modulo 4 - automating active directory domain service administration

Lesson 1: Using Command-line Tools for AD DS Administration

Bulk: En bloque. En línea de comando tenemos 2 herramientas básicas: CSVDE y LDIFDE CSVDE: Importante!

• CSVDE--> Comma Separated Values Data Exchange (Intercambio de datos de valores separados por comas)El formato de archivos es csv. Es un archivo que almacena una tabla de valores en la que se separan por comas en lugar de por tabuladores Siempre tiene una primera fila en la que se indican los títulos o nombres de las columnas. Las siguientes filas son los registros que vamos a exportar o importar.

NOTA: Con el parámetro CSVDE NO se pueden modificar objetos, se pueden crear nuevos, pero no modificar

-i = importar, por defecto va a exportar si no ponemos "-i" -k = si hay algún error en el archivo, por ejemplo de sintaxis en un nombre, lo ignora y continua con el proceso sin importar la línea con error. El funcionamiento básico de CSVDE es exportar, si no le digo nada exporta. Ejemplo: Todos los objetos que tengo en el directorio activo lo va a exportar a adobject.csv

Lo abrimos, y lo borramos

Módulo 4: Automating Active Directory Domain Services Administration jueves, 9 de octubre de 2014 10:57

of 28OneNote Online

11/01/2016https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e...

Vamos a sacar los objetos de la unidad organizativa "practicas" -d --> sacamos la ruta de lo que queremos mostrar.

-r --> creamos un filtro donde le vamos a decir que saque solo los objetos "Usuario" y lo guardamos en un archivo que vamos a llamar PrUsers.csv

Tenemos esto en entorno gráfico:

Vamos a hacer la exportación de todos los objetos que tenemos dentro de la unidad organizativa "Sale"

Y ahora vamos a verlo.

of 28OneNote Online


-p --> es la profundidad con la que queremos exportar. Si ponemos "base" solo saca la base

Y esto es lo que muestra.

Queremos sacar el primer nivel

Y esto es lo que muestra:

-p subtree --> hace la búsqueda de todo lo que hay debajo. Si no se pone nada, por defecto es subtree.

Y esto es lo que muestra

Si queremos sacar 2 columnas concretamente: (en este caso vamos a sacar la ultima columna. Vamos a sacar el DN y el UPN, solo de los usuarios.

Utilizamos el siguiente comando:

of 28OneNote Online


Y nos muestra lo siguiente:

Creamos una Unidad Organizativa (Llamado "Mod4")(lo hacemos desde el entorno grafico) con 6 usuarios que importamos con el archivo que hemos descargado desde Office 365 (desde línea de comandos) Primero modificamos el archivo y cambiamos "sales" por "mod4" para que lo ubique en su OU.

Ponemos el siguiente comando para insertar los 6 usuarios:

NOTA: csvde no permite utilizar contraseña, solo admite texto en plano, por lo que los usuarios están deshabilitados. Tampoco permite modificar. • ldifde. La diferencia con el csvde es que con este comando si puedo modificar.

◦ Las opciones de comandos son iguales que las que de csvde. Ejemplos:

Vamos a exportar todos los objetos que están dentro de la unidad organizativa de "Mod4"

Y muestra: (Cada bloque está separado por una línea en blanco) y solo muestra los atributos que tienen valores, también se muestran mas ordenados.

of 28OneNote Online


NOTA: mirar detenidamente "sAMAccountName"

Con este comando solo muestra los usuarios

Los borramos desde Entorno Grafico para volver a incorporar los usuarios que nos hemos descargado en el bloc de notas que vemos arriba.

Me dice que no podemos importarlo porque están protegidos algunos atributos, por lo que hay que quitar los atributos que crean conflicto. Antes:

of 28OneNote Online


Después: Imagen

Ahora ya podemos ejecutar el comando:

Y vemos que aparecen:

of 28OneNote Online


Imagen

Ahora copiamos los archivos

Tenemos este documento: Imagen

Lo modificamos borrando todos los usuarios menos uno y cambiando add por delete Imagen

Ahora importamos el archivo nuevo, y nos borrara al usuario "Petergr" Pero aparece el siguiente mensaje de error. Imagen

of 28OneNote Online


Es un error en la línea 3. La borramos. Imagen

Y volvemos a lanzar el comando Imagen

Y ahora creamos un usuario nuevo. El usuario es nuevo porque el SID es diferente aunque el nombre del usuario sea el mismo. Imagen

Ejercicio:-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Usar LDIFDE para añadir a los 6 usuarios de la OU Mo4 como miembros del grupo Auditors. (changetype:modify) Escuchar detenemidamente la grabacion del dia 9/10/2014 para escuchar la explicacion.Primero consultamos el archivo Mod4ObjectY lo que necesitamos es el CN de cada usuario.

Imagen

Creamos un notepad en blanco y vamos rellenando.Pero si importamos el archivo saltaria un error porque faltaria un guion "-" al finalizar el textoImagen

of 28OneNote Online


Imagen

Guardamos el archivo con el nombre que queramos y lo importamos.Imagen

Vamos a comprobarlo:Imagen

Imagen

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Comandos DS.Queremos añadir un usuario:

Imagen

of 28OneNote Online


El usuario aparece deshabilitado. Entramos en el centro Administrativos, seleccionamos el usuario con el botón derecho y propiedades. Pero vamos a ver como desde el comando "DS" podemos modificar por ejemplo el departamento al que pertenece el usuario. Imagen

Ahora lo borramos Imagen

Comandos PowerShell:Comandos para trabajar con usuarios: New-ADUser Set-ADUser Remove-ADUser Set-ADAccountPassword Ser-ADAccountExpiration Unlock.ADAccount Enable-ADAccount Disable-ADAccount

Read-Host (para mostrar el prompt). Va a crear un usuario con contraseña cifrada Imagen

Ha creado el usuario pero está deshabilitado. Para crearlo habilitado se escribe: Imagen

El comando completo es: Imagen

Compejidad de contraseñas:Definida en el dominio en GPO: • Al menos 8 caracteres • Mayúsculas y minúsculas. • Algún carácter no alfanumérico (@,#,-,….) Si no se cumplen estos requisitos, podemos crear la cuenta, pero no habilitarla.

Ahora borramos el usuario: Imagen

Creamos el usuario en otra unidad organizativa: Imagen


Gestión de Grupos:Add-ADGroupMember: Dado un grupo, añadimos miembros (usuarios u otros grupos) a ese grupo. Add-ADPrincipalGroupMembership: Dado un usuaurio, un grupo o un equipo, lo hacemos miembro de uno o varios grupos.

NOTA: "Principal" es un usuario, grupo o equipo (Un objeto con SID)

NOTA: Membership significa "de quien es miembro" CANAL SEGURO --> Miran en casa Vamos a crear una unidad organizativa a ver si se crea con la seguridad de borrado accidental.

Imagen

Vemos la siguiente imagen: Donde observamos que se ha creado con la seguridad de borrado accidental.

of 28OneNote Online


Imagen

Y ahora la borramos: Imagen

Pero vemos que no nos deja porque está protegida. Quitamos la protección. Imagen


Le volvemos a decir que queremos borrarlo Imagen

Lesson 3.Como hacer una operación en bloque desde el entorno gráfico.

Entramos en el "Centro Administrativo" --> Global Search Imagen

Imagen

Hemos buscado "user3" y aparece: Imagen

El criterio Object..... es uno de los mas utilizados.

of 28OneNote Online


Imagen

Por ejemplo tenemos que buscar los usuarios de una Unidad Organizativa. Imagen

NOTA: No se pueden resetear las contraseñas de varios usuarios desde el centro administrativo. Para cambiar las propiedades por ejemplo, seleccionamos los usuarios y pulsamos en propiedades

Imagen

Ahora vamos a ver todas las propiedades del usuario administrador: Imagen

Ahora quiero ver las propiedades principales de los usuario que estén en el departamento de ventas

of 28OneNote Online


Imagen

Y si quiero ver todas las propiedades se añade: Imagen


Pero quizá interesa sacar alguna de las propiedades por concretar y no tener tantos datos, por ejemplo su ultimo inicio de sesión. Imagen

Aparece en blanco porque nunca han iniciado sesión. Vamos a buscar el administrador que sabemos que si que ha iniciado sesión: Imagen

of 28OneNote Online


NOTA: No existe la propiedad deshabilitados, se escribe "habilitado=falso" Vamos a Buscar todos los usuarios deshabilitados:

Imagen

Ahora queremos borrar a todos los usuarios que llevan sin iniciar sesión desde el 1 de abril, pero si hubiera 500 usuarios no podemos estar pendiente de confirmar todos por lo que se escribe -Confirm $false Imagen

Imagen

Para entender la NOTA ver la diapositiva "Working with CSV Files" NOTA: foreach (por cada uno de...) --> Es un bucle que utiliza Powershell para recorrer fila por fila un archivo CSV que le introducimos.

Hemos copiado en LON-DC1 un archivo que se llama LabUser.csv Y dentro hay esto: Imagen

Ahora con el siguiente comando queremos guardara en $user (es la variable) el contenido del archivo. Hacemos la importación: Imagen

Vamos a ver que hay dentro de la variable: Vemos que lo ha ordenado de manera que poweshell lo entienda. Imagen

Le decimos que "por cada uno de los bloques" ($user) quiero que el valor (el bloque) lo metas en la variable ($users)

of 28OneNote Online


NOTA: Write-Host --> muestra en pantalla Imagen

Ahora vemos por ejemplo el "SAM Account Name" Imagen

Ejercicio:------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Nos han pasado un archivo (LabUsers.csv) con 387 usuarios que tenemos que crear en el directorio activo.Usar Poweshell paraa crear estos usuarios en la unidad organizativa "Lab4".Usar Powershell para modificar la propiedad Department de estos 387 usuarios para que sea "Logistica"

Tenemos este archivo guardado en C:\ :Imagen

La contraseña no cumple con los requisitos por lo que cambiamos las contraseñas.Imagen

of 28OneNote Online


Cerramos el archivo y comenzamos a trabajar con Powershell, primero hay que importar el archivo.Imagen

Nos aparecen todos los resultados del archivo ordenado y separado.No es necesario pero se puede redirigir a un archivo con el comando:Imagen

Pero lo vamos a guardar en una variable.Imagen

Vamos a ver lo que hemos guardado en la variable.Imagen

La contraseña viene en plano, por lo que hay que cifrarla:Imagen

Ahora tenemos que recorrer cada usuario, para ello utilizamos el bucle "foreach"Le decimos que recorra uno por uno los datos que hay en la variable usuarios y lo almacene en usuariosPor ejemplo vamos a decirle que recorra todo el archivo y muestre el DisplayNameImagen

Imagen

Ahora tenemos que arrancar ISE para crear un script:

Convierte las contraseñas a una contraseña segura, pero le decimos el campo password porque es donde almacena la contraseña, y que se lo pasamos en plano, las líneas 5 y 6 van seguidas, las he separado para hacer la foto.

Imagen

of 28OneNote Online


Imagen

Ahora vamos a ver los usuarios que no tienen dep.Imagen

Y ahora metemos a los usuarios en el dep. "Logistica"Imagen

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

of 28OneNote Online


of 28OneNote Online


modulo 4 - automating active directory domain service administration

Documents