Capitulo 1.2 Creando objetos en el Active Directory

En este capitulo veremos 2 aspectos importantes en la seguridad de la empresa:
-Localizar objetos
-Asegurarnos que el Active Directory es seguro y habilitar personal de soporte para que realicen sus tareas requeridas por sus funciones.

1. Complementos del Active Directory

MMC (Microsoft Management Console): muestra en una ventana personalizadle en la que podremos usar los distintos complementos.

Principales complementos y consolas

-Usuarios y Equipos de Active Directory: es el más usado de todos. Incluye usuarios, grupos, equipos, impresoras y carpetas compartidas.
Sitios y Servicios de Active Directory: administra la replicación, topología de red, y servicios relacionados.
-Dominios y Confianzas de Active Directory: configura y mantiene las relaciones de confianza y nivel funcional entre dominios y bosques.
-Esquema de Active Directory: examina y modifica los atributos y objetos del Active Directory. No viene instalado por defecto y es raro el uso del mismo.

Hubicación de los complementos

-Administrador del Servidor:

-En el Menú de Inicio: Inicio/Herramientas Administrativas o Inicio/Panel de Control/Herramientas Administrativas.

Ejecutar las Herramientas Administrativas con distintas credenciales

Muchos administradores utilizan sus cuentas de Administrador para iniciar sesión, lo cual es bastante peligroso ya que este tipo de usuarios tienen mayor acceso que un usuario estándar. En el caso de ser infectados por un malware podría provocar más desperfectos. Para evitar esto, deberemos de iniciar sesión con un usuario estándar y usar la opción Ejecutar como otro Usuario:

  1. Pinchamos con el botón derecho sobre la aplicación, consola, etc y seleccionaremos Ejecutar como Administrador. En el caso que no nos aparezca o queramos seleccionar otro usuario, pulsaremos el botos Shift y el botón derecho del ratón sobre la aplicación.
  2. Introduce el Usuario que quieras utilizar y su Contraseña
  3. Acepta

Crear una Consola personalizada con complementos del Active Directory

Es más fácil administrar Windows cuando puedes reunir en un mismo sitio las consolas que mas usas. Puedes crear una consola MMC personalizada para esto. Cuando la crees podrás:
-Añadir múltiples complementos y evitar así tener que andar cambiando entre varias consolas, lo tendrás todo en la misma consola.
-Guardar las consolas que uses con más regularidad.
-Distribuir las consolas con otros administradores.
-Centralizar las consolas en un lugar compartido.

Para crear una MMC personalizada:

  1. Escribimos en el menú de Inicio MMC y pulsaremos enter.
  2. Nos aparecerá la consola MMC. Abrimos en menú Archivo y pinchamos en “Agregar y quitar complementos”.
  3. En la ventana que nos aparece podremos ver los Complemento disponibles y al lado derecho los Complementos seleccionados. Podremos agregar, quitar y subir y bajar la posicion en la que nos aparecerán los complementos posteriormente en la consola personalizada.

Guardar y distribuir una consola personalizada

Si tienes pensado distribuir consolas personalizadas es recomendable que guardes las consolas en modo usuario. Por defecto las consolas están en modo autor, lo que permite modificar a antojo del usuario, pero si por lo contrario lo que queremos es crear unas consolas que no se puedan modificar debemos de guardarlas en modo usuario. Para ello debemos pinchar en Archivo, opciones.

Autor: permite acceso a todas las funciones
Modo Usuario: acceso completo: los usuarios no pueden agregar ni quitar complemento ni cambiar las propiedades de la consola. Tienen acceso completo al árbol.
Modo Usuario: Acceso limitado, varias ventanas: impide que los usuarios tengan acceso a las áreas del árbol no visibles en las ventanas de la consola
Modo Usuario: Acceso limitado una ventana: abre la consola en modo de ventana única e impide que los usuarios tengan acceso a las áreas del árbol no visibles en dicha ventana única.

Después de guardar la consola en modo usuario podrás modificarla pinchando con el botón derecho sobre la consola y seleccionando Autor.


2. Complementos del Active Directory

La función del Active Directory es mantener sobre los recursos de la empresa, incluido los usuarios, grupos y equipos. Los recursos están divididos en OUs para facilitar la administración y visibilidad. En esta lección aprenderemos como crear OUs, usuarios, grupos y equipos en el AD. También aprenderemos a localizar objetos cuando lo necesitemos.

Las prácticas que realicemos al final de la lección serán importantes ya que se van a usar constantemente en las siguientes prácticas.

Crear una Unidad Organizativa (OU)

Las Unidades Organizativas (OUs) son contenedores dentro del AD que se usan para almacenar objetos que comparten unos requerimientos comunes para la administración, configuración o visibilidad. La OUs utilizan una jerarquía similar a los discos duros, pero no se pueden asignar permisos sobre las mismas, para eso existen los grupos.

Pasos para crear una OU:

  1. Abre Usuarios y equipos de Active Directory
  2. Haz clic con el botón derecho sobre el nodo del dominio, o en la OU donde quiera crear una OU nuevo, selecciona Nuevo y luego Unidad Organizativa.
  3. Escribe el nombre  de la UO y selecciona Proteger contenedor contra eliminación accidental.
  4. Acepta
  5. Pincha con el botón derecho sobre la OU que acabamos de crear y pincha en propiedades. En la pestaña General podrás introducir datos como para que se utiliza esta OU, lugar, etc… . La pestaña Administrado por sirve para asignar grupos o usuarios de administración de la OU.
  6. Aceptamos

Con Windows Server 2008 tiene una nueva opción, Proteger contenedor contra eliminación accidental. Esta opción evitará que borremos por error la OU. Ningun usuario ni administrador podrá borrar la OU y su contenido. Para poder borrar el contenido debes de desactivar la protección:

  1. En el menú de la consola seleccionaremos ver y después Características avanzadas.
  2. Pinchamos con el botón derecho sobre la OU y pinchamos en Propiedades.
  3. Veremos que nos aparecen mas pestañas. Pinchamos en Objeto y desmarcamos la opción de Proteger contra eliminación accidental.
  4. Aceptamos
  5. Pinchamos con el botón derecho sobre la OU y la eliminamos, Cuando nos pida la confirmación ponemos Si. En el caso de tener objetos nos dirá si estamos seguros de eliminarlos.

Crear un Usuario

Para crear un nuevo usuario en el AD seguiremos los siguientes pasos. Hay que tener en cuenta el criterio de la organización, es aconsejable seguir el mismo patrón para todos los usuarios:

  1. Abrimos Usuarios y equipos de Active Directory.
  2. Desplegamos nuestro dominio y sobre la OU Users pinchamos con el boton derecho y seleccionamos Nuevo y Usuario.
  3. Nos aparecen los siguientes campos para rellenar con los datos del usuario: Nombre, Iniciales, Apellidos, Nombre completo (este se rellena automáticamente pero podemos modificarlo, es el nombre que nos mostrara en el AD por ejemplo. Debe de ser único), Nombre de inicio de sesión de usuario (este campo debe de ser único también, por defecto nos muestra el dominio que hemos creado, pero se puede seleccionar otro en el caso que lo tengamos). Rellenamos los campos y pinchamos en siguiente.
  4. Insertamos una contraseña para el usuario y la confirmamos. Es recomendable que se seleccione el cambio de contraseña en el siguiente inicio de sesión por seguridad. Pinchamos en Siguiente
  5. Nos muestra un pequeño resumen. Pinchamos en Finalizar.
  6. Pinchamos con el botón derecho sobre el usuario creado y seleccionamos Propiedades.
  7. Veremos las propiedades del usuario y podremos añadir más información sobre el mismo y otras características. Veremos más sobre este tema en los temas 3 y 8. Pinchamos en Aceptar para cerrar la ventana.

Crear un Grupo

Los grupos son una clase de objetos importantes porque son utilizados para agrupar usuarios, equipos y otros grupos para crear un punto único de administración. El principal uso es asignar permisos sobre una carpeta compartida.

  1. Abrimos Usuarios y equipos de Active Directory
  2. Desplegamos nuestro dominio y sobre la OU Users pinchamos con el botón derecho y seleccionamos Nuevo y Usuario.
  3. Escribimos en el campo Nombre de grupo el nombre que deseemos. El campo Nombre de grupo (anterior a Windows 2000) se rellenara automáticamente.
  4. Tipos de grupos

    Seguridad: permite dar permisos de seguridad y como grupo de correo.
    Distribución: no permite dar permisos de seguridad, es simplemente para crear grupos de correo.

    Ámbito de grupo

    Global (los mas comunes): puede agrupar equipos , usuarios y grupos globales de su propio dominio. En el caso de existir más de un dominio en el Árbol, podemos usar este grupo para conceder permisos, pero no podremos agregar usuarios, equipos ni grupos globales de otro dominio que no sea el suyo.
    Dominio Local: puede agrupar equipos, usuarios, grupos globales, grupos Universales de cualquier dominio del Árbol, pero solo se le pueden dar permisos sobre el dominio en el que se crea.
    -Universal: puede agrupar equipos, usuarios, grupos globales y otros grupos universales  para asignar permisos en cualquier dominio del Árbol.

    Seleccionamos de Seguridad, Global y aceptamos

  5. Pinchamos con el botón derecho sobre el grupo y seleccionamos Propiedades.
  6. Podemos ver varios campos y pestañas. Podemos agregar información sobre el grupo para saber el uso del mismo. Respecto a las pestañas, podremos ver quien pertenece al grupo, a que grupos pertenece y Quien los administra, el cual podrá modificar o no. Principalmente la pestaña del administrador se suele utilizar para saber de quien depende este grupo y consultar a la hora de hacer cambios en el mismo. Pinchamos en Aceptar para cerrar la ventana.

Crear Equipo

Los equipos están representados por un objeto en el AD como los usuarios, e igual que los usuarios, los equipos se loguean en el dominio, pero es un proceso automático. Los equipos tiene un nombre de usuario que sería igual que el nombre del equipo pero con un $ al final (ejem. PC01$), la contraseña que utiliza es asignada automáticamente y cambia de la misma forma. Cada 30 días o menos se cambia automáticamente la contraseña (este dato es importante si clonamos maquinas de un dominio).

  1. Abrimos Usuarios y equipos de Active Directory.
  2. Desplegamos nuestro dominio y sobre la OU Computers pinchamos con el botón derecho y seleccionamos Nuevo y Equipo.
  3. En el campo Nombre de equipo introducimos el nombre, no cambies el nombre en Anterior a Windows 2000.En el campo para unir el equipo a un dominio podemos seleccionar que usuarios o grupos pueden unirlo al dominio. Aceptamos.
  4. Pinchamos con el botón derecho sobre el equipo y seleccionamos Propiedades.
  5. En las propiedades del equipo podremos aumentar la información para saber a que departamento pertenece, propietario…… Aceptamos para cerrar la ventana.

Buscar Objetos en el Active Directory

Hemos aprendido a crear objetos en el AD, pero en muchas ocasiones la gran cantidad de objetos no facilita la localización de los mismos.

Ver objetos en Usuarios y equipos de Active Directory

En el complemento podemos modificar las columnas agregando, quitando y organizándolas como queramos. También podemos pinchar en las columnas y organizar alfabéticamente por el contenido de las mismas. Para ello debemos ir a Ver y Agregar o quitar columnas, seleccionamos las que necesitemos.

Consultas Guardadas

Se utilizan para ver objetos en uno o varios OUs.
Pinchamos con el botón derecho sobre Consultar guardadas, nuevo y consulta. Le asignamos un nombre, descripción, sobre donde se va a realizar la consulta y la consulta. Al terminar Aceptamos, y si no borramos la consulta nos aparecerá cada vez que abramos la el complemento de Usuarios y equipos.

Seleccion de Usuarios, Contactos, Equipos, Cuentas de servicio o Grupos

Cuando se agrega un miembro a un grupo o asignamos un permiso lo hacemos mediante la ventana de Seleccione Usuarios, Contactos, Equipos, Cuentas de servicio o Grupos. Puede especificar que tipo de objetos te va a mostrar, la ubicación. Respecto el nombre que seamos buscar podemos poner o parcialmente, en el caso de coincidir la busqueda con varios objetos nos sacara una lista de los mismos para seleccionar el deseado. Con las opciones avanzadas podremos ampliar o disminuir el rango de la busqueda.

Buscar Usuarios, contactos y grupos

El complemento de Usuarios y equipos trae esta utilidad para poder  localizar de manera rápida usuarios, grupos y contactos. Podemos decirle que objeto buscamos, donde, y en las opciones avanzadas podemos usar criterios de búsqueda.


Busquedas por comandos

Windows nos proporciona la herramienta de consulta del Active Directory, llamada comúnmente Ventana de búsqueda. Pero también podemos usar comandos para ello.

Buscar objetos con Dsquery

Windows dispone de la línea de comandos la cual nos proporciona una funcionalidad parecida al Complemento Usuarios y equipos de Active Directory. Muchos de estos comandos comienzan con las letras DS. En este caso vamos a utilizar el Dsquery con el que podremos localizar objetos en el AD.

Abrimos el Símbolo de Sistema (podemos hacerlo introduciendo cmd.exe en el cuadro de búsqueda de inicio, o Inico/Todos los programas/Accesorios). Para ver todas las posibilidades del comando Dsquery ejecutar el siguiente comando: dsquery.exe /?

Tal y como pone el texto de la descripción, deberemos de usar un comando de los mostrados según el objeto que queramos buscar. Un ejemplo sería este:

Dsquery user –name adm*-> especificamos que busque un usuario y que su nombre empiece por adm

Como podemos observar nos muestra el usuario con el nombre distintivo (DNs).Si queremos que nos devuelva la información en distinto formato podemos especificarlo, por ejemplo añadiendo –o samid, mostrando el nombre de inicio de sesión pre-windows 2000.

Entendiendo DNs, RDNs y CNs

Cada objeto de la red posee un nombre de distinción (Distinguished name (DN)), así un usuario llamado PEPIN en una Unidad Organizativa (Organizational Units, OU) llamada Ventas y un dominio contoso.com, puede escribirse de las siguientes formas para ser direccionado: en DN sería CN=PEPIN,OU=Ventas,DC=contoso,DC=com, donde,CN es el nombre común (en inglés, Common Name),DC es clase de objeto de dominio (en inglés, Domain object Class).
Otro método de direccionamiento es RDN (Relative Distinguided Name) que busca un recurso sólo con el Nombre Comun (CN)

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *