Informacion Sobre el Ultimo Inicio de Sesión Interactivo

Lo prometido es deuda… y tal como os anticipaba en el post anterior, ahí va el primer post que explica una de las novedades introducidas en Windows Server 2008 una vez elevado el nivel funcional del dominio hacia Windows Server 2008.

Antes de nada: Debéis tener mucho, mucho cuidado con esta nueva funcionalidad, ya que, mal implementada puede evitar el inicio de sesión en cualquier equipo del dominio. Se debe tener en cuenta en todo momento que la funcionalidad requiere:

• Que se haya elevado el nivel funcional del dominio hacia Windows Server 2008,
• Que se haya configurado una GPO a nivel de los Controladores de Dominio para que éstos almacenen la información en los nuevos atributos de usuario, y
• Que se haya configurado una GPO a nivel de equipo en los puestos que vayan a reportar la información

Dado que la funcionalidad requiere el uso de GPO’s, se debe destacar que ésta funcionalidad es aplicable tanto para equipos Windows Vista como para equipos Windows Server 2008. Si se dispone de algún cliente XP, éste ignorará la directiva.

Windows Server 2008 introduce una serie de nuevos atributos que permiten hacer uso de ésta funcionalidad. Los atributos que nos ocupan en este caso son los siguientes:

• msDS-LastSuccessfulInteractiveLogonTime: Almacena información acerca del momento en el que se efectuó un Inicio de Sesión Interactivo correcto.
• msDS-LastFailedInteractiveLogonTime: Contiene información sobre el último momento en el que se intentó efectuar un Inicio de Sesión Interactivo de modo incorrecto (contraseña incorrecta).
• msDS-FailedInteractiveLogonCount: Informa acerca del número total de Inicios de Sesión Interactivos fallidos desde que se habilitó la funcionalidad.
• msDS-FailedInteractiveLogonCountAtLastSuccessfulLogon: Indica el número total de Inicios de Sesión Interactivos fallidos, tomando como referencia el último inicio de sesión correcto. Nótese que la diferencia entre éste parametro y el anterior permite verificar el número total de intentos de Inicio de Sesión Interactivo incorrectos desde el último correcto.

La siguiente imagen contiene un detalle de los parámetros que nos ocupan (observad el «Editor de Atributos«, una de las nuevas pestañas presentes en la consola de «Usuarios y Equipos de Directorio Activo» de Windows Server 2008 y que proporciona acceso a los atributos del objeto seleccionado… y para lo que en Windows Server 2003 se debía utilizar ADSIEdit):

Atributos Relacionados en Informacion de Logon Interactivo

Por medio de los parámetros descritos anteriormente se puede ofrecer información detallada a cada cliente en el momento de efectuar un inicio de sesión, tal como muestra la siguiente imagen:

Informacion sobre Logon Interactivo

Si es la primera vez que se efectúa un Inicio de Sesión Interactivo despues de haber habilitado la funcionalidad que nos ocupa aparecerá un mensaje como el que sigue:

Primer Inicio de Sesion Interactivo

Ahora bien, reitero lo que os indicaba anteriormente: Ésta funcionalidad tan solo debe ser habilitada adecuadamente, y una vez que se haya elevado el Nivel Funcional del dominio hacia Windows Server 2008. Si se habilita antes puede evitar (lo hará) el inicio de sesión en todo el dominio, tal como muestra la siguiente imagen:

Error al Efectuar un Logon Interactivo

IMPORTANTE: Si se ha elevado el nivel funcional del dominio hacia Windows Server 2008 y sigue apareciendo el error anterior, muy probablemente se deba a que no se ha configurado una GPO a nivel de Controlador de Dominio para que se almacene la información anterior, o que se ha configurado la GPO pero ésta no se ha replicado hacia todos los Controladores de Dominio.

La directiva que hay que habilitar se encuentra localizada en la siguiente rama:

• Computer Configuration\Policies\Administrative Templates\Windows Logon Options

El setting a modificar se denomina «Display information about previous logons during user logon».

Cabe destacar que el mismo setting sirve tanto para indicarle a los Controladores de Dominio que deben almacenar la información como para indicarle a los equipos cliente que deben mostrarla. Por tanto, sirve con generar una única GPO y vincularla tanto bajo la OU de los Controladores de Dominio como bajo la OU de los equipos que se pretende reporten la información anterior.

Por supuesto, conviene habilitar en primer lugar la GPO a nivel de Controlador de Dominio y dejar que la replicación haga su trabajo, y posteriormente habilitar el mostrado de información a nivel cliente. De ese modo se evitarán muchos «sustos»…

Un saludo,

Alberto Robledo.