Mover un Usuario u Objeto entre Dominios en el mismo Forest
El otro día me encontré con un requerimiento que era mover un usuario entre dominios de un mismo forest nativo. Obviamente no se puede hacer Drag & Drop y desde la GUI tampoco funciona aunque te pares en el RID master del dominio destino.
Entonces busqué la opción por comandos porque la tarea en si, se puede realizar. Al hacer esto me topé con un comando que no había utilizado nunca y me pareció que vale la pena comentar, MoveTree.
Este comando me pareció muy útil y viene cuando se instalan las Support Tools de Windows Server 2003. Te permite mover cualquier objeto entre dominios del mismo forest siempre y cuando esté todo en modo nativo.
El comando trabaja de la siguiente manera, cuando se mueve un objeto primero se pone en el contenedor Lost & Found del dominio origen y luego si todo está bien en cuanto a los requisitos es movido al dominio destino. Si se encuentra un error lo deja ahí. Ahora bien antes podemos ejecutar un modo de chequeo que nos alerta ante cualquier posible problema, lo cual es extremadamente útil.
El comando tiene los siguientes modificadores u opciones:
Redireccionando los Objetos de User & Computer
En Active Directory al crear un nuevo usuario, grupo o equipo siempre se aloja en los contenedores por defecto. Estos contenedores son Users y Computers en los cuales no se puede aplicar ni siquiera una GPO ya que no son OU’s. La idea es comentar de qué forma podemos modificar esto para que automáticamente al crear un usuario se aloje en una respectiva OU que nosotros designemos así por defecto al agregar un objeto ya le aplicaría una serie de políticas que nosotros definamos.
Principalmente esto es muy útil a la hora de utilizar scripts. Si sos de administrar un ambiente utilizando scripts para la creación de objetos entonces te puede resultar de mucha ayuda redireccionar los objetos a una OU determinada y así ahorrar algo de programación.
Filtros WMI típicos para ser usados en GPO’s
Los que trabajamos con dominios basados en Active Directory estamos trabajando continuamente con políticas (GPO). Muchas veces estas políticas no tienen una OU determinada para ser aplicadas o bien tampoco podemos asignarlas utilizando autenticación ya sea de usuario o equipo. Para eso podemos utilizar los filtros WMI dentro de nuestra GPO.
WMI (Windows Management Instrumentation), nos va a permitir interactuar con el equipo al que se le aplican las políticas y dependiendo de los filtros que nosotros usemos, decidirá si aplicarla o no. Por ejemplo, supongamos que generamos una política para instalar un Service Pack de Windows, asignamos el MSI a la misma y la aplicamos a toda la OU de equipos de nuestro ambiente. Pero qué pasa si tenemos equipos en nuestro ambiente con poco espacio en disco C como para instalarse el Service Pack, nosotros no queremos que en esos equipos se instale el mismo y tampoco tenemos todo relevado para poder excluir la misma. Para eso usamos un simple filtro WMI que se fije el espacio en disco libre y si supera la cantidad que nosotros designamos se aplique la política o no.
Configurando los Clientes de WSUS por GPO
En artículos anteriores hemos cubierto la instalación de un Servidor de WSUS como también tomar Backup del mismo. Asimismo cubrimos la parte de Restore y el pasaje de la data a un nuevo hardware. Ahora todavía no hemos configurado via GPO los clientes para que se reporten en el servidor de WSUS. Ese es el objetivo de este artículo.
Los clientes de WSUS requieren tener una versión de Automatic Updates (AU) actualizada. En la instalación del WSUS se publica automáticamente la última versión cliente de AU para que se instale en los equipos y así asegurar el correcto deploy de los parches y actualizaciones. En este caso vamos a cubrir la configuración de los clientes via GPO, eso quiere decir que en el ambiente existe un Active Directory. Si este no es tu caso, próximamente comentaré las entradas del registro necesarias para poder hacer una configuración manual. Sino podés usar la política local de cada equipo, pero en el caso manual es mas práctico enviar un .reg a los equipos.
Group Policy Diagnostic Best Practice Analyzer
Microsoft liberó la herramienta Group Policy Object BPA. Conocíamos con anterioridad otros BPA como el de Exchange y el del ISA. Básicamente comparan tus configuraciones con las mejores prácticas (Best Practices) realizadas por Microsoft. Luego te emite un reporte con lo que deberías modificar o lo que está mal en base a alertas de alarma, error o solo advertencia.
Group Policy Object BPA crea un reporte de las mejores prácticas analizando primero lo que está configurado actualmente en tu dominio. La instalación es muy sencilla, se inicia el instalador y se siguen los pasos del asistente que no pregunta nada. Luego una vez finalizado se inicia el programa que por defecto busca nuevas versiones en Internet. Es importante siempre tener los BPA actualizados.
Como decía, el funcionamiento es similar al del Exchange o el del ISA, pero si nunca los utilizaste te cuento que debes ejecutar primero un Scan para que releve tu información. Para esto te va a pedir un usuario válido y luego, una vez que finaliza el análisis vas a poder ver los reportes. Para obtenerlos compara tu información con la base interna de Mejores Prácticas (que es la que actualiza cada vez que inicia la aplicación) y te da un resultado.