SlideShare una empresa de Scribd logo

Active directory

P
pedropsolana

Guia práctica básica de Active Directory

Tecnología
1 de 26
Descargar para leer sin conexión
ACTIVE DIRECTORY ¿Qué es Active Directory? Active Directory y como muchas veces he dicho es una gran base de datos de objetos lógicos que representan personas o dispositivos físicos de forma que podamos trasladar una jerarquía real a una topología de red, dicho de otra forma, AD es una base de datos en la que crear un homólogo de las empresas o negocios manteniendo la estructura jerárquica de esta a nivel lógico. Y… ¿Qué objetos podemos contener en Active Directory? Buscando en mi memoria creo que vamos a tener una seria de objetos básicos con los que trabajar, no incluyendo en estos los dominios, bosques etc que pueden ser más representativos de zonas, delegaciones etc… y si entrando en objetos de (por decirlo de alguna forma) un nivel más bajo o más básicos. Usuarios de la red, estos son junto a sus puestos de trabajo los elementos más comunes con los que vamos a encontrarnos en AD, representan a empleados/as, directivos/as, secretarios/as, directoras/es, administrativas/os y un largo etcétera de puestos y cargos de empresas y comercios. Equipos, aquí englobamos a los puestos de trabajo, PDA, equipos portátiles y un interminable etcétera que representan los sistemas físicos de la red, estos normalmente están asociados a un usuario como pasa en la vida real aunque también es posible que varios usuarios compartan un puesto o dispositivo informático como puede ser el caso de empresas con varios turnos. Unidades Organizativas, mediante las Unidades Organizativas (conocidas también como OU Organizational Units) representaremos la jerarquía de las empresas, por ejemplo, podemos tener una Unidad Organizativa llamada Gerencia, Usuarios del departamento de atención al cliente, Administrativos, Técnicos, Comerciales… como vemos, tantas como departamentos puedan existir, ahora ya nos debemos de estar fijando que cuando hablamos de unidades organizativas indicando que los nombres pueden ser Gerencia, Comerciales etcétera ya estamos representando la estructura empresarial a nivel lógico. Efectivamente, las Unidades Organizativas pueden anidarse, es decir, una Unidad Organizativa puede contener otras Unidades Organizativas. Dicho esto que espero que haya sido bastante aclarador voy a remitirme a un viejo artículo que escribí hace ya más de un año pero es uno de esos artículos de los que estoy muy orgulloso y creo necesario incluir en este mismo, vamos a verlo. En este artículo vas a encontrar unos diagramas y explicaciones que creo que terminan de aclarar todo lo referente a la estructura de Active Directory, pero antes de irme queda por comentar un segundo punto… la misión de Active Directory en las redes… ¿Cuál es la misión real de Active Directory en las redes? La misión de Active Directory no es otra que la de mantener el orden y permitirnos crear un homólogo de la estructura empresarial de nuestros clientes pudiendo simular al 100% la jerarquía estableciendo lo que tantos quebraderos de cabeza nos va a dar, los privilegios…
Antes hemos visto que podemos crear objetos que representen las personas, las máquinas, los departamentos, empresas, delegaciones… todo lo que queramos pero esto tiene un fin, permitir al AD darnos un control total y preciso sobre el comportamiento de estos objetos en la red, no nos engañemos, lo que queremos es control y el Directorio Activo nos da justo eso, control, porque al final todo se basa en el control, queremos controlar quién puede acceder a que y cuando, queremos controlar desde donde y en que forma, queremos además saber si alguien no autorizado logra acceder a que contenido, cómo y cuando sucedió esto, queremos saber que ficheros pueden leer los clientes, cuales ejecutar, que departamento puede acceder a que información y que privilegios tiene sobre esta… como vemos, al fin y al cabo todo termina en esto, control… Más adelante por supuesto seguiré profundizando en estos temas, no quiero que este primer artículo os deje sin ganas de seguir porque pueda parecer complejo, pero si os pediré alguna cosa, a parte de un donativo para poder seguir manteniendo el sitio, que si alguien en algún momento tiene cualquier duda se tome unos minutos y la deje plasmada en el blog, soy como sabéis un webmaster que atiende a todas las consultas de los lectores y pretendo con esta nueva serie de artículos ofrecer unos contenidos de calidad realmente útiles que espero que ayuden y animen a muchos a pelear por la MCTS Configuración de Windows Server 2008 Active Directory. Active Directory en imágenes, la estructura lógica, árboles, dominios, bosques… Active Directory ha supuesto un gran avance y que un gran número de redes informáticas alrededor de todo el mundo cuenten con este nos lleva un poco a la obligación de conocerlo bien, en otras ocasiones he hablado del AD pero esta vez quiero tratar de hacerlo extendiéndome un poco más y acompañando mis palabras con gráficos. La estructura del Directorio Activo puede resultar muy compleja sobre todo en grandes organizaciones por lo que es bastante importante que contemos al menos con unos pocos conceptos sobre este de forma que podamos entender mejor las redes, como configurarlas y su administración. Active Directory cuenta con una jerarquía que a los más adelantados por lógica la sabrán descifrar por decirlo de alguna manera, bueno yo igualmente trataré de explicarlo para que todos me entendáis. Si recordamos aquello de los conjuntos y subconjuntos nos será tal vez más fácil entenderlo ya que con unos gráficos todo sabe mejor así que os dejo a continuación los conjuntos en Active Directory.
Como vemos el conjunto más pequeño pertenece al objeto, por lo tanto podemos decir que el objeto es la unidad lógica más básica de Active Directory, como vemos por encima están las Unidades Organizativas, por lo que entendemos al observar el gráfico que una Unidad Organizativa puede contener varios objetos, incluidas otras Unidades Organizativas. Ok, ahora llegamos al Dominio, el Dominio puede albergar Unidades Organizativas y estas a su vez albergar Objetos del Directorio Activo y de esta forma tenemos la estructura básica de un Directorio Activo. Pero bien, puede darse el caso de que haya otros dominios bajo el dominio principal, por ejemplo: S3v-i.net (que sería el Parent Domain o dominio padre) Aprendeinformatica.s3v-i.net (que sería el child Domain o dominio hijo) Cuando nos encontramos con esta configuración lo que tenemos es un Árbol, que como vemos claramente en la imagen puede contener varios dominios y así seguimos con la lógica del principio. Pero todos sabemos que la historia no termina aquí, al igual que pueden agruparse varios dominios lo pueden hacer varios árboles y conformar un bosque, me explico. Un árbol está formado por dominios, habiendo siempre un Parent Domain y uno o más child Domain, ¿ok? Vale, pero también puede suceder que dos empresas a lo mejor se quieran fusionar y tengan cada uno su propio dominio o árbol pero que ambos deban de poder acceder a la información el uno del otro, la agrupación de estos dará como resultado un bosque. Aunque esto no lo he podido confirmar (si alguien puede que lo diga hasta que haga las pruebas) la unión de dos o más Parent Domain diferentes genera un bosque, de la misma forma que lo harían dos o más árboles ( lo que no puedo confirmar es que la definición de bosque que podemos encontrar en cualquier lado es la de que un bosque está formado por varios árboles, pero no encuentro el sitio que confirme si un bosque puede estar formado por un árbol y un Parent Domain y todo se sigue denominando igual), lo que sí que puedo confirmar es que cada día me explico peor….
Bueno, por lo tanto y resumiendo en texto se puede decir que: Objeto > Unidad Organizativa > Dominio > Árbol > Bosque Y bueno a continuación voy a dejar unos esquemas de Active Directory que me he currado para adornar un poquito más el artículo, a ver qué os parecen. El primero que vamos a ver muestra la estructura más básica de un Directorio Activo, es decir un Dominio y sus objetos y demás, vamos a verlo Espero que se entienda todo si no podéis preguntar ya lo sabéis. En la siguiente vamos a ver algo un poquito más complejo, la estructura de un Árbol de Active Directory, vamos a ver la imagen. Y para finalizar pues nada, como estaría conformado un Bosque, vamos a verlo.
Configuración de Active Directory en Windows Server 2008 – DSQUERY y DSGET Muy buenas a todos y todas una vez más, tras casi haber concluido la migración del blog, lo que debemos de agradecer a todos los lectores y lectoras que han descargado un vídeo mediante SMS o han pedido un pack de vídeos, quiero seguir con esta serie de interesantes artículos sobre la Microsoft Certified Technology Specialist de Active Directory de Windows Server 2008 que estoy convencido (a pesar de no recibir muchos comentarios) que a muchos de vosotros os gustan, pero bien vamos con el tema que nos ocupa… dsquery Con el comando dsquery podemos hacer una consulta al Directorio Active, por ejemplo podremos descubrir la lista de usuarios del dominio, las unidades organizativas o los grupos entre otras. Dsget Este comando nos permite realizar una búsqueda en las propiedades de los objetos, por ejemplo, tenemos el usuario “Pablo” del directorio, este usuario tendrá unas propiedades
como el samid, el nombre para mostrar u otros… bien pues dsget nos permitirá hacer consultas sobre todas esas propiedades. Y es muy posible que te estes preguntando… ¿Y donde esta entonces la complicación en todo esto? bien, la complicación radica en que primero deberemos de acostumbrarnos a la forma de interactuar de estos comandos con la consola, y una vez sepamos como es la sintaxis deberemos de saber combinar convenientemente los dos comandos ya que al combinarlos es cuando veremos la potencia y funcionalidad de estos comandos, vamos con unos ejemplo y capturas de pantalla… Si quisieramos listar los usuarios del directorio podriamos ejecutar el siguiente comando: dsquery user Y para ver exactamente que es lo que pasa vamos con una captura de pantalla. Comando: dsquery Ahora para ver un poquito más el alcance del comando lo he ejecutado con la intención de localizar los grupos del directorio, vamos a ver cual es el comando: dsquery group Como vemos tan difícil como el anterior, pero vamos a ver que pasa al ejecutar este comando…
Comando: dsquery Y bueno, básicamente así sería como funciona este comando, en principio es bastante fácil de utilizar pero bien… vamos a seguir con el asunto que ahora es cuando vamos a empezar a divertirnos… He comentado por ahí arriba que el comando dsget nos da información de las propiedades de los objetos ¿ok? pues bien, vamos a trabajar con los parámetros que seguro que tienen los usuarios, uno de ellos el samid y el otro el nombre para mostrar, pero antes de seguir tengo que comentar otra cosa el comando dsget funciona mediante el DN de los objetos asi que veamos como se puede proceder para por ejemplo obtener el samid y el nombre para mostrar de Pablo. dsquery user -name Pablo Con esto consigo que me devuelva preciisamente el DN completo de pablo, una vez impreso en la pantalla y habilitando el modo de edición rápida lo remarcamos con el ratón y le damos al boton derecho para pegarlo en el cmd, vamos con el siguiente comando… dsget user "CN=Pablo,OU=PRUEBAS,DC=s3v-i,DC=local" -samid -display Y bueno para tratar de aclarar la cosa os dejo la captura de pantalla pertinente, vamos con ella.
Comando: dsget Y bueno como vemos poco a poco vamos enmadejando el asunto, y para ir terminando vamos a ver ya como combinar ambos comandos para poder hacer lo que hemos visto justo en la captura anterior pero ejecutando un solo comando y escribiendo menos así que vamos con ello: dsquery user -name P* | dsget user -samid -display En esta ocasión si voy a hacer una puntualización y es que he utilizado un simbolito que es posible que algunos no sepan porque, el simbolito es el siguiente ” | ” y la función es canalizar la salida de un comando hacía otro comando para que este segundo pueda trabajar directamente con los datos del primero que en este caso es el dsquery y nos ahorra tanto tener que ejecutar dos comandos por separado como tener que transcribir los largos DN (recordad, Distinguished Name) de los objetos.. Y ahora vamos con la interesante captura de pantalla que confirma esto que os cuento yo aquí.
Comando: dsquery + dsget Configuración de Active Directory en Windows Server 2008 – Crear objetos en el directorio mediante el comando DSADD Empecemos por el principio, el comando dsadd nos permite agregar objetos al directorio desde la línea de comandos lo que nos permite incluso llegar a automatizar la creación de una estructura de Grupos o Unidades Organizativas, a continuación dejo una lista de los objetos que podemos añadir al directorio con dsadd: •Equipos •Contactos •Grupos •Unidades Organizativas •Usuarios •Cuotas de directorio Estos son los objetos que podremos crear con el comando dsadd y deberemos de ser meticulosos y analizar bien las posibilidades de cada comando mediante la ayuda de los mismos, para acceder a esta ayuda deberemos de ejecutar lo siguiente: Ayuda del comando dsadd para Equipos dsadd computer /? Ayuda del comando dsadd para Contactos dsadd contact /?
Ayuda del comando dsadd para Grupos dsadd group /? Ayuda del comando dsadd para Unidades Organizativas dsadd ou /? Ayuda del comando dsadd para Usuarios dsadd user /? Ayuda del comando dsadd para Cuotas de directorio dsadd quota /? Y ahora vamos con unos ejemplos antes de pasar al vídeo para que veamos la sintaxis, vamos a trabajar con los siguientes supuestos: Nombre de usuario: Pablo Unidad Organizativa: BlogUsers Dominio: s3v-i.local Primero creamos una Unidad Organizativa dsadd ou ou=BlogUsers,dc=s3v-i,dc=local Al ejecutar esto veamos lo que estamos haciendo por partes: •dsadd Este comando ordena la creación de un objeto en el directorio •ou Este modificador indica que el objeto que vamos a crear es una Unidad Organizativa •ou=BlogUsers, Aquí estamos indicando el nombre que tendra la Unidad Organizativa •dc=s3v-i,dc=local Aquí indicamos que el objeto será creado en el dominio s3v-i.local Ahora utilizaremos dsadd para crear un usuario en la Unidad Organizativa BlogUsers que hemos creado antes dsadd user cn=Pablo,ou=BlogUsers,dc=s3v-i,dc=local -disabled no -pwd * Y pasamos a analizar este comando… •dsadd Este comando ordena la creación de un objeto en el directorio •user Este modificador indica que el objeto que vamos a crear es un Usuario •cn=Pablo, Aquí estamos indicando el nombre que tendra el Usuario •ou=BlogUsers, Aquí estamos indicando en que Unidad Organizativa vamos a crear el usuario •dc=s3v-i,dc=local Aquí indicamos que el objeto será creado en el dominio s3v-i.local
•-disabled no Nos permite especificar si la cuenta estará activa o no, si no especificamos una contraseña la cuenta se creará pero estará desactivada •-pwd * Este modificador lo que nos permite es especificar el password después de lanzar el comando, la principal ventaja es que no tendría que estar integrada en un fichero por lotes y no sería visible aunque en un caso de crear muchos usuarios de forma masiva lo mejor es establecer que el usuario cambia la contraseña en el siguiente inicio de sesión Como vemos en este segundo comando ya se va complicando bastante la cosa y es que todavía no podemos imaginar la cantidad de parámetros que podemos incluir a dsadd. En cuanto al resto de objetos con los que podremos trabajar como los contactos, cuotas, grupos y/o equipos tienen un funcionamiento muy similar aunque los parámetros para cada uno de ellos varían muchísimo y deberemos de ejecutar la ayuda como ya he indicado más arriba para descubrir los modificadores de cada objeto. Para no alargarme más y a modo de ampliación y repaso de todo este artículo creo que será mejor que continuemos con un vídeo y veamos como deberemos de proceder y los efectos que la ejecución de estos comandos tendrá sobre nuestro sistema, vamos con el vídeo. Configuración de Active Directory en Windows Server 2008 – DSMOD y DSMOVE Comando DSMOD Con este comando podremos modificar las propiedades de los objetos de Active Directory, por ejemplo para que lo veáis claro vamos a trabajar con usuarios, veamos de que propiedades estoy hablando. Comando - dsmod Ahora abriremos una ventana del CMD y ejecutaremos los siguientes comandos
dsquery user Una vez ejecutado obtendremos los nombres DN de los usaurios, yo trabajaré sobre el usuario Pablo que es el que he mostrado en la imagen de antes, el nombre DN es el siguiente: "CN=Pablo,OU=PRUEBAS,DC=s3v-i,DC=local" Y ahora solo falta ejecutar el comando DSMOD para por ejemplo establecer el e-Mail, vamos a ver como. dsmod user CN=Pablo,OU=PRUEBAS,DC=s3v-i,DC=local email email@email.mail El resultado de ejecutar esto es el siguiente. Comando dsmod Como ves mediante este comando podemos modificar los atributos de los objetos, si quieres ayuda del comando recuerda que la puedes obtener de la siguiente forma. dsmod /? dsmod user /? dsmod computer /? dsmod contact /? dsmod ou /? dsmod group /? dsmod server /?
dsmod quota /? dsmod partition /? De todas formas si tienes cualquier duda puedes consultarme mediante los comentarios, vamos con el siguiente. Comando DSMOVE Con este comando podremos mover o cambiar el nombre a un objeto del directorio activo, vamos con unos ejemplos como antes con usuarios para que nos cueste menos familiarizarnos con el uso del comando, igual que antes sigo trabajando con el usuario ” Pablo ” por lo que podemos tomar como referencia la última imagen, abrimos un cmd y ahora ejecutamos lo siguiente. dsmove CN=Pablo,OU=PRUEBAS,DC=s3v-i,DC=local -newname "Pablo Martinez" Y ejecutado esto tenemos lo siguiente, he tratado de señalar las partes de la imagen más importantes. Comando dsmove Como vemos se ha cambiado el nombre del usuario, si quisiéramos cambiar por ejemplo la contraseña podríamos ejecutar lo siguiente. dsmove CN=Pablo,OU=PRUEBAS,DC=s3v-i,DC=local -p * Y para rematar el artículo vemos que comando utilizaremos para cambiar de unidad organizativa a un usuario. dsmove "CN=Pablo Martinez,OU=PRUEBAS,DC=s3v-i,DC=local" -newparent OU=PROBANDO,DC=s3v-i,DC=local
Obtener informacion de grupos con Dsget Dsget es un comando que nos permitirá obtener información de los objetos del Directorio Activo. En este tutorial veremos cómo utlizarlo para obtener información de los grupos. Para empezar, veamos la sistaxis de este comando: dsget group “GroupDN” -members -memberof …  -expand La opción “-members” nos mostrará los miembros que tiene el grupo. La opción “-memberof” mostrará a qué grupos pertenece este grupo. “-expand” expandirá la búsqueda en sub OUs. El siguiente comando: dsget group “CN=informatica,OU=grupos,DC=aic,DC=local” -members Nos mostrará una lista con los mimbros de este grupo: Distinguimos las 7 cuentas de usuario que son miembros del grupo “informatica”. También podemos ejecutar el comando anterior sin el parámetro “-members”, con lo que nos devolverá información relativa al grupo en si: dsget group “CN=informatica,OU=grupos,DC=aic,DC=local” Otra posibilidad es que nos muestre los grupos a los que pertenece este grupo. Para ello especificamos el parámetro “-memberof”: dsget group “CN=informatica,OU=grupos,DC=aic,DC=local” -memberof
En la imagen anterior podemos ver que el grupo “informatica” es miembro del grupo “ACL_informatica_modificar“. Ahora, como queremos seguir investigando, queremos conocer quienes son los miembros del grupo “ACL_informatica_modificar“, y para ello ejecutamos el siguiente comando: dsget group “CN=ACL_informatica_modificar,OU=grupos,DC=aic,DC=local” - members Eso es, identificamos dos miembros del grupo “ACL_informatica_modicar“, que son: “informatica” y “direccion“. Modificar las propiedades de grupos con Dsmod Sintaxis: dsmod group “GroupDN” [opciones] Podemos utilizar la utilidad de comandos Dsmod para añadir o moficar cualquier atributo o propiedad del grupo como por ejemplo sAMAccountName, desc, samid, etc… Pero nosotros vamos a ver las dos que, creo, son mas interesantes. • -addmbr “MemberDN”  –>  Añadir miembros al grupo. • -rmmbr “MemberDN”   –>  Eliminar miembros del grupo. Si queremos indicar varios “MemberDN“, dememos separarlos de un espacio. Si recordamos, hace algún que otro tutorial, creamos el grupo “gtemp1” en el que incluímos como miembros a las cuentas de usuario “infor01” e “infor02“.
Pues vamos a utilizar este grupo para practicar con “Dsmod group“. Para empezar, vamos a añadir 3 nuevos usuarios al grupo “gtemp1“. Los usuarios serán “infor03“, “admin02” y “ventas01“. Esto puede que no tenga ningún sentido en un entorno real, pero es solo a modo de ejemplo. Vamos allá: dsmod group “CN=gtemp1,OU=grupos,DC=aic,DC=local” -addmbr “CN=infor03,OU=informatica,OU=usuarios,DC=aic,DC=local” “CN=admin02,OU=administracion,OU=usuarios,DC=aic,DC=local” “CN=ventas01,OU=ventas,OU=usuarios,DC=aic,DC=local” Comprobamos en la pestaña “Members” de las propiedades del grupo “gtemp1” a ver si aparecen los usuarios que acabamos de incluir como miembros:
En efecto, ahí están. Ahora vamos a intentar eliminar uno de los miembros que acabamos de añadir. Pero claro, utilizando el comando Dsmod. Para ello, deicidimos que el usuario elegido para no formar parte del grupo “gtemp1” es “ventas01“, entonces: dsmod group “CN=gtemp1,OU=grupos,DC=aic,DC=local” -rmmbr “CN=ventas01,OU=ventas,OU=usuarios,DC=aic,DC=local” Comprobamos que ya el usuario “ventas01” ya no es miembro del grupo “gtemp1“:
Perfecto. Excediéndonos un poco del contenido extricto de este tutorial vamos a ver las posibilidades que tenemos conjugando Dsmod junto con Dsget. Simplemente para que os hagáis una idéa de lo útiles que son estos comandos. Vamos a incluir todos los miembros del grupo “compras” como miembros del grupo “gtemp1“. Para ello primero reazaremos una consulta mediante en comando Dsget de los miembros del grupo “compras” y luego se lo pasamos con una tubería (pipe |) al comando Dsmod, el cual los añadirá al grupo “gtemp1“. dsget gruop “CN=compras,OU=grupos,DC=aic,DC=local” -members | dsmod group “CN=gtemp1,OU=grupos,DC=aic,DC=local” -addmbr Vale, comprobamos:
Ya se ve que si, que los dos usuarios que hay en el grupo “compras“, se han añadido como miembros del grupo “gtemp1“. Configurar atributos de equipo con Dsmod Ya conocemos un poco el uso de Dsmod. En este caso vamos a utilizarlo para configuar los atributos de cuentas de equipo que ya existen. Dsmod sólo puede modificar los atributos de “description” y “location“. Sintaxis: dsmod computer “DNEquipo” [-desc descripción] [-loc ubicación] Vamos a modifcar el atibuto “description” de la cuenta de equipo “sobremesa11“: dsmod computer “CN=sobremesa11,OU=informatica,OU=equipos,DC=aic,DC=local” -desc “Equipo de sobremesa número 11” Lo ejecutamos:
Y comprobamos el contenido del atributo que acabamos de modificar. Eso es. Renombrar y mover grupos con Dsmove Dsmove nos permite cambiar el nombre de los grupos e incluso, como su nombre indica, mover grupos entre diferentes Unidades Organizativas del mismo dominio. La sintaxis es la siguiente: dsmove DNdelObjeto [-newname nuevonombre] [-newparent DNOUDestino] Después de aclarar esto, vamos a hacer un par de ejemplos. Para empezar vamos a intentar cambiar el nombre del grupo “gtemp1” por “grupotemp1“.
Ejecutamos el siguiente comando: dsmove “CN=gtemp1,OU=grupos,DC=aic,DC=local” -newname “grupotemp1” Ahora abrimos “Active Directory Users and Computers” para comprobar que se ha realizado el cambio: Eso es. En la captura de pantalla anterior vemos que existe un grupo llamado “grupotemp1” y ya no está el que teníamos antes “gtemp1“. Ahora vamos a intentar otra cosa. Vamos a mover el grupo “grupotemp1” a la Unidad Organizativa “usuarios“. Para realizar esta tarea, ejecutaremos el siguiente comando: dsmove “CN=grupotemp1,OU=grupos,DC=aic,DC=local” -newparent “OU=usuarios,DC=aic,OU=local”
Comprobamos que el grupo “grupotemp1” ya no exista en la Unidad Organizativa “grupos“: Bien, no está. Ahora examinamos la Unidad Organizativa “usuarios” porque es donde tiene que estar el grupo ahora:
Efectivamente, aquí está. Buen trabajo! Para terminar con este tutorial y para no dejar el grupo donde está, vamos a ver si lo dejamos como estaba antes de comenzar el tutorial. Por lo tanto, cambiaremos el nombre del grupo “grupotemp1” por “gtemp1” y lo moveremos a la Unidad Organizativa “grupos“. Intentaremos hacerlo con un sólo comando. dsmove “CN=grupotemp1,OU=usuarios,DC=aic,DC=local” -newname “gtemp1” - newparent “OU=grupos,DC=aic,DC=local” Como siempre, comprobamos en “Active Directory Users and Computers” que ya no existe el grupo “grupotemp1” en la Unidad Organizativa “usuarios“. Tampoco tiene que estar con el nuevo nombre “gtemp1“, puesto que lo hemos movido a la Unidad Organizativa “grupos” y es en esta donde debe estar.
Como tiene que ser, no está en “usuarios“. Comprobamos ahora la Unidad Organizativa “grupos“: Perfecto, aquí está, como habíamos pensado.
Eliminar grupos con Dsrm Para terminar con el uso de los comando Ds.. con grupos, vamos a ver cómo utilizar Dsrm. Evidentemente, nos permite borrar objetos del Active Directory, y en caso que nos ocupa, nos permite eliminar grupos. La sintaxis, aunque tiene mas opciones, vamos a utilizar la siguiente: dsrm DNGrupo -noprompt -c • -noprompt –> Si incluimos esta opción, no solicitará confirmación al eliminar el grupo. Por defecto si lo hace. • -c –>  Al incluir esta opción, seguirá ejecutándose el comando aunque encuentre errores. Como es habitual en los estos tutoriales, vamos a ver un ejemplo de uso de este comando. Nos ponemos en situación: Vamos a intentar eliminar el grupo “gtemp1” que está ubicado en la Unidad Organizativa “grupos“. dsrm “CN=gtemp1,OU=grupos,DC=aic,DC=local”
Ahora comprobamos que ya no existe el grupo “gtemp1“: Perfecto, se ha eliminado correctamente.

Recomendados

Arboles presentacion
Arboles presentacionArboles presentacion
Arboles presentacion
jenny
 
RESUMEN
RESUMENRESUMEN
RESUMEN
YM_1
 
Manual de instalación y administración de active directory en windows server ...
Manual de instalación y administración de active directory en windows server ...Manual de instalación y administración de active directory en windows server ...
Manual de instalación y administración de active directory en windows server ...
camilaml
 
Manual de instalación de active directory en windows server 2008 r2
Manual de instalación de active directory en windows server 2008 r2Manual de instalación de active directory en windows server 2008 r2
Manual de instalación de active directory en windows server 2008 r2
Andres Ldño
 
Win srv08 ad
Win srv08 adWin srv08 ad
Win srv08 ad
Fernando Juarez
 
Yossy
YossyYossy
Yossy
Fye19
 
Manual oracle
Manual oracleManual oracle
Manual oracle
Loyda Cocom
 
Sesión01 - Gestión de instancia (Oracle)
Sesión01 - Gestión de instancia (Oracle)Sesión01 - Gestión de instancia (Oracle)
Sesión01 - Gestión de instancia (Oracle)
José Toro
 

Recomendados

Arboles presentacion
Arboles presentacionArboles presentacion
Arboles presentacion
jenny
 
RESUMEN
RESUMENRESUMEN
RESUMEN
YM_1
 
Manual de instalación y administración de active directory en windows server ...
Manual de instalación y administración de active directory en windows server ...Manual de instalación y administración de active directory en windows server ...
Manual de instalación y administración de active directory en windows server ...
camilaml
 
Manual de instalación de active directory en windows server 2008 r2
Manual de instalación de active directory en windows server 2008 r2Manual de instalación de active directory en windows server 2008 r2
Manual de instalación de active directory en windows server 2008 r2
Andres Ldño
 
Win srv08 ad
Win srv08 adWin srv08 ad
Win srv08 ad
Fernando Juarez
 
Yossy
YossyYossy
Yossy
Fye19
 
Manual oracle
Manual oracleManual oracle
Manual oracle
Loyda Cocom
 
Sesión01 - Gestión de instancia (Oracle)
Sesión01 - Gestión de instancia (Oracle)Sesión01 - Gestión de instancia (Oracle)
Sesión01 - Gestión de instancia (Oracle)
José Toro
 
ESTRUCTURA DE DOMINIOS Y ACTIVE DIRECTORY EN WINDOWS 2003 SERVER
ESTRUCTURA DE DOMINIOS Y ACTIVE DIRECTORY EN WINDOWS 2003 SERVERESTRUCTURA DE DOMINIOS Y ACTIVE DIRECTORY EN WINDOWS 2003 SERVER
ESTRUCTURA DE DOMINIOS Y ACTIVE DIRECTORY EN WINDOWS 2003 SERVER
xxhowardxx
 
Active directory
Active directoryActive directory
Active directory
Julio César Siesquén Mairena
 
Unidades organizativas ou
Unidades organizativas ouUnidades organizativas ou
Unidades organizativas ou
Luis Asencio
 
Tarea de diplomado de redes1
Tarea de diplomado de redes1Tarea de diplomado de redes1
Tarea de diplomado de redes1
Aleyda Esperanza Miranda Zapata
 
López vidal isaac angel
López vidal isaac angelLópez vidal isaac angel
López vidal isaac angel
Isaac López
 
Directorio Activo
Directorio ActivoDirectorio Activo
Directorio Activo
Darwin Carchi
 
instalación de Active directory windows 2012
instalación de Active directory windows 2012instalación de Active directory windows 2012
instalación de Active directory windows 2012
YinaGarzon
 
Estructura+de+los+servicios+de+dominio+de+Active+Directory.pptx
Estructura+de+los+servicios+de+dominio+de+Active+Directory.pptxEstructura+de+los+servicios+de+dominio+de+Active+Directory.pptx
Estructura+de+los+servicios+de+dominio+de+Active+Directory.pptx
JeysonMendozaJimenez1
 
Active directory.docx
Active directory.docxActive directory.docx
Active directory.docx
peterete8
 
Ensayo p
Ensayo pEnsayo p
Ensayo p
Samuel Najar Rosales
 
Dominios en-windows-2003-server-1220838475344065-8
Dominios en-windows-2003-server-1220838475344065-8Dominios en-windows-2003-server-1220838475344065-8
Dominios en-windows-2003-server-1220838475344065-8
mpazguepa
 
Dominios En Windows 2003 Server
Dominios En Windows 2003 ServerDominios En Windows 2003 Server
Dominios En Windows 2003 Server
Dean1506
 
Dominios en-windows-2003-server-1220838475344065-8
Dominios en-windows-2003-server-1220838475344065-8Dominios en-windows-2003-server-1220838475344065-8
Dominios en-windows-2003-server-1220838475344065-8
mpazguepa
 
Famas active directory preentar
Famas active directory preentarFamas active directory preentar
Famas active directory preentar
yuliaranda
 
Qué es el directorio activo de windows
Qué es el directorio activo de windowsQué es el directorio activo de windows
Qué es el directorio activo de windows
grecia789
 
Qué es el directorio activo de windows
Qué es el directorio activo de windowsQué es el directorio activo de windows
Qué es el directorio activo de windows
grecia789
 
Qué es el directorio activo de windows
Qué es el directorio activo de windowsQué es el directorio activo de windows
Qué es el directorio activo de windows
grecia789
 
Qué es el directorio activo de windows
Qué es el directorio activo de windowsQué es el directorio activo de windows
Qué es el directorio activo de windows
grecia789
 
Qué es el directorio activo de windows
Qué es el directorio activo de windowsQué es el directorio activo de windows
Qué es el directorio activo de windows
grecia789
 
Instalacion Wordpress En Linux
Instalacion Wordpress En LinuxInstalacion Wordpress En Linux
Instalacion Wordpress En Linux
andres
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
JorgeParada26
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
nicho110
 

Más contenido relacionado

Similar a Active directory

Unidades organizativas ou
Unidades organizativas ouUnidades organizativas ou
Unidades organizativas ou
Luis Asencio
 
instalación de Active directory windows 2012
instalación de Active directory windows 2012instalación de Active directory windows 2012
instalación de Active directory windows 2012
YinaGarzon
 
Estructura+de+los+servicios+de+dominio+de+Active+Directory.pptx
Estructura+de+los+servicios+de+dominio+de+Active+Directory.pptxEstructura+de+los+servicios+de+dominio+de+Active+Directory.pptx
Estructura+de+los+servicios+de+dominio+de+Active+Directory.pptx
JeysonMendozaJimenez1
 
Active directory.docx
Active directory.docxActive directory.docx
Active directory.docx
peterete8
 
Dominios en-windows-2003-server-1220838475344065-8
Dominios en-windows-2003-server-1220838475344065-8Dominios en-windows-2003-server-1220838475344065-8
Dominios en-windows-2003-server-1220838475344065-8
mpazguepa
 
Dominios En Windows 2003 Server
Dominios En Windows 2003 ServerDominios En Windows 2003 Server
Dominios En Windows 2003 Server
Dean1506
 
Dominios en-windows-2003-server-1220838475344065-8
Dominios en-windows-2003-server-1220838475344065-8Dominios en-windows-2003-server-1220838475344065-8
Dominios en-windows-2003-server-1220838475344065-8
mpazguepa
 
Famas active directory preentar
Famas active directory preentarFamas active directory preentar
Famas active directory preentar
yuliaranda
 
Qué es el directorio activo de windows
Qué es el directorio activo de windowsQué es el directorio activo de windows
Qué es el directorio activo de windows
grecia789
 
Qué es el directorio activo de windows
Qué es el directorio activo de windowsQué es el directorio activo de windows
Qué es el directorio activo de windows
grecia789
 
Qué es el directorio activo de windows
Qué es el directorio activo de windowsQué es el directorio activo de windows
Qué es el directorio activo de windows
grecia789
 
Qué es el directorio activo de windows
Qué es el directorio activo de windowsQué es el directorio activo de windows
Qué es el directorio activo de windows
grecia789
 
Qué es el directorio activo de windows
Qué es el directorio activo de windowsQué es el directorio activo de windows
Qué es el directorio activo de windows
grecia789
 
Instalacion Wordpress En Linux
Instalacion Wordpress En LinuxInstalacion Wordpress En Linux
Instalacion Wordpress En Linux
andres
 

Similar a Active directory (20)

ESTRUCTURA DE DOMINIOS Y ACTIVE DIRECTORY EN WINDOWS 2003 SERVER
ESTRUCTURA DE DOMINIOS Y ACTIVE DIRECTORY EN WINDOWS 2003 SERVERESTRUCTURA DE DOMINIOS Y ACTIVE DIRECTORY EN WINDOWS 2003 SERVER
ESTRUCTURA DE DOMINIOS Y ACTIVE DIRECTORY EN WINDOWS 2003 SERVER
 
Active directory
Active directoryActive directory
Active directory
 
Unidades organizativas ou
Unidades organizativas ouUnidades organizativas ou
Unidades organizativas ou
 
Tarea de diplomado de redes1
Tarea de diplomado de redes1Tarea de diplomado de redes1
Tarea de diplomado de redes1
 
López vidal isaac angel
López vidal isaac angelLópez vidal isaac angel
López vidal isaac angel
 
Directorio Activo
Directorio ActivoDirectorio Activo
Directorio Activo
 
instalación de Active directory windows 2012
instalación de Active directory windows 2012instalación de Active directory windows 2012
instalación de Active directory windows 2012
 
Estructura+de+los+servicios+de+dominio+de+Active+Directory.pptx
Estructura+de+los+servicios+de+dominio+de+Active+Directory.pptxEstructura+de+los+servicios+de+dominio+de+Active+Directory.pptx
Estructura+de+los+servicios+de+dominio+de+Active+Directory.pptx
 
Active directory.docx
Active directory.docxActive directory.docx
Active directory.docx
 
Ensayo p
Ensayo pEnsayo p
Ensayo p
 
Dominios en-windows-2003-server-1220838475344065-8
Dominios en-windows-2003-server-1220838475344065-8Dominios en-windows-2003-server-1220838475344065-8
Dominios en-windows-2003-server-1220838475344065-8
 
Dominios En Windows 2003 Server
Dominios En Windows 2003 ServerDominios En Windows 2003 Server
Dominios En Windows 2003 Server
 
Dominios en-windows-2003-server-1220838475344065-8
Dominios en-windows-2003-server-1220838475344065-8Dominios en-windows-2003-server-1220838475344065-8
Dominios en-windows-2003-server-1220838475344065-8
 
Famas active directory preentar
Famas active directory preentarFamas active directory preentar
Famas active directory preentar
 
Qué es el directorio activo de windows
Qué es el directorio activo de windowsQué es el directorio activo de windows
Qué es el directorio activo de windows
 
Qué es el directorio activo de windows
Qué es el directorio activo de windowsQué es el directorio activo de windows
Qué es el directorio activo de windows
 
Qué es el directorio activo de windows
Qué es el directorio activo de windowsQué es el directorio activo de windows
Qué es el directorio activo de windows
 
Qué es el directorio activo de windows
Qué es el directorio activo de windowsQué es el directorio activo de windows
Qué es el directorio activo de windows
 
Qué es el directorio activo de windows
Qué es el directorio activo de windowsQué es el directorio activo de windows
Qué es el directorio activo de windows
 
Instalacion Wordpress En Linux
Instalacion Wordpress En LinuxInstalacion Wordpress En Linux
Instalacion Wordpress En Linux
 

Último

redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
nicho110
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 

Último (10)

EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos Basicos
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 

Active directory

  • 1. ACTIVE DIRECTORY ¿Qué es Active Directory? Active Directory y como muchas veces he dicho es una gran base de datos de objetos lógicos que representan personas o dispositivos físicos de forma que podamos trasladar una jerarquía real a una topología de red, dicho de otra forma, AD es una base de datos en la que crear un homólogo de las empresas o negocios manteniendo la estructura jerárquica de esta a nivel lógico. Y… ¿Qué objetos podemos contener en Active Directory? Buscando en mi memoria creo que vamos a tener una seria de objetos básicos con los que trabajar, no incluyendo en estos los dominios, bosques etc que pueden ser más representativos de zonas, delegaciones etc… y si entrando en objetos de (por decirlo de alguna forma) un nivel más bajo o más básicos. Usuarios de la red, estos son junto a sus puestos de trabajo los elementos más comunes con los que vamos a encontrarnos en AD, representan a empleados/as, directivos/as, secretarios/as, directoras/es, administrativas/os y un largo etcétera de puestos y cargos de empresas y comercios. Equipos, aquí englobamos a los puestos de trabajo, PDA, equipos portátiles y un interminable etcétera que representan los sistemas físicos de la red, estos normalmente están asociados a un usuario como pasa en la vida real aunque también es posible que varios usuarios compartan un puesto o dispositivo informático como puede ser el caso de empresas con varios turnos. Unidades Organizativas, mediante las Unidades Organizativas (conocidas también como OU Organizational Units) representaremos la jerarquía de las empresas, por ejemplo, podemos tener una Unidad Organizativa llamada Gerencia, Usuarios del departamento de atención al cliente, Administrativos, Técnicos, Comerciales… como vemos, tantas como departamentos puedan existir, ahora ya nos debemos de estar fijando que cuando hablamos de unidades organizativas indicando que los nombres pueden ser Gerencia, Comerciales etcétera ya estamos representando la estructura empresarial a nivel lógico. Efectivamente, las Unidades Organizativas pueden anidarse, es decir, una Unidad Organizativa puede contener otras Unidades Organizativas. Dicho esto que espero que haya sido bastante aclarador voy a remitirme a un viejo artículo que escribí hace ya más de un año pero es uno de esos artículos de los que estoy muy orgulloso y creo necesario incluir en este mismo, vamos a verlo. En este artículo vas a encontrar unos diagramas y explicaciones que creo que terminan de aclarar todo lo referente a la estructura de Active Directory, pero antes de irme queda por comentar un segundo punto… la misión de Active Directory en las redes… ¿Cuál es la misión real de Active Directory en las redes? La misión de Active Directory no es otra que la de mantener el orden y permitirnos crear un homólogo de la estructura empresarial de nuestros clientes pudiendo simular al 100% la jerarquía estableciendo lo que tantos quebraderos de cabeza nos va a dar, los privilegios…
  • 2. Antes hemos visto que podemos crear objetos que representen las personas, las máquinas, los departamentos, empresas, delegaciones… todo lo que queramos pero esto tiene un fin, permitir al AD darnos un control total y preciso sobre el comportamiento de estos objetos en la red, no nos engañemos, lo que queremos es control y el Directorio Activo nos da justo eso, control, porque al final todo se basa en el control, queremos controlar quién puede acceder a que y cuando, queremos controlar desde donde y en que forma, queremos además saber si alguien no autorizado logra acceder a que contenido, cómo y cuando sucedió esto, queremos saber que ficheros pueden leer los clientes, cuales ejecutar, que departamento puede acceder a que información y que privilegios tiene sobre esta… como vemos, al fin y al cabo todo termina en esto, control… Más adelante por supuesto seguiré profundizando en estos temas, no quiero que este primer artículo os deje sin ganas de seguir porque pueda parecer complejo, pero si os pediré alguna cosa, a parte de un donativo para poder seguir manteniendo el sitio, que si alguien en algún momento tiene cualquier duda se tome unos minutos y la deje plasmada en el blog, soy como sabéis un webmaster que atiende a todas las consultas de los lectores y pretendo con esta nueva serie de artículos ofrecer unos contenidos de calidad realmente útiles que espero que ayuden y animen a muchos a pelear por la MCTS Configuración de Windows Server 2008 Active Directory. Active Directory en imágenes, la estructura lógica, árboles, dominios, bosques… Active Directory ha supuesto un gran avance y que un gran número de redes informáticas alrededor de todo el mundo cuenten con este nos lleva un poco a la obligación de conocerlo bien, en otras ocasiones he hablado del AD pero esta vez quiero tratar de hacerlo extendiéndome un poco más y acompañando mis palabras con gráficos. La estructura del Directorio Activo puede resultar muy compleja sobre todo en grandes organizaciones por lo que es bastante importante que contemos al menos con unos pocos conceptos sobre este de forma que podamos entender mejor las redes, como configurarlas y su administración. Active Directory cuenta con una jerarquía que a los más adelantados por lógica la sabrán descifrar por decirlo de alguna manera, bueno yo igualmente trataré de explicarlo para que todos me entendáis. Si recordamos aquello de los conjuntos y subconjuntos nos será tal vez más fácil entenderlo ya que con unos gráficos todo sabe mejor así que os dejo a continuación los conjuntos en Active Directory.
  • 3. Como vemos el conjunto más pequeño pertenece al objeto, por lo tanto podemos decir que el objeto es la unidad lógica más básica de Active Directory, como vemos por encima están las Unidades Organizativas, por lo que entendemos al observar el gráfico que una Unidad Organizativa puede contener varios objetos, incluidas otras Unidades Organizativas. Ok, ahora llegamos al Dominio, el Dominio puede albergar Unidades Organizativas y estas a su vez albergar Objetos del Directorio Activo y de esta forma tenemos la estructura básica de un Directorio Activo. Pero bien, puede darse el caso de que haya otros dominios bajo el dominio principal, por ejemplo: S3v-i.net (que sería el Parent Domain o dominio padre) Aprendeinformatica.s3v-i.net (que sería el child Domain o dominio hijo) Cuando nos encontramos con esta configuración lo que tenemos es un Árbol, que como vemos claramente en la imagen puede contener varios dominios y así seguimos con la lógica del principio. Pero todos sabemos que la historia no termina aquí, al igual que pueden agruparse varios dominios lo pueden hacer varios árboles y conformar un bosque, me explico. Un árbol está formado por dominios, habiendo siempre un Parent Domain y uno o más child Domain, ¿ok? Vale, pero también puede suceder que dos empresas a lo mejor se quieran fusionar y tengan cada uno su propio dominio o árbol pero que ambos deban de poder acceder a la información el uno del otro, la agrupación de estos dará como resultado un bosque. Aunque esto no lo he podido confirmar (si alguien puede que lo diga hasta que haga las pruebas) la unión de dos o más Parent Domain diferentes genera un bosque, de la misma forma que lo harían dos o más árboles ( lo que no puedo confirmar es que la definición de bosque que podemos encontrar en cualquier lado es la de que un bosque está formado por varios árboles, pero no encuentro el sitio que confirme si un bosque puede estar formado por un árbol y un Parent Domain y todo se sigue denominando igual), lo que sí que puedo confirmar es que cada día me explico peor….
  • 4. Bueno, por lo tanto y resumiendo en texto se puede decir que: Objeto > Unidad Organizativa > Dominio > Árbol > Bosque Y bueno a continuación voy a dejar unos esquemas de Active Directory que me he currado para adornar un poquito más el artículo, a ver qué os parecen. El primero que vamos a ver muestra la estructura más básica de un Directorio Activo, es decir un Dominio y sus objetos y demás, vamos a verlo Espero que se entienda todo si no podéis preguntar ya lo sabéis. En la siguiente vamos a ver algo un poquito más complejo, la estructura de un Árbol de Active Directory, vamos a ver la imagen. Y para finalizar pues nada, como estaría conformado un Bosque, vamos a verlo.
  • 5. Configuración de Active Directory en Windows Server 2008 – DSQUERY y DSGET Muy buenas a todos y todas una vez más, tras casi haber concluido la migración del blog, lo que debemos de agradecer a todos los lectores y lectoras que han descargado un vídeo mediante SMS o han pedido un pack de vídeos, quiero seguir con esta serie de interesantes artículos sobre la Microsoft Certified Technology Specialist de Active Directory de Windows Server 2008 que estoy convencido (a pesar de no recibir muchos comentarios) que a muchos de vosotros os gustan, pero bien vamos con el tema que nos ocupa… dsquery Con el comando dsquery podemos hacer una consulta al Directorio Active, por ejemplo podremos descubrir la lista de usuarios del dominio, las unidades organizativas o los grupos entre otras. Dsget Este comando nos permite realizar una búsqueda en las propiedades de los objetos, por ejemplo, tenemos el usuario “Pablo” del directorio, este usuario tendrá unas propiedades
  • 6. como el samid, el nombre para mostrar u otros… bien pues dsget nos permitirá hacer consultas sobre todas esas propiedades. Y es muy posible que te estes preguntando… ¿Y donde esta entonces la complicación en todo esto? bien, la complicación radica en que primero deberemos de acostumbrarnos a la forma de interactuar de estos comandos con la consola, y una vez sepamos como es la sintaxis deberemos de saber combinar convenientemente los dos comandos ya que al combinarlos es cuando veremos la potencia y funcionalidad de estos comandos, vamos con unos ejemplo y capturas de pantalla… Si quisieramos listar los usuarios del directorio podriamos ejecutar el siguiente comando: dsquery user Y para ver exactamente que es lo que pasa vamos con una captura de pantalla. Comando: dsquery Ahora para ver un poquito más el alcance del comando lo he ejecutado con la intención de localizar los grupos del directorio, vamos a ver cual es el comando: dsquery group Como vemos tan difícil como el anterior, pero vamos a ver que pasa al ejecutar este comando…
  • 7. Comando: dsquery Y bueno, básicamente así sería como funciona este comando, en principio es bastante fácil de utilizar pero bien… vamos a seguir con el asunto que ahora es cuando vamos a empezar a divertirnos… He comentado por ahí arriba que el comando dsget nos da información de las propiedades de los objetos ¿ok? pues bien, vamos a trabajar con los parámetros que seguro que tienen los usuarios, uno de ellos el samid y el otro el nombre para mostrar, pero antes de seguir tengo que comentar otra cosa el comando dsget funciona mediante el DN de los objetos asi que veamos como se puede proceder para por ejemplo obtener el samid y el nombre para mostrar de Pablo. dsquery user -name Pablo Con esto consigo que me devuelva preciisamente el DN completo de pablo, una vez impreso en la pantalla y habilitando el modo de edición rápida lo remarcamos con el ratón y le damos al boton derecho para pegarlo en el cmd, vamos con el siguiente comando… dsget user "CN=Pablo,OU=PRUEBAS,DC=s3v-i,DC=local" -samid -display Y bueno para tratar de aclarar la cosa os dejo la captura de pantalla pertinente, vamos con ella.
  • 8. Comando: dsget Y bueno como vemos poco a poco vamos enmadejando el asunto, y para ir terminando vamos a ver ya como combinar ambos comandos para poder hacer lo que hemos visto justo en la captura anterior pero ejecutando un solo comando y escribiendo menos así que vamos con ello: dsquery user -name P* | dsget user -samid -display En esta ocasión si voy a hacer una puntualización y es que he utilizado un simbolito que es posible que algunos no sepan porque, el simbolito es el siguiente ” | ” y la función es canalizar la salida de un comando hacía otro comando para que este segundo pueda trabajar directamente con los datos del primero que en este caso es el dsquery y nos ahorra tanto tener que ejecutar dos comandos por separado como tener que transcribir los largos DN (recordad, Distinguished Name) de los objetos.. Y ahora vamos con la interesante captura de pantalla que confirma esto que os cuento yo aquí.
  • 9. Comando: dsquery + dsget Configuración de Active Directory en Windows Server 2008 – Crear objetos en el directorio mediante el comando DSADD Empecemos por el principio, el comando dsadd nos permite agregar objetos al directorio desde la línea de comandos lo que nos permite incluso llegar a automatizar la creación de una estructura de Grupos o Unidades Organizativas, a continuación dejo una lista de los objetos que podemos añadir al directorio con dsadd: •Equipos •Contactos •Grupos •Unidades Organizativas •Usuarios •Cuotas de directorio Estos son los objetos que podremos crear con el comando dsadd y deberemos de ser meticulosos y analizar bien las posibilidades de cada comando mediante la ayuda de los mismos, para acceder a esta ayuda deberemos de ejecutar lo siguiente: Ayuda del comando dsadd para Equipos dsadd computer /? Ayuda del comando dsadd para Contactos dsadd contact /?
  • 10. Ayuda del comando dsadd para Grupos dsadd group /? Ayuda del comando dsadd para Unidades Organizativas dsadd ou /? Ayuda del comando dsadd para Usuarios dsadd user /? Ayuda del comando dsadd para Cuotas de directorio dsadd quota /? Y ahora vamos con unos ejemplos antes de pasar al vídeo para que veamos la sintaxis, vamos a trabajar con los siguientes supuestos: Nombre de usuario: Pablo Unidad Organizativa: BlogUsers Dominio: s3v-i.local Primero creamos una Unidad Organizativa dsadd ou ou=BlogUsers,dc=s3v-i,dc=local Al ejecutar esto veamos lo que estamos haciendo por partes: •dsadd Este comando ordena la creación de un objeto en el directorio •ou Este modificador indica que el objeto que vamos a crear es una Unidad Organizativa •ou=BlogUsers, Aquí estamos indicando el nombre que tendra la Unidad Organizativa •dc=s3v-i,dc=local Aquí indicamos que el objeto será creado en el dominio s3v-i.local Ahora utilizaremos dsadd para crear un usuario en la Unidad Organizativa BlogUsers que hemos creado antes dsadd user cn=Pablo,ou=BlogUsers,dc=s3v-i,dc=local -disabled no -pwd * Y pasamos a analizar este comando… •dsadd Este comando ordena la creación de un objeto en el directorio •user Este modificador indica que el objeto que vamos a crear es un Usuario •cn=Pablo, Aquí estamos indicando el nombre que tendra el Usuario •ou=BlogUsers, Aquí estamos indicando en que Unidad Organizativa vamos a crear el usuario •dc=s3v-i,dc=local Aquí indicamos que el objeto será creado en el dominio s3v-i.local
  • 11. •-disabled no Nos permite especificar si la cuenta estará activa o no, si no especificamos una contraseña la cuenta se creará pero estará desactivada •-pwd * Este modificador lo que nos permite es especificar el password después de lanzar el comando, la principal ventaja es que no tendría que estar integrada en un fichero por lotes y no sería visible aunque en un caso de crear muchos usuarios de forma masiva lo mejor es establecer que el usuario cambia la contraseña en el siguiente inicio de sesión Como vemos en este segundo comando ya se va complicando bastante la cosa y es que todavía no podemos imaginar la cantidad de parámetros que podemos incluir a dsadd. En cuanto al resto de objetos con los que podremos trabajar como los contactos, cuotas, grupos y/o equipos tienen un funcionamiento muy similar aunque los parámetros para cada uno de ellos varían muchísimo y deberemos de ejecutar la ayuda como ya he indicado más arriba para descubrir los modificadores de cada objeto. Para no alargarme más y a modo de ampliación y repaso de todo este artículo creo que será mejor que continuemos con un vídeo y veamos como deberemos de proceder y los efectos que la ejecución de estos comandos tendrá sobre nuestro sistema, vamos con el vídeo. Configuración de Active Directory en Windows Server 2008 – DSMOD y DSMOVE Comando DSMOD Con este comando podremos modificar las propiedades de los objetos de Active Directory, por ejemplo para que lo veáis claro vamos a trabajar con usuarios, veamos de que propiedades estoy hablando. Comando - dsmod Ahora abriremos una ventana del CMD y ejecutaremos los siguientes comandos
  • 12. dsquery user Una vez ejecutado obtendremos los nombres DN de los usaurios, yo trabajaré sobre el usuario Pablo que es el que he mostrado en la imagen de antes, el nombre DN es el siguiente: "CN=Pablo,OU=PRUEBAS,DC=s3v-i,DC=local" Y ahora solo falta ejecutar el comando DSMOD para por ejemplo establecer el e-Mail, vamos a ver como. dsmod user CN=Pablo,OU=PRUEBAS,DC=s3v-i,DC=local email email@email.mail El resultado de ejecutar esto es el siguiente. Comando dsmod Como ves mediante este comando podemos modificar los atributos de los objetos, si quieres ayuda del comando recuerda que la puedes obtener de la siguiente forma. dsmod /? dsmod user /? dsmod computer /? dsmod contact /? dsmod ou /? dsmod group /? dsmod server /?
  • 13. dsmod quota /? dsmod partition /? De todas formas si tienes cualquier duda puedes consultarme mediante los comentarios, vamos con el siguiente. Comando DSMOVE Con este comando podremos mover o cambiar el nombre a un objeto del directorio activo, vamos con unos ejemplos como antes con usuarios para que nos cueste menos familiarizarnos con el uso del comando, igual que antes sigo trabajando con el usuario ” Pablo ” por lo que podemos tomar como referencia la última imagen, abrimos un cmd y ahora ejecutamos lo siguiente. dsmove CN=Pablo,OU=PRUEBAS,DC=s3v-i,DC=local -newname "Pablo Martinez" Y ejecutado esto tenemos lo siguiente, he tratado de señalar las partes de la imagen más importantes. Comando dsmove Como vemos se ha cambiado el nombre del usuario, si quisiéramos cambiar por ejemplo la contraseña podríamos ejecutar lo siguiente. dsmove CN=Pablo,OU=PRUEBAS,DC=s3v-i,DC=local -p * Y para rematar el artículo vemos que comando utilizaremos para cambiar de unidad organizativa a un usuario. dsmove "CN=Pablo Martinez,OU=PRUEBAS,DC=s3v-i,DC=local" -newparent OU=PROBANDO,DC=s3v-i,DC=local
  • 14. Obtener informacion de grupos con Dsget Dsget es un comando que nos permitirá obtener información de los objetos del Directorio Activo. En este tutorial veremos cómo utlizarlo para obtener información de los grupos. Para empezar, veamos la sistaxis de este comando: dsget group “GroupDN” -members -memberof …  -expand La opción “-members” nos mostrará los miembros que tiene el grupo. La opción “-memberof” mostrará a qué grupos pertenece este grupo. “-expand” expandirá la búsqueda en sub OUs. El siguiente comando: dsget group “CN=informatica,OU=grupos,DC=aic,DC=local” -members Nos mostrará una lista con los mimbros de este grupo: Distinguimos las 7 cuentas de usuario que son miembros del grupo “informatica”. También podemos ejecutar el comando anterior sin el parámetro “-members”, con lo que nos devolverá información relativa al grupo en si: dsget group “CN=informatica,OU=grupos,DC=aic,DC=local” Otra posibilidad es que nos muestre los grupos a los que pertenece este grupo. Para ello especificamos el parámetro “-memberof”: dsget group “CN=informatica,OU=grupos,DC=aic,DC=local” -memberof
  • 15. En la imagen anterior podemos ver que el grupo “informatica” es miembro del grupo “ACL_informatica_modificar“. Ahora, como queremos seguir investigando, queremos conocer quienes son los miembros del grupo “ACL_informatica_modificar“, y para ello ejecutamos el siguiente comando: dsget group “CN=ACL_informatica_modificar,OU=grupos,DC=aic,DC=local” - members Eso es, identificamos dos miembros del grupo “ACL_informatica_modicar“, que son: “informatica” y “direccion“. Modificar las propiedades de grupos con Dsmod Sintaxis: dsmod group “GroupDN” [opciones] Podemos utilizar la utilidad de comandos Dsmod para añadir o moficar cualquier atributo o propiedad del grupo como por ejemplo sAMAccountName, desc, samid, etc… Pero nosotros vamos a ver las dos que, creo, son mas interesantes. • -addmbr “MemberDN”  –>  Añadir miembros al grupo. • -rmmbr “MemberDN”   –>  Eliminar miembros del grupo. Si queremos indicar varios “MemberDN“, dememos separarlos de un espacio. Si recordamos, hace algún que otro tutorial, creamos el grupo “gtemp1” en el que incluímos como miembros a las cuentas de usuario “infor01” e “infor02“.
  • 16. Pues vamos a utilizar este grupo para practicar con “Dsmod group“. Para empezar, vamos a añadir 3 nuevos usuarios al grupo “gtemp1“. Los usuarios serán “infor03“, “admin02” y “ventas01“. Esto puede que no tenga ningún sentido en un entorno real, pero es solo a modo de ejemplo. Vamos allá: dsmod group “CN=gtemp1,OU=grupos,DC=aic,DC=local” -addmbr “CN=infor03,OU=informatica,OU=usuarios,DC=aic,DC=local” “CN=admin02,OU=administracion,OU=usuarios,DC=aic,DC=local” “CN=ventas01,OU=ventas,OU=usuarios,DC=aic,DC=local” Comprobamos en la pestaña “Members” de las propiedades del grupo “gtemp1” a ver si aparecen los usuarios que acabamos de incluir como miembros:
  • 17. En efecto, ahí están. Ahora vamos a intentar eliminar uno de los miembros que acabamos de añadir. Pero claro, utilizando el comando Dsmod. Para ello, deicidimos que el usuario elegido para no formar parte del grupo “gtemp1” es “ventas01“, entonces: dsmod group “CN=gtemp1,OU=grupos,DC=aic,DC=local” -rmmbr “CN=ventas01,OU=ventas,OU=usuarios,DC=aic,DC=local” Comprobamos que ya el usuario “ventas01” ya no es miembro del grupo “gtemp1“:
  • 18. Perfecto. Excediéndonos un poco del contenido extricto de este tutorial vamos a ver las posibilidades que tenemos conjugando Dsmod junto con Dsget. Simplemente para que os hagáis una idéa de lo útiles que son estos comandos. Vamos a incluir todos los miembros del grupo “compras” como miembros del grupo “gtemp1“. Para ello primero reazaremos una consulta mediante en comando Dsget de los miembros del grupo “compras” y luego se lo pasamos con una tubería (pipe |) al comando Dsmod, el cual los añadirá al grupo “gtemp1“. dsget gruop “CN=compras,OU=grupos,DC=aic,DC=local” -members | dsmod group “CN=gtemp1,OU=grupos,DC=aic,DC=local” -addmbr Vale, comprobamos:
  • 19. Ya se ve que si, que los dos usuarios que hay en el grupo “compras“, se han añadido como miembros del grupo “gtemp1“. Configurar atributos de equipo con Dsmod Ya conocemos un poco el uso de Dsmod. En este caso vamos a utilizarlo para configuar los atributos de cuentas de equipo que ya existen. Dsmod sólo puede modificar los atributos de “description” y “location“. Sintaxis: dsmod computer “DNEquipo” [-desc descripción] [-loc ubicación] Vamos a modifcar el atibuto “description” de la cuenta de equipo “sobremesa11“: dsmod computer “CN=sobremesa11,OU=informatica,OU=equipos,DC=aic,DC=local” -desc “Equipo de sobremesa número 11” Lo ejecutamos:
  • 20. Y comprobamos el contenido del atributo que acabamos de modificar. Eso es. Renombrar y mover grupos con Dsmove Dsmove nos permite cambiar el nombre de los grupos e incluso, como su nombre indica, mover grupos entre diferentes Unidades Organizativas del mismo dominio. La sintaxis es la siguiente: dsmove DNdelObjeto [-newname nuevonombre] [-newparent DNOUDestino] Después de aclarar esto, vamos a hacer un par de ejemplos. Para empezar vamos a intentar cambiar el nombre del grupo “gtemp1” por “grupotemp1“.
  • 21. Ejecutamos el siguiente comando: dsmove “CN=gtemp1,OU=grupos,DC=aic,DC=local” -newname “grupotemp1” Ahora abrimos “Active Directory Users and Computers” para comprobar que se ha realizado el cambio: Eso es. En la captura de pantalla anterior vemos que existe un grupo llamado “grupotemp1” y ya no está el que teníamos antes “gtemp1“. Ahora vamos a intentar otra cosa. Vamos a mover el grupo “grupotemp1” a la Unidad Organizativa “usuarios“. Para realizar esta tarea, ejecutaremos el siguiente comando: dsmove “CN=grupotemp1,OU=grupos,DC=aic,DC=local” -newparent “OU=usuarios,DC=aic,OU=local”
  • 22. Comprobamos que el grupo “grupotemp1” ya no exista en la Unidad Organizativa “grupos“: Bien, no está. Ahora examinamos la Unidad Organizativa “usuarios” porque es donde tiene que estar el grupo ahora:
  • 23. Efectivamente, aquí está. Buen trabajo! Para terminar con este tutorial y para no dejar el grupo donde está, vamos a ver si lo dejamos como estaba antes de comenzar el tutorial. Por lo tanto, cambiaremos el nombre del grupo “grupotemp1” por “gtemp1” y lo moveremos a la Unidad Organizativa “grupos“. Intentaremos hacerlo con un sólo comando. dsmove “CN=grupotemp1,OU=usuarios,DC=aic,DC=local” -newname “gtemp1” - newparent “OU=grupos,DC=aic,DC=local” Como siempre, comprobamos en “Active Directory Users and Computers” que ya no existe el grupo “grupotemp1” en la Unidad Organizativa “usuarios“. Tampoco tiene que estar con el nuevo nombre “gtemp1“, puesto que lo hemos movido a la Unidad Organizativa “grupos” y es en esta donde debe estar.
  • 24. Como tiene que ser, no está en “usuarios“. Comprobamos ahora la Unidad Organizativa “grupos“: Perfecto, aquí está, como habíamos pensado.
  • 25. Eliminar grupos con Dsrm Para terminar con el uso de los comando Ds.. con grupos, vamos a ver cómo utilizar Dsrm. Evidentemente, nos permite borrar objetos del Active Directory, y en caso que nos ocupa, nos permite eliminar grupos. La sintaxis, aunque tiene mas opciones, vamos a utilizar la siguiente: dsrm DNGrupo -noprompt -c • -noprompt –> Si incluimos esta opción, no solicitará confirmación al eliminar el grupo. Por defecto si lo hace. • -c –>  Al incluir esta opción, seguirá ejecutándose el comando aunque encuentre errores. Como es habitual en los estos tutoriales, vamos a ver un ejemplo de uso de este comando. Nos ponemos en situación: Vamos a intentar eliminar el grupo “gtemp1” que está ubicado en la Unidad Organizativa “grupos“. dsrm “CN=gtemp1,OU=grupos,DC=aic,DC=local”
  • 26. Ahora comprobamos que ya no existe el grupo “gtemp1“: Perfecto, se ha eliminado correctamente.