Archivo de julio, 2010
Windows Server 2008 – Crear cuentas de equipo.
29 jul
Es muy recomendable crear las cuentas de equipo en el Directorio Activo antes de meter a los equipos en el dominio, es mas, parece totalmente desaconsejable por diferentes motivos, que se meta un equipo en el dominio sin haber creado antes su cuenta en la Unidad Organizativa correspondiente.
En este tutorial vamos a crear dos cuentas de equipo. Un equipo de sobremesa al que llamaremos “sobremesa01” y un servidor al que llamaremos “aicsrv05“.
Vamos a comenar creando la cuenta de equipo para “sobremesa01“.
Como este equipo va a estar situado en el departamento de “administración“, lo vamos a crear es la OU “administración“. De esta forma nos será mas útil a la hora de gestionarlos y aplicarles políticas de grupo.
Para empezar, abrimos “Active Directory Users and Computers” y seleccionamos la OU “administración” que está dentro de la OU “equipos“.
Una vez seleccionada esta OU, pulsamos sobre el botón derecho del ratón –> New –> Computer:
A continuación nos muestra la siguiente pantalla:
En la casilla “Computer name“: Introducimos el nombre del equipo, que en este caso será “sobremesa01“.
Al hacer esto, se rellenará automáticamente la casilla “Conputer name (pre-windows 2000)” con el mismo nombre. Es aconsejable que los dos nombres sean iguales.
Pulsamos sobre “change“:
Escribimos informática para que el grupo “informática” puedan meter este equipo en el dominio.
Pulsamos “Check Names” para verificar el nombre del grupo.
Pulsamos en “OK“.
Pulsamos de nuevo en “OK” y comprobamos que se ha creado la cuenta de usuario en la OU “administración“:
Perfecto.
Ahora crearemos la cuenta de equipo “aicsrv05” correspondiente a un nuevo servidor.
Esta cuenta la crearemos en al Unidad Organizativa “servidores”
Comprobamos:
Bien, hemos visto como crear cuentas de equipo en sus correspondientes OUs.
La gestión de las Unidades Organizatvias es importante en el entorno empresarial para su mejor y fácil gestión.
Por el momento es suficiente.
Saludos.
—–
Oscar Abad
http://www.xulak.com – Consultoría informática
Windows Server 2008 – Gestionar miembros de grupos con Powershell y VBScript
27 jul
Cuando en el título indico “gestionar“, me refieros a eliminar o añadir miembros a los grupos.
Para realizar un script que elimine o añada un miembro a un grupo, en cualquiera de los dos lenguajes de scripting, tendremos que seguir unos pasos que, además nos servirán para entender mejor el funcionamiento.
Los pasos a seguir son tres:
- Determinar la ruta DS al miembro. Estas rutas son del tipo: LDAP://<DN del miembro>.
- Conectamos con el grupo con el que vamos a trabajar.
- Utilizar el método Add (añadir) o Remove (eliminar) del objeto grupo, especificando la ruta DS al miembro.
WINDOWS POWERSHELL
Para añadir un usuario como miembro de un grupo con Windows Powershell realizaremos los pasos anteriores.
Pongamos el ejemplo de que necesitamos añadir al usuario “desarrollo01” como miembro del grupo “ACL_informatica_modificar“.
En primer lugar, guardamos en una variable el DN del usuario (u otro tipo de objeto) que queremos añadir.
$MiembroADSruta = “LDAP://CN=desarrollo01,OU=desarrollo,OU=usuarios,DC=aic,DC=local”
Ahora guardamos en otra varible la conexión con el grupo “ACL_informatica_modificar“, que es el grupo al que le vamos a añadir un miembro.
$objGrupo = [ADSI]“LDAP://CN=ACL_informatica_modificar,OU=grupos,DC=aic,DC=local”
En este momento sólo nos queda invocar al grupo “Add” del objeto “objGrupo” con el parámetro del objeto que queremos añadir. Veámoslo:
$objGrupo.Add ($MiembroADSruta)
Con hemos añadido el usuario “desarrollo01” como miembro del grupo “ACL_informatica_modificar“.
Vemos lo que hemos hecho:
Lo comprobamos en la pestaña “Members” del grupo “ACL_informatica_modificar”:
En efecto, ahí está en usuario “desarrollo01″.
Visual Basic Script
Ahora, para realizar un ejemplo con un script de VBScript, vamos a intentar eliminar el usuario “desarrollo01” como miembro del grupo “ACL_informatica_modificar“. Es decir, deshacer el cambio que realizamos antes con Powershell.
Por supuesto, en esta ocasión utilizaremos el método “remove” en lugar de “add“.
El primer paso, como antes, es guardar en una variable el camino al objeto usuario que queremos quitar del grupo.
MiembroADSruta = “LDAP://CN=desarrollo01,OU=desarrollo,OU=usuarios,DC=aic,DC=local”
Ahora, guardamos en otra variable la conexión con el grupo “ACL_informatica_modificar“, pero en esta ocasión utilizaremos el método o función GetObject().
Set objGrupo = GetObject(“LDAP://CN=ACL_informatica_modificar,OU=grupos,DC=aic,DC=local”)
Y por último, ejecutamos el método “Remove” de la varible que contiene la conexión al grupo.
objGrupo.Remove MiembroADSruta
Creamos un fichero de texto con extensión .vbs y guardamos estas tres líneas de código en el.
Comprobamos:
Ya no está el usuario “desarrollo01” como miembro de este grupo.
En este tutorial sólo he realizado unos ejemplos sencillos pero que nos pueden dar una idea de las posibilidades de estas dos herramientas.
Lo dejamos por hoy.
Saludos.
—–
Oscar Abad
http://www.xulak.com – Consultoría informática
Windows Server 2008 – Eliminar grupos con Dsrm
25 jul
Para terminar con el uso de los comando Ds.. con grupos, vamos a ver cómo utilizar Dsrm.
Evidentemente, nos permite borrar objetos del Active Directory, y en caso que nos ocupa, nos permite eliminar grupos.
La sintaxis, aunque tiene mas opciones, vamos a utilizar la siguiente:
dsrm DNGrupo -noprompt -c
- -noprompt –> Si incluimos esta opción, no solicitará confirmación al eliminar el grupo. Por defecto si lo hace.
- -c –> Al incluir esta opción, seguirá ejecutándose el comando aunque encuentre errores.
Como es habitual en los estos tutoriales, vamos a ver un ejemplo de uso de este comando.
Nos ponemos en situación:
Vamos a intentar eliminar el grupo “gtemp1” que está ubicado en la Unidad Organizativa “grupos“.
dsrm “CN=gtemp1,OU=grupos,DC=aic,DC=local”
Ahora comprobamos que ya no existe el grupo “gtemp1“:
Perfecto, se ha eliminado correctamente.
NOTA:
En este tutorial hemos eliminado el grupo muy a la ligera pero hay que decir que esto, en un entorno real no es muy recomendable.
Antes de eliminar un grupo aseguraos de que estais haciendo bien. Revisad los usuarios, permisos y demás que existan en ese grupo porque puede ser irreversible.
Tutorial cortito pero no por ello carente de intensidad.
Saludos.
—–
Oscar Abad
http://www.xulak.com – Consultoría informática
Windows Server 2008 – Renombrar y mover grupos con Dsmove
22 jul
Continuando con las utilidades Ds… en esta ocasión vamos a ver la utilidad que tiene “dsmove” con relación a los grupos.
Dsmove nos permite cambiar el nombre de los grupos e incluso, como su nombre indica, mover grupos entre diferentes Unidades Organizativas del mismo dominio.
La sintaxis es la siguiente:
dsmove DNdelObjeto [-newname nuevonombre] [-newparent DNOUDestino]
Después de aclarar esto, vamos a hacer un par de ejemplos.
Para empezar vamos a intentar cambiar el nombre del grupo “gtemp1” por “grupotemp1“.
Ejecutamos el siguiente comando:
dsmove “CN=gtemp1,OU=grupos,DC=aic,DC=local” -newname “grupotemp1″
Ahora abrimos “Active Directory Users and Computers” para comprobar que se ha realizado el cambio:
Eso es. En la captura de pantalla anterior vemos que existe un grupo llamado “grupotemp1” y ya no está el que teníamos antes “gtemp1“.
Ahora vamos a intentar otra cosa. Vamos a mover el grupo “grupotemp1” a la Unidad Organizativa “usuarios“. Para realizar esta tarea, ejecutaremos el siguiente comando:
dsmove “CN=grupotemp1,OU=grupos,DC=aic,DC=local” -newparent “OU=usuarios,DC=aic,OU=local”
Comprobamos que el grupo “grupotemp1” ya no exista en la Unidad Organizativa “grupos“:
Bien, no está.
Ahora examinamos la Unidad Organizativa “usuarios” porque es donde tiene que estar el grupo ahora:
Efectivamente, aquí está.
Buen trabajo!
Para terminar con este tutorial y para no dejar el grupo donde está, vamos a ver si lo dejamos como estaba antes de comenzar el tutorial.
Por lo tanto, cambiaremos el nombre del grupo “grupotemp1” por “gtemp1” y lo moveremos a la Unidad Organizativa “grupos“. Intentaremos hacerlo con un sólo comando.
dsmove “CN=grupotemp1,OU=usuarios,DC=aic,DC=local” -newname “gtemp1″ -newparent “OU=grupos,DC=aic,DC=local”
Como siempre, comprobamos en “Active Directory Users and Computers” que ya no existe el grupo “grupotemp1” en la Unidad Organizativa “usuarios“. Tampoco tiene que estar con el nuevo nombre “gtemp1“, puesto que lo hemos movido a la Unidad Organizativa “grupos” y es en esta donde debe estar.
Como tiene que ser, no está en “usuarios“.
Comprobamos ahora la Unidad Organizativa “grupos“:
Perfecto, aquí está, como habíamos pensado.
Con esto doy por finalizado el tutorial. Espero que os sea de utilidad y ya sabeis que podéis dejar vuestros comentarios.
Saludos.
—–
Oscar Abad
http://www.xulak.com – Consultoría informática
Windows Server 2008 – Modificar las propiedades de grupos con Dsmod
20 jul
Sintaxis:
dsmod group “GroupDN” [opciones]
Podemos utilizar la utilidad de comandos Dsmod para añadir o moficar cualquier atributo o propiedad del grupo como por ejemplo sAMAccountName, desc, samid, etc…
Pero nosotros vamos a ver las dos que, creo, son mas interesantes.
-
-addmbr “MemberDN” –> Añadir miembros al grupo.
-
-rmmbr “MemberDN” –> Eliminar miembros del grupo.
Si queremos indicar varios “MemberDN“, dememos separarlos de un espacio.
Si recordamos, hace algún que otro tutorial, creamos el grupo “gtemp1” en el que incluímos como miembros a las cuentas de usuario “infor01” e “infor02“.
Pues vamos a utilizar este grupo para practicar con “Dsmod group“.
Para empezar, vamos a añadir 3 nuevos usuarios al grupo “gtemp1“. Los usuarios serán “infor03“, “admin02” y “ventas01“.
Esto puede que no tenga ningún sentido en un entorno real, pero es solo a modo de ejemplo.
Vamos allá:
dsmod group “CN=gtemp1,OU=grupos,DC=aic,DC=local” -addmbr “CN=infor03,OU=informatica,OU=usuarios,DC=aic,DC=local” “CN=admin02,OU=administracion,OU=usuarios,DC=aic,DC=local” “CN=ventas01,OU=ventas,OU=usuarios,DC=aic,DC=local”
Comprobamos en la pestaña “Members” de las propiedades del grupo “gtemp1” a ver si aparecen los usuarios que acabamos de incluir como miembros:
En efecto, ahí están.
Ahora vamos a intentar eliminar uno de los miembros que acabamos de añadir. Pero claro, utilizando el comando Dsmod.
Para ello, deicidimos que el usuario elegido para no formar parte del grupo “gtemp1” es “ventas01“, entonces:
dsmod group “CN=gtemp1,OU=grupos,DC=aic,DC=local” -rmmbr “CN=ventas01,OU=ventas,OU=usuarios,DC=aic,DC=local”
Comprobamos que ya el usuario “ventas01” ya no es miembro del grupo “gtemp1“:
Perfecto.
Excediéndonos un poco del contenido extricto de este tutorial vamos a ver las posibilidades que tenemos conjugando Dsmod junto con Dsget. Simplemente para que os hagáis una idéa de lo útiles que son estos comandos.
Vamos a incluir todos los miembros del grupo “compras” como miembros del grupo “gtemp1“.
Para ello primero reazaremos una consulta mediante en comando Dsget de los miembros del grupo “compras” y luego se lo pasamos con una tubería (pipe |) al comando Dsmod, el cual los añadirá al grupo “gtemp1“.
dsget gruop “CN=compras,OU=grupos,DC=aic,DC=local” -members | dsmod group “CN=gtemp1,OU=grupos,DC=aic,DC=local” -addmbr
Vale, comprobamos:
Ya se ve que si, que los dos usuarios que hay en el grupo “compras“, se han añadido como miembros del grupo “gtemp1“.
Podéis realizar pruebas con estos comandos y con los que veremos en los siguiente tutoriales.
Por ahora, esto es todo.
Saludos.
—–
Oscar Abad
http://www.xulak.com – Consultoría informática
Windows Server 2008 – Obtener informacion de grupos con Dsget
18 jul
Dsget es un comando que nos permitirá obtener información de los objetos del Directorio Activo.
En este tutorial veremos cómo utlizarlo para obtener información de los grupos.
Para empezar, veamos la sistaxis de este comando:
dsget group “GroupDN” -members -memberof … -expand
La opción “-members” nos mostrará los miembros que tiene el grupo.
La opción “-memberof” mostrará a qué grupos pertenece este grupo.
“-expand” expandirá la búsqueda en sub OUs.
El siguiente comando:
dsget group “CN=informatica,OU=grupos,DC=aic,DC=local” -members
Nos mostrará una lista con los mimbros de este grupo:
Distinguimos las 7 cuentas de usuario que son miembros del grupo “informatica”.
También podemos ejecutar el comando anterior sin el parámetro “-members”, con lo que nos devolverá información relativa al grupo en si:
dsget group “CN=informatica,OU=grupos,DC=aic,DC=local”
Otra posibilidad es que nos muestre los grupos a los que pertenece este grupo. Para ello especificamos el parámetro “-memberof”:
dsget group “CN=informatica,OU=grupos,DC=aic,DC=local” -memberof
En la imagen anterior podemos ver que el grupo “informatica” es miembro del grupo “ACL_informatica_modificar“.
Ahora, como queremos seguir investigando, queremos conocer quienes son los miembros del grupo “ACL_informatica_modificar“, y para ello ejecutamos el siguiente comando:
dsget group “CN=ACL_informatica_modificar,OU=grupos,DC=aic,DC=local” -members
Eso es, identificamos dos miembros del grupo “ACL_informatica_modicar“, que son: “informatica” y “direccion“.
Bueno, lo dejamos aquí, aunque no antes de decir que esta utilidad tiene mucho uso y, por supesto, la volveremos a utilizar pronto.
Saludos.
—–
Oscar Abad
http://www.xulak.com – Consultoría informática
Windows Server 2008 – Gestionar grupos con LDIFDE
15 jul
LDIFDE es una utilidad que nos permite importar, exportar e incluso modificar algunas propiedades de los grupos en LDAP utilizando el formato de fichero LDIF.
Los ficheros LDIF son ficheros de texto en bloque separados por saltos de línea.
Cada operación comienza con el atributo DN del objeto con el que vamos a trabajar.
La segunda línea indica mediante “changeType” el tipo de operación que se va a llevar a cado: add, modify o delete.
Para empezar, debemos crear un fichero con la información necesaria a llevar a cabo.
A continuación pongo un ejemplo que creará los grupos “gtemp2″ y “gtemp3″ con una serie de carácterísticas:
DN: CN=gtemp2,OU=grupos,DC=aic,DC=local
changeType: add
CN: gtemp2
description: Grupo de usuarios temporales 2
objectClass: group
sAMAccountName: gtemp2
DN: CN=gtemp3,OU=grupos,DC=aic,DC=local
changeType: add
CN: gtemp3
description: Grupo de usuarios temporales 3
objectClass: group
sAMAccountName: gtemp3
Para este ejemplo, guardaremos el fichero anterior como “c:\grupos.ldf“.
Ahora, para importar el fichero anterior, lo haremos con el siguiente comando:
ldifde -i -f “c:\grupos.ldf”
La sintaxis es parecida a la de CSVDE.
A continuación lo ejecutamos:
Comprobamos si se han creado los dos grupos en “Active Directory Users and Computers“:
Efectivamente, los dos grupos se han creado correctamente.
Modificar los miembros del grupo con LDIFDE
LDIFDE también puede usarse para modificar grupos existentes en el Directorio Activo.
En este caso utilizaremos el valor “modify” con el parámetro “changeType“.
Crearemos un fichero “c:\modgtemp2.ldf” con el siguiente contenido:
DN: CN=gtemp2,OU=grupos,DC=aic,DC=local
changeType: modify
add: member
member: CN=infor03,OU=informatica,OU=usuarios,DC=aic,DC=local
member: CN=infor04,OU=informatica,OU=usuarios,DC=aic,DC=local
-
Observamos que en la tercera línea hemos indicado “add:” y seguidamente “member“. Esto significa que vamos a añadir un miembro al grupo.
El guión de la última línea es necesario para terminar.
Después, mediante “member:” indicamos dos usuarios existentes para que formen parte del grupo “gtemp2”
Ahora lo guardamos en un fichero de texto con extensión “ldf“, como por ejemplo “c:\modgtemp2.ldf” y volvemos a ejecutar el mismo comando que en la primera parte para importar el fichero LDF.
ldifde -i -f “c:\modgtemp2.ldf”
El resultado de ejecutar este comando:
Ahora, como siempre, comprobamos que en el grupo “gtemp2” existen los usuarios “infor03” e “infor04” como miembros del grupo. Esto lo hacemos abriendo las propiedades del grupo “gtemp2” y seleccionando la pestaña “Members“, como se muestra a continuación:
Perfecto.
Eliminar grupos con LDIFDE
Ahora vamos a aprovechar y dejar limpio todo lo que hemos hecho en este tutorial.
Lo primero único que tenemos que hacer es eliminar las dos entradas de “Members” del grupo “gtemp2“.
Para realizar esto, crearmos un fichero de texto (“c:\delmiemgtemp2.ldf“) con el siguiente contenido:
DN: CN=gtemp2,OU=grupos,DC=aic,DC=local
changeType: modify
delete: member
member: CN=infor03,OU=informatica,OU=usuarios,DC=aic,DC=local
member: CN=infor04,OU=informatica,OU=usuarios,DC=aic,DC=local
-
Hemos cambiado el parámetro “add:” por “delete:“.
Ejetucamos de nuevo el comando LDIFDE para importar este último fichero:
ldifde -i -f “c:\delmiemgtemp2.ldf”
Y comprobamos en la pestaña “Members” de las propiedades del grupo “gtemp2″ que no existe ninguna cuenta de usuario vinculada:
De momento vamos bien.
Ahora eliminaremos los grupos “gtemp2” y gtemp3“.
Para ello, volvemos a crear otro fichero de texto con extensión “.ldf” que podemos llamar “c:\delgrupos.ldf” e incluimos lo siguiente:
DN: CN=gtemp2,OU=grupos,DC=aic,DC=local
changeType: delete
DN: CN=gtemp3,OU=grupos,DC=aic,DC=local
changeType: delete
En este caso es mucho mas sencillo el fichero porque lo único que es necesario en el DN del grupo a borrar e indicar “delete” en el parámetro “changeType“.
Ejecutamos el comando: ldifde -i -f “c:\delgrupos.ldf”
Y por último, comprobamos que se han eliminado los grupos “gtemp2” y “gtemp3” de la Unidad Organizativa “grupos“.
Muy bien, no existen los grupos lo que significa que hemos hecho bien nuestro trabajo.
Hasta aquí llega este tutorial.
Saludos.
—–
Oscar Abad
http://www.xulak.com – Consultoría informática
Windows Server 2008 – Importar y exportar grupos con CSVDE
13 jul
El comando CSVDE nos permite importar datos de un fichero con valores separados por comas, también conocidos como ficheros CSV.
Al igual que nos permite importar grupos, también nos permite exportarlos.
Hay que tener claro que el comando o utilidad CSVDE puede ser usado para crear objetos, no para modificarlos. Por lo tanto no podemos usarlo para importar miembros a grupos existentes.
Sintaxis:
csvde -i -f -d “fichero” -k -r objectclass=tipodeobjeto
El parámetro -i indica que vamos a importar un fichero. Si no indicamos explicitamente este parámetro, CSVDE utilizará el parámetro por defecto, que es exportar.
El parámetro -f indica que a continuación estará el nombre del fichero.
-d nos permite indicar el DN de la ubicación de o en la que queremos inportar o exportar los grupos.
Mediante el parámetro “-r objectclass” introducimos el tipo de objeto que queremos exportar, en este caso “group“.
Por último, mediante el parámetro -k indicamos que siga adelante aunque exista algún error.
A continuación vamos a exportar todos los grupos de la Unidad Organizativa “grupos” a el fichero “c:\grupos.csv“.
csvde -d “OU=grupos,DC=aic,DC=local” -f “c:\grupos.csv” -r objectclass=”group”
Si abrimos el fichero c:\grupos.csv nos encontraremos algo parecido a esto:
En el fichero podemos observar los grupos que hemos exportado. Así en un primer vistazo hay demasiados caracteres juntos y no nos dice mucho, pero no os preocupeis.
Ahora le toca el turno a la importación de grupos con CSVDE, es decir, que vamos a utilizar el parámetro -i.
En este caso tendremos que tener, por supuesto, un fichero csv con información válida para grupos.
Nosotros crearemos un fichero “igrupos.csv” con el siguiente contenido:
objectClass,sAMAccountName,DN,member
group,gtemp1,”CN=gtemp1,OU=grupos,DC=aic,DC=local”,”CN=infor01,OU=informatica,OU=usuarios,DC=aic,DC=local;CN=infor02,OU=informatica,OU=usuarios,DC=aic,DC=local”
Si ejecutamos el comando siguiente:
csvde -i -f “c:\igrupos.csv”
El resultado es el siguiente:
Ahora comprobamos en “Active Directory Users and Computers” si efectivamente se ha creado el grupo “gtemp1“:
Efectivamente se ha creado.
Ah, si nos acordamos, en el fichero introdujimos también dos cuentas de usuarios para que sean miembros de este grupo que acabamos de crear. Lo comprobamos en las propiedades del grupo, en la pestaña “Members“:
Muy bien, todo ha salido perfecto. Tal y como nosotros queríamos.
Esto es todo sobre CSVDE para trabajar con grupos. Volveremos a retomar esta utilidad cuando trabajemos con equipos.
Pero todavía no hemos acabado con los grupos, osea que en el próximo tutorial seguiremos trabajando con ellos.
Saludos.
—–
Oscar Abad
http://www.xulak.com – Consultoría informática
Windows Server 2008 – Crear grupos con Dsadd
11 jul
Hoy en día es impensable pensar en el mantenimiento de un dominio de cierta embergadura realizando todos las tareas “a mano”.
Personalmente pienso que hay que automatizar las tareas todo lo que se pueda, para evitar el trabajo repetitivo que no aporta nada a los administradores o técnicos de sistemas.
Para ello, en cuanto a grupos tenemos varias opciones y una de ellas es utilizar los comandos “Ds…”.
Para crear objetos disponemos del comamdo “Dsadd” que en este caso utilizaremos para crear grupos.
El comando tiene la forma:
dsadd group GroupDN [atributos]
Donde “group” es en nombre del grupo que vamos a crear y “GroupDN” es el DN del grupo. El DN de un grupo es de la forma: “CN=gruponuevo,OU=grupos,DC=aic,DC=local“.
A continuación expongo algunos de los atributos que podemos utilizar cuando utilidamos “dsadd group”:
- -secgrp [yes | no] Especifica si es grupo es de seguridad (yes) o de distribución (no).
- -scope [ l | g | u ] Especifica el ámbito del grupo: l para dominio local, g para global o u para universal.
- -samid Nombre Especifica el sAMAccountName del grupo. Si no lo especificamos, el nombre del grupo será el especificado en el DN del grupo.
- -desc descripción Establece la descripción del grupo
- -members MemberDN Añade miembros al nuevo grupo. Los miembros se especifican mediante sus DNs y separados por espacios.
- -memberof GroupDN Hace que el nuevo grupo que estamos creando sea miembro de uno o mas grupos existentes. Los grupos también se especifican mediante su DN y separados por espacios.
Ahora que ya tenemos una idea de cómo utilizar el comando “dsadd” para crear nuevos grupos desde la consola de comandos, vamos a realizar algún ejemplo.
Bien, parece que las empresas van bien y aunque todavía no nos hemos metido con el resto de empresas del holding, se ha decidido crear un nuevo departamento en “AIC“. El nuevo departamento se denominará “desarrollo” y se encarará de desarrollar aplicaciones corporativas, páginas webs y demás.
Por el momento va a constar de un solo miembro al que llamaremos, como no: “desarrollo01“.
En primer lugar, crearemos la Unidad Organizativa donde se alojarán las cuentas de usuario del departamento de desarrollo. Admemás también crearemos la OU en el apartado de equipos para el mismo fin.
dsadd ou “OU=desarrollo,OU=usuarios,DC=aic,DC=local” -desc “Unidad Organizativa para almacenar cuentas de usuario del departamento de desarrollo”
El comando anterior crea una nueva Unidad Organizativa llamada “desarrollo” dentro de la OU “usuarios” existente.
A continuación hacemos lo mismo para las cuentas de equipo, es decir, creamos una Unidad Organizativa llamada “desarrollo” dentro de la OU “equipos”.
dsadd ou “OU=desarrollo,OU=equipos,DC=aic,DC=local” -desc “Unidad Organizativa para almacenar cuentas de equipo departamento de desarrollo”
Echamos un vistado a “Usuarios y Equipos de Active Directory“:
Vemos que ha creado las dos OUs correctamente.
Ahora nos toca crear la cuenta de usuario “desarrollo01” y ubicarla directamente dentro de la Unidad Organizativa “desarrollo” que se encuenta dentro de la OU “usuarios“.
Vamos allá:
dsadd user “CN=desarrollo01,OU=desarrollo,OU=usuarios,DC=aic,DC=local” -pwd * -mustchpwd no -samid desarrollo01
Si lo hemos hecho bien, comprobaremos que nos pide que introduzcamos la contraseña para el nuevo usuario. Esto se debe a que hemos indicado el parámetro -pwd con un asterisco (*).
Como siempre, comprobamos en “Usuarios y Equipos de Active Directory“:
De momento, esto funciona bien.
Ahora llegamos a la parte en la que crearemos dos grupos:
Un grupo global en el que incluiremos las cuentas de usuario correspondientes a los miembros del departamento desarrollo.
Otro grupo Local de Dominio que llamaremos “ACL_desarrollo_modificar” en el que incluiremos como miembros a los Grupos Globales de “direccion” y “desarrollo“.
Para crear el Grupo Global “desarrollo” introduciremos el siguiente comando:
dsadd group “CN=desarrollo,OU=grupos,DC=aic,DC=local” -samid desarrollo -secgrp yes -scope g -desc “Grupo Global de desarrollo” -members “CN=desarrollo01,OU=desarrollo,OU=usuarios,DC=aic,DC=local”
No hay mucho que decir, simplemente vamos a comprobar que lo ha hecho como nosotros queríamos:
De momento, el Grupo Global “desarrollo” lo ha creado.
Ahora vamos a ver las propiedades:
Muy bien, ahora vamos a mirar en la pestaña “Members” porque debería de estar el usuario “desarrollo01“:
En efecto. Ahí está.
Pasamos a la creación del siguiente grupo, el grupo Local de Dominio “ACL_desarrollo_modificar” en el que incluiremos como miembros a los Grupos Globales “desarrollo” y “direccion“.
dsadd group “CN=ACL_desarrollo_modificar,OU=grupos,DC=aic,DC=local” -samid ACL_desarrollo_modificar -secgrp yes -scope l -desc “Grupo de Dominio Local para informacion sobre desarrollo” -members “CN=desarrollo,OU=grupos,DC=aic,DC=local” “CN=direccion,OU=grupos,DC=aic,DC=local”
Podemos observar, a parte de que el ámbito (-scope) hemos indicado Local, hemos indicado dos grupos como miembros de este nuevo grupo. Los hemos indicado mediante su DN y separados por un espacio.
Comprobamos que se ha creado el grupo:
Bien, ahora revisamos las propiedades del grupo para comprobar que las que le hemos indicado están correctas:
Parece que en esta pestaña está todo bien.
Pero vamos a ver en la pestaña “Members“. Tienen que estar los Grupos Globales “desarrollo” y “direccion“.
Todo perfecto.
Sin duda no es complicado, simplemente hay que tener en cuenta las posiblidades y la disposición de la sintaxis del comando dsadd para combinarla correctamente a nuestras necesidades.
Y por supuesto, algo de práctica.
Para terminar el tutorial, estaría bien crear el directorio “c:\documentos\desarrollo” para utilizarlo en tutoriales siguientes con el grupo “ACL_desarrollo_modificar”.
Damos por finalizado este tutorial.
Nos vemos en el siguiente donde veremos otras formas de automatizar la creación de Grupos.
Hasta entonces.
—–
Oscar Abad
http://www.xulak.com – Consultoría informática
Windows Server 2008 – Crear grupos – Parte 2
8 jul
Recordemos que en primera parte de este tutorial habíamos creado:
- Un Grupo Global “ventas” en el que habíamos incluído como miembros a los usuarios del deparamento “ventas“.
- Un Grupo Global “direccion” en el que habíamos inlcluído como miembros a el usuario del departamento “direccion“.
- Un Grupo Local de Dominio “ACL_ventas_total” en el que habíamos incluído como miembros a los grupos globales anteriores, es decir “ventas” y “direccion“.
Ahora llega el momento de probar esta configuración.
Para ello, creamos el directorio “documentos” en la raiz del disco C de nuestro servidor “aicsrv01“.
En este directorio vamos a ir ubicando otros subdirectorios dependiendo de la finalidad de los documentos que van a contener. Por ahora sólo necesitamos un directorio en el que se incluirán ficheros relativos a las ventas y como dijimos en la primera parte del tutorial, los departamentos de “ventas” y “direccion” tendrán acceso total a estos ficheros
Por consiguiente, creamos un directorio llamado “ventas” dentro del directorio “documentos“.
Nos quedaría algo así:
Seleccionamos el directorio “ventas” –> botón derecho del ratón –> “Properties“.
Seleccionamos la pestaña “Secutity“.
Pulsamos en el botón “Edit…“.
Ahora, como muestra la captura anterior, pulsamos en el botón “Add…“. Para añadir objetos a esta lista.
Sucede que, puede ser que no nos acordemos exactamente del nombre del Grupo Local de Dominio que se refería a este directorio y que queremos añadirlo a su lista de seguridad (ACL).
En casos como este, introducimos ACL_ que estamos seguros de que el nombre del grupo empezaba así, y pulsamos sobre el botón “Check Names“.
En este caso, tras pulsar el botón “Check Names“, nos ha encontrado justo el nombre del grupo que nosostros queremos.
Esto es porque actualmente tenemos un solo grupo cuyo nombre comience por “ACL_“. Si hubieramos tenido mas, nos mostraría un cuadro de diálogo con todas las opciones que coincidan con el patrón y tendríamos que escoger la o las que nos hagan falta a nosotros.
Bien, como es lo que queremos, pulsamos “OK“.
Ahora, nos percatamos que ha añadido el grupo “ACL_vetas_total” a la lista:
Seleccionamos el grupo en cuestión y en la parte de abajo “Permissions for ACL_ventas_total” podemos ver los permisos que tiene habilitados y los denegados.
Respetando el nombre del Grupo, le damos acceso total a este grupo activando la casilla correspondiente como se muestra en la captura siguiente:
Pulsamos en el botón “OK” para guardar los cambios.
Bueno, pues ya tenemos listo el acceso total al directorio “c:\documentos\ventas” para todos los miembros de los departamentos de “ventas” y “direccion“.
Cualquiera de los miembros de esos grupos globlales tienen acceso total y por lo tanto pueden hacer lo que quieran en el.
Hay que tener en cuenta que por norma general no se deben dar permisos de acceso total a los usuarios, si necesitan modificar los documentos de una ubicación, les daremos permisos de “Modify“.
Bueno, ya hemos aprendido a crear grupos y cómo gestionarlos para que nos sea mas fácil y mas rápido a la hora de aplicar permisos.
Estaremos de acuerdo que es mucho mas fácil, rápido y limpio hacer esto mediante grupos. Una buena política de grupos nos evitará muchos quebraderos de cabeza.
Para practicar:
Ahora voy a realizar otras tareas en las que es neceario la gestión de grupos y permisos, pero no lo voy a explicar, lo dejo a la imaginación de cada uno.
1-. Crear directorio c:\documentos\informatica al cual tendrán acceso de modificación todos los miembros de los departamentos de Informática y Dirección.
2-. Crear directorio c:\dirección al que sólo tendrán acceso los miembros de ese mismo departamento.
3-. Crear directorio c:\documentos\compras al que tendrán acceso de modificación los miembros de los departamentos de compras y dirección. Además, los miembros del departamento de administración tendrán acceso de lectura.
4-. Crear directorio c:\documentos\marketing al que tendrán acceso de modificación los miembros del grupo marketing. También tendrán acceso de lectura los miembros del departamento de dirección.
Para que os hagáis una idéa de como debería quedar en cuanto a grupos una vez realizados los pásos anteriores:
Esto es todo para este tutorial.
Nos vemos en el siguiente.
—–
Oscar Abad
http://www.xulak.com – Consultoría informática
Loading ...