Hoy en día es impensable pensar en el mantenimiento de un dominio de cierta embergadura realizando todos las tareas «a mano».
Personalmente pienso que hay que automatizar las tareas todo lo que se pueda, para evitar el trabajo repetitivo que no aporta nada a los administradores o técnicos de sistemas.
Para ello, en cuanto a grupos tenemos varias opciones y una de ellas es utilizar los comandos «Ds…».
Para crear objetos disponemos del comamdo «Dsadd» que en este caso utilizaremos para crear grupos.
El comando tiene la forma:
dsadd group GroupDN [atributos]
Donde «group» es en nombre del grupo que vamos a crear y «GroupDN» es el DN del grupo. El DN de un grupo es de la forma: «CN=gruponuevo,OU=grupos,DC=aic,DC=local«.
A continuación expongo algunos de los atributos que podemos utilizar cuando utilidamos «dsadd group»:
- -secgrp [yes | no] Especifica si es grupo es de seguridad (yes) o de distribución (no).
- -scope [ l | g | u ] Especifica el ámbito del grupo: l para dominio local, g para global o u para universal.
- -samid Nombre Especifica el sAMAccountName del grupo. Si no lo especificamos, el nombre del grupo será el especificado en el DN del grupo.
- -desc descripción Establece la descripción del grupo
- -members MemberDN Añade miembros al nuevo grupo. Los miembros se especifican mediante sus DNs y separados por espacios.
- -memberof GroupDN Hace que el nuevo grupo que estamos creando sea miembro de uno o mas grupos existentes. Los grupos también se especifican mediante su DN y separados por espacios.
Ahora que ya tenemos una idea de cómo utilizar el comando «dsadd» para crear nuevos grupos desde la consola de comandos, vamos a realizar algún ejemplo.
Bien, parece que las empresas van bien y aunque todavía no nos hemos metido con el resto de empresas del holding, se ha decidido crear un nuevo departamento en «AIC«. El nuevo departamento se denominará «desarrollo» y se encarará de desarrollar aplicaciones corporativas, páginas webs y demás.
Por el momento va a constar de un solo miembro al que llamaremos, como no: «desarrollo01«.
En primer lugar, crearemos la Unidad Organizativa donde se alojarán las cuentas de usuario del departamento de desarrollo. Admemás también crearemos la OU en el apartado de equipos para el mismo fin.
dsadd ou «OU=desarrollo,OU=usuarios,DC=aic,DC=local» -desc «Unidad Organizativa para almacenar cuentas de usuario del departamento de desarrollo»
El comando anterior crea una nueva Unidad Organizativa llamada «desarrollo» dentro de la OU «usuarios» existente.
A continuación hacemos lo mismo para las cuentas de equipo, es decir, creamos una Unidad Organizativa llamada «desarrollo» dentro de la OU «equipos».
dsadd ou «OU=desarrollo,OU=equipos,DC=aic,DC=local» -desc «Unidad Organizativa para almacenar cuentas de equipo departamento de desarrollo»
Echamos un vistado a «Usuarios y Equipos de Active Directory«:
Vemos que ha creado las dos OUs correctamente.
Ahora nos toca crear la cuenta de usuario «desarrollo01» y ubicarla directamente dentro de la Unidad Organizativa «desarrollo» que se encuenta dentro de la OU «usuarios«.
Vamos allá:
dsadd user «CN=desarrollo01,OU=desarrollo,OU=usuarios,DC=aic,DC=local» -pwd * -mustchpwd no -samid desarrollo01
Si lo hemos hecho bien, comprobaremos que nos pide que introduzcamos la contraseña para el nuevo usuario. Esto se debe a que hemos indicado el parámetro -pwd con un asterisco (*).
Como siempre, comprobamos en «Usuarios y Equipos de Active Directory«:
De momento, esto funciona bien.
Ahora llegamos a la parte en la que crearemos dos grupos:
Un grupo global en el que incluiremos las cuentas de usuario correspondientes a los miembros del departamento desarrollo.
Otro grupo Local de Dominio que llamaremos «ACL_desarrollo_modificar» en el que incluiremos como miembros a los Grupos Globales de «direccion» y «desarrollo«.
Para crear el Grupo Global «desarrollo» introduciremos el siguiente comando:
dsadd group «CN=desarrollo,OU=grupos,DC=aic,DC=local» -samid desarrollo -secgrp yes -scope g -desc «Grupo Global de desarrollo» -members «CN=desarrollo01,OU=desarrollo,OU=usuarios,DC=aic,DC=local»
No hay mucho que decir, simplemente vamos a comprobar que lo ha hecho como nosotros queríamos:
De momento, el Grupo Global «desarrollo» lo ha creado.
Ahora vamos a ver las propiedades:
Muy bien, ahora vamos a mirar en la pestaña «Members» porque debería de estar el usuario «desarrollo01«:
En efecto. Ahí está.
Pasamos a la creación del siguiente grupo, el grupo Local de Dominio «ACL_desarrollo_modificar» en el que incluiremos como miembros a los Grupos Globales «desarrollo» y «direccion«.
dsadd group «CN=ACL_desarrollo_modificar,OU=grupos,DC=aic,DC=local» -samid ACL_desarrollo_modificar -secgrp yes -scope l -desc «Grupo de Dominio Local para informacion sobre desarrollo» -members «CN=desarrollo,OU=grupos,DC=aic,DC=local» «CN=direccion,OU=grupos,DC=aic,DC=local»
Podemos observar, a parte de que el ámbito (-scope) hemos indicado Local, hemos indicado dos grupos como miembros de este nuevo grupo. Los hemos indicado mediante su DN y separados por un espacio.
Comprobamos que se ha creado el grupo:
Bien, ahora revisamos las propiedades del grupo para comprobar que las que le hemos indicado están correctas:
Parece que en esta pestaña está todo bien.
Pero vamos a ver en la pestaña «Members«. Tienen que estar los Grupos Globales «desarrollo» y «direccion«.
Todo perfecto.
Sin duda no es complicado, simplemente hay que tener en cuenta las posiblidades y la disposición de la sintaxis del comando dsadd para combinarla correctamente a nuestras necesidades.
Y por supuesto, algo de práctica.
Para terminar el tutorial, estaría bien crear el directorio «c:\documentos\desarrollo» para utilizarlo en tutoriales siguientes con el grupo «ACL_desarrollo_modificar».
Damos por finalizado este tutorial.
Nos vemos en el siguiente donde veremos otras formas de automatizar la creación de Grupos.
Hasta entonces.
—–
Oscar Abad
http://www.xulak.com – Consultoría informática
Programador WordPress freelance