Cerrar
InicioWindows ServerPrimer controlador de dominio en Windows Server 2012 (Parte 3)

Primer controlador de dominio en Windows Server 2012 (Parte 3)

Siguiendo la estela de los dos últimos artículos, vamos a nombrar algo muy interesante y que muchos administradores de red desconocen.

Siempre que pensamos en fortalecer nuestra infraestructura debemos hacerlo desde el momento 0, tanto desde que agregamos una estación de trabajo al dominio como cuando un usuario es creado en el Active Directory e inicia sesión por primera vez. Previamente debemos tener nuestras unidades organizativas creadas y siempre pensando en la delegació de permisos y facilitando en todo momento la gestión de la misma (esto lo veremos en otros artículos porque es bastante extenso).

Imaginemos que hemos hecho los deberes, que hemos creado nuestras OUs con una estructura adecuada, etc… Además, hemos pensado y diseñado las GPO para tener un sistema seguro y eficiente, hasta aquí todo correcto. Pero que pasa cuando alguien del Dpto. de IT une al dominio una nueva máquina? Por defecto la cuenta de equipo se crea en el contenedor clase de objeto (objectclass) CN (COMPUTERS), en donde no tenemos aplicada ninguna seguridad a excepción de la Default Domain Policy (o las GPO que apliquemos a ese nivel, que tampoco es muy buena idea para según que configuraciones) que nos viene heredada, por lo que nuestras excepcionales políticas de seguridad no se están aplicando desde el primer momento. Además para darle más “dramatismo”, nos encontramos en una auditoría rutinaría (de las que se deben realizar cada cierto tiempo que seguro que haceís) os dáis cuenta de que no solo hay una máquina, sino otras cincuenta máquinas más!!! Por lo que todo el trabajo anterior que hemos realizado, no ha servido para nada porque un “administrador despistado” se ha olvidado de moverlas a las OUs diseñadas con tanto cariño. Después de haber soltado esta “historia irreal” os comento como podéi solucionarlo de manera sencilla. Desde la versión de Windows Server 2003 (con nivel de Dominio de Windows Server 2003) y son REDIRCMP (Equipos) y REDIRUSR (Usuarios), la sintaxis del comando es la siguiente:

Usuarios

redirusr contenedor-dn

Equipos

redircmp contenedor-dn

Veamos un ejemplo en nuestro LAB, queremos que todas las máquinas unidas al dominio (sean servidores o estaciones de trabajo) se les aplique una GPO que establece la contraseña y renombra la cuenta de Administrador Local. Como hemos hablado, por defecto las cuentas de equipo se sitúan en el contenedor de clase objeto CN en COMPUTERS, pero queremos moverlas a la estructura de OU que hemos creado con anterioridad.  Como veis en la siguiente captura de pantalla os muestro la GPMC para que podáis ver a la vez la estructura de OU creada y a que nivel tenemos aplicada la GPO. Por defecto que queremos que se aplique a cualquier máquina del dominio, por lo que queremos mover las máquinas directamente a la OU Equipos

Dominio_53.png

El comando sería el siuiente: REDIRCMP OU=Equipos,OU=ASIRLAB,DC=asirlab,DC=com

Dominio_54.png

A partir de ahora todos los equipos (Servidores Miembro o Estaciones de Trabajo  ) que añadamos al dominio se moverán automáticamente a la OU Equipos. Tenemos que tener en cuenta que cuando se ejecuta Redircmp.exe para redirigir el contenedor CN=Computers a una OU especificada por nosotros, el contenedor CN=Computers dejará de ser un objeto de equipo protegido. Esto significa que ahora es posible mover, eliminar y cambiar el nombre del contenedor Computers. Podemos utilizar ADSIEDIT para ver atributos del contenedor CN=Computers, y veremos que el atributo systemflags se ha modificado de -1946157056 a 0. Se trata de una característica del diseño de la aplicación.

Sobre el comando REDIRUSR  poco hay que comentar, porque tiene el mismo funcionamiento y objetivo que el REDIRCOMP pero para las cuentas de usuarios. Además, suele ser menos común que se creen los usuarios con el comando NET USER (ahora todo con PowerShell!!! o directamente por GUI) que no admite la indicación de la OU en donde se crearán, y por defecto van al contenedor USERS y ahí tenemos el mismo “problema” que con el contenedor COMPUTERS

Si queréis ampliar vuestro conocimiento sobre estos comandos, os dejo la URL de Microsoft en donde tenéis toda la información necesaria:

http://support.microsoft.com/kb/324949/es

Las nuevas capacidad
Excelentes Videos de

sbuytrago@asirsl.com

1 COMENTARIO

DEJA UN COMENTARIO

Este sitio web utiliza cookies. Si continúas navegando, consideramos que aceptas su uso. Puedes obtener más información en nuestra política de cookies. ACEPTAR

Aviso de cookies
Share This