Upload
javierasir2012
View
295
Download
3
Embed Size (px)
DESCRIPTION
2012COMPARACIÓN ESQUEMA ACTIVE DIRECTORY CON USUARIOS Y EQUIPOS Y EDITAR EL ESQUEMA ACTIVE DIRECTORYJavier García Cambronel SEGUNDO DE ASIR 06/01/2012[COMPARACIÓN ESQUEMA ACTIVE DIRECTORY CON USUARIOS Y EQUIPOS Y EDITAR EL ESQUEMA ACTIVE DIRECTORY] 6 de enero de 2012COMPARACION ACTIVE DIRECTORY Y EDITOR ADSI (Ventajas y pequeño ejemplo)Lo primero que haremos será crear una MMC en la que agregaremos el Editor ADSI y la conectaremos sobre nuestro propio equipo. 1. Inicio>Ejecutar>MMC 2.
Citation preview
COMPARACIÓN ESQUEMA ACTIVE DIRECTORY CON USUARIOS Y EQUIPOS Y EDITAR EL ESQUEMA ACTIVE DIRECTORY
2012
Javier García Cambronel SEGUNDO DE ASIR
06/01/2012
[COMPARACIÓN ESQUEMA ACTIVE DIRECTORY CON USUARIOS Y EQUIPOS Y EDITAR EL ESQUEMA ACTIVE
DIRECTORY] 6 de enero de 2012
SEGUNDO DE ASIR Página 1
COMPARACION ACTIVE DIRECTORY Y EDITOR ADSI (Ventajas y pequeño ejemplo)
Lo primero que haremos será crear una MMC en la que agregaremos el Editor ADSI y la conectaremos sobre nuestro propio equipo. 1. Inicio>Ejecutar>MMC
2. Menú superior>Archivo>Agregar o quitar complemento
3. Seleccionaremos Editor ADSI>Agregar y Aceptaremos
4. Una vez agreado pulsaremos sobre él dentro de la MMC y pulsaremos a Conectar a… y simplemente daremos a Aceptar para que se conecte a nuestro propio servidor y podremos ver:
[COMPARACIÓN ESQUEMA ACTIVE DIRECTORY CON USUARIOS Y EQUIPOS Y EDITAR EL ESQUEMA ACTIVE
DIRECTORY] 6 de enero de 2012
SEGUNDO DE ASIR Página 2
Aquí podemos ver, aunque de diferente modo todas las características, unidades organizativas,
usuarios, equipos, etc. que tenemos creados en nuestro servidor. Normalmente accederíamos
a ella desde la función Usuarios y equipos de Active Directory pero esta herramienta también
nos valdrá para administrarlos.
[COMPARACIÓN ESQUEMA ACTIVE DIRECTORY CON USUARIOS Y EQUIPOS Y EDITAR EL ESQUEMA ACTIVE
DIRECTORY] 6 de enero de 2012
SEGUNDO DE ASIR Página 3
Vamos a ver las dos herramientas a la vez para observar que realmente son la misma:
[COMPARACIÓN ESQUEMA ACTIVE DIRECTORY CON USUARIOS Y EQUIPOS Y EDITAR EL ESQUEMA ACTIVE
DIRECTORY] 6 de enero de 2012
SEGUNDO DE ASIR Página 4
Ahora vamos a crear una nueva Unidad Organizativa y a ver sus propiedades en ambos sitios,
para ver si coinciden o si una de ellas nos ofrece más información:
La nueva OU se llamará: PruebaADSI
[COMPARACIÓN ESQUEMA ACTIVE DIRECTORY CON USUARIOS Y EQUIPOS Y EDITAR EL ESQUEMA ACTIVE
DIRECTORY] 6 de enero de 2012
SEGUNDO DE ASIR Página 5
A continuación iremos a la MMC que contiene nuestro Editor ADSI y sobre el haremos clic con el botón derecho del ratón y pulsaremos Actualizar:
Y nos tendría que aparecer nuestra PruebaADSI. Vamos a ver una vista de ambas de nuevo, pero con la nueva Unidad Organizativa.
Vamos a comprobar que características nos ofrece cada una de estas herramientas: Editor ADSI: Pulsando con el botón derecho del ratón sobre la nueva OU creada nos aparece un menú contextual y seleccionaremos Propiedades. Podemos observar dos pestañas Editor de atributos y Seguridad.
Podemos toda una serie de atributos que podemos modificar o establecer si no lo está aún.
[COMPARACIÓN ESQUEMA ACTIVE DIRECTORY CON USUARIOS Y EQUIPOS Y EDITAR EL ESQUEMA ACTIVE
DIRECTORY] 6 de enero de 2012
SEGUNDO DE ASIR Página 6
Usuarios y equipos de Active Directory: Haremos lo mismo pero desde está función, iremos a la nueva Unidad Organizativa y con el botón derecho del ratón sobre ella seleccionaremos Propiedades.
[COMPARACIÓN ESQUEMA ACTIVE DIRECTORY CON USUARIOS Y EQUIPOS Y EDITAR EL ESQUEMA ACTIVE
DIRECTORY] 6 de enero de 2012
SEGUNDO DE ASIR Página 7
COMPARACIÓN ENTRE AMBAS: Se puede observar a simple vista que las características que podemos modificar desde una consola con el Editor ADSI activado son mucho mayores, como el código postal, el nombre a mostrar, la descripción, el nombre que le da el administrador, etc. Y una cantidad muy amplia de características. En la función de Usuarios y Equipos de AD tan solo podíamos añadir cosas como calle, ciudad, código postal… por lo que el Editor ADSI nos da una mas fácil administración de nuestro sistema. Vamos a cambiar una de las características dentro del Editor ADSI para ver si se replica en la función de Usuarios y equipos de AD. Sobre las propiedades del Editor ADSI seleccionaremos description y añadiremos lo que
queramos:
[COMPARACIÓN ESQUEMA ACTIVE DIRECTORY CON USUARIOS Y EQUIPOS Y EDITAR EL ESQUEMA ACTIVE
DIRECTORY] 6 de enero de 2012
SEGUNDO DE ASIR Página 8
Pulsaremos sobre Editar, y especificaremos en el recuadro de Valor para agregar lo que
queramos y pulsaremos Agregar y luego Aceptar.
Una vez aceptados los pasos y aplicados los cambios, iremos a la función de Usuarios y Equipos de AD y actualizaremos.
[COMPARACIÓN ESQUEMA ACTIVE DIRECTORY CON USUARIOS Y EQUIPOS Y EDITAR EL ESQUEMA ACTIVE
DIRECTORY] 6 de enero de 2012
SEGUNDO DE ASIR Página 9
Y volvemos a las propiedades de nuestra unidad organizativa PruebaADSI.
[COMPARACIÓN ESQUEMA ACTIVE DIRECTORY CON USUARIOS Y EQUIPOS Y EDITAR EL ESQUEMA ACTIVE
DIRECTORY] 6 de enero de 2012
SEGUNDO DE ASIR Página 10
EDITAR EL ESQUEMA DE ACTIVE DE ACTIVE
DIRECTORY
Para editar el esquema de AD, debemos crear una nueva consola de mmc, aunque antes
tenemos que DLL “schmmgmt.dll”. Incicio>Ejecutar y escribimos:
De este modo ya podremos ir a una nueva MMC y agregar el complemento Esquema de Active
Directory.
[COMPARACIÓN ESQUEMA ACTIVE DIRECTORY CON USUARIOS Y EQUIPOS Y EDITAR EL ESQUEMA ACTIVE
DIRECTORY] 6 de enero de 2012
SEGUNDO DE ASIR Página 11
[COMPARACIÓN ESQUEMA ACTIVE DIRECTORY CON USUARIOS Y EQUIPOS Y EDITAR EL ESQUEMA ACTIVE
DIRECTORY] 6 de enero de 2012
SEGUNDO DE ASIR Página 12
Lo que haremos es, mostrar una nueva característica que anteriormente no se mostraba por
ejemplo en las características de un usuario, por ejemplo. Esto podremos hacerlo en cada una
de las características del Active Directory.
[COMPARACIÓN ESQUEMA ACTIVE DIRECTORY CON USUARIOS Y EQUIPOS Y EDITAR EL ESQUEMA ACTIVE
DIRECTORY] 6 de enero de 2012
SEGUNDO DE ASIR Página 13
Una vez creada la MMC con el Esquema de AD, vamos a la clase user y en ella vamos a crear
un nuevo atributo. Estas son las propiedades de la clase user:
Y en ella podemos ver los atributos y demás propiedades que se van a mostrar en la
característica user.
[COMPARACIÓN ESQUEMA ACTIVE DIRECTORY CON USUARIOS Y EQUIPOS Y EDITAR EL ESQUEMA ACTIVE
DIRECTORY] 6 de enero de 2012
SEGUNDO DE ASIR Página 14
Ahora lo que vamos a intentar en esta práctica es crear un nuevo Atributo para que cada vez
que tengamos un usuario podamos añadirle, además de las características que vienen
predefinidas.
Pulsaremos sobre Atributos con el botón derecho del ratón y pulsaremos sobre Crear Atributo
[COMPARACIÓN ESQUEMA ACTIVE DIRECTORY CON USUARIOS Y EQUIPOS Y EDITAR EL ESQUEMA ACTIVE
DIRECTORY] 6 de enero de 2012
SEGUNDO DE ASIR Página 15
Ahora podemos ver la pantalla de de creación de un nuevo atributo: El Id. de objeto X500 único, como el propio nombre índica, debe de ser único y lo
generaremos mediante un script, que lo obtendremos de este link. Lo almacenaremos en un
documento con extensión .vbs y dentro del recuadro especificaremos el numero identificativo
que nos dé.
Una vez ejecutado el script veremos algo así:
[COMPARACIÓN ESQUEMA ACTIVE DIRECTORY CON USUARIOS Y EQUIPOS Y EDITAR EL ESQUEMA ACTIVE
DIRECTORY] 6 de enero de 2012
SEGUNDO DE ASIR Página 16
Copiaremos el código dentro de la casilla mencionada antes y nos quedará así: Me he
equivocado en la sintaxis asique después solo dejara hacer los cambios desde el esquema y no
de usuarios y equipos, recordad que hay que escoger uno que se adapta a nuestras
necesidades.
[COMPARACIÓN ESQUEMA ACTIVE DIRECTORY CON USUARIOS Y EQUIPOS Y EDITAR EL ESQUEMA ACTIVE
DIRECTORY] 6 de enero de 2012
SEGUNDO DE ASIR Página 17
Ahora que tenemos creado el atributo, vamos a añadirlo para que cuando añadamos un nuevo usuario podamos introducir su TITULACION. Iremos a Clases dentro del Esquema de Active Directory y buscaremos user y clicaremos con
el botón derecho del ratón sobre él para escoger Propiedades.
[COMPARACIÓN ESQUEMA ACTIVE DIRECTORY CON USUARIOS Y EQUIPOS Y EDITAR EL ESQUEMA ACTIVE
DIRECTORY] 6 de enero de 2012
SEGUNDO DE ASIR Página 18
Iremos a la pestaña Atributos y pulsaremos sobre Agregar para añadir uno nuevo:
Y podremos ver cómo nos salen toda la lista de atributos que existen, entre ellos el que
acabamos de crear, le seleccionamos y le agregamos pulsando sobre Aceptar:
[COMPARACIÓN ESQUEMA ACTIVE DIRECTORY CON USUARIOS Y EQUIPOS Y EDITAR EL ESQUEMA ACTIVE
DIRECTORY] 6 de enero de 2012
SEGUNDO DE ASIR Página 19
De este modo, aceptaremos todas las pantallas que tengamos abiertas e iremos a la MMC creada con el editor ADSI si no pues la creamos, siguiendo estos pasos, que es el que nos puede mostrar todos los atributos que tiene un clase y miraremos a ver si un usuario tiene el nuevo atributo creado TITULACION.
[COMPARACIÓN ESQUEMA ACTIVE DIRECTORY CON USUARIOS Y EQUIPOS Y EDITAR EL ESQUEMA ACTIVE
DIRECTORY] 6 de enero de 2012
SEGUNDO DE ASIR Página 20
[COMPARACIÓN ESQUEMA ACTIVE DIRECTORY CON USUARIOS Y EQUIPOS Y EDITAR EL ESQUEMA ACTIVE
DIRECTORY] 6 de enero de 2012
SEGUNDO DE ASIR Página 21
Abriremos el Editor ADSI desde una MMC y antes de ver si aparece el atributo en un usuario
tenemos que actualizar el caché:
[COMPARACIÓN ESQUEMA ACTIVE DIRECTORY CON USUARIOS Y EQUIPOS Y EDITAR EL ESQUEMA ACTIVE
DIRECTORY] 6 de enero de 2012
SEGUNDO DE ASIR Página 22
Aceptaremos y ya podremos ver, dentro de las propiedades del usuario que nosotros
queremos, que aparece nuestro atributo creado el cual podemos editar ya si queremos:
[COMPARACIÓN ESQUEMA ACTIVE DIRECTORY CON USUARIOS Y EQUIPOS Y EDITAR EL ESQUEMA ACTIVE
DIRECTORY] 6 de enero de 2012
SEGUNDO DE ASIR Página 23
Ahora vamos a editar el esquema para poder mostrar y modificar el atributo creado desde la función de Usuarios y Equipos de Active Directory. Esto nos ayudará a añadir de manera sencilla el TITULACION (en nuestro caso, que es el que hemos creado) sin necesidad de entrar al editor ADSI y desde la herramienta de usuarios y equipos. Lo primero que debemos hacer es generar un script con extensión .vbs que nos permita editar
el TITULACION:
[COMPARACIÓN ESQUEMA ACTIVE DIRECTORY CON USUARIOS Y EQUIPOS Y EDITAR EL ESQUEMA ACTIVE
DIRECTORY] 6 de enero de 2012
SEGUNDO DE ASIR Página 24
Guardaremos el script (DS_TITULACION.vbs) y es recomendable almacenarlo en C:\. Ahora nos conectaremos a nuestra MMC con el editorADSI, normalmente nos conectábamos
al equipo sobre el empresajavier.org pero ahora nos conectaremos como Configuración:
[COMPARACIÓN ESQUEMA ACTIVE DIRECTORY CON USUARIOS Y EQUIPOS Y EDITAR EL ESQUEMA ACTIVE
DIRECTORY] 6 de enero de 2012
SEGUNDO DE ASIR Página 25
A continuación sobre Editor ADSI iremos navegando, Configuración[NombrePC.Dominio] >CN=Configuración,DC=dominio,DC=es >CN=DisplaySpecifiers Veremos una serie de líneas, del tipo CN=XXX, ¿Cuál es la que tenemos que editar? Abriremos
una consola de ejecutar y especificamos: regedit
Se nos abrirá el editor de registro y debemos navegar por él para seleccionar el nodo que
corresponda a nuestra configuración regional. La mía es el español por lo que navegaremos
hasta: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\ContentIndex\Language
[COMPARACIÓN ESQUEMA ACTIVE DIRECTORY CON USUARIOS Y EQUIPOS Y EDITAR EL ESQUEMA ACTIVE
DIRECTORY] 6 de enero de 2012
SEGUNDO DE ASIR Página 26
Y el valor, en nuestro caso el 3082 habrá que pasarlo a hexadecimal, que equivale al numero
C0A por lo que el nodo que editaremos es el CN=C0A
[COMPARACIÓN ESQUEMA ACTIVE DIRECTORY CON USUARIOS Y EQUIPOS Y EDITAR EL ESQUEMA ACTIVE
DIRECTORY] 6 de enero de 2012
SEGUNDO DE ASIR Página 27
Entonces volveremos a la configuración del Editor ADSI y e iremos hasta la línea que pone CN=C0A. Hacemos clic con el botón derecho del ratón sobre CN-user-Display y seleccionamos
Propiedades.
[COMPARACIÓN ESQUEMA ACTIVE DIRECTORY CON USUARIOS Y EQUIPOS Y EDITAR EL ESQUEMA ACTIVE
DIRECTORY] 6 de enero de 2012
SEGUNDO DE ASIR Página 28
Dentro de las propiedades, seleccionaremos adminContextMenu y pulsaremos sobre Editar.
Debemos añadir una línea tal y como la que he seleccionado, cambiando la ruta o el nombre
del archivo si le hemos llamado de manera diferente.
[COMPARACIÓN ESQUEMA ACTIVE DIRECTORY CON USUARIOS Y EQUIPOS Y EDITAR EL ESQUEMA ACTIVE
DIRECTORY] 6 de enero de 2012
SEGUNDO DE ASIR Página 29
También es conveniente actualizar el caché del esquema:
Iremos a la función de Usuarios y Equipos de Active Directory y haremos clic sobre un usuario a ver si hemos realizado correctamente los pasos anteriores: Podemos observar como aparece el TITULACION para añadir en uno de nuestros usuarios.
[COMPARACIÓN ESQUEMA ACTIVE DIRECTORY CON USUARIOS Y EQUIPOS Y EDITAR EL ESQUEMA ACTIVE
DIRECTORY] 6 de enero de 2012
SEGUNDO DE ASIR Página 30
Y como podemos añadir los valores que queramos o modificar los ya existentes, mientras
cumplan los requisitos:
Si vamos a las propiedades del usuario al que le hemos especificado el TITULACION dentro del
Editor ADSI, podemos ver que el valor se ha almacenado correctamente(En este caso lo he
editado desde aquí porque como he dicho seleccione nombre completo con cadena y claro
desde el recuadro de arriba solo se puede meter el nombre completo y no la cadena por lo que
no queda guardado).