Aprende Informatica Conmigo

Sintaxis:

dsmod group “GroupDN” [opciones]

Podemos utilizar la utilidad de comandos Dsmod para añadir o moficar cualquier atributo o propiedad del grupo como por ejemplo sAMAccountName, desc, samid, etc…

Pero nosotros vamos a ver las dos que, creo, son mas interesantes.

• -addmbr “MemberDN”  –>  Añadir miembros al grupo.

• -rmmbr “MemberDN”   –>  Eliminar miembros del grupo.

Si queremos indicar varios “MemberDN“, dememos separarlos de un espacio.

Si recordamos, hace algún que otro tutorial, creamos el grupo “gtemp1” en el que incluímos como miembros a las cuentas de usuario “infor01” e “infor02“.

Pues vamos a utilizar este grupo para practicar con “Dsmod group“.

Para empezar, vamos a añadir 3 nuevos usuarios al grupo “gtemp1“. Los usuarios serán “infor03“, “admin02” y “ventas01“.

Esto puede que no tenga ningún sentido en un entorno real, pero es solo a modo de ejemplo.

Vamos allá:

dsmod group “CN=gtemp1,OU=grupos,DC=aic,DC=local” -addmbr “CN=infor03,OU=informatica,OU=usuarios,DC=aic,DC=local” “CN=admin02,OU=administracion,OU=usuarios,DC=aic,DC=local” “CN=ventas01,OU=ventas,OU=usuarios,DC=aic,DC=local”

Comprobamos en la pestaña “Members” de las propiedades del grupo “gtemp1” a ver si aparecen los usuarios que acabamos de incluir como miembros:

En efecto, ahí están.

Ahora vamos a intentar eliminar uno de los miembros que acabamos de añadir. Pero claro, utilizando el comando Dsmod.

Para ello, deicidimos que el usuario elegido para no formar parte del grupo “gtemp1” es “ventas01“, entonces:

dsmod group “CN=gtemp1,OU=grupos,DC=aic,DC=local” -rmmbr “CN=ventas01,OU=ventas,OU=usuarios,DC=aic,DC=local”

Comprobamos que ya el usuario “ventas01” ya no es miembro del grupo “gtemp1“:

Perfecto.

Excediéndonos un poco del contenido extricto de este tutorial vamos a ver las posibilidades que tenemos conjugando Dsmod junto con Dsget. Simplemente para que os hagáis una idéa de lo útiles que son estos comandos.

Vamos a incluir todos los miembros del grupo “compras” como miembros del grupo “gtemp1“.

Para ello primero reazaremos una consulta mediante en comando Dsget de los miembros del grupo “compras” y luego se lo pasamos con una tubería (pipe |) al comando Dsmod, el cual los añadirá al grupo “gtemp1“.

dsget gruop “CN=compras,OU=grupos,DC=aic,DC=local” -members | dsmod group “CN=gtemp1,OU=grupos,DC=aic,DC=local” -addmbr

Vale, comprobamos:

Ya se ve que si, que los dos usuarios que hay en el grupo “compras“, se han añadido como miembros del grupo “gtemp1“.

Podéis realizar pruebas con estos comandos y con los que veremos en los siguiente tutoriales.

Por ahora, esto es todo.

Saludos.

Dsget es un comando que nos permitirá obtener información de los objetos del Directorio Activo.

En este tutorial veremos cómo utlizarlo para obtener información de los grupos.

Para empezar, veamos la sistaxis de este comando:

dsget group “GroupDN” -members -memberof …  -expand

La opción “-members” nos mostrará los miembros que tiene el grupo.

La opción “-memberof” mostrará a qué grupos pertenece este grupo.

“-expand” expandirá la búsqueda en sub OUs.

El siguiente comando:

dsget group “CN=informatica,OU=grupos,DC=aic,DC=local” -members

Nos mostrará una lista con los mimbros de este grupo:

Distinguimos las 7 cuentas de usuario que son miembros del grupo “informatica”.

También podemos ejecutar el comando anterior sin el parámetro “-members”, con lo que nos devolverá información relativa al grupo en si:

dsget group “CN=informatica,OU=grupos,DC=aic,DC=local”

Otra posibilidad es que nos muestre los grupos a los que pertenece este grupo. Para ello especificamos el parámetro “-memberof”:

dsget group “CN=informatica,OU=grupos,DC=aic,DC=local” -memberof

En la imagen anterior podemos ver que el grupo “informatica” es miembro del grupo “ACL_informatica_modificar“.

Ahora, como queremos seguir investigando, queremos conocer quienes son los miembros del grupo “ACL_informatica_modificar“, y para ello ejecutamos el siguiente comando:

dsget group “CN=ACL_informatica_modificar,OU=grupos,DC=aic,DC=local” -members

Eso es, identificamos dos miembros del grupo “ACL_informatica_modicar“, que son: “informatica” y “direccion“.

Bueno, lo dejamos aquí, aunque no antes de decir que esta utilidad tiene mucho uso y, por supesto, la volveremos a utilizar pronto.

Saludos.

Ahora, en lugar de modificar atributos desde “Usuarios y Equipos de Active Directory“, vamos a ver cómo hacerlo desde una consola de comandos o desde Windows Powershell.

Ciertamente es muy sencillo, sólo es necesario conocer los comandos DS que necesitamos y los nombres de los atributos que queremos modificar.

Yo lo voy a ejecutar desde Windows Powershell.

El comando o comandos que vamos a utilizar son:

dsquery user -name “sara *” | dsmod user -office “Alicante” -disabled yes

El la primera parte del comando, utilizamos “dsquery” para buscar todos los usuarios cuyo nombre (-name) sea “sara *“, es decir, que comience por sara y tenga un espacio. A partir de ahí, cualquier caracter.

En la seguna parte del comando lo que hacemos es utilizar el comando “dsmod” para modificar los atributos “office” y “disabled” de los objetos usuario que antes hemos consultado con el comando dsquery.

Por lo tanto, con la primera parte del comando conseguimos localizar todos los usuarios cuyo atributo “name” comiencen por “sara” y con la segunda parte modificamos el atributo “office” a Aliante y el atributo “disabled” a yes.

En la siguiente captura de pantalla observamos el resultado de ejecuta el comando.

Ya veis que hay dos usuarios a los que hemos modificado los atributos.

También podéis comprobarlo desde el entorno gráfico:

Ahora vamos a realizar otra prueba.

Nos ponemos en la situación de que queremos conocer los atibutos “samid” (pre-windows 2000 logon name) y “upn” (user principal name” de los usuarios cuyo nombre comience por “sara “.

La primera parte del comando es la misma que en el primer ejemplo que hemos realizado en este tutorial, es decir, para que nos devuelva los usuarios cuyo nombre comience por “sara “.

En la segunda parte del comando utilizamos el comando “dsget” para que nos muestre las propiedades “samid” y “upn” de esos objetos de usuario.

La respuesta a esto la podeis ver en la siguiente captura de pantalla:

Ahora, vamos con el último ejemplo de ete tutorial.

Para ponernos en situación, bloqueamos las dos cuentas de usuario cuyo nombre comienza por “sara “.

Bien, ahora lo que haremos es ejecutar uno a uno los siguientes comandos:

Lo que hacemos es establecer una conexión con LDAP con los datos del usuario que vamos a desblobquear.

A continuación utilizamos el método “InvokeSet” para establecer la propiedad “AccountDisbled” a “false“. De esta forma habilitamos o desbloqueamos la cuenta de usuario.

Para que estos comando tengan efecto, es necesario ejecutar el método “SetInfo()“.

Comprobamos que lo hemos hecho bien:

Ahora, desde el entorno gráfico, vamos a habilitar la otra cuenta de usuario perteneciente a “sara gomez“.

Lo único que hay que hacer es acceder a las propiedades del usuario…

En la pestaña “Account“, vemos que está activado el check “Account is disabled“.

Quitamos el check y pulsamos “ok“.

Ya lo tenemos y lo comprobamos:

Hasta aquí llega este tutorial.

Hasta el siguiente.