Redireccionamiento de usuarios y computadoras en Active Directory


Una vez que un servidor se promueve a controlador de dominio se crean contenedores predeterminados CN=Users y CN=Computers estos obviamente no son OU, como lo dijimos antes son Contenedores, los objetos de los contenedores predeterminados son más difíciles de administrar, ya que la directiva de grupo no se les puede aplicar directamente. Las cuentas de usuario, cuentas de equipo y grupos de seguridad que se crean con versiones anteriores de herramientas de administración de interfaz de usuario (UI) y de línea de comandos no permiten a los administradores especificar una OU de destino.

Por esta razón, los administradores no pueden crear estos objetos en el contenedor CN=Computers o CN=User de manera predeterminada. Algunos ejemplos de estas versiones anteriores son los comandos net user y net computer, el comando net group o el comando netdom add, donde el parámetro /ou no se especifica o no se admite.

Al analizar esto detenidamente nos damos cuenta que en algunos casos esto podria limitar nuestra labor de administrar la seguridad de AD, de hecho yo me encontre con uno de estos casos, un cliente de una empresa de telecomunicaciones solicito un estudio y analisis de la seguridad de AD, el informe se realizo y se presento, sin embargo encontramos un area de oportunidad, cuando se creaban usuarios nuevos o se unian nuevos equipos al dominio estos por supuesto se creaban en sus respectivos contenedores la tarea de los administradores en ese caso seria revisar todos los dias usuarios y computadoras nuevas y moverlos manualmente a las OU que correspondian, el problema es que los administradores estaban demasiado saturados con otras tareas de soporte que esta funcion no se estaba realizando en un tiempo prudencial, cual fue la solucion que les recomende?

Pues bien la solucion seria crear 2 OU’s para usuarios y computadoras respectivamente y aplicar las GPO correspondientes a cada una de ellas, todos sabemos que las GPO no pueden aplicarse a un contenedor , pero si podemos aplicarlas a una OU, entonces me hicieron la siguiente pregunta: como puedes redirigir de forma automatica los nuevos usuarios y computadoras a esas OU’s?

 

Antes de contestar la pregunta, les comente a los administradores de AD lo siguiente:

 

  • Esta caracteristica esta disponible solo para un esquema de dominio que tenga nivel funcional Windows Server 2003 o superior
  • Esta caracteristica no funcionara en nivel de funcionalidad de dominio modo mixto
  • Esta caracteristica se integrara perfectamente en Windows 2008 y R2

Ahora puedo contestarles la pregunta: como redirigir usuarios y computadoras a OU’s especificas?

El procedimiento es el siguiente:

– Recuerden loguear en el controlador de dominio con credenciales administrativas

– Obviamente crear previamente las 2 OU que albergaran usuarios y computadoras

– Recordar abrir el CMD con derechos administrativos

Redireccion de Usuarios:

Redireccion de Computadoras:

Y listo ahora los nuevos usuarios creados iran directamente a la OU USR, las nuevas computadoras unidas al dominio iran a la OU CMP, adicionalmente desde el momento en que los objetos caigan en sus respectivas OU se les podran aplicar las GPO que estimen convenientes para asegurar usuarios y computadoras de acuerdo a las normas de seguridad IT que hayan sido establecidas….

 

 

 

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: