eventos de Kerberos.

Si tienes un proxy en el que los usuarios se autentican con NTLM usando una cuenta de dominio verás que estos eventos no quedan registrados en el visor de eventos del controlador de dominio. Si embargo, sí quedarían en el propio proxy si este tiene habilitada la auditoría de eventos de logon.

Para poder ver estos inicios de sesión tienes que tener habilitado el debug logging en los controladores de dominio. Habilitar esto es muy fácil y lo indica claramente en este KB de Microsoft. El problema es que si sigues los pasos de este KB vas a ver en el log muchos más eventos de los que seguramente te interesan.

Si solamente quieres que se registren los eventos de Logon tienes que ejecutar el siguiente comando en todos tus controladores de dominio:

nltest /DBFlag:0x20000004

Después de que ejecutes ese comando vas a ver los registros de inicio de sesión en el archivo C:\Windows\Debug\netlogon.log. Este archivo lo puedes enviar a tu sistema de centralización de logs para un posterior analísis.

Para desactivar el registro de estos eventos basta con ejecutar el siguiente comando:

nltest /DBFlag:0x0

Exportar tracking log de Exchange a CSV

Aquí os dejo un script muy sencillo que exporta el tracking log de Exchange a formato CSV, que es mucho más facil de inspeccionar en Excel.

La diferencia de este script con otros es que los campos como Recipients y RecipientStatus están completamente expandidos. Si exportas el resultado de Get-MessageTrackingLog directamente a Export-Csv estos campos aparecen como System.String[].

Para ejecutarlo solo tenéis que cambiar los parámetros inicio y fin.

exportarTrackingLog

Windows 7 SP1 virgen no se actualiza y la CPU se queda al 100%

Si instalas un Windows 7 SP1 desde cero y ves que al ejecutar Windows Update no se actualiza nada y la CPU se queda al 100% no estas solo.

El origen del problema no lo se, pero supongo que algo tendrá que ver con que el catalogo de Windows Update es cada vez más grande y el cliente que viene de paquete en el Windows 7 SP1 no está preparado para esto.

La solución es bastante sencilla y consiste simplemente en instalar el siguiente parche:

Windows Update Client for Windows 7 and Windows Server 2008 R2: October 2015

Después de que lo instales reinicia el equipo e intenta buscar actualizaciones nuevamente.

Logs de Webmarshal II

Esta es una pequeña adición a la entrada anterior referente al WebMarshal.

Navegando un poco por la base de datos de los logs encontré este procedimiento almacenado que es el que ejecuta la consola de reporting de Marhsal.

exec MRC_URLBrowsingByUser @TimeZone=N'60;10;5;1;03:00:00;120;3;5;1;02:00:00;',@Debug=0,@StartDate='2015-07-01 00:00:00',@EndDate='2015-08-01 00:00:00',@UserPattern=N'%fulano de tal%'

Sólo hay que cambiar los parámetros StartDate, EndDate y UserPattern por lo que nosotros querramos. El parámetro TimeZone supongo que varía para cada país pero este que pongo es válido para el uso horario “Hora central europea”.

Al ejecutar el procedimiento nos saldrá una lista de toda la actividad de navegación de un usuario determinado.