investigación de los Avances tecnológicos del siglo XXI
Active directory
1. ACTIVE DIRECTORY
¿Qué es Active Directory?
Active Directory y como muchas veces he dicho es una gran base de datos de objetos
lógicos que representan personas o dispositivos físicos de forma que podamos trasladar
una jerarquía real a una topología de red, dicho de otra forma, AD es una base de datos
en la que crear un homólogo de las empresas o negocios manteniendo la estructura
jerárquica de esta a nivel lógico.
Y… ¿Qué objetos podemos contener en Active Directory?
Buscando en mi memoria creo que vamos a tener una seria de objetos básicos con los
que trabajar, no incluyendo en estos los dominios, bosques etc que pueden ser más
representativos de zonas, delegaciones etc… y si entrando en objetos de (por decirlo de
alguna forma) un nivel más bajo o más básicos.
Usuarios de la red, estos son junto a sus puestos de trabajo los elementos más comunes
con los que vamos a encontrarnos en AD, representan a empleados/as, directivos/as,
secretarios/as, directoras/es, administrativas/os y un largo etcétera de puestos y cargos
de empresas y comercios.
Equipos, aquí englobamos a los puestos de trabajo, PDA, equipos portátiles y un
interminable etcétera que representan los sistemas físicos de la red, estos normalmente
están asociados a un usuario como pasa en la vida real aunque también es posible que
varios usuarios compartan un puesto o dispositivo informático como puede ser el caso de
empresas con varios turnos.
Unidades Organizativas, mediante las Unidades Organizativas (conocidas también como
OU Organizational Units) representaremos la jerarquía de las empresas, por ejemplo,
podemos tener una Unidad Organizativa llamada Gerencia, Usuarios del departamento de
atención al cliente, Administrativos, Técnicos, Comerciales… como vemos, tantas como
departamentos puedan existir, ahora ya nos debemos de estar fijando que cuando
hablamos de unidades organizativas indicando que los nombres pueden ser Gerencia,
Comerciales etcétera ya estamos representando la estructura empresarial a nivel lógico.
Efectivamente, las Unidades Organizativas pueden anidarse, es decir, una Unidad
Organizativa puede contener otras Unidades Organizativas.
Dicho esto que espero que haya sido bastante aclarador voy a remitirme a un viejo
artículo que escribí hace ya más de un año pero es uno de esos artículos de los que estoy
muy orgulloso y creo necesario incluir en este mismo, vamos a verlo.
En este artículo vas a encontrar unos diagramas y explicaciones que creo que terminan
de aclarar todo lo referente a la estructura de Active Directory, pero antes de irme queda
por comentar un segundo punto… la misión de Active Directory en las redes…
¿Cuál es la misión real de Active Directory en las redes?
La misión de Active Directory no es otra que la de mantener el orden y permitirnos
crear un homólogo de la estructura empresarial de nuestros clientes pudiendo simular
al 100% la jerarquía estableciendo lo que tantos quebraderos de cabeza nos va a dar, los
privilegios…
2. Antes hemos visto que podemos crear objetos que representen las personas, las
máquinas, los departamentos, empresas, delegaciones… todo lo que queramos pero esto
tiene un fin, permitir al AD darnos un control total y preciso sobre el comportamiento de
estos objetos en la red, no nos engañemos, lo que queremos es control y el Directorio
Activo nos da justo eso, control, porque al final todo se basa en el control, queremos
controlar quién puede acceder a que y cuando, queremos controlar desde donde y en que
forma, queremos además saber si alguien no autorizado logra acceder a que contenido,
cómo y cuando sucedió esto, queremos saber que ficheros pueden leer los clientes,
cuales ejecutar, que departamento puede acceder a que información y que privilegios
tiene sobre esta… como vemos, al fin y al cabo todo termina en esto, control…
Más adelante por supuesto seguiré profundizando en estos temas, no quiero que este
primer artículo os deje sin ganas de seguir porque pueda parecer complejo, pero si os
pediré alguna cosa, a parte de un donativo para poder seguir manteniendo el sitio, que si
alguien en algún momento tiene cualquier duda se tome unos minutos y la deje plasmada
en el blog, soy como sabéis un webmaster que atiende a todas las consultas de los
lectores y pretendo con esta nueva serie de artículos ofrecer unos contenidos de calidad
realmente útiles que espero que ayuden y animen a muchos a pelear por la MCTS
Configuración de Windows Server 2008 Active Directory.
Active Directory en imágenes, la estructura lógica,
árboles, dominios, bosques…
Active Directory ha supuesto un gran avance y que un gran número de redes informáticas
alrededor de todo el mundo cuenten con este nos lleva un poco a la obligación de
conocerlo bien, en otras ocasiones he hablado del AD pero esta vez quiero tratar de
hacerlo extendiéndome un poco más y acompañando mis palabras con gráficos.
La estructura del Directorio Activo puede resultar muy compleja sobre todo en grandes
organizaciones por lo que es bastante importante que contemos al menos con unos pocos
conceptos sobre este de forma que podamos entender mejor las redes, como
configurarlas y su administración.
Active Directory cuenta con una jerarquía que a los más adelantados por lógica la
sabrán descifrar por decirlo de alguna manera, bueno yo igualmente trataré de explicarlo
para que todos me entendáis. Si recordamos aquello de los conjuntos y subconjuntos nos
será tal vez más fácil entenderlo ya que con unos gráficos todo sabe mejor así que os
dejo a continuación los conjuntos en Active Directory.
3. Como vemos el conjunto más pequeño pertenece al objeto, por lo tanto podemos decir
que el objeto es la unidad lógica más básica de Active Directory, como vemos por
encima están las Unidades Organizativas, por lo que entendemos al observar el gráfico
que una Unidad Organizativa puede contener varios objetos, incluidas otras Unidades
Organizativas.
Ok, ahora llegamos al Dominio, el Dominio puede albergar Unidades Organizativas y
estas a su vez albergar Objetos del Directorio Activo y de esta forma tenemos la
estructura básica de un Directorio Activo. Pero bien, puede darse el caso de que haya
otros dominios bajo el dominio principal, por ejemplo:
S3v-i.net (que sería el Parent Domain o dominio padre)
Aprendeinformatica.s3v-i.net (que sería el child Domain o dominio hijo)
Cuando nos encontramos con esta configuración lo que tenemos es un Árbol, que como
vemos claramente en la imagen puede contener varios dominios y así seguimos con la
lógica del principio. Pero todos sabemos que la historia no termina aquí, al igual que
pueden agruparse varios dominios lo pueden hacer varios árboles y conformar un bosque,
me explico.
Un árbol está formado por dominios, habiendo siempre un Parent Domain y uno o más
child Domain, ¿ok? Vale, pero también puede suceder que dos empresas a lo mejor se
quieran fusionar y tengan cada uno su propio dominio o árbol pero que ambos deban de
poder acceder a la información el uno del otro, la agrupación de estos dará como
resultado un bosque. Aunque esto no lo he podido confirmar (si alguien puede que lo diga
hasta que haga las pruebas) la unión de dos o más Parent Domain diferentes genera un
bosque, de la misma forma que lo harían dos o más árboles ( lo que no puedo confirmar
es que la definición de bosque que podemos encontrar en cualquier lado es la de que un
bosque está formado por varios árboles, pero no encuentro el sitio que confirme si un
bosque puede estar formado por un árbol y un Parent Domain y todo se sigue
denominando igual), lo que sí que puedo confirmar es que cada día me explico peor….
4. Bueno, por lo tanto y resumiendo en texto se puede decir que:
Objeto > Unidad Organizativa > Dominio > Árbol > Bosque
Y bueno a continuación voy a dejar unos esquemas de Active Directory que me he
currado para adornar un poquito más el artículo, a ver qué os parecen.
El primero que vamos a ver muestra la estructura más básica de un Directorio Activo, es
decir un Dominio y sus objetos y demás, vamos a verlo
Espero que se entienda todo si no podéis preguntar ya lo sabéis. En la siguiente vamos a
ver algo un poquito más complejo, la estructura de un Árbol de Active Directory, vamos a
ver la imagen.
Y para finalizar pues nada, como estaría conformado un Bosque, vamos a verlo.
5. Configuración de Active Directory en Windows Server
2008 – DSQUERY y DSGET
Muy buenas a todos y todas una vez más, tras casi haber concluido la migración del blog,
lo que debemos de agradecer a todos los lectores y lectoras que han descargado un
vídeo mediante SMS o han pedido un pack de vídeos, quiero seguir con esta serie de
interesantes artículos sobre la Microsoft Certified Technology Specialist de Active
Directory de Windows Server 2008 que estoy convencido (a pesar de no recibir muchos
comentarios) que a muchos de vosotros os gustan, pero bien vamos con el tema que nos
ocupa…
dsquery
Con el comando dsquery podemos hacer una consulta al Directorio Active, por ejemplo
podremos descubrir la lista de usuarios del dominio, las unidades organizativas o los
grupos entre otras.
Dsget
Este comando nos permite realizar una búsqueda en las propiedades de los objetos, por
ejemplo, tenemos el usuario “Pablo” del directorio, este usuario tendrá unas propiedades
6. como el samid, el nombre para mostrar u otros… bien pues dsget nos permitirá hacer
consultas sobre todas esas propiedades.
Y es muy posible que te estes preguntando… ¿Y donde esta entonces la complicación en
todo esto? bien, la complicación radica en que primero deberemos de acostumbrarnos a
la forma de interactuar de estos comandos con la consola, y una vez sepamos como es la
sintaxis deberemos de saber combinar convenientemente los dos comandos ya que al
combinarlos es cuando veremos la potencia y funcionalidad de estos comandos, vamos
con unos ejemplo y capturas de pantalla…
Si quisieramos listar los usuarios del directorio podriamos ejecutar el siguiente comando:
dsquery user
Y para ver exactamente que es lo que pasa vamos con una captura de pantalla.
Comando: dsquery
Ahora para ver un poquito más el alcance del comando lo he ejecutado con la intención
de localizar los grupos del directorio, vamos a ver cual es el comando:
dsquery group
Como vemos tan difícil como el anterior, pero vamos a ver que pasa al ejecutar este
comando…
7. Comando: dsquery
Y bueno, básicamente así sería como funciona este comando, en principio es bastante
fácil de utilizar pero bien… vamos a seguir con el asunto que ahora es cuando vamos a
empezar a divertirnos… He comentado por ahí arriba que el comando dsget nos da
información de las propiedades de los objetos ¿ok? pues bien, vamos a trabajar con los
parámetros que seguro que tienen los usuarios, uno de ellos el samid y el otro el nombre
para mostrar, pero antes de seguir tengo que comentar otra cosa el comando dsget
funciona mediante el DN de los objetos asi que veamos como se puede proceder para por
ejemplo obtener el samid y el nombre para mostrar de Pablo.
dsquery user -name Pablo
Con esto consigo que me devuelva preciisamente el DN completo de pablo, una vez
impreso en la pantalla y habilitando el modo de edición rápida lo remarcamos con el ratón
y le damos al boton derecho para pegarlo en el cmd, vamos con el siguiente comando…
dsget user "CN=Pablo,OU=PRUEBAS,DC=s3v-i,DC=local" -samid -display
Y bueno para tratar de aclarar la cosa os dejo la captura de pantalla pertinente, vamos
con ella.
8. Comando: dsget
Y bueno como vemos poco a poco vamos enmadejando el asunto, y para ir terminando
vamos a ver ya como combinar ambos comandos para poder hacer lo que hemos visto
justo en la captura anterior pero ejecutando un solo comando y escribiendo menos así
que vamos con ello:
dsquery user -name P* | dsget user -samid -display
En esta ocasión si voy a hacer una puntualización y es que he utilizado un simbolito que
es posible que algunos no sepan porque, el simbolito es el siguiente ” | ” y la función es
canalizar la salida de un comando hacía otro comando para que este segundo pueda
trabajar directamente con los datos del primero que en este caso es el dsquery y nos
ahorra tanto tener que ejecutar dos comandos por separado como tener que transcribir los
largos DN (recordad, Distinguished Name) de los objetos..
Y ahora vamos con la interesante captura de pantalla que confirma esto que os cuento yo
aquí.
9. Comando: dsquery + dsget
Configuración de Active Directory en Windows Server
2008 – Crear objetos en el directorio mediante el
comando DSADD
Empecemos por el principio, el comando dsadd nos permite agregar objetos al directorio
desde la línea de comandos lo que nos permite incluso llegar a automatizar la creación de
una estructura de Grupos o Unidades Organizativas, a continuación dejo una lista de los
objetos que podemos añadir al directorio con dsadd:
•Equipos
•Contactos
•Grupos
•Unidades Organizativas
•Usuarios
•Cuotas de directorio
Estos son los objetos que podremos crear con el comando dsadd y deberemos de ser
meticulosos y analizar bien las posibilidades de cada comando mediante la ayuda de los
mismos, para acceder a esta ayuda deberemos de ejecutar lo siguiente:
Ayuda del comando dsadd para Equipos
dsadd computer /?
Ayuda del comando dsadd para Contactos
dsadd contact /?
10. Ayuda del comando dsadd para Grupos
dsadd group /?
Ayuda del comando dsadd para Unidades Organizativas
dsadd ou /?
Ayuda del comando dsadd para Usuarios
dsadd user /?
Ayuda del comando dsadd para Cuotas de directorio
dsadd quota /?
Y ahora vamos con unos ejemplos antes de pasar al vídeo para que veamos la sintaxis,
vamos a trabajar con los siguientes supuestos:
Nombre de usuario: Pablo
Unidad Organizativa: BlogUsers
Dominio: s3v-i.local
Primero creamos una Unidad Organizativa
dsadd ou ou=BlogUsers,dc=s3v-i,dc=local
Al ejecutar esto veamos lo que estamos haciendo por partes:
•dsadd
Este comando ordena la creación de un objeto en el directorio
•ou
Este modificador indica que el objeto que vamos a crear es una Unidad
Organizativa
•ou=BlogUsers,
Aquí estamos indicando el nombre que tendra la Unidad Organizativa
•dc=s3v-i,dc=local
Aquí indicamos que el objeto será creado en el dominio s3v-i.local
Ahora utilizaremos dsadd para crear un usuario en la Unidad Organizativa BlogUsers que
hemos creado antes
dsadd user cn=Pablo,ou=BlogUsers,dc=s3v-i,dc=local -disabled no -pwd *
Y pasamos a analizar este comando…
•dsadd
Este comando ordena la creación de un objeto en el directorio
•user
Este modificador indica que el objeto que vamos a crear es un Usuario
•cn=Pablo,
Aquí estamos indicando el nombre que tendra el Usuario
•ou=BlogUsers,
Aquí estamos indicando en que Unidad Organizativa vamos a crear el usuario
•dc=s3v-i,dc=local
Aquí indicamos que el objeto será creado en el dominio s3v-i.local
11. •-disabled no
Nos permite especificar si la cuenta estará activa o no, si no especificamos una
contraseña la cuenta se creará pero estará desactivada
•-pwd *
Este modificador lo que nos permite es especificar el password después de lanzar
el comando, la principal ventaja es que no tendría que estar integrada en un fichero
por lotes y no sería visible aunque en un caso de crear muchos usuarios de forma
masiva lo mejor es establecer que el usuario cambia la contraseña en el siguiente
inicio de sesión
Como vemos en este segundo comando ya se va complicando bastante la cosa y es que
todavía no podemos imaginar la cantidad de parámetros que podemos incluir a dsadd.
En cuanto al resto de objetos con los que podremos trabajar como los contactos, cuotas,
grupos y/o equipos tienen un funcionamiento muy similar aunque los parámetros para
cada uno de ellos varían muchísimo y deberemos de ejecutar la ayuda como ya he
indicado más arriba para descubrir los modificadores de cada objeto.
Para no alargarme más y a modo de ampliación y repaso de todo este artículo creo que
será mejor que continuemos con un vídeo y veamos como deberemos de proceder y los
efectos que la ejecución de estos comandos tendrá sobre nuestro sistema, vamos con el
vídeo.
Configuración de Active Directory en Windows Server
2008 – DSMOD y DSMOVE
Comando DSMOD
Con este comando podremos modificar las propiedades de los objetos de Active Directory,
por ejemplo para que lo veáis claro vamos a trabajar con usuarios, veamos de que
propiedades estoy hablando.
Comando - dsmod
Ahora abriremos una ventana del CMD y ejecutaremos los siguientes comandos
12. dsquery user
Una vez ejecutado obtendremos los nombres DN de los usaurios, yo trabajaré sobre el
usuario Pablo que es el que he mostrado en la imagen de antes, el nombre DN es el
siguiente:
"CN=Pablo,OU=PRUEBAS,DC=s3v-i,DC=local"
Y ahora solo falta ejecutar el comando DSMOD para por ejemplo establecer el e-Mail,
vamos a ver como.
dsmod user CN=Pablo,OU=PRUEBAS,DC=s3v-i,DC=local email email@email.mail
El resultado de ejecutar esto es el siguiente.
Comando dsmod
Como ves mediante este comando podemos modificar los atributos de los objetos, si
quieres ayuda del comando recuerda que la puedes obtener de la siguiente forma.
dsmod /?
dsmod user /?
dsmod computer /?
dsmod contact /?
dsmod ou /?
dsmod group /?
dsmod server /?
13. dsmod quota /?
dsmod partition /?
De todas formas si tienes cualquier duda puedes consultarme mediante los comentarios,
vamos con el siguiente.
Comando DSMOVE
Con este comando podremos mover o cambiar el nombre a un objeto del directorio activo,
vamos con unos ejemplos como antes con usuarios para que nos cueste menos
familiarizarnos con el uso del comando, igual que antes sigo trabajando con el usuario ”
Pablo ” por lo que podemos tomar como referencia la última imagen, abrimos un cmd y
ahora ejecutamos lo siguiente.
dsmove CN=Pablo,OU=PRUEBAS,DC=s3v-i,DC=local -newname "Pablo Martinez"
Y ejecutado esto tenemos lo siguiente, he tratado de señalar las partes de la imagen más
importantes.
Comando dsmove
Como vemos se ha cambiado el nombre del usuario, si quisiéramos cambiar por ejemplo
la contraseña podríamos ejecutar lo siguiente.
dsmove CN=Pablo,OU=PRUEBAS,DC=s3v-i,DC=local -p *
Y para rematar el artículo vemos que comando utilizaremos para cambiar de unidad
organizativa a un usuario.
dsmove "CN=Pablo Martinez,OU=PRUEBAS,DC=s3v-i,DC=local" -newparent
OU=PROBANDO,DC=s3v-i,DC=local
14. Obtener informacion de grupos con Dsget
Dsget es un comando que nos permitirá obtener información de los objetos del Directorio
Activo. En este tutorial veremos cómo utlizarlo para obtener información de los grupos.
Para empezar, veamos la sistaxis de este comando:
dsget group “GroupDN” -members -memberof … -expand
La opción “-members” nos mostrará los miembros que tiene el grupo.
La opción “-memberof” mostrará a qué grupos pertenece este grupo.
“-expand” expandirá la búsqueda en sub OUs.
El siguiente comando:
dsget group “CN=informatica,OU=grupos,DC=aic,DC=local” -members
Nos mostrará una lista con los mimbros de este grupo:
Distinguimos las 7 cuentas de usuario que son miembros del grupo “informatica”.
También podemos ejecutar el comando anterior sin el parámetro “-members”, con lo que
nos devolverá información relativa al grupo en si:
dsget group “CN=informatica,OU=grupos,DC=aic,DC=local”
Otra posibilidad es que nos muestre los grupos a los que pertenece este grupo. Para ello
especificamos el parámetro “-memberof”:
dsget group “CN=informatica,OU=grupos,DC=aic,DC=local” -memberof
15. En la imagen anterior podemos ver que el grupo “informatica” es miembro del grupo
“ACL_informatica_modificar“.
Ahora, como queremos seguir investigando, queremos conocer quienes son los miembros
del grupo “ACL_informatica_modificar“, y para ello ejecutamos el siguiente comando:
dsget group “CN=ACL_informatica_modificar,OU=grupos,DC=aic,DC=local” -
members
Eso es, identificamos dos miembros del grupo “ACL_informatica_modicar“, que son:
“informatica” y “direccion“.
Modificar las propiedades de grupos con Dsmod
Sintaxis:
dsmod group “GroupDN” [opciones]
Podemos utilizar la utilidad de comandos Dsmod para añadir o moficar cualquier atributo o
propiedad del grupo como por ejemplo sAMAccountName, desc, samid, etc…
Pero nosotros vamos a ver las dos que, creo, son mas interesantes.
• -addmbr “MemberDN” –> Añadir miembros al grupo.
• -rmmbr “MemberDN” –> Eliminar miembros del grupo.
Si queremos indicar varios “MemberDN“, dememos separarlos de un espacio.
Si recordamos, hace algún que otro tutorial, creamos el grupo “gtemp1” en el que
incluímos como miembros a las cuentas de usuario “infor01” e “infor02“.
16. Pues vamos a utilizar este grupo para practicar con “Dsmod group“.
Para empezar, vamos a añadir 3 nuevos usuarios al grupo “gtemp1“. Los usuarios serán
“infor03“, “admin02” y “ventas01“.
Esto puede que no tenga ningún sentido en un entorno real, pero es solo a modo de
ejemplo.
Vamos allá:
dsmod group “CN=gtemp1,OU=grupos,DC=aic,DC=local” -addmbr
“CN=infor03,OU=informatica,OU=usuarios,DC=aic,DC=local”
“CN=admin02,OU=administracion,OU=usuarios,DC=aic,DC=local”
“CN=ventas01,OU=ventas,OU=usuarios,DC=aic,DC=local”
Comprobamos en la pestaña “Members” de las propiedades del grupo “gtemp1” a ver si
aparecen los usuarios que acabamos de incluir como miembros:
17. En efecto, ahí están.
Ahora vamos a intentar eliminar uno de los miembros que acabamos de añadir. Pero
claro, utilizando el comando Dsmod.
Para ello, deicidimos que el usuario elegido para no formar parte del grupo “gtemp1” es
“ventas01“, entonces:
dsmod group “CN=gtemp1,OU=grupos,DC=aic,DC=local” -rmmbr
“CN=ventas01,OU=ventas,OU=usuarios,DC=aic,DC=local”
Comprobamos que ya el usuario “ventas01” ya no es miembro del grupo “gtemp1“:
18. Perfecto.
Excediéndonos un poco del contenido extricto de este tutorial vamos a ver las
posibilidades que tenemos conjugando Dsmod junto con Dsget. Simplemente para que os
hagáis una idéa de lo útiles que son estos comandos.
Vamos a incluir todos los miembros del grupo “compras” como miembros del grupo
“gtemp1“.
Para ello primero reazaremos una consulta mediante en comando Dsget de los miembros
del grupo “compras” y luego se lo pasamos con una tubería (pipe |) al comando Dsmod,
el cual los añadirá al grupo “gtemp1“.
dsget gruop “CN=compras,OU=grupos,DC=aic,DC=local” -members | dsmod group
“CN=gtemp1,OU=grupos,DC=aic,DC=local” -addmbr
Vale, comprobamos:
19. Ya se ve que si, que los dos usuarios que hay en el grupo “compras“, se han añadido
como miembros del grupo “gtemp1“.
Configurar atributos de equipo con Dsmod
Ya conocemos un poco el uso de Dsmod.
En este caso vamos a utilizarlo para configuar los atributos de cuentas de equipo que ya
existen.
Dsmod sólo puede modificar los atributos de “description” y “location“.
Sintaxis:
dsmod computer “DNEquipo” [-desc descripción] [-loc ubicación]
Vamos a modifcar el atibuto “description” de la cuenta de equipo “sobremesa11“:
dsmod computer “CN=sobremesa11,OU=informatica,OU=equipos,DC=aic,DC=local”
-desc “Equipo de sobremesa número 11”
Lo ejecutamos:
20. Y comprobamos el contenido del atributo que acabamos de modificar.
Eso es.
Renombrar y mover grupos con Dsmove
Dsmove nos permite cambiar el nombre de los grupos e incluso, como su nombre indica,
mover grupos entre diferentes Unidades Organizativas del mismo dominio.
La sintaxis es la siguiente:
dsmove DNdelObjeto [-newname nuevonombre] [-newparent DNOUDestino]
Después de aclarar esto, vamos a hacer un par de ejemplos.
Para empezar vamos a intentar cambiar el nombre del grupo “gtemp1” por
“grupotemp1“.
21. Ejecutamos el siguiente comando:
dsmove “CN=gtemp1,OU=grupos,DC=aic,DC=local” -newname “grupotemp1”
Ahora abrimos “Active Directory Users and Computers” para comprobar que se ha
realizado el cambio:
Eso es. En la captura de pantalla anterior vemos que existe un grupo llamado
“grupotemp1” y ya no está el que teníamos antes “gtemp1“.
Ahora vamos a intentar otra cosa. Vamos a mover el grupo “grupotemp1” a la Unidad
Organizativa “usuarios“. Para realizar esta tarea, ejecutaremos el siguiente comando:
dsmove “CN=grupotemp1,OU=grupos,DC=aic,DC=local” -newparent
“OU=usuarios,DC=aic,OU=local”
22. Comprobamos que el grupo “grupotemp1” ya no exista en la Unidad Organizativa
“grupos“:
Bien, no está.
Ahora examinamos la Unidad Organizativa “usuarios” porque es donde tiene que estar el
grupo ahora:
23. Efectivamente, aquí está.
Buen trabajo!
Para terminar con este tutorial y para no dejar el grupo donde está, vamos a ver si lo
dejamos como estaba antes de comenzar el tutorial.
Por lo tanto, cambiaremos el nombre del grupo “grupotemp1” por “gtemp1” y lo
moveremos a la Unidad Organizativa “grupos“. Intentaremos hacerlo con un sólo
comando.
dsmove “CN=grupotemp1,OU=usuarios,DC=aic,DC=local” -newname “gtemp1” -
newparent “OU=grupos,DC=aic,DC=local”
Como siempre, comprobamos en “Active Directory Users and Computers” que ya no
existe el grupo “grupotemp1” en la Unidad Organizativa “usuarios“. Tampoco tiene que
estar con el nuevo nombre “gtemp1“, puesto que lo hemos movido a la Unidad
Organizativa “grupos” y es en esta donde debe estar.
24. Como tiene que ser, no está en “usuarios“.
Comprobamos ahora la Unidad Organizativa “grupos“:
Perfecto, aquí está, como habíamos pensado.
25. Eliminar grupos con Dsrm
Para terminar con el uso de los comando Ds.. con grupos, vamos a ver cómo utilizar
Dsrm.
Evidentemente, nos permite borrar objetos del Active Directory, y en caso que nos ocupa,
nos permite eliminar grupos.
La sintaxis, aunque tiene mas opciones, vamos a utilizar la siguiente:
dsrm DNGrupo -noprompt -c
• -noprompt –> Si incluimos esta opción, no solicitará confirmación al eliminar el grupo. Por
defecto si lo hace.
• -c –> Al incluir esta opción, seguirá ejecutándose el comando aunque encuentre errores.
Como es habitual en los estos tutoriales, vamos a ver un ejemplo de uso de este
comando.
Nos ponemos en situación:
Vamos a intentar eliminar el grupo “gtemp1” que está ubicado en la Unidad Organizativa
“grupos“.
dsrm “CN=gtemp1,OU=grupos,DC=aic,DC=local”
26. Ahora comprobamos que ya no existe el grupo “gtemp1“:
Perfecto, se ha eliminado correctamente.