Category: Active directory


COn este script se puede mover computadoras de Unidad organizativa (OU) dependiendo del nombre, string, o pueden generar otra consulta , como por ejemplo sistema operativo, locacion…Es muy util cuando se tiene varias sucursales o se debe reorganizar el Active directory principalmente para delegar permisos segun sector, o para la aplicacion de politicas de grupo.

 

#################################################################
# This script will help to move bulk ad computer accounts into target OU
# Morettimaxi.com.ar
#################################################################

# DOnde buscar computadoras
$SearchOU = “CN=Computers,DC=truelogic,DC=local”

Write-Host ” Importing AD Module….. ”

#Importing AD Module
import-module ActiveDirectory

Write-Host ” Importing Move List….. ”
#FUncion para mover pcs
function MvPcs($list){
if ($list.count -ne 0) {
Write-Host ” Moving Computer Accounts…”
#Ou de destino
$destinationOU = ‘OU=test1,OU=Computers,OU=TrueLogic,DC=truelogic,DC=local’
Write-Host ” Starting import computers …”
foreach($computer in $list) {get-adcomputer $computer| Move-ADObject -TargetPath $destinationOU}

$countPC = ($list).count
Write-Host ” Completed Move List ”
Write-Host ” $countPC computers of have been moved ”
}
}

#funcion Generar listado de pcs con cierto nombre
function Createlist($name,$string){
$list = Get-ADComputer -Searchbase $SearchOU -Filter ‘SamAccountName -like $string’ | Select -Exp Name
Write-Host $list $list.count

MvPcs($list)

}

#Llamar a funcion createlist. Primer parametro enviar Pais y en el segundo el string a buscar.
Createlist tldev TL-DEV-*

En este post veremos como exportar los usuarios actuales y sus  datos , para luego modificarlos con Excel y por ultimo realizar un update de los campos de todos los usuarios con una sola linea de powershell.

Primero un repaso de como conectarse con Powershell a Office365

Import-Module MSOnline
$O365Cred = Get-Credential
$O365Session = New-PSSession –ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.outlook.com/powershell -Credential $O365Cred -Authentication Basic -AllowRedirection
Import-PSSession $O365Session
Connect-MsolService –Credential $O365Cred

 

Obtener listado de usuarios activos , nosotros en este ejemplo obtendremos: Departamento, primer nombre, apellido, telefoni, titulo, ciudad , adeamas pdoran obtener mas datos como pais, estado. En este link encontran la lista completa: https://msdn.microsoft.com/en-us/library/azure/dn194133.aspx

 

get-MsolUser | select UserPrincipalName,DisplayName,isLicensed,Department,firstname,lastname,mobilephone,title,city | export-CSV  users-export-morettimaxi.csv

 

Deberan abrir el csv en Excel y modificarlo:

modificar-usuarios-powershell-office365

 

Una vez modificada deberan correr este comando en Powershell:

$csv = Import-Csv “.\users-export.csv” | ForEach {Set-user $_.UserPrincipalName -Title $_
title -Department $_.department -FirstName $_.FirstName -LastName $_.LastName -Mobilephone _.Mobilephone -city $_.city}

 

 

 

 

 

 

 

La Sincronización de tiempo es un aspecto importante para todos los equipos de la red . De forma predeterminada , los equipos cliente obtienen su hora desde un controlador de dominio y el controlador de dominio obtiene su tiempo de operación de maestro PDC del dominio.  Una recomendacion es sincronizar el PDC con una fuente externa . Yo suelo usar los servidores que aparecen en el sitio web de Project Pool NTP. Recuerden que para que esto funciona es necesario  abrir el puerto 123 UDP por defecto ( entrada y salida) en el Firewall

  1. Saber cual es el PDC , correr el siguiente comando en un Domain controller:   netdom /query fsmo
  2. Logearse al Domain Controller que es PDC.
  3. Stopear el servicio   net stop w32time
  4. Configurar la fuente externa  w32tm /config /syncfromflags:manual /manualpeerlist:0.uk.pool.ntp.org,1.uk.pool.ntp.org /update /reliable:yes
  5. Configurar disponibilidad: w32tm /config /reliable:yes
  6. Prender el servicio nuevamente: net start w32time
  7. Chequear configuracion:  w32tm /query /configuration

En este post veremos como configurar políticas de contraseñas granuladas por grupo o usuario. Por ejemplo si por políticas de seguridad necesitamos que el área de Ingenieros, tenga una contraseña mínima de 10 caracteres, que caduque cada 7 días, que solo se permitan 2 bad logons… Entre otras cosas

Para mas info: http://technet.microsoft.com/en-us/library/cc770842(WS.10).aspx

-Entramos a “Active Dirctory Administrative Center”

– Luego navegamos el Active directory seleccionamos un usuario y en la derecha seleccionamos “View Resultant Password Settings”

windows-server-password-policy-e-2012-ad-2012-000032

Nos responde que el usuario test no tiene asignada ninguna política de password granulada: windows-server-password-policy-e-2012-ad-2012-000033

Luego sobre la derecha expandimos el dominio en mi caso es morettimaxi.local luego vamos a “system”

windows-server-password-policy-e-2012-ad-2012-000034

Luego a “Password Setting COntainer”windows-server-password-policy-e-2012-ad-2012-000035

Seleccionamos new Password Setting

windows-server-password-policy-e-2012-ad-2012-000036

Por ultimo seleccionamos la política y en Directly apply to, colocamos el grupo al cual queremos que se aplique la política.windows-server-password-policy-e-2012-ad-2012-000037

Este es el primer Post sobre Windows Server 2012. Hace un tiempo que lo vengo probando pero estoy con poco tiempo para subir material.

Hoy veremos como activar la Papelera de Reciclaje para Elementos del AD de Windows server 2012.

EL primer Paso es abrir el ¨Active Directory Administrative center¨

windows-server-papelera-reciclaje-2012-ad-2012-000020

Para que funcione es necesario que el Domain  y el Forest level sea 2012, vamos a realizar el Raise:

windows-server-papelera-reciclaje-2012-ad-2012-000021

Nos dice que teníamos el nivel funcional del forest en 2008 r2, seleccionamos el Raise a 2012:

 

 

windows-server-papelera-reciclaje-2012-ad-2012-000024

 

windows-server-papelera-reciclaje-2012-ad-2012-000025

Seleccionamos  enable Recicly BIn

 

windows-server-papelera-reciclaje-2012-ad-2012-000026

 

Confirmamos windows-server-papelera-reciclaje-2012-ad-2012-000027

 

Nos pide que refresquemos la consola:

windows-server-papelera-reciclaje-2012-ad-2012-000028

 

Nos aparece “Deleted Objects” windows-server-papelera-reciclaje-2012-ad-2012-000029

Para verificar su funcionamiento, elimine un usuario llamado test y el mismo ahora aparece en la papelera:

windows-server-papelera-reciclaje-2012-ad-2012-000030

 

Para restaurarlo botón derecho y luego restore. windows-server-papelera-reciclaje-2012-ad-2012-000031

Por qué es importante mejorar la seguridad de las cuentas de administrador

Es esencial que las cuentas de administrador sean tan seguras como sea posible para garantizar la protección total de los activos de la red de la organización. Deberá proteger todos los equipos que pueda utilizar un administrador (controladores de dominio, servidores y las estaciones de trabajo que éste utilice). El grupo de TI de su empresa debe garantizar la seguridad de los controladores de dominio y servidores de entidad emisora de certificados, pues se consideran activos de máxima confianza. También deberán protegerse los equipos de escritorio y móviles de los administradores como activos de confianza, pues los administradores los utilizan para administrar de forma remota el bosque, el dominio y la infraestructura.

Por qué no debe iniciar una sesión en su equipo como administrador

Si normalmente inicia la sesión en su equipo como administrador para llevar a cabo las tareas comunes basadas en aplicaciones, hará que el equipo sea vulnerable ante software malintencionado y otros riesgos para la seguridad pues el software malintencionado se ejecutará con los mismos privilegios que se utilizaron para iniciar la sesión. Si visita un sitio de Internet o abre un archivo adjunto a un mensaje de correo, puede dañar el equipo ya que podría descargarse y ejecutarse en su equipo código malintencionado.

Si inicia la sesión como administrador en un equipo local, el código malintencionado podría, entre otras acciones, formatear la unidad de disco duro, eliminar archivos y crear una nueva cuenta de usuario con privilegios administrativos. Si inicia la sesión como miembro del grupo Administradores de dominio, el grupo Administradores de organización o el grupo Administradores de esquema en el servicio de directorio Active Directory®, el código malintencionado podría crear una nueva cuenta de usuario de dominio con acceso administrativo y poner en peligro los datos de dominio, configuración o esquema.

En un equipo local, deber agregar su cuenta de usuario de dominio sólo al grupo Usuarios (y no al grupo Administradores) para llevar a cabo tareas rutinarias como ejecutar programas o visitar sitios de Internet. Cuando sea necesario llevar a cabo tareas administrativas en un equipo local o en Active Directory, utilice el comando Ejecutar como para iniciar un programa con credenciales administrativas.

 

Existen varios grupos y cuentas de usuario administrativo cuyas credenciales pueden utilizarse para iniciar la sesión en un equipo o dominio. Entre las cuentas administrativas del dominio de Active Directory se incluyen las siguientes:

    • La cuenta Administrador, que se crea con la instalación de Active Directory en el primer controlador del dominio. Es la cuenta con más privilegios. La persona encargada de instalar Active Directory en el equipo crea la contraseña de esta cuenta durante la instalación. . De forma predeterminada, la primera cuenta de administrador creada en cada dominio es también el Agente de recuperación de datos (DRA) para el Sistema de cifrado de archivos (EFS) en cada dominio.
    • Las cuentas que cree posteriormente y a las que asigne directamente privilegios administrativos o coloque en un grupo con privilegios administrativos.

 

El número de grupos administrativos en un dominio Active Directory varía según los servicios instalados. Entre los grupos utilizados específicamente para la administración de Active Directory se incluyen:

  • Grupos administrativos que ya existen en el contenedor Builtin; por ejemplo, operadores de cuentas y operadores de servidores. Tenga en cuenta que los grupos del contenedor Builtin no se pueden cambiar de ubicación.
  • Grupos administrativos que ya existen en el contenedor Usuarios; por ejemplo, Administradores de dominio y Propietarios del creador de directivas de grupo.
  • Los grupos que se creen posteriormente y se incluyan en un grupo con privilegios administrativos o a la que se asignen directamente estos privilegios.

Las cuentas y los grupos administrativos predeterminados de un entorno de dominio son:

  • Administradores de organización (existen sólo en los dominios raíz del bosque)
  • Administradores de dominio (existen en todos los dominios)
  • Administradores de esquema (existen sólo en los dominios raíz del bosque)
  • Propietarios del creador de directivas de grupo (existen sólo en los dominios raíz del bosque)
  • Grupo Administradores
  • Cuenta de administrador
  • Cuenta de administrador del modo de restauración de SD (disponible sólo en Modo de restauración de servicios de directorio. Esta cuenta es local para el controlador de dominio y no es una cuenta de todo el dominio. La contraseña para esta cuenta se establece al instalar Active Directory en el equipo).
Tipos de cuenta de administrador

Existen básicamente tres categorías de cuentas de administrador para iniciar la sesión en un equipo o dominio. Cada categoría tiene privilegios y capacidades exclusivas.

  • Cuentas de administrador local. Esta categoría incluye la cuenta de administrador integrada que crea y utiliza Windows Server la primera vez que se instala en un equipo. Esta categoría también incluye cualquier otra cuenta de usuario que posteriormente cree y agregue al grupo Administradores local integrado. Los miembros de este grupo tienen acceso completo sin restricciones al equipo local.
  • Cuentas de administrador de dominio. Esta categoría incluye la cuenta de administrador de dominio integrada que crea y utiliza Active Directory la primera vez que se instala. Esta categoría también incluye cualquier otra cuenta de usuario que posteriormente cree y agregue al grupo Administradores local integrado o al grupo Administradores de dominio. Los miembros de estos grupos tienen acceso completo sin restricciones al dominio y, si no se protegen adecuadamente, a todo el bosque.
  • Cuentas de administrador de bosque. Esta categoría incluye la cuenta de administrador de dominio integrada del primer dominio creado en el bosque, que se denomina dominio raíz del bosque, porque la cuenta de administrador del dominio raíz del bosque se agrega automáticamente al grupo Administradores de organización al instalar Active Directory. Esta categoría también incluye cualquier otra cuenta de usuario que posteriormente cree y agregue al grupo Administradores de organización. Los miembros del grupo Administradores de organización tienen acceso completo sin restricciones a todo el bosque. Los administradores de organización también pueden instalar entidades emisoras de certificados, que pueden utilizarse para suplantar a cualquier usuario del bosque.

Principios para mejorar la seguridad de las cuentas de administrador

Al planear cómo proteger mejor sus cuentas administrativas, debe:

  • Aplicar el principio de privilegios mínimos
  • Seguir las directrices de prácticas recomendadas para mejorar la seguridad de las cuentas de administrador
Principio de privilegios mínimos

. El principio es simple y el efecto de aplicarlo correctamente aumenta considerablemente la seguridad y reduce los riesgos. El principio especifica que todos los usuarios deben iniciar la sesión con una cuenta de usuario que sólo tenga los permisos mínimos necesarios para llevar a cabo la tarea actual. Ésta es una forma de protección contra código malintencionado, entre otros ataques. Este principio es válido para los equipos y para los usuarios de dichos equipos.

 

Debe otorgar a todos los usuarios administradores de dominio sus privilegios de dominio según el concepto de privilegios mínimos. Por ejemplo, si un administrador inicia la sesión con una cuenta con privilegios e inintencionadamente ejecuta un programa de virus, el virus tendrá acceso administrativo al equipo local y a todo el dominio. Si el administrador hubiera iniciado la sesión con una cuenta sin privilegios (no administrativa), el virus sólo afectaría al equipo local pues se ejecuta como usuario del equipo local.

Prácticas recomendadas para mejorar la seguridad de las cuentas de administrador

Entre las directrices de prácticas recomendadas que debe seguir para mejorar la seguridad de las cuentas administrativas en Windows Server   incluyen:

  • Separar las funciones Administrador de dominio y Administrador de organización.
  • Separar las cuentas de usuario y administrador.
  • Utilizar el servicio de inicio de sesión secundario.
  • Ejecutar una sesión independiente de Servicios de Terminal Server para administración.
  • Cambiar el nombre de la cuenta Administrador predeterminada.
  • Crear una cuenta Administrador señuelo.
  • Crear una cuenta de administrador secundaria y deshabilitar la cuenta Administrador integrada.
  • Habilitar el bloqueo de la cuenta para inicios de sesión de administrador remotos.
  • Crear una contraseña de administrador segura.
  • Detectar automáticamente contraseñas poco seguras.
  • Utilizar credenciales administrativas sólo en equipos de confianza.
  • Auditar las cuentas y contraseñas periódicamente.
  • Prohibir la delegación de cuentas.
  • Controlar el proceso de inicio de sesión administrativa.

Capítulo 3: Directrices para mejorar la seguridad de las cuentas de administrador

Descripción general de las directrices para mejorar la seguridad de las cuentas de administrador.
Separar las cuentas de usuario y administrador

Para cada usuario que desempeñe una función de administrador, debe crear dos cuentas: una cuenta de usuario normal para las tareas cotidianas típicas, como correo electrónico y otros programas, y una cuenta administrativa únicamente para las tareas administrativas. No debe habilitar estas cuentas administrativas para el correo electrónico, utilícelas para ejecutar programas estándar o explorar Internet. Cada cuenta debe disponer de una contraseña única. Si adopta estas precauciones simples, contribuirá a reducir considerablemente la exposición de las cuentas a los riesgos externos y la cantidad de tiempo que las cuentas administrativas están activas en un equipo o dominio.

Utilizar el servicio de inicio de sesión secundario

En Microsoft Windows® se pueden ejecutar programas como un usuario distinto del que ha iniciado la sesión actualmente. En Windows 2000, el servicio Ejecutar como proporciona esta capacidad, mientras que en Windows XP y Windows Server 2003, se denomina servicio de inicio de sesión secundario. Los servicios Ejecutar como e Inicio de sesión secundario son el mismo pero con nombres distintos.

El inicio de sesión secundario permite a los administradores iniciar sesión en el equipo con una cuenta no administrativa y, sin cerrar la sesión, llevar a cabo tareas administrativas mediante la ejecución de programas administrativos de confianza en contextos administrativos.

Para cambiar el nombre de la cuenta Administrador predeterminada en un dominio

  1. Inicie sesión como miembro del grupo de administradores de dominio (pero no la cuenta Administrador integrada) y, a continuación, abra Usuarios y equipos de Active Directory.
  2. En el árbol de consola, haga clic en Users.
  3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en Administrador y, a continuación, haga clic en Cambiar nombre.
  4. Escriba un nombre y unos apellidos ficticios y, a continuación, presione Entrar.
  5. En el cuadro de diálogo Cambiar nombre de usuario, modifique los valores de los campos Nombre completo, Nombre, Apellidos, Nombre para mostrar, Nombre de inicio de sesión de usuario y Nombre de inicio de sesión de usuario (anterior a Windows 2000) para que coincidan con los de la cuenta ficticia y, a continuación, haga clic en Aceptar.
  6. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el nuevo nombre y, a continuación, haga clic en Propiedades.
  7. Haga clic en la ficha General. En el cuadro Descripción, elimine Cuenta para la administración del equipo o dominio y, a continuación, escriba una descripción similar a las demás cuentas de usuario (en muchas organizaciones este valor está en blanco).
  8. Haga clic en Aceptar.

Para cambiar el nombre de la cuenta Administrador local predeterminada

  1. Inicie sesión como miembro del grupo Administradores local (pero no la cuenta Administrador integrada) y abra la herramienta de complemento Usuarios locales y grupos en la consola Administración de equipos.
  2. En el árbol de consola, expanda Usuarios locales y grupos y, a continuación, haga clic en Usuarios.
  3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en Administrador y, a continuación, haga clic en Cambiar nombre.
  4. Escriba un nombre y unos apellidos ficticios y, a continuación, presione Entrar.
  5. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el nuevo nombre y, a continuación, haga clic en Propiedades.
  6. Haga clic en la ficha General. En el cuadro Nombre completo, escriba el nuevo nombre completo. En el cuadro Descripción, elimine Cuenta para la administración del equipo o dominio y, a continuación, escriba una descripción similar a las demás cuentas de usuario (en muchas organizaciones este valor está en blanco).
  7. Haga clic en Aceptar.

Cc162797.note(es-es,TechNet.10).gifNota: también existe una configuración de objeto de directiva de grupo (GPO) que puede utilizar para cambiar el nombre de la cuenta Administrador predeterminada en gran cantidad de equipos. No obstante, esta configuración no permite modificar la descripción predeterminada. Para obtener más información, consulte el artículo de Knowledge Base HOW TO: Rename the Administrator and Guest Account in Windows Server 2003 en http://support.microsoft.com/default.aspx?scid=kb;en-us;816109.

Crear una cuenta Administrador señuelo

La creación de una cuenta Administrador señuelo agrega un nivel adicional de protección. Puede engañar a un atacante que planee un ataque de contraseña en la cuenta Administrador para que lo haga en una cuenta que no tenga privilegios especiales, por lo que es muy poco probable que el atacante descubra que ha cambiado el nombre de la cuenta Administrador. También es aconsejable para detener a un atacante, asegurándose de que esta cuenta señuelo no se bloquea y estableciendo una contraseña segura. Después de crear la cuenta señuelo, debe asegurarse de que no es miembro de ningún grupo de seguridad con privilegios y, a continuación, supervise el uso de la cuenta por si se produce alguna actividad inesperada, como errores de inicio de sesión. Para obtener más información, consulte Seguridad en grupos administrativos y cuentas de Active Directory en http://www.microsoft.com/technet/security/topics/networksecurity/sec_ad_admin_groups.mspx.

Para crear una cuenta Administrador señuelo en un dominio

  1. Inicie sesión como miembro del grupo Admins. del dominio y abra Usuarios y equipos de Active Directory.
  2. Haga clic con el botón secundario del mouse (ratón) en el contenedor Users, seleccione Nuevo y, a continuación, haga clic en Usuario.
  3. En los cuadros Nombre y Nombre de inicio de sesión de usuario, escriba Administrador y, a continuación, haga clic en Siguiente.
  4. Escriba una contraseña y confírmela.
  5. Desactive la casilla de verificación El usuario debe cambiar la contraseña al iniciar una sesión de nuevo y, a continuación, haga clic en Siguiente.
  6. Compruebe que la información de la cuenta señuelo es correcta y, a continuación, haga clic en Finalizar.
  7. En el panel de detalles, haga clic con el botón secundario del mouse en Administrador y, a continuación, haga clic en Propiedades.
  8. Haga clic en la ficha General. En el cuadro Descripción, escriba Cuenta para la administración del equipo o dominio y, a continuación, haga clic en Aceptar.

Para crear una cuenta Administrador señuelo local

  1. Inicie sesión como miembro del grupo Administradores local y abra la herramienta de complemento Usuarios locales y grupos en la consola Administración de equipos.
  2. En el árbol de la consola, amplíe Usuarios locales y grupos.
  3. Haga clic con el botón secundario del mouse (ratón) en la carpeta Usuarios y, a continuación, haga clic en Nuevo usuario.
  4. En el cuadro Nombre de usuario, escriba Administrador. En el cuadro Descripción, escriba Cuenta para la administración del equipo o dominio.
  5. Escriba una contraseña y confírmela.
  6. Desactive la casilla de verificación El usuario debe cambiar la contraseña al iniciar una sesión de nuevo.
  7. Haga clic en Crear.
Crear una contraseña de administrador segura

Utilice una contraseña segura para la cuenta Administrador integrada. Una contraseña segura minimiza la amenaza de que un atacante averigüe la contraseña y obtenga las credenciales de la cuenta Administrador. Una contraseña de cuenta de administrador segura debe:

  • Contener 15 caracteres como mínimo.
  • No contener un nombre de cuenta, nombre real o nombre de compañía.
  • No contener una palabra de diccionario completa, ni siquiera de argot o jerga, en ningún idioma.
  • Ser considerablemente distinta de las contraseñas anteriores. Las contraseñas que incluyen un incremento (Contraseña1, Contraseña2, Contraseña3, …) no son seguras.
  • Contener caracteres, como mínimo, de tres de los cinco grupos enumerados en la tabla siguiente.

En este pequeño post veremos como obtener una lista con todos los usuarios que no se conectaron al AD por mas de un mes

dsquery user -inactive 4 -limit 0 | dsge user -fn -ln -samid -disabled | find /v “dsget” | find /v “samid” | find /v “yes” > lista_morettimaxi_Inactivos.txt

En el siguiente link, explica como hacer la consulta sobre las computadoras como asi tambien un detalle mayor de como funcionan dsquery y dsget: https://morettimaxi.com.ar/2011/09/08/dsquery-y-comandos-en-active-directory/

En este post veremos los aspectos y planeacion que hay que tener en cuenta para la Virtualizacion de Domain COntrollers.

Mas de 1 Domain Controller.

Se Debe intentar evitar la creación de posibles puntos únicos de falla al planear la implementación del controlador de dominio virtual, creando mas de un Domain Contoller:

  1. Ejecutar al menos dos controladores de dominio virtualizados por dominio en hosts de virtualización diferentes, lo que reduce el riesgo de perder todos los controladores de dominio, si un host de virtualización única falla.
  2. Recomendado para otras tecnologías, diversificar el hardware (utilizando diferentes procesadores, motherboards, adaptadores de red u otro hardware) en el que están ejecutando los controladores de dominio. Diversificación de hardware limita el daño que podría ser causado por un fallo que es específico para una configuración de proveedor, un controlador o una sola pieza o tipo de hardware.
  3. Si es posible, los controladores de dominio se deben ejecutar en el hardware que se encuentra en diferentes regiones del mundo. Esto ayuda a reducir el impacto de un desastre o falla que afecta a un sitio en el que están alojados los controladores de dominio.
  4. Mantener los controladores de dominio físico en cada uno de sus dominios. Esto reduce el riesgo de un fallo de la plataforma de virtualización que afecta a todos los sistemas de host que utilizan esa plataforma.

Consideraciones de seguridad

El equipo de host en el que se ejecutan los controladores de dominio virtual debe administrarse cuidadosamente como un controlador de dominio de escritura, incluso si ese equipo es sólo un equipo se unió el dominio o grupo de trabajo. Se trata de una consideración de seguridad importante. Un host mal administrado es vulnerable a un ataque de elevación de privilegios, que se produce cuando un usuario malintencionado obtiene acceso y privilegios del sistema que no fueron autorizados o legítimamente asignados. Un usuario malintencionado puede usar este tipo de ataque en peligro todas las máquinas virtuales, dominios y los bosques que los hosts de este equipo.

Asegúrese de tener las siguientes consideraciones de seguridad en cuenta cuando se planea virtualizar los controladores de dominio:

  • El administrador local del equipo que aloja el dominio virtual, se puede escribir controladores deben considerarse equivalentes en las credenciales del administrador de dominio predeterminado de todos los dominios y los bosques que pertenecen esos controladores de dominio.
  • La configuración recomendada para evitar problemas de seguridad y el rendimiento es un host que ejecuta una instalación Server Core de Windows Server 2008, con ninguna aplicación distinta de Hyper-V. Esta configuración limita el número de aplicaciones y servicios que están instalados en el servidor, que debe conducir a un mayor rendimiento y menos aplicaciones y servicios que podrían aprovecharse malintencionadamente para atacar el equipo o la red. El efecto de este tipo de configuración se conoce como una superficie de ataque reducida. En una sucursal o en otros lugares que no pueden ser garantizados satisfactoriamente, se recomienda un controlador de dominio de sólo lectura (RODC). Si existe una red de administración separada, recomendamos que el host se conecta sólo a la red de gestión.

Límites de seguridad

Uso de máquinas virtuales hace posible tener muchas configuraciones diferentes controladores de dominio. Debe prestarse especial atención a la forma en que las máquinas virtuales afectan a límites y confía en su topología de Active Directory. Configuraciones posibles para un controlador de dominio de Active Directory y el host (servidor de Hyper-V) y sus equipos invitados (máquinas virtuales que se ejecutan en el servidor de Hyper-V) se describen en la tabla siguiente.

Máquina Configuración 1 Configuración 2

Host

Grupo de trabajo o miembros de equipo

Grupo de trabajo o miembros de equipo

Invitado

Controlador de dominio

Grupo de trabajo o miembros de equipo

Domain Controllers running on Hyper-V server

  • El administrador en el equipo host tiene el mismo acceso como administrador de dominio en los huéspedes de controlador de dominio de escritura y debe ser tratado como tal. En el caso de un invitado RODC, el administrador del equipo host tiene el mismo acceso como administrador local en el huésped RODC.
  • Un controlador de dominio en una máquina virtual tiene derechos administrativos en el host, si el host está unido al mismo dominio. Hay una oportunidad para que un usuario malintencionado poner en peligro todas las máquinas virtuales, si el usuario malintencionado primero obtiene acceso a la máquina Virtual 1. Esto se conoce como un vector de ataque. Si hay controladores de dominio para varios dominios o bosques, estos dominios deben tener una administración centralizada en la que el administrador de un dominio es de confianza en todos los dominios.
  • La posibilidad de ataque de la máquina Virtual 1 existe incluso si está instalada la máquina Virtual 1 como un RODC. Aunque un administrador de un RODC explícitamente no tienen derechos de administrador de dominio, el RODC puede utilizarse para enviar las políticas para el equipo host. Estas políticas pueden incluir scripts de inicio. Si esta operación se realiza correctamente, el equipo host puede estar en peligro y, a continuación, puede utilizarse para poner en peligro las otras máquinas virtuales en el equipo host.

Seguridad de los archivos VHD

Un archivo VHD de un controlador de dominio virtual es equivalente a la unidad de disco duro física de un controlador de dominio físico. Como tal, debe ser protegido con la misma cantidad de atención que se dedica a proteger el disco duro de un controlador de dominio físico. Asegúrese de que sólo los administradores de confianza pueden acceder a los archivos VHD del controlador de dominio.

RODC

Una ventaja de RODC es la capacidad para colocar en lugares donde garantizar la seguridad física no puede ser, tal como en las sucursales. Puede utilizar el cifrado de unidad de Windows ® BitLocker ™ para proteger los archivos VHD (no los sistemas de archivos en él) de que se vea comprometida en el host a través del robo del disco físico. Para obtener más información acerca de BitLocker en Hyper-V, consulte Windows Server 2008 Hyper-V y el cifrado de unidad BitLocker (http://go.microsoft.com/fwlink/?LinkID = 123534).

Consideraciones de implementación de controladores de dominio virtualizado

Esta sección describe algunas cosas a tener en cuenta al implementar controladores de dominio en máquinas virtuales. Hay varias prácticas comunes de máquina virtual que se deben evitar al implementar controladores de dominio. También hay consideraciones especiales para el almacenamiento y sincronización de tiempo. Las siguientes secciones describen estas consideraciones.

Prácticas de implementación de virtualización para evitar

Plataformas de virtualización, como Hyper-V, ofrecen una serie de características de conveniencia que administrar, mantener, realizar copias de seguridad y migrar equipos más fácil. Sin embargo, hay algunas características que no deben utilizarse los controladores de dominio virtual y prácticas comunes de implementación. La lista siguiente describe las prácticas para evitar al implementar controladores de dominio:

  • No aplicar los diferenciación disco discos duros virtuales (VHD) en una máquina virtual que está configurando como un controlador de dominio. Esto es demasiado fácil revertir a una versión anterior, y también disminuye el rendimiento. Para obtener más información acerca de los tipos VHD
  • No clonar la instalación de un sistema operativo sin necesidad de utilizar Sysprep.exe porque no se actualizará el identificador de seguridad (SID) del equipo. (http://go.microsoft.com/fwlink/?LinkId = 137100).
  • Para ayudar a prevenir una potencial situación de deshacer actualización secuencia número (USN), no utilice copias de un archivo VHD que representa un controlador de dominio ya desplegados para implementar controladores de dominio adicionales. Los siguientes tres elementos en esta lista también se recomiendan evitar la potencial reversión de USN.  USN y USN Rollback.
  • No utilice la función Hyper-V exportar para exportar una máquina virtual que se ejecuta en un controlador de dominio.

Consideraciones operacionales para controladores de dominio virtualizado

Los controladores de dominio que se ejecutan en máquinas virtuales tienen restricciones operacionales que no se aplican a los controladores de dominio que se ejecutan en máquinas físicas. Cuando se utiliza un controlador de dominio virtualizados, hay algunas funciones de software de virtualización y prácticas que no se deben utilizar:

  • No pausar, detener, o almacenar el estado guardado de un controlador de dominio en una máquina virtual para períodos de tiempo más largos que el desecho del bosque y luego reanudar desde el estado guardado o en pausa. Haciendo esto puede interferir con la replicación. Para aprender cómo determinar el desecho del bosque, vea determinar el desecho del bosque (http://go.microsoft.com/fwlink/?LinkId = 137177).
  • No copiar o clonar discos duros virtuales (VHD).
  • No tomar o utilizar una instantánea de un controlador de dominio virtual.
  • No utilice un disco VHD de diferenciación en una máquina virtual que está configurada como controlador de dominio. Esto hace que revertir a una versión anterior demasiado fácil y también disminuye el rendimiento.
  • No utilice la función de exportación en una máquina virtual que se ejecuta en un controlador de dominio.
  • No restaurar un controlador de dominio o intentar revertir el contenido de una base de datos de Active Directory por cualquier medio distinto utilizando una copia de seguridad compatible. Para obtener más información, vea copia de seguridad y restaurar las consideraciones para virtualizar los controladores de dominio.

Backup y Restore consideraciones para controladores de dominio virtualizado

La copia de seguridad de controladores de dominio es un requisito fundamental para cualquier entorno. Copias de seguridad protegen contra pérdida de datos en caso de fallo del controlador de dominio o error administrativo. Si se produce este evento, es necesario revertir el estado del sistema del controlador de dominio a un punto en el tiempo antes de la falla o error. El método admitido de restaurar un controlador de dominio a un Estado saludable es utilizar una aplicación de backup de Directory–compatible activo, como Windows Server Backup, para restaurar una copia de seguridad de estado de sistema que se originó a partir de la instalación actual del controlador de dominio. ¿Para obtener más información acerca de cómo utilizar copia de seguridad de Windows Server con servicios de dominio de Active Directory (AD DS), consulte la Guía de paso a paso de recuperación y Backup de AD DS (http://go.microsoft.com/fwlink/?LinkId = 138501).

Con la tecnología de máquina virtual, ciertos requisitos de Active Directory restauración operaciones toma mayor importancia. Por ejemplo, si restaurar un controlador de dominio mediante una copia del archivo de disco duro virtual (VHD), omita el paso crítico de la actualización de la versión de base de datos de un controlador de dominio después de que ha sido restaurada. Replicación procederá con números de seguimiento inadecuado, resultando en una base de datos inconsistente entre réplicas de controlador de dominio. En la mayoría de los casos, este problema va sin ser detectados por el sistema de replicación y no se informa de ningún error, a pesar de las inconsistencias entre los controladores de dominio.

Hay una forma compatible para realizar backup y restore de un controlador de dominio virtualizados:

  1. Ejecutar copias de seguridad de Windows Server en el sistema operativo huésped.

Prácticas de backup y restore para evitar

Como se mencionó, los controladores de dominio que se ejecutan en máquinas virtuales tienen restricciones que no se aplican a los controladores de dominio que se ejecutan en máquinas físicas. Al volver arriba o restaurar un controlador de dominio virtual, existen ciertas funciones de software de virtualización y prácticas que no se deben utilizar:

  • No copiar o clonar archivos VHD de controladores de dominio en lugar de realizar copias de seguridad periódicas. Si el archivo VHD de él es copiado o clonado, quede obsoleto. Entonces, si el VHD se inicia en modo normal, podría ser una divergencia de datos de replicación en el bosque. Debe realizar las operaciones de backup adecuadas que son compatibles con los servicios de dominio de Active Directory (AD DS), como el uso de la función de copia de seguridad de Windows Server.
  • No utilice la función de instantánea como una copia de seguridad para restaurar una máquina virtual que se ha configurado como controlador de dominio. Problemas se producen con la replicación cuando se volver la máquina virtual a un estado anterior. Para obtener más información, vea USN y USN Rollback. Aunque usando una instantánea para restaurar un controlador de dominio de sólo lectura (RODC) no causará problemas de replicación, no todavía se recomienda este método de restauración.

Restauracion

Utilizar el proceso en la siguiente ilustración para determinar la mejor manera de restaurar el controlador de dominio virtualizado.

Writeable domain controller restoration in Hyper-V

Mas info: http://technet.microsoft.com/en-us/library/virtual_active_directory_domain_controller_virtualization_hyperv(WS.10).aspx#operational_considerations_for_virtualized_domain_controllers

En este post  empezaremos a tratar  de explicar las consultasy modficiiones del Active Directorya traves de linea de comandos, de esta manera obtendriamos varias ventajas como  poder simplificar la administracion del mismo ademas de poder obtenerinformacion que no podriamos obtener del entorno grafico. Con este metodo hasta podriamos crear cientos de usuarios, con sus respectivos, permisos, contrasenas importandolas de un  Excel, realizar inventarios de las pcs en segundos, crear listas segun que sistema operativo tienen….entre muchisimas otras cosas…

.

Para comenzar un poquito de teoria

DSQUERY

Es una Consulta al AD mediante el uso de criterios de búsqueda . Cada uno de los comandos dsquery encuentra objetos de un tipo de objeto específico, con la excepción de dsquery *, que puede consultar cualquier tipo de objeto

Dsquery es una herramienta de línea de comandos que está integrado en Windows Server 2008. . Para utilizar dsquery, debe ejecutar el comando dsquery desde un símbolo del sistema con privilegios elevados. Para abrir un símbolo del sistema con privilegios elevados, haga clic en Inicio, haga clic en Símbolo del sistema y, a continuación, haga clic en Ejecutar como administrador.

.

REDIRECCION CON | (PIPE)
Puede redireccionarse el resultados de las  DSQUERY a por ejemplo DSMOD con el fin de modificar un objeto.

Veamos un ejemplo simple:

“‘C:\> dsquery computer -inactive 4″” Con este comando consultamos todas las pcs que estuvieron inactivas las ultimas 4 semanas

“‘C:\>dsmod computer * -disabled yes”” COn este comando reemplazando el * por el “”nombre” de una pc, podriamos desactivarla la computadora en cuestion.

Bueno ahora utilizaremos el | (pipe)

C:\> dsquery computer -inactive 4 | dsmod computer -disabled yes

Que estamos diciendo con este comando? Traeme todas las pcs que estuvieron inactivas en las ultimas semanas, el Pipe realiza la redireccion del ID de todas estas pcs al segundo comando que es dsmod (comando que sirve para modificar un atributo de obetos) y las deshabilita.

DSGET

Muestra las propiedades de un equipo en el directorio. Hay dos variaciones de esta orden. La primera variación se muestran las propiedades de varios equipos. La segunda variación muestra la información de la pertenencia a un solo equipo.

Ejemplo, poder ver la descripcion de todas las computadoas que comienzan con marketing de la ou ventas.

dsquery computer OU=ventas,DC=Argentina,DC=Com -name marketing* | dsget computer -desc

.

Bueno despues de la teoria seguimos con mas teoria 😦

Dsquery computer

Syntaxis
      DSQuery Computer [{StartNode | forestroot | domainroot}]
         [-o {dn | rdn | samid}]  [-scope {subtree | onelevel | base}]
            [-name Name] [-desc Description] [-samid SAMName] [-inactive NumberOfWeeks]
               [-stalepwd NumberOfDays] [-disabled]
                  [{-s Server | -d Domain}] [-u UserName] [-p {Password | *}]
                     [-q] [-r] [-gc] [-limit NumberOfObjects] [{-uc | -uco | -uci}]

Key
   StartNode | forestroot | domainroot  The node in the console tree where the search starts.
                                        forestroot = search using the global catalog. 

   -o           The format used to display the search results.
                dn = distinguished name.
                rdn = relative distinguished name.
                samid = Security Accounts Manager (SAM) account name.

   -scope       The scope of the search:
                subtree = subtree that is rooted at the start node in the console tree.
                onelevel = immediate children of the start node only.
                base = single object that the start node represents.
                If forestroot is the StartNode, then subtree is the only valid scope. 

   -name        Search for computer(s) whose name attribute(CN) matches Name.
                For example, "br*"

   -desc        Search for computer(s) whose description matches. For example, "dell*"

   -samid       Search for computer(s) whose SAM account names match SAMName

   -inactive    Search for computer(s) that have been inactive for N number of weeks

   -stalepwd    Search for computer(s) whose passwords have not changed for n number of days.

   -disabled    Search for computer(s) whose accounts are disabled.

   -s       Server to connect to (Default=the domain controller in the logon domain.)
   -d       Domain to connect to.

   -u       Username with which the user logs on to a remote server.
   -p       Password     (UserName or Domain\UserName or Username@domain.com)

   -q       Quiet, suppress all output
   -r       Recursive search (follow referrals)
   -gc      Use the AD global catalog during the search.
   -limit   The maximum number of objects to return, default=100.

   -uc      Unicode format
   -uco     Unicode format for output only
   -uci     Unicode format for input only

.

Bueno vayamos a la parte divertida

Ejemplos:

En contrar todas las pcs que comienzan con ventas, suponiendo que la tenemos nombradas por sector ventas01, ventas02…

C:\> dsquery computer -name ventas*

Encontras todas las computadoras de la ou(unidad organizativa) Mendoza.

.

C:\> dsquery computer ou=Mendoza,ou=Workstations,dc=argentina,dc=com

.

Encontrar pcs con 4 semanas de inactividad:

C:\> dsquery computer -inactive 4

.

Encontrar las pcs con 4 semanas de inactividad y deshabilitarlas:

C:\> dsquery computer -inactive 4 | dsmod computer -disabled yes

.

Estos comandos pueden sernos muy utiles para poder realizar inventarios, ahorrandonos muchisimo tiempo 🙂

.

dsquery computer -name * | dsget computer -samid

Que le esstmos pidiendo? Que nos traiga todas las pcs, no importa cual sea el nombre y que nos devuelva el samid (nombre en la sam, por ejemplo servidor1)

.

COmo podemos exportar esto a un Notepad, excel?

dsquery computer -name * | dsget computer -samid > c:\pclist.txt

Agregandoles “”> c:\*.txt” nos exporta el resultado a un archivo de texto. >)

.

Obtener un listado de las computadoras segun que sistema operativo tienen

dsquery * domainroot -filter “(&(objectCategory=computer)(operatingSystem=Windows Server*))” | dsget computer -samid

Donde dice windows server *, podemos cambiarlo por ”windows seven” o “”windows xp””

.

Bueno esto es todo por hoy, espero que les haya sido de utilidad,  se puede consutar casi cualquier cosa del AD, les dejo un enlace a microsoft para que sigan investigando:

http://technet.microsoft.com/en-us/library/cc754340%28WS.10%29.aspx

Introducción

En esta guía detallada se describen los pasos necesarios para delegar la administración de objetos en un contenedor de servicio Active Directory de Windows Server 2003. Al delegar la administración, puede asignar un conjunto de tareas administrativas a los usuarios y grupos correspondientes. Puede asignar tareas administrativas básicas a usuarios o grupos normales y dejar que los miembros de los grupos Administradores del dominio y Administradores de organización se ocupen de la administración de todo el dominio y todo el bosque. Mediante la delegación de la administración, puede permitir que los grupos de la organización tengan mayor control sobre sus recursos de red locales. También puede ayudar a proteger la red de daños accidentales o intencionados al limitar la pertenencia a los grupos de administrador.

Puede delegar el control administrativo en cualquier nivel de un árbol de dominio mediante la creación de unidades organizativas en un dominio y la delegación del control administrativo de unidades organizativas específicas a determinados usuarios o grupos.

Active Directory define permisos y derechos de usuario específicos que puede utilizar para delegar o restringir el control administrativo. Mediante una combinación de unidades organizativas, grupos y permisos, puede definir el ámbito administrativo más adecuado para un usuario determinado, que puede ser un dominio entero, todas las unidades organizativas de un dominio o una única unidad organizativa.

Para asignar control administrativo a un usuario o grupo puede utilizar el Asistente para delegación de control o la consola Administrador de autorización. Ambas herramientas permiten asignar derechos o permisos a usuarios o grupos específicos.

p>En este documento se ofrecen tres ejemplos de delegación en los que se utiliza el Asistente para delegación de control del complemento Usuarios y equipos de Active Directory de Microsoft Management Console (MMC). Estos ejemplos son:

Delegar el control total de una unidad organizativa.
Delegar la creación y eliminación de usuarios en una unidad organizativa.
Delegar el restablecimiento de contraseñas de todos los usuarios en una unidad organizativa.

Usar el Asistente para delegación de control

En esta sección se muestra una tarea que realizan muchas organizaciones de gran tamaño: delegar el control total de una unidad organizativa a otro grupo de administradores, con lo que el control del espacio de nombres de directorio queda repartido.

Delegar el control de una unidad organizativa

Para delegar el control total de una unidad organizativa

1. En HQ-CON-DC-01, abra Usuarios y equipos de Active Directory. La estructura debe ser similar a la que se muestra en la Figura 1

Figure 1.  The Active Directory Structure

Figura 1. La estructura de Active Directory
Ver la imagen a tamaño completo

2. En el panel de la izquierda, haga clic con el botón secundario del mouse (ratón) en la unidad organizativa Divisiones y, a continuación, haga clic en Delegar control. Aparece el Asistente para delegación de control.
3. En la página Éste es el Asistente para delegación de control, haga clic en Siguiente.
4. En la página Usuarios o grupos, haga clic en Agregar, en Opciones avanzadas y luego en Buscar ahora. Desplácese hasta AdministradoresUA, hada doble clic en AdministradoresUA y, a continuación, haga clic en Aceptar. Haga clic en Siguiente para continuar.
5. En la página Tareas que se delegarán, haga clic en Crear una tarea personalizada para delegar. (Esto permite delegar el control de todo el contenedor.) Haga clic en Siguiente.
6. En la página Tipo de objeto de Active Directory, haga clic en Esta carpeta, los objetos contenidos en la misma y la creación de nuevos objetos en esta carpeta (opción predeterminada) y luego en Siguiente.
7. En la página Permisos, haga clic en Control total para delegar todo el control. Haga clic en Siguiente y, a continuación, en Finalizar.

Comprobar los permisos otorgados

Puede revisar la configuración del control de acceso del grupo AdministradoresUA para comprobar si los permisos se han definido correctamente.

Para comprobar los permisos otorgados

1. En el complemento Usuarios y equipos de Active Directory, en el menú Ver, haga clic en Características avanzadas.
2. Desplácese y haga clic con el botón secundario del mouse en Unidad autónoma bajo la unidad organizativa Divisiones y, a continuación, haga clic en Propiedades.
3. En la ficha Seguridad, haga clic en Opciones avanzadas. En la ficha Permisos, observe las entradas de permiso que se aplican a AdministradoresUA, mostradas en la Figura 2.

Figure 2.  Verifying Permissions for AUAdmins

Figura 2. Comprobar los permisos de AdministradoresUA

4. Haga doble clic en AdministradoresUA. Se ha otorgado control total a la unidad organizativa y a todos los objetos secundarios, lo que indica que los permisos se han otorgado correctamente.
5. Cierre todas las ventanas.

Delegar la creación y eliminación de usuarios

En los pasos siguientes se muestra la delegación de tareas específicas a un grupo de seguridad autorizado. En este ejemplo, el EquipoRRHH (los miembros del departamento de recursos humanos) necesita permisos para crear o eliminar cuentas de usuario con el fin de poder realizar operaciones relacionadas con los empleados. Este tipo de delegación representa un nivel secundario de delegación en el que se asigna control sobre un subconjunto de derechos de un contenedor específico. En el ejemplo anterior, se asignaron todos los derechos para un contenedor específico.

Para delegar el control de tareas específicas al EquipoRRHH

1. En el complemento Usuarios y equipos de Active Directory, haga clic en la unidad organizativa Divisiones.
2. Haga clic con el botón secundario del mouse en Divisiones y, a continuación, haga clic en Delegar control. Aparece el Asistente para delegación de control. Haga clic en Siguiente.
3. En la página Usuarios o grupos, haga clic en Agregar, en Opciones avanzadas y luego en Buscar ahora. Desplácese hasta EquipoRRHH, haga doble clic en EquipoRRHH y, a continuación, haga clic en Aceptar. Haga clic en Siguiente para continuar.
4. En la página Tareas que se delegarán, bajo Delegar las siguientes tareas comunes, haga clic en Crear, eliminar y administrar cuentas de usuario (la primera opción) como se muestra en la Figura 3. Haga clic en Siguiente para continuar.

ctrlwi03.gif

Figura 3. Delegar tareas específicas

5. En la página de resumen, revise la configuración propuesta y, a continuación, haga clic en Finalizar.

Comprobar los permisos otorgados

Para comprobar los permisos otorgados

1. En el complemento Usuarios y equipos de Active Directory, haga clic con el botón secundario del mouse en Divisiones y, a continuación, haga clic en Propiedades.
2. En la ficha Seguridad, haga clic en Opciones avanzadas. Como se muestra en la Figura 4, se detallan los permisos que se aplican a los objetos de usuario, incluidos los permisos correspondientes del EquipoRRHH.

Figure 4.  Verifying the Permissions Granted

Figura 4. Comprobar los permisos otorgados

3. Haga doble clic en la segunda entrada de EquipoRRHH (Crear/eliminar objetos de usuario) y observe que los derechos Crear objetos de usuario y Eliminar objetos de usuario se han asignado correctamente. Observe que estos permisos se aplican a este objeto (unidad organizativa Divisiones) y a todos los objetos secundarios. Cierre todas las ventanas.

Delegar el restablecimiento de las contraseñas de todos los usuarios

En esta sección se describe una operación común de soporte técnico (restablecer las contraseñas) a partir del ejemplo anterior de delegación del control de tareas específicas. Como el restablecimiento de contraseñas es una de las solicitudes más frecuentes del departamento de soporte técnico, la delegación del control a un nivel inferior de soporte técnico puede simplificar las operaciones de dicho departamento.

Para delegar el control del restablecimiento de contraseñas al grupo Asistencia técnica

1. En el complemento Usuarios y equipos de Active Directory, haga clic en la unidad organizativa Divisiones.
2. Haga clic con el botón secundario del mouse en Divisiones y, a continuación, haga clic en Delegar control. Aparece el Asistente para delegación de control. Haga clic en Siguiente.
3. En la página Usuarios o grupos, haga clic en Agregar, en Opciones avanzadas y luego en Buscar ahora. Desplácese hasta Asistencia técnica, haga doble clic en Asistencia técnica y, a continuación, haga clic en Aceptar. Haga clic en Siguiente para continuar.
4. En la página Tareas que se delegarán, bajo Delegar las siguientes tareas comunes, haga clic en Restablecer contraseñas de usuario y forzar el cambio de contraseña en el próximo inicio de sesión como se muestra en la Figura 5. Haga clic en Siguiente para continuar.

Figure 5.  Delegating Specific Tasks

Figura 5. Delegar tareas específicas

5. En la página de resumen, revise la configuración propuesta y, a continuación, haga clic en Finalizar.

Delegar el control de tareas personalizadas

En los ejemplos anteriores se han descrito niveles distintos de delegación del control sobre contenedores de Active Directory específicos. Para la delegación de tareas específicas, se seleccionaron operaciones predefinas para la delegación. El Asistente para delegación de control proporciona un nivel adicional de detalle que permite la asignación de tareas personalizadas a usuarios o grupos específicos. En la siguiente sección, se asignarán permisos al EquipoRRHH para modificar atributos de usuario específicos con el fin de poder realizar operaciones relacionadas con los empleados.

Para asignar el control para crear y eliminar la información personal de un usuario en Active Directory a EquipoRRHH

1. En el panel de la izquierda, haga clic con el botón secundario del mouse en la unidad organizativa Divisiones y, a continuación, haga clic en Delegar control. Aparece el Asistente para delegación de control. Haga clic en Siguiente.
2. En la página Usuarios o grupos, haga clic en Agregar, en Opciones avanzadas y luego en Buscar ahora. Desplácese hasta EquipoRRHH, haga doble clic en EquipoRRHH y, a continuación, haga clic en Aceptar. Haga clic en Siguiente para continuar.
3. En la página Tareas que se delegarán, haga clic en Crear una tarea personalizada para delegar. (Esto permite delegar el control de todo el contenedor.) Haga clic en Siguiente.
4. En la pantalla Tipo de objeto de Active Directory, haga clic en Sólo los siguientes objetos en la carpeta.
5. Desplácese hasta la última entrada y active la casilla de verificación Objetos de usuario. Al final de la página Tipo de objeto de Active Directory, active las casillas de verificación Crear / Eliminar los objetos seleccionados en esta carpeta. Revise la configuración que se muestra en la Figura 6 y, después, haga clic en Siguiente para continuar.

Figure 6.  Creating a Custom Delegation

Figura 6. Crear una delegación personalizada

6. En la página Permisos, asegúrese de que General está seleccionado (opción predeterminada). Desplácese y active la casilla de verificación Leer y escribir información personal como se muestra en la Figura 7.

Nota: al activar la casilla de verificación específica de la propiedad obtendrá un nivel adicional de detalle en el nivel de atributos. Por ejemplo, si sólo desea que el EquipoRRHH sea capaz de cambiar la dirección postal de un usuario, debe seleccionar ese atributo en concreto.

ctrlwi07.gif

Figura 7. Crear una delegación personalizada mediante la asignación de derechos específicos

7. Haga clic en Siguiente para continuar.
8. En la página de resumen, revise la configuración propuesta y, a continuación, haga clic en Finalizar.
<img alt=”” width=”1″ height=”1″ src=”http://c.microsoft.com/trans_pixel.aspx”&gt;