crear grupos archivos - Aprende Informatica Conmigo

11 julio, 2010 Por oscar Deja un comentario

Windows Server 2008 – Crear grupos con Dsadd

Hoy en día es impensable pensar en el mantenimiento de un dominio de cierta embergadura realizando todos las tareas «a mano».

Personalmente pienso que hay que automatizar las tareas todo lo que se pueda, para evitar el trabajo repetitivo que no aporta nada a los administradores o técnicos de sistemas.

Para ello, en cuanto a grupos tenemos varias opciones y una de ellas es utilizar los comandos «Ds…».

Para crear objetos disponemos del comamdo «Dsadd» que en este caso utilizaremos para crear grupos.

El comando tiene la forma:

dsadd group GroupDN [atributos]

Donde «group» es en nombre del grupo que vamos a crear y «GroupDN» es el DN del grupo. El DN de un grupo es de la forma: «CN=gruponuevo,OU=grupos,DC=aic,DC=local«.

A continuación expongo algunos de los atributos que podemos utilizar cuando utilidamos «dsadd group»:

-secgrp [yes | no] Especifica si es grupo es de seguridad (yes) o de distribución (no).
-scope [ l | g | u ] Especifica el ámbito del grupo: l para dominio local, g para global o u para universal.
-samid Nombre Especifica el sAMAccountName del grupo. Si no lo especificamos, el nombre del grupo será el especificado en el DN del grupo.
-desc descripción Establece la descripción del grupo
-members MemberDN Añade miembros al nuevo grupo. Los miembros se especifican mediante sus DNs y separados por espacios.
-memberof GroupDN Hace que el nuevo grupo que estamos creando sea miembro de uno o mas grupos existentes. Los grupos también se especifican mediante su DN y separados por espacios.

Ahora que ya tenemos una idea de cómo utilizar el comando «dsadd» para crear nuevos grupos desde la consola de comandos, vamos a realizar algún ejemplo.

Bien, parece que las empresas van bien y aunque todavía no nos hemos metido con el resto de empresas del holding, se ha decidido crear un nuevo departamento en «AIC«. El nuevo departamento se denominará «desarrollo» y se encarará de desarrollar aplicaciones corporativas, páginas webs y demás.

Por el momento va a constar de un solo miembro al que llamaremos, como no: «desarrollo01«.

En primer lugar, crearemos la Unidad Organizativa donde se alojarán las cuentas de usuario del departamento de desarrollo. Admemás también crearemos la OU en el apartado de equipos para el mismo fin.

dsadd ou «OU=desarrollo,OU=usuarios,DC=aic,DC=local» -desc «Unidad Organizativa para almacenar cuentas de usuario del departamento de desarrollo»

El comando anterior crea una nueva Unidad Organizativa llamada «desarrollo» dentro de la OU «usuarios» existente.

A continuación hacemos lo mismo para las cuentas de equipo, es decir, creamos una Unidad Organizativa llamada «desarrollo» dentro de la OU «equipos».

dsadd ou «OU=desarrollo,OU=equipos,DC=aic,DC=local» -desc «Unidad Organizativa para almacenar cuentas de equipo departamento de desarrollo»

Echamos un vistado a «Usuarios y Equipos de Active Directory«:

Vemos que ha creado las dos OUs correctamente.

Ahora nos toca crear la cuenta de usuario «desarrollo01» y ubicarla directamente dentro de la Unidad Organizativa «desarrollo» que se encuenta dentro de la OU «usuarios«.

Vamos allá:

dsadd user «CN=desarrollo01,OU=desarrollo,OU=usuarios,DC=aic,DC=local» -pwd * -mustchpwd no -samid desarrollo01

Si lo hemos hecho bien, comprobaremos que nos pide que introduzcamos la contraseña para el nuevo usuario. Esto se debe a que hemos indicado el parámetro -pwd con un asterisco (*).

Como siempre, comprobamos en «Usuarios y Equipos de Active Directory«:

De momento, esto funciona bien.

Ahora llegamos a la parte en la que crearemos dos grupos:

Un grupo global en el que incluiremos las cuentas de usuario correspondientes a los miembros del departamento desarrollo.

Otro grupo Local de Dominio que llamaremos «ACL_desarrollo_modificar» en el que incluiremos como miembros a los Grupos Globales de «direccion» y «desarrollo«.

Para crear el Grupo Global «desarrollo» introduciremos el siguiente comando:

dsadd group «CN=desarrollo,OU=grupos,DC=aic,DC=local» -samid desarrollo -secgrp yes -scope g -desc «Grupo Global de desarrollo» -members «CN=desarrollo01,OU=desarrollo,OU=usuarios,DC=aic,DC=local»

No hay mucho que decir, simplemente vamos a comprobar que lo ha hecho como nosotros queríamos:

De momento, el Grupo Global «desarrollo» lo ha creado.

Ahora vamos a ver las propiedades:

Muy bien, ahora vamos a mirar en la pestaña «Members» porque debería de estar el usuario «desarrollo01«:

En efecto. Ahí está.

Pasamos a la creación del siguiente grupo, el grupo Local de Dominio «ACL_desarrollo_modificar» en el que incluiremos como miembros a los Grupos Globales «desarrollo» y «direccion«.

dsadd group «CN=ACL_desarrollo_modificar,OU=grupos,DC=aic,DC=local» -samid ACL_desarrollo_modificar -secgrp yes -scope l -desc «Grupo de Dominio Local para informacion sobre desarrollo» -members «CN=desarrollo,OU=grupos,DC=aic,DC=local» «CN=direccion,OU=grupos,DC=aic,DC=local»

Podemos observar, a parte de que el ámbito (-scope) hemos indicado Local, hemos indicado dos grupos como miembros de este nuevo grupo. Los hemos indicado mediante su DN y separados por un espacio.

Comprobamos que se ha creado el grupo:

Bien, ahora revisamos las propiedades del grupo para comprobar que las que le hemos indicado están correctas:

Parece que en esta pestaña está todo bien.

Pero vamos a ver en la pestaña «Members«. Tienen que estar los Grupos Globales «desarrollo» y «direccion«.

Todo perfecto.

Sin duda no es complicado, simplemente hay que tener en cuenta las posiblidades y la disposición de la sintaxis del comando dsadd para combinarla correctamente a nuestras necesidades.

Y por supuesto, algo de práctica.

Para terminar el tutorial, estaría bien crear el directorio «c:\documentos\desarrollo» para utilizarlo en tutoriales siguientes con el grupo «ACL_desarrollo_modificar».

Damos por finalizado este tutorial.

Nos vemos en el siguiente donde veremos otras formas de automatizar la creación de Grupos.

Hasta entonces.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática

oscar

Programador WordPress freelance

8 julio, 2010 Por oscar Deja un comentario

Windows Server 2008 – Crear grupos – Parte 2

Recordemos que en primera parte de este tutorial habíamos creado:

Un Grupo Global «ventas» en el que habíamos incluído como miembros a los usuarios del deparamento «ventas«.
Un Grupo Global «direccion» en el que habíamos inlcluído como miembros a el usuario del departamento «direccion«.
Un Grupo Local de Dominio «ACL_ventas_total» en el que habíamos incluído como miembros a los grupos globales anteriores, es decir «ventas» y «direccion«.

Ahora llega el momento de probar esta configuración.

Para ello, creamos el directorio «documentos» en la raiz del disco C de nuestro servidor «aicsrv01«.

En este directorio vamos a ir ubicando otros subdirectorios dependiendo de la finalidad de los documentos que van a contener. Por ahora sólo necesitamos un directorio en el que se incluirán ficheros relativos a las ventas y como dijimos en la primera parte del tutorial, los departamentos de «ventas» y «direccion» tendrán acceso total a estos ficheros

Por consiguiente, creamos un directorio llamado «ventas» dentro del directorio «documentos«.

Nos quedaría algo así:

Seleccionamos el directorio «ventas» –> botón derecho del ratón –> «Properties«.

Seleccionamos la pestaña «Secutity«.

Pulsamos en el botón «Edit…«.

Ahora, como muestra la captura anterior, pulsamos en el botón «Add…«. Para añadir objetos a esta lista.

Sucede que, puede ser que no nos acordemos exactamente del nombre del Grupo Local de Dominio que se refería a este directorio y que queremos añadirlo a su lista de seguridad (ACL).

En casos como este, introducimos ACL_ que estamos seguros de que el nombre del grupo empezaba así, y pulsamos sobre el botón «Check Names«.

En este caso, tras pulsar el botón «Check Names«, nos ha encontrado justo el nombre del grupo que nosostros queremos.

Esto es porque actualmente tenemos un solo grupo cuyo nombre comience por «ACL_«. Si hubieramos tenido mas, nos mostraría un cuadro de diálogo con todas las opciones que coincidan con el patrón y tendríamos que escoger la o las que nos hagan falta a nosotros.

Bien, como es lo que queremos, pulsamos «OK«.

Ahora, nos percatamos que ha añadido el grupo «ACL_vetas_total» a la lista:

Seleccionamos el grupo en cuestión y en la parte de abajo «Permissions for ACL_ventas_total» podemos ver los permisos que tiene habilitados y los denegados.

Respetando el nombre del Grupo, le damos acceso total a este grupo activando la casilla correspondiente como se muestra en la captura siguiente:

Pulsamos en el botón «OK» para guardar los cambios.

Bueno, pues ya tenemos listo el acceso total al directorio «c:\documentos\ventas» para todos los miembros de los departamentos de «ventas» y «direccion«.

Cualquiera de los miembros de esos grupos globlales tienen acceso total y por lo tanto pueden hacer lo que quieran en el.

Hay que tener en cuenta que por norma general no se deben dar permisos de acceso total a los usuarios, si necesitan modificar los documentos de una ubicación, les daremos permisos de «Modify«.

Bueno, ya hemos aprendido a crear grupos y cómo gestionarlos para que nos sea mas fácil y mas rápido a la hora de aplicar permisos.

Estaremos de acuerdo que es mucho mas fácil, rápido y limpio hacer esto mediante grupos. Una buena política de grupos nos evitará muchos quebraderos de cabeza.

Para practicar:

Ahora voy a realizar otras tareas en las que es neceario la gestión de grupos y permisos, pero no lo voy a explicar, lo dejo a la imaginación de cada uno.

1-. Crear directorio c:\documentos\informatica al cual tendrán acceso de modificación todos los miembros de los departamentos de Informática y Dirección.

2-. Crear directorio c:\dirección al que sólo tendrán acceso los miembros de ese mismo departamento.

3-. Crear directorio c:\documentos\compras al que tendrán acceso de modificación los miembros de los departamentos de compras y dirección. Además, los miembros del departamento de administración tendrán acceso de lectura.

4-. Crear directorio c:\documentos\marketing al que tendrán acceso de modificación los miembros del grupo marketing. También tendrán acceso de lectura los miembros del departamento de dirección.

Para que os hagáis una idéa de como debería quedar en cuanto a grupos una vez realizados los pásos anteriores:

Esto es todo para este tutorial.

Nos vemos en el siguiente.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática

oscar

Programador WordPress freelance

6 julio, 2010 Por oscar 2 comentarios

Windows Server 2008 – Crear grupos – Parte 1

Antes de crear grupos, vamos a crear una Unidad Organizativa donde los vamos a alojar para tenerlo todos juntos.

Abrimos «Active Directory users and computers«, nos posicionamos en el dominio «aic.local«, pulsamos el botón derecho del ratón.

Ahora seleccionamos «New» y el menú que aparece, seleccionamos «Organizational Unit«.

Nos muestra un cuadro de diálogo en el que pondremos el nombre de la nueva OU. En este caso, hemos decidido que sea «grupos«.

Pulsamos «OK».

Ahora, si pulsamos «F5» en «Active Directory users and computers«, nos debe de aparecer la Unidad Organizativa que acabamos de crear:

También podríamos haber creado la Unidad Organizativa «grupos» con el comando «Dsadd» de la siguiente forma:

Dsadd ou «ou=grupos,dc=aic,dc=local»

Como aparece en la siguiente captura de pantalla:

Bueno, ahora que ya tenemos una Unidad Organizativa donde alojar nuestros grupos, vamos a ver cómo crear un grupo.

Para ponernos en una posible situación real, vamos a pensar que nos han pedido que creemos una ubicación para alojar documentación relativa a las ventas y a la cual tendrán acceso los miembros del departamento de «ventas» y por supuesto los miembros o miembro del departamento de «direccion«.

Para esto, decidimos que, como acualmente sólo tenemos un servidor, lo vamos a crear en el único que tenemos. Crearemos un directorio llamado «compartido» del que colgará el directorio de «ventas» y mas adelante crearemos otros para otros fines.

Pero esto lo podemos hacer mas adelante, ahora vamos a crear dos «grupos globales» que contendrá cada uno las cuentas de usuario del departamento «ventas» y el otro grupo las del departamento de «dirección«.

Para realizar estas tareas, procedemos a abrir «Active Directory Users and Computers» y seleccionamos la OU «grupos» que hemos creado anteriromente.

Hacemos click en el botón derecho del ratón –> «new» –> «Group«.

En la siguiente pantalla que nos aparece, introducimos el nombre del grupo como «ventas«.

Al escribirlo en la casilla de «Group name«, también se rellenará la casilla «Group name (pre-windows 2000)» con los mismos caracteres.

Como vemos en la captura anterior, optamos por crear un grupo «Global» de «Seguridad«. Pulsamos «OK«.

Tras esto, podemos ver el nuevo grupo en la OU «grupos«.

Debemos tener claro la forma en la que vamos a nombrar los grupos. Es necesario hacer un planteamiento o estudio antes de implantar el Directorio Activo y establecer una serie de normas a la hora de establecer los nombres de los objetos, no sólo de los grupos.

Ahora que ya tenemos el grupo creado y vamos a añadir usuarios al mismo. En este caso, como el propio nombre del grupo indica, añadiremos a todas las cuentas de usuario del departamento de ventas.

Seleccionamos el grupo «ventas» –> pulsamos el botón derecho del ratón –> seleccionamos «properties«.

Nos posicionamos en la pestaña «Members«.

Pulsamos el botón «Add…»

Escribimos los nombres de las cuentas de usuario que queremos añadir al grupo y pulsamos «OK«.

Ahora vemos en la ventana de propiedades del grupo «ventas2» que ha incluido las dos cuentas de usuario que le hemos indicado.

Cerramos las propiedades pulsando sobre el botón «OK«.

Ahora ya tenemos creado el grupo «ventas» cuyos miembros son «ventas01» y «ventas02»

Para no alargar mucho el tutorial, dejo que cada uno cree de la misma forma el Grupo Global de Seguridad «direccion«, en el que incluiremos como miembros a los usuarios de ese departamento. Recordad que sólo hay un miembro en estos momentos, pero nadie nos dice que dentro de algún tiempo exista otro directivo.

Una vez creado el grupo «direccion«, podemos ver los dos grupos en la captura siguiente:

Muy bien, ahora, de forma similar vamos a crear el grupo que contendrá los permisos. Por lo tanto se tratará de un «grupo local de dominio«.

Como antes, nos posicionamos en la OU «grupos» –> botón derecho del ratón –> «new» –> «group«.

A este grupo le llamaremos «ACL_ventas_total«.

El nombre del grupo tiene cómo primera parte «ACL«, que se refiere a «Access Control List«. Después el nombre del recurso a gestionar con permisos y finalmente el tipo de permiso o acceso. Esta nomenclatura nos sirve para, mas adelante, cuando tengamos muchos grupo, saber para qué es cada grupo.

Vemos que se ha creado el nuevo grupo:

Ahora abrimos las propiedades del grupo «ACL_ventas_total» y nos posicionamos en la pestaña «Members«.

Pulsamos el botón «Add…«.

Escribimos «ventas;direccion» que son los nombres de los grupos que queremos incluir en este grupo.

Pulsamos «OK«.

Podemos ver que nos muestra cuadro de diálogo «Multiple Names Found» porque ha encontrado varios objetos que coinciden con una de las entradas que habíamos escrito, en este caso ventas.

Nosotros seleccionamos el grupo «ventas» y pulsamos «OK«.

Observamos que también ha incluído el grupo «direccion» y no nos ha mostrado la pantalla de selección como en el caso de ventas. Esto es porque sólo ha encontrado una coincidencia.

Pulsamos «OK» para cerrar la ventana.

Pues ya tenemos creados los dos Grupos Globales de «ventas» y «direccion«. Además tenemos creado el Grupo Local de Dominio «ACL_ventas_total«.

Como este tutorial se está haciendo muy largo, lo voy a partir en dos artículos. Por consiguiente, nos vemos en el siguiente tutorial.

Saludos.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática

oscar

Programador WordPress freelance

26 abril, 2009 Por oscar 1 comentario

Windows Server 2008 – Crear grupos

En este articulo vamos a crear grupos para no tener que manejar los objetos de usuarios y equipos individualmente, de esta forma haremos mas facil nuestro trabajo.
Como siempre, abrimos la consola peronalizada que ya tenemos de otros articulos.

Dentro de «Active Directory Users and Computers«, nos posicionamos en «grupos«.

Pulsamos el boton derecho del raton –> New –> Group