Tag Archive: Active directory


COn este script se puede mover computadoras de Unidad organizativa (OU) dependiendo del nombre, string, o pueden generar otra consulta , como por ejemplo sistema operativo, locacion…Es muy util cuando se tiene varias sucursales o se debe reorganizar el Active directory principalmente para delegar permisos segun sector, o para la aplicacion de politicas de grupo.

 

#################################################################
# This script will help to move bulk ad computer accounts into target OU
# Morettimaxi.com.ar
#################################################################

# DOnde buscar computadoras
$SearchOU = “CN=Computers,DC=truelogic,DC=local”

Write-Host ” Importing AD Module….. ”

#Importing AD Module
import-module ActiveDirectory

Write-Host ” Importing Move List….. ”
#FUncion para mover pcs
function MvPcs($list){
if ($list.count -ne 0) {
Write-Host ” Moving Computer Accounts…”
#Ou de destino
$destinationOU = ‘OU=test1,OU=Computers,OU=TrueLogic,DC=truelogic,DC=local’
Write-Host ” Starting import computers …”
foreach($computer in $list) {get-adcomputer $computer| Move-ADObject -TargetPath $destinationOU}

$countPC = ($list).count
Write-Host ” Completed Move List ”
Write-Host ” $countPC computers of have been moved ”
}
}

#funcion Generar listado de pcs con cierto nombre
function Createlist($name,$string){
$list = Get-ADComputer -Searchbase $SearchOU -Filter ‘SamAccountName -like $string’ | Select -Exp Name
Write-Host $list $list.count

MvPcs($list)

}

#Llamar a funcion createlist. Primer parametro enviar Pais y en el segundo el string a buscar.
Createlist tldev TL-DEV-*

Este es el primer Post sobre Windows Server 2012. Hace un tiempo que lo vengo probando pero estoy con poco tiempo para subir material.

Hoy veremos como activar la Papelera de Reciclaje para Elementos del AD de Windows server 2012.

EL primer Paso es abrir el ¨Active Directory Administrative center¨

windows-server-papelera-reciclaje-2012-ad-2012-000020

Para que funcione es necesario que el Domain  y el Forest level sea 2012, vamos a realizar el Raise:

windows-server-papelera-reciclaje-2012-ad-2012-000021

Nos dice que teníamos el nivel funcional del forest en 2008 r2, seleccionamos el Raise a 2012:

 

 

windows-server-papelera-reciclaje-2012-ad-2012-000024

 

windows-server-papelera-reciclaje-2012-ad-2012-000025

Seleccionamos  enable Recicly BIn

 

windows-server-papelera-reciclaje-2012-ad-2012-000026

 

Confirmamos windows-server-papelera-reciclaje-2012-ad-2012-000027

 

Nos pide que refresquemos la consola:

windows-server-papelera-reciclaje-2012-ad-2012-000028

 

Nos aparece “Deleted Objects” windows-server-papelera-reciclaje-2012-ad-2012-000029

Para verificar su funcionamiento, elimine un usuario llamado test y el mismo ahora aparece en la papelera:

windows-server-papelera-reciclaje-2012-ad-2012-000030

 

Para restaurarlo botón derecho y luego restore. windows-server-papelera-reciclaje-2012-ad-2012-000031

En este post veremos los aspectos y planeacion que hay que tener en cuenta para la Virtualizacion de Domain COntrollers.

Mas de 1 Domain Controller.

Se Debe intentar evitar la creación de posibles puntos únicos de falla al planear la implementación del controlador de dominio virtual, creando mas de un Domain Contoller:

  1. Ejecutar al menos dos controladores de dominio virtualizados por dominio en hosts de virtualización diferentes, lo que reduce el riesgo de perder todos los controladores de dominio, si un host de virtualización única falla.
  2. Recomendado para otras tecnologías, diversificar el hardware (utilizando diferentes procesadores, motherboards, adaptadores de red u otro hardware) en el que están ejecutando los controladores de dominio. Diversificación de hardware limita el daño que podría ser causado por un fallo que es específico para una configuración de proveedor, un controlador o una sola pieza o tipo de hardware.
  3. Si es posible, los controladores de dominio se deben ejecutar en el hardware que se encuentra en diferentes regiones del mundo. Esto ayuda a reducir el impacto de un desastre o falla que afecta a un sitio en el que están alojados los controladores de dominio.
  4. Mantener los controladores de dominio físico en cada uno de sus dominios. Esto reduce el riesgo de un fallo de la plataforma de virtualización que afecta a todos los sistemas de host que utilizan esa plataforma.

Consideraciones de seguridad

El equipo de host en el que se ejecutan los controladores de dominio virtual debe administrarse cuidadosamente como un controlador de dominio de escritura, incluso si ese equipo es sólo un equipo se unió el dominio o grupo de trabajo. Se trata de una consideración de seguridad importante. Un host mal administrado es vulnerable a un ataque de elevación de privilegios, que se produce cuando un usuario malintencionado obtiene acceso y privilegios del sistema que no fueron autorizados o legítimamente asignados. Un usuario malintencionado puede usar este tipo de ataque en peligro todas las máquinas virtuales, dominios y los bosques que los hosts de este equipo.

Asegúrese de tener las siguientes consideraciones de seguridad en cuenta cuando se planea virtualizar los controladores de dominio:

  • El administrador local del equipo que aloja el dominio virtual, se puede escribir controladores deben considerarse equivalentes en las credenciales del administrador de dominio predeterminado de todos los dominios y los bosques que pertenecen esos controladores de dominio.
  • La configuración recomendada para evitar problemas de seguridad y el rendimiento es un host que ejecuta una instalación Server Core de Windows Server 2008, con ninguna aplicación distinta de Hyper-V. Esta configuración limita el número de aplicaciones y servicios que están instalados en el servidor, que debe conducir a un mayor rendimiento y menos aplicaciones y servicios que podrían aprovecharse malintencionadamente para atacar el equipo o la red. El efecto de este tipo de configuración se conoce como una superficie de ataque reducida. En una sucursal o en otros lugares que no pueden ser garantizados satisfactoriamente, se recomienda un controlador de dominio de sólo lectura (RODC). Si existe una red de administración separada, recomendamos que el host se conecta sólo a la red de gestión.

Límites de seguridad

Uso de máquinas virtuales hace posible tener muchas configuraciones diferentes controladores de dominio. Debe prestarse especial atención a la forma en que las máquinas virtuales afectan a límites y confía en su topología de Active Directory. Configuraciones posibles para un controlador de dominio de Active Directory y el host (servidor de Hyper-V) y sus equipos invitados (máquinas virtuales que se ejecutan en el servidor de Hyper-V) se describen en la tabla siguiente.

Máquina Configuración 1 Configuración 2

Host

Grupo de trabajo o miembros de equipo

Grupo de trabajo o miembros de equipo

Invitado

Controlador de dominio

Grupo de trabajo o miembros de equipo

Domain Controllers running on Hyper-V server

  • El administrador en el equipo host tiene el mismo acceso como administrador de dominio en los huéspedes de controlador de dominio de escritura y debe ser tratado como tal. En el caso de un invitado RODC, el administrador del equipo host tiene el mismo acceso como administrador local en el huésped RODC.
  • Un controlador de dominio en una máquina virtual tiene derechos administrativos en el host, si el host está unido al mismo dominio. Hay una oportunidad para que un usuario malintencionado poner en peligro todas las máquinas virtuales, si el usuario malintencionado primero obtiene acceso a la máquina Virtual 1. Esto se conoce como un vector de ataque. Si hay controladores de dominio para varios dominios o bosques, estos dominios deben tener una administración centralizada en la que el administrador de un dominio es de confianza en todos los dominios.
  • La posibilidad de ataque de la máquina Virtual 1 existe incluso si está instalada la máquina Virtual 1 como un RODC. Aunque un administrador de un RODC explícitamente no tienen derechos de administrador de dominio, el RODC puede utilizarse para enviar las políticas para el equipo host. Estas políticas pueden incluir scripts de inicio. Si esta operación se realiza correctamente, el equipo host puede estar en peligro y, a continuación, puede utilizarse para poner en peligro las otras máquinas virtuales en el equipo host.

Seguridad de los archivos VHD

Un archivo VHD de un controlador de dominio virtual es equivalente a la unidad de disco duro física de un controlador de dominio físico. Como tal, debe ser protegido con la misma cantidad de atención que se dedica a proteger el disco duro de un controlador de dominio físico. Asegúrese de que sólo los administradores de confianza pueden acceder a los archivos VHD del controlador de dominio.

RODC

Una ventaja de RODC es la capacidad para colocar en lugares donde garantizar la seguridad física no puede ser, tal como en las sucursales. Puede utilizar el cifrado de unidad de Windows ® BitLocker ™ para proteger los archivos VHD (no los sistemas de archivos en él) de que se vea comprometida en el host a través del robo del disco físico. Para obtener más información acerca de BitLocker en Hyper-V, consulte Windows Server 2008 Hyper-V y el cifrado de unidad BitLocker (http://go.microsoft.com/fwlink/?LinkID = 123534).

Consideraciones de implementación de controladores de dominio virtualizado

Esta sección describe algunas cosas a tener en cuenta al implementar controladores de dominio en máquinas virtuales. Hay varias prácticas comunes de máquina virtual que se deben evitar al implementar controladores de dominio. También hay consideraciones especiales para el almacenamiento y sincronización de tiempo. Las siguientes secciones describen estas consideraciones.

Prácticas de implementación de virtualización para evitar

Plataformas de virtualización, como Hyper-V, ofrecen una serie de características de conveniencia que administrar, mantener, realizar copias de seguridad y migrar equipos más fácil. Sin embargo, hay algunas características que no deben utilizarse los controladores de dominio virtual y prácticas comunes de implementación. La lista siguiente describe las prácticas para evitar al implementar controladores de dominio:

  • No aplicar los diferenciación disco discos duros virtuales (VHD) en una máquina virtual que está configurando como un controlador de dominio. Esto es demasiado fácil revertir a una versión anterior, y también disminuye el rendimiento. Para obtener más información acerca de los tipos VHD
  • No clonar la instalación de un sistema operativo sin necesidad de utilizar Sysprep.exe porque no se actualizará el identificador de seguridad (SID) del equipo. (http://go.microsoft.com/fwlink/?LinkId = 137100).
  • Para ayudar a prevenir una potencial situación de deshacer actualización secuencia número (USN), no utilice copias de un archivo VHD que representa un controlador de dominio ya desplegados para implementar controladores de dominio adicionales. Los siguientes tres elementos en esta lista también se recomiendan evitar la potencial reversión de USN.  USN y USN Rollback.
  • No utilice la función Hyper-V exportar para exportar una máquina virtual que se ejecuta en un controlador de dominio.

Consideraciones operacionales para controladores de dominio virtualizado

Los controladores de dominio que se ejecutan en máquinas virtuales tienen restricciones operacionales que no se aplican a los controladores de dominio que se ejecutan en máquinas físicas. Cuando se utiliza un controlador de dominio virtualizados, hay algunas funciones de software de virtualización y prácticas que no se deben utilizar:

  • No pausar, detener, o almacenar el estado guardado de un controlador de dominio en una máquina virtual para períodos de tiempo más largos que el desecho del bosque y luego reanudar desde el estado guardado o en pausa. Haciendo esto puede interferir con la replicación. Para aprender cómo determinar el desecho del bosque, vea determinar el desecho del bosque (http://go.microsoft.com/fwlink/?LinkId = 137177).
  • No copiar o clonar discos duros virtuales (VHD).
  • No tomar o utilizar una instantánea de un controlador de dominio virtual.
  • No utilice un disco VHD de diferenciación en una máquina virtual que está configurada como controlador de dominio. Esto hace que revertir a una versión anterior demasiado fácil y también disminuye el rendimiento.
  • No utilice la función de exportación en una máquina virtual que se ejecuta en un controlador de dominio.
  • No restaurar un controlador de dominio o intentar revertir el contenido de una base de datos de Active Directory por cualquier medio distinto utilizando una copia de seguridad compatible. Para obtener más información, vea copia de seguridad y restaurar las consideraciones para virtualizar los controladores de dominio.

Backup y Restore consideraciones para controladores de dominio virtualizado

La copia de seguridad de controladores de dominio es un requisito fundamental para cualquier entorno. Copias de seguridad protegen contra pérdida de datos en caso de fallo del controlador de dominio o error administrativo. Si se produce este evento, es necesario revertir el estado del sistema del controlador de dominio a un punto en el tiempo antes de la falla o error. El método admitido de restaurar un controlador de dominio a un Estado saludable es utilizar una aplicación de backup de Directory–compatible activo, como Windows Server Backup, para restaurar una copia de seguridad de estado de sistema que se originó a partir de la instalación actual del controlador de dominio. ¿Para obtener más información acerca de cómo utilizar copia de seguridad de Windows Server con servicios de dominio de Active Directory (AD DS), consulte la Guía de paso a paso de recuperación y Backup de AD DS (http://go.microsoft.com/fwlink/?LinkId = 138501).

Con la tecnología de máquina virtual, ciertos requisitos de Active Directory restauración operaciones toma mayor importancia. Por ejemplo, si restaurar un controlador de dominio mediante una copia del archivo de disco duro virtual (VHD), omita el paso crítico de la actualización de la versión de base de datos de un controlador de dominio después de que ha sido restaurada. Replicación procederá con números de seguimiento inadecuado, resultando en una base de datos inconsistente entre réplicas de controlador de dominio. En la mayoría de los casos, este problema va sin ser detectados por el sistema de replicación y no se informa de ningún error, a pesar de las inconsistencias entre los controladores de dominio.

Hay una forma compatible para realizar backup y restore de un controlador de dominio virtualizados:

  1. Ejecutar copias de seguridad de Windows Server en el sistema operativo huésped.

Prácticas de backup y restore para evitar

Como se mencionó, los controladores de dominio que se ejecutan en máquinas virtuales tienen restricciones que no se aplican a los controladores de dominio que se ejecutan en máquinas físicas. Al volver arriba o restaurar un controlador de dominio virtual, existen ciertas funciones de software de virtualización y prácticas que no se deben utilizar:

  • No copiar o clonar archivos VHD de controladores de dominio en lugar de realizar copias de seguridad periódicas. Si el archivo VHD de él es copiado o clonado, quede obsoleto. Entonces, si el VHD se inicia en modo normal, podría ser una divergencia de datos de replicación en el bosque. Debe realizar las operaciones de backup adecuadas que son compatibles con los servicios de dominio de Active Directory (AD DS), como el uso de la función de copia de seguridad de Windows Server.
  • No utilice la función de instantánea como una copia de seguridad para restaurar una máquina virtual que se ha configurado como controlador de dominio. Problemas se producen con la replicación cuando se volver la máquina virtual a un estado anterior. Para obtener más información, vea USN y USN Rollback. Aunque usando una instantánea para restaurar un controlador de dominio de sólo lectura (RODC) no causará problemas de replicación, no todavía se recomienda este método de restauración.

Restauracion

Utilizar el proceso en la siguiente ilustración para determinar la mejor manera de restaurar el controlador de dominio virtualizado.

Writeable domain controller restoration in Hyper-V

Mas info: http://technet.microsoft.com/en-us/library/virtual_active_directory_domain_controller_virtualization_hyperv(WS.10).aspx#operational_considerations_for_virtualized_domain_controllers

Creación y Modificación de Usuarios de Active Directory con PowerShell (Bulk-Users)

Introducción

En este documento utilizaremos la nueva consola de comandos de Windows denominada PowerShell para crear y modificar usuarios en el Active Directory. Desde ella, podremos administrar desde un usuario hasta el número que necesiten. Existen muchos escenarios en los cuales debemos crear una gran cantidad de usuarios (nuevo dominio, nuevos empleados, etc), como así también podríamos necesitar modificar varios datos de usuarios ya existentes (modificación de teléfono, puesto, dirección, etc). En el ejemplo de ésta guía crearemos 13 usuarios de Active Directory y luego modificaremos ciertos datos para poder ejemplificar el script de modificación. Por último, activaremos el Mailbox de cada usuario en Microsoft Exchange 2007 SP1, por medio de PowerShell o bien por medio de la GUI.

Escenario

Nuestro escenario es muy simple, el cual consta de un servidor que es nuestro controlador de dominio principal, es DNS Server y posee Microsoft Exchange Server 2007 SP1 instalado. En nuestro caso tenemos instalado todo en un solo servidor debido a cuestiones prácticas de la guía. Recuerden que no es recomendable instalar el servidor de correo en el mismo servidor que es controlador de nuestro dominio.

clip_image001[4]

Requisitos

Nuestro controlador de dominio posee Microsoft Windows Server 2003 Standard Edition con Service Pack 2 y la actualización de R2 instalada, siendo ésta última no necesaria. Adicionalmente debemos tener las siguientes aplicaciones instaladas:

Powershell 1.0
http://www.microsoft.com/windowsserver2003/technologies/management/powershell/download.mspx

Microsoft Core XML Services (MSXML) 6.0
http://www.microsoft.com/downloads/details.aspx?FamilyID=993c0bcf-3bcf-4009-be21-27e85e1857b1&displaylang=en

PowerShell Commands for Active Directory (ActiveRoles Management Shell) by Quest Software
http://www.quest.com/powershell/activeroles-server.aspx

PowerShell Commands for Active Directory es un agregado para Microsoft PowerShell realizado por la firma Quest Software, el cual es gratuito y agrega comandos de PowerShell para administrar objetos de nuestro Active Directory.

Creando Bulk-Users en Active Directory con PowerShell

Lista de Usuarios

Una vez que dispongamos de nuestro servidor (Controlador de Dominio) instalado, procederemos a utilizar PowerShell para crear Usuarios de Active Directory a partir de una lista de usuarios, que en principio podríamos tener en Microsoft Excel pero que en definitiva debemos tenerla en un archivo CSV.

clip_image002
Figura 1. Lista completa de usuarios con datos adicionales

En la Figura 1 tenemos una lista completa de usuario con todos sus datos. En ella tenemos: nombre, apellido, nombre a mostrar, nombre de usuario, teléfono, area de trabajo, cargo laboral, empresa, dirección postal de trabajo, código postal y ciudad y password.
Una vez completada toda la lista la debemos guardar como CSV (archivo delimitado por coma), el cual utilizaremos en nuestro script de PowerShell.

Conociendo los cmdlets de Quest Software para PowerShell

Para crear usuarios debemos utilizar el cmdlet New-QADuser.

Sintaxis

La sintaxis que utilizaremos en el script de PowerShell para crear los usuarios es la siguiente:

New-QADUser [-Name] <String> -ParentContainer <IdentityParameter>

[-City <String>] [-Company <String>] [-Department <String>]

[-Fax <String>] [-FirstName <String>] [-HomePhone <String>]

[-Initials <String>] [-LastName <String>]

[-Manager<IdentityParameter>] [-MobilePhone <String>]

[-Notes <String>] [-Office <String>] [-Pager <String>]

[-PhoneNumber <String>] [-PostalCode <String>]

[-PostOfficeBox <String>] [-SamAccountName <String>]

[-StateOrProvince <String>] [-StreetAddress <String>]

[-Title <String>] [-UserPrincipalName <String>]

[-WebPage <String>] [-UserPassword <String>]

[-ObjectAttributes <ObjectAttributesParameter>]

[-Description <String>] [-DisplayName <String>]

[-ExcludedProperties <String[]>] [-IncludedProperties <String[]>]

[-DeserializeValues] [-UseDefaultExcludedProperties]

[-UseDefaultExcludedPropertiesExcept <String[]>] [-Proxy]

[-Service <String>] [-ConnectionAccount <String>]

[-ConnectionPassword <SecureString>] [-Credential <PSCredential>]

[-Connection <ArsConnection>] [-UseGlobalCatalog]

A continuación se listan los atributos/sintaxis posibles a usar con el cmdlet para modificar los atributos de los usuarios.

Atributo

Sintaxis

l

-City <String>

company

-Company <String>

description

-Description <String>

department

-Department <String>

displayName

-DisplayName <String>

facsimileTelephoneNumber

-Fax <String>

givenName

-FirstName <String>

homePhone

-HomePhone <String>

initials

-Initials <String>

sn

-LastName <String>

manager

-Manager <IdentityParameter>

mobile

-MobilePhone <String>

info

-Notes <String>

physicalDeliveryOfficeName

-Office <String>

pager

-Pager <String>

Parametro para setear la clave del usuario

-UserPassword <String>

telephoneNumber

-Phone <String>

postalCode

-PostalCode <String>

postOfficeBox

-PostOfficeBox <String>

samAccountName

-SamAccountName <String>

st

-StateOrProvince <String>

streetAddress

-StreetAddress <String>

title

-Title <String>

userPrincipalName

-UserPrincipalName <String>

wWWHomePage

-WebPage <String>

Creando la Unidad Organizacional

El siguiente paso comprende en crear una nueva Unidad Organizacional (OU) en nuestro dominio al cual denominaremos “UsuariosNuevos”, tal como podemos ver en la Figura 2.

clip_image002[5]

Figura 2. Aquí es donde estarán los nuevos usuarios que crearemos con PowerShell

Armando el script de creación de usuarios

Ahora solo nos queda por crear el script final acorde a nuestra lista de usuarios. Para ello, primero analizaremos el script y luego lo ejecutaremos.

Import-CSV c:\users.csv | ForEach-Object { New-QADUser -Name $_.display -SamAccountName $_.SamAccountName -UserPrincipalName $_.user1 -FirstName $_.first -LastName $_.last -DisplayName $_.display -Phone $_.phone -Department $_.departamento -Title $_.Title -Company $_.company -Streetaddress $_.street -PostalCode $_.zip -City $_.city -StateOrProvince $_.state -UserPassword $_.password -ParentContainer mazzite.com/UsuariosNuevos }

En este script utilizaremos el cmdlet “Import-CSV” para importar la lista de nuestros usuarios, la cual habíamos creado anteriormente, que tomará de la ubicación que le indiquemos. Luego por cada objeto de la lista se ejecutara el cmdlet “New-QADUser” seguido de los parámetros con sus variables correspondientes. El código resaltado en verde son los nombres que le hemos dado a cada columna de datos en nuestra lista de usuarios. Por último, el dato resaltado en rojo, es la OU en donde se crearan los nuevos usuarios. Cabe destacar que estamos utilizando solo algunos de los parámetros para modificar atributos. Si quisiéramos agregar algún otro dato, solo es cuestión de agregar la sintaxis según la tabla vista anteriormente y agregar la columna en nuestra lista de usuarios.

clip_image002[7]
Figura 3. Aquí vemos el nuestro script ejecutado desde la Quest Managemente Shell

clip_image002[11]
Figura 4. Como resultado vemos que se han creado los usuarios correspondientes.

Como hemos visto con éste script, crear grandes cantidades de usuarios toma tan solo pocos minutos. Lo más importante es tener la lista de usuarios completa y con todos los datos actualizados, aunque esto no sería un problema ya que existe otro cmdlet que nos permitirá realizar cambios en los atributos de cada usuario de una forma bastante similar a la que hemos utilizado para crear usuarios.

Crear Cuentas de E-Mail desde PowerShell

Como opcional, veremos cómo crear en forma muy sencilla una cuenta de e-mail por cada uno de los usuarios que hemos creado anteriormente.

clip_image002[13]
Figura 5. Management Console de Microsoft Exchange Server 2007. Tan solo vemos dos usuarios con cuenta de e-mail.

Para crear las cuentas de e-mail a cada usuario tan solo debemos correr el siguiente script luego de haber creado los usuarios:

Get-User –OrganizationalUnit “MAZZITE.COM/UsuariosNuevos” | Enable-Mailbox -Database “SRV1\Mailbox Database”

Es importante aclarar que el script para crear las cuentas de e-mail lo debemos ejecutar desde la consola de PoweShell de Microsoft Exchange Server 2007. Una vez que ejecutemos el script de PowerShell obtendremos algo similar como la Figura 6.

 

clip_image002[15]
Figura 6. Ahora los usuarios poseen cuenta de e-mail en nuestra empresa.

Si entramos nuevamente a la consola grafica de administración de Microsoft Exchange Server 2007 veremos que ahora vemos mas de dos cuentas de e-mail. Ahora se suman todos los usuarios que hay en la OU “UsuariosNuevos”.

clip_image004
Figura 7. Management Console de Microsoft Exchange Server 2007. Con tan solo un script hemos creado las cuentas de e-mail de todos los usuarios de una determinada OU.

Es importante aclarar que Microsoft Exchange Server 2007 permite crear cuentas de e-mail para usuarios existentes con muy pocos pasos, utilizando la selección múltiple a través de la consola gráfica desde Service Pack 1 de Exchange 2007. Sin Service Pack 1, solo hubiera sido posible a través de la GUI realizando la creación usuario por usuario.

Modificación de atributos en Active Directory con PowerShell (Bulk-Users)

Anteriormente hemos visto como crear usuarios con todos sus datos en nuestro Active Directory. Ahora veremos cómo podemos modificar atributos para grandes cantidades de usuarios en muy pocos pasos.

Modificando la lista de Usuarios

Existen muchos casos en el cual debamos modificar un mismo dato para todos los usuarios o bien para cierta cantidad de ellos. En nuestro caso veremos cómo agregar un dato y modificar otro dos datos para todos los usuarios que hemos creado. Este caso, ejemplifica la modificación de la dirección y código postal, ya que la empresa se ha mudado de oficina y se ha agrega una descripción a cada uno de los usuarios.

 clip_image002[18]
Figura 8
. En nuestra lista de usuarios debemos modificar los datos necesarios y agregar otra columna con los nuevos datos.

Tal como vemos en la Figura 8, hemos modificado la dirección de cada usuario, el código postal y al final hemos agregado la columna de “descripción”. Una vez finalizada la modificación volvemos a guardar el archivo como CSV.

Armando el script de modificación de  Usuarios

Ahora tan solo debemos crear y ejecutar el script de PowerShell para modificar los atributos de los usuarios en nuestro Active Directory.

Import-CSV c:\users.csv | ForEach-Object { Set-QADUser -Identity $_.SamAccountName  -Streetaddress $_.street -PostalCode $_.zip -description $_.descripcion }

Una vez ejecutado el script, veremos como resultado algo similar como vemos en las siguientes Figuras:

 

clip_image002
Figura 9
. Aquí vemos el script en acción.

 

clip_image004
Figura 10
. Active Directory Users and Computers: La descripción ha sido agregada a cada usuario


clip_image006
Figura 11
. La dirección y el código postal han sido modificados.

Resumen

A lo largo de ésta guía hemos visto el potencial de PowerShell para la administración de Active Directory y Microsoft Exchange Server 2007. Existen una gran cantidad de parámetros y opciones que en esta guía no hemos visto, por lo cual les recomiendo que revisen toda la documentación de Microsoft PowerShell y de Quest Software para que puedan adaptar y utilizar ésta fascinante herramienta que nos permitirá automatizar gran parte de nuestro trabajo.

Links y Referencias

Grupo Latinoamericano de Usuarios de Active Directory
http://www.msglad.org

Grupo Latinoamericano de Usuarios de Exchange Server
http://www.msglue.org

Blog del Team de Windows PowerShell
http://blogs.msdn.com/PowerShell

Download de Windows PowerShell
http://www.microsoft.com/windowsserver2003/technologies/management/powershell/download.mspx

Quest ActiveRoles Management Shell for Active Directory – Administrator’s Guide
http://info.quest.com/QuestWebMgmtShellForADAdminGuide

Quest Downloads
http://www.quest.com/powershell/activeroles-server.aspx


Documentodel equipo  MSGLAD – www.msglad.org

Hoy vamos a ver : Active Directory Topology Diagrammer la cual  es una herramienta que permite pasar fácilmente a Visio una estructura de Active Directory , con sus relaciones de confianza, sus Sites, OUs, y hasta aplicaciones que se integren con el, como es el caso de Exchange:

image image image image

image image image

Simplemente necesita instalarse sobre un equipo que tenga Visio instalado y nos solicitará que nos conectemos a un Global Catalog o a un FQDN (ojo con la resolución DNS) con las credenciales adecuadas.

Algunos resultados, para una estructura de AD bastante sencilla:

image image image image

Una posible aplicación de estos diagramas Visio es integrarlos total o parcialmente con la monitorización de System Center Operations Manager para construir cuadros de mandos que ofrezcan información en tiempo real de la infraestructura, de modo que podamos usarlos desde el propio cliente de Visio o desde los Visio Services de SharePoint 2010.

Los add-ins para Visio y MOSS y las guías paso a paso están aquí:

 

Bueno este es un post bastante pobre, pero son comandos que nos ayuden a agilizar el trabajo, y ademas si nos estan observando pareciera que sabemos 🙂

Consola

Comando
AD Domains and Trusts domain.msc
Active Directory Management admgmt.msc
AD Sites and Services dssite.msc
AD Users and Computers dsa.msc
ADSI Edit adsiedit.msc
Authorization manager azman.msc
Certification Authority Management certsrv.msc
Certificate Templates certtmpl.msc
Cluster Administrator cluadmin.exe
Computer Management compmgmt.msc
Component Services comexp.msc
Configure Your Server cys.exe
Device Manager devmgmt.msc
DHCP Management dhcpmgmt.msc
Disk Defragmenter dfrg.msc
Disk Manager diskmgmt.msc
Distributed File System dfsgui.msc
DNS Management dnsmgmt.msc
Event Viewer eventvwr.msc
Indexing Service Management ciadv.msc
IP Address Manage ipaddrmgmt.msc
Licensing Manager llsmgr.exe
Local Certificates Management certmgr.msc
Local Group Policy Editor gpedit.msc
Local Security Settings Manager secpol.msc
Local Users and Groups Manager lusrmgr.msc
Network Load balancing nlbmgr.exe
Performance Monitor perfmon.msc
PKI Viewer pkiview.msc
Public Key Management pkmgmt.msc
QoS Control Management acssnap.msc
Remote Desktops tsmmc.msc
Remote Storage Administration rsadmin.msc
Removable Storage ntmsmgr.msc
Removable Storage Operator Requests ntmsoprq.msc
Routing and Remote Access Manager rrasmgmt.msc
Resultant Set of Policy rsop.msc
Schema management schmmgmt.msc
Services Management services.msc
Shared Folders fsmgmt.msc
SID Security Migration sidwalk.msc
Telephony Management tapimgmt.msc
Terminal Server Configuration tscc.msc
Terminal Server Licensing licmgr.exe
Terminal Server Manager tsadmin.exe
UDDI Services Management uddi.msc
Windows Management Instrumentation wmimgmt.msc
WINS Server manager

winsmgmt.msc

Introducción

En esta guía detallada se describen los pasos necesarios para delegar la administración de objetos en un contenedor de servicio Active Directory de Windows Server 2003. Al delegar la administración, puede asignar un conjunto de tareas administrativas a los usuarios y grupos correspondientes. Puede asignar tareas administrativas básicas a usuarios o grupos normales y dejar que los miembros de los grupos Administradores del dominio y Administradores de organización se ocupen de la administración de todo el dominio y todo el bosque. Mediante la delegación de la administración, puede permitir que los grupos de la organización tengan mayor control sobre sus recursos de red locales. También puede ayudar a proteger la red de daños accidentales o intencionados al limitar la pertenencia a los grupos de administrador.

Puede delegar el control administrativo en cualquier nivel de un árbol de dominio mediante la creación de unidades organizativas en un dominio y la delegación del control administrativo de unidades organizativas específicas a determinados usuarios o grupos.

Active Directory define permisos y derechos de usuario específicos que puede utilizar para delegar o restringir el control administrativo. Mediante una combinación de unidades organizativas, grupos y permisos, puede definir el ámbito administrativo más adecuado para un usuario determinado, que puede ser un dominio entero, todas las unidades organizativas de un dominio o una única unidad organizativa.

Para asignar control administrativo a un usuario o grupo puede utilizar el Asistente para delegación de control o la consola Administrador de autorización. Ambas herramientas permiten asignar derechos o permisos a usuarios o grupos específicos.

p>En este documento se ofrecen tres ejemplos de delegación en los que se utiliza el Asistente para delegación de control del complemento Usuarios y equipos de Active Directory de Microsoft Management Console (MMC). Estos ejemplos son:

Delegar el control total de una unidad organizativa.
Delegar la creación y eliminación de usuarios en una unidad organizativa.
Delegar el restablecimiento de contraseñas de todos los usuarios en una unidad organizativa.

Usar el Asistente para delegación de control

En esta sección se muestra una tarea que realizan muchas organizaciones de gran tamaño: delegar el control total de una unidad organizativa a otro grupo de administradores, con lo que el control del espacio de nombres de directorio queda repartido.

Delegar el control de una unidad organizativa

Para delegar el control total de una unidad organizativa

1. En HQ-CON-DC-01, abra Usuarios y equipos de Active Directory. La estructura debe ser similar a la que se muestra en la Figura 1

Figure 1.  The Active Directory Structure

Figura 1. La estructura de Active Directory
Ver la imagen a tamaño completo

2. En el panel de la izquierda, haga clic con el botón secundario del mouse (ratón) en la unidad organizativa Divisiones y, a continuación, haga clic en Delegar control. Aparece el Asistente para delegación de control.
3. En la página Éste es el Asistente para delegación de control, haga clic en Siguiente.
4. En la página Usuarios o grupos, haga clic en Agregar, en Opciones avanzadas y luego en Buscar ahora. Desplácese hasta AdministradoresUA, hada doble clic en AdministradoresUA y, a continuación, haga clic en Aceptar. Haga clic en Siguiente para continuar.
5. En la página Tareas que se delegarán, haga clic en Crear una tarea personalizada para delegar. (Esto permite delegar el control de todo el contenedor.) Haga clic en Siguiente.
6. En la página Tipo de objeto de Active Directory, haga clic en Esta carpeta, los objetos contenidos en la misma y la creación de nuevos objetos en esta carpeta (opción predeterminada) y luego en Siguiente.
7. En la página Permisos, haga clic en Control total para delegar todo el control. Haga clic en Siguiente y, a continuación, en Finalizar.

Comprobar los permisos otorgados

Puede revisar la configuración del control de acceso del grupo AdministradoresUA para comprobar si los permisos se han definido correctamente.

Para comprobar los permisos otorgados

1. En el complemento Usuarios y equipos de Active Directory, en el menú Ver, haga clic en Características avanzadas.
2. Desplácese y haga clic con el botón secundario del mouse en Unidad autónoma bajo la unidad organizativa Divisiones y, a continuación, haga clic en Propiedades.
3. En la ficha Seguridad, haga clic en Opciones avanzadas. En la ficha Permisos, observe las entradas de permiso que se aplican a AdministradoresUA, mostradas en la Figura 2.

Figure 2.  Verifying Permissions for AUAdmins

Figura 2. Comprobar los permisos de AdministradoresUA

4. Haga doble clic en AdministradoresUA. Se ha otorgado control total a la unidad organizativa y a todos los objetos secundarios, lo que indica que los permisos se han otorgado correctamente.
5. Cierre todas las ventanas.

Delegar la creación y eliminación de usuarios

En los pasos siguientes se muestra la delegación de tareas específicas a un grupo de seguridad autorizado. En este ejemplo, el EquipoRRHH (los miembros del departamento de recursos humanos) necesita permisos para crear o eliminar cuentas de usuario con el fin de poder realizar operaciones relacionadas con los empleados. Este tipo de delegación representa un nivel secundario de delegación en el que se asigna control sobre un subconjunto de derechos de un contenedor específico. En el ejemplo anterior, se asignaron todos los derechos para un contenedor específico.

Para delegar el control de tareas específicas al EquipoRRHH

1. En el complemento Usuarios y equipos de Active Directory, haga clic en la unidad organizativa Divisiones.
2. Haga clic con el botón secundario del mouse en Divisiones y, a continuación, haga clic en Delegar control. Aparece el Asistente para delegación de control. Haga clic en Siguiente.
3. En la página Usuarios o grupos, haga clic en Agregar, en Opciones avanzadas y luego en Buscar ahora. Desplácese hasta EquipoRRHH, haga doble clic en EquipoRRHH y, a continuación, haga clic en Aceptar. Haga clic en Siguiente para continuar.
4. En la página Tareas que se delegarán, bajo Delegar las siguientes tareas comunes, haga clic en Crear, eliminar y administrar cuentas de usuario (la primera opción) como se muestra en la Figura 3. Haga clic en Siguiente para continuar.

ctrlwi03.gif

Figura 3. Delegar tareas específicas

5. En la página de resumen, revise la configuración propuesta y, a continuación, haga clic en Finalizar.

Comprobar los permisos otorgados

Para comprobar los permisos otorgados

1. En el complemento Usuarios y equipos de Active Directory, haga clic con el botón secundario del mouse en Divisiones y, a continuación, haga clic en Propiedades.
2. En la ficha Seguridad, haga clic en Opciones avanzadas. Como se muestra en la Figura 4, se detallan los permisos que se aplican a los objetos de usuario, incluidos los permisos correspondientes del EquipoRRHH.

Figure 4.  Verifying the Permissions Granted

Figura 4. Comprobar los permisos otorgados

3. Haga doble clic en la segunda entrada de EquipoRRHH (Crear/eliminar objetos de usuario) y observe que los derechos Crear objetos de usuario y Eliminar objetos de usuario se han asignado correctamente. Observe que estos permisos se aplican a este objeto (unidad organizativa Divisiones) y a todos los objetos secundarios. Cierre todas las ventanas.

Delegar el restablecimiento de las contraseñas de todos los usuarios

En esta sección se describe una operación común de soporte técnico (restablecer las contraseñas) a partir del ejemplo anterior de delegación del control de tareas específicas. Como el restablecimiento de contraseñas es una de las solicitudes más frecuentes del departamento de soporte técnico, la delegación del control a un nivel inferior de soporte técnico puede simplificar las operaciones de dicho departamento.

Para delegar el control del restablecimiento de contraseñas al grupo Asistencia técnica

1. En el complemento Usuarios y equipos de Active Directory, haga clic en la unidad organizativa Divisiones.
2. Haga clic con el botón secundario del mouse en Divisiones y, a continuación, haga clic en Delegar control. Aparece el Asistente para delegación de control. Haga clic en Siguiente.
3. En la página Usuarios o grupos, haga clic en Agregar, en Opciones avanzadas y luego en Buscar ahora. Desplácese hasta Asistencia técnica, haga doble clic en Asistencia técnica y, a continuación, haga clic en Aceptar. Haga clic en Siguiente para continuar.
4. En la página Tareas que se delegarán, bajo Delegar las siguientes tareas comunes, haga clic en Restablecer contraseñas de usuario y forzar el cambio de contraseña en el próximo inicio de sesión como se muestra en la Figura 5. Haga clic en Siguiente para continuar.

Figure 5.  Delegating Specific Tasks

Figura 5. Delegar tareas específicas

5. En la página de resumen, revise la configuración propuesta y, a continuación, haga clic en Finalizar.

Delegar el control de tareas personalizadas

En los ejemplos anteriores se han descrito niveles distintos de delegación del control sobre contenedores de Active Directory específicos. Para la delegación de tareas específicas, se seleccionaron operaciones predefinas para la delegación. El Asistente para delegación de control proporciona un nivel adicional de detalle que permite la asignación de tareas personalizadas a usuarios o grupos específicos. En la siguiente sección, se asignarán permisos al EquipoRRHH para modificar atributos de usuario específicos con el fin de poder realizar operaciones relacionadas con los empleados.

Para asignar el control para crear y eliminar la información personal de un usuario en Active Directory a EquipoRRHH

1. En el panel de la izquierda, haga clic con el botón secundario del mouse en la unidad organizativa Divisiones y, a continuación, haga clic en Delegar control. Aparece el Asistente para delegación de control. Haga clic en Siguiente.
2. En la página Usuarios o grupos, haga clic en Agregar, en Opciones avanzadas y luego en Buscar ahora. Desplácese hasta EquipoRRHH, haga doble clic en EquipoRRHH y, a continuación, haga clic en Aceptar. Haga clic en Siguiente para continuar.
3. En la página Tareas que se delegarán, haga clic en Crear una tarea personalizada para delegar. (Esto permite delegar el control de todo el contenedor.) Haga clic en Siguiente.
4. En la pantalla Tipo de objeto de Active Directory, haga clic en Sólo los siguientes objetos en la carpeta.
5. Desplácese hasta la última entrada y active la casilla de verificación Objetos de usuario. Al final de la página Tipo de objeto de Active Directory, active las casillas de verificación Crear / Eliminar los objetos seleccionados en esta carpeta. Revise la configuración que se muestra en la Figura 6 y, después, haga clic en Siguiente para continuar.

Figure 6.  Creating a Custom Delegation

Figura 6. Crear una delegación personalizada

6. En la página Permisos, asegúrese de que General está seleccionado (opción predeterminada). Desplácese y active la casilla de verificación Leer y escribir información personal como se muestra en la Figura 7.

Nota: al activar la casilla de verificación específica de la propiedad obtendrá un nivel adicional de detalle en el nivel de atributos. Por ejemplo, si sólo desea que el EquipoRRHH sea capaz de cambiar la dirección postal de un usuario, debe seleccionar ese atributo en concreto.

ctrlwi07.gif

Figura 7. Crear una delegación personalizada mediante la asignación de derechos específicos

7. Haga clic en Siguiente para continuar.
8. En la página de resumen, revise la configuración propuesta y, a continuación, haga clic en Finalizar.
<img alt=”” width=”1″ height=”1″ src=”http://c.microsoft.com/trans_pixel.aspx”&gt;