Editar Esquema de active Directory: Crear un nuevo atributo

COMPARACIÓN ESQUEMA ACTIVE DIRECTORY CON USUARIOS Y EQUIPOS Y EDITAR EL ESQUEMA ACTIVE DIRECTORY

2012

Javier García Cambronel SEGUNDO DE ASIR

06/01/2012

[COMPARACIÓN ESQUEMA ACTIVE DIRECTORY CON USUARIOS Y EQUIPOS Y EDITAR EL ESQUEMA ACTIVE

DIRECTORY] 6 de enero de 2012

SEGUNDO DE ASIR Página 1

COMPARACION ACTIVE DIRECTORY Y EDITOR ADSI (Ventajas y pequeño ejemplo)

Lo primero que haremos será crear una MMC en la que agregaremos el Editor ADSI y la conectaremos sobre nuestro propio equipo. 1. Inicio>Ejecutar>MMC

2. Menú superior>Archivo>Agregar o quitar complemento

3. Seleccionaremos Editor ADSI>Agregar y Aceptaremos

4. Una vez agreado pulsaremos sobre él dentro de la MMC y pulsaremos a Conectar a… y simplemente daremos a Aceptar para que se conecte a nuestro propio servidor y podremos ver:




Aquí podemos ver, aunque de diferente modo todas las características, unidades organizativas,

usuarios, equipos, etc. que tenemos creados en nuestro servidor. Normalmente accederíamos

a ella desde la función Usuarios y equipos de Active Directory pero esta herramienta también

nos valdrá para administrarlos.




Vamos a ver las dos herramientas a la vez para observar que realmente son la misma:




Ahora vamos a crear una nueva Unidad Organizativa y a ver sus propiedades en ambos sitios,

para ver si coinciden o si una de ellas nos ofrece más información:

La nueva OU se llamará: PruebaADSI




A continuación iremos a la MMC que contiene nuestro Editor ADSI y sobre el haremos clic con el botón derecho del ratón y pulsaremos Actualizar:

Y nos tendría que aparecer nuestra PruebaADSI. Vamos a ver una vista de ambas de nuevo, pero con la nueva Unidad Organizativa.

Vamos a comprobar que características nos ofrece cada una de estas herramientas: Editor ADSI: Pulsando con el botón derecho del ratón sobre la nueva OU creada nos aparece un menú contextual y seleccionaremos Propiedades. Podemos observar dos pestañas Editor de atributos y Seguridad.

Podemos toda una serie de atributos que podemos modificar o establecer si no lo está aún.




Usuarios y equipos de Active Directory: Haremos lo mismo pero desde está función, iremos a la nueva Unidad Organizativa y con el botón derecho del ratón sobre ella seleccionaremos Propiedades.




COMPARACIÓN ENTRE AMBAS: Se puede observar a simple vista que las características que podemos modificar desde una consola con el Editor ADSI activado son mucho mayores, como el código postal, el nombre a mostrar, la descripción, el nombre que le da el administrador, etc. Y una cantidad muy amplia de características. En la función de Usuarios y Equipos de AD tan solo podíamos añadir cosas como calle, ciudad, código postal… por lo que el Editor ADSI nos da una mas fácil administración de nuestro sistema. Vamos a cambiar una de las características dentro del Editor ADSI para ver si se replica en la función de Usuarios y equipos de AD. Sobre las propiedades del Editor ADSI seleccionaremos description y añadiremos lo que

queramos:




Pulsaremos sobre Editar, y especificaremos en el recuadro de Valor para agregar lo que

queramos y pulsaremos Agregar y luego Aceptar.

Una vez aceptados los pasos y aplicados los cambios, iremos a la función de Usuarios y Equipos de AD y actualizaremos.




Y volvemos a las propiedades de nuestra unidad organizativa PruebaADSI.




EDITAR EL ESQUEMA DE ACTIVE DE ACTIVE

DIRECTORY

Para editar el esquema de AD, debemos crear una nueva consola de mmc, aunque antes

tenemos que DLL “schmmgmt.dll”. Incicio>Ejecutar y escribimos:

De este modo ya podremos ir a una nueva MMC y agregar el complemento Esquema de Active

Directory.




Lo que haremos es, mostrar una nueva característica que anteriormente no se mostraba por

ejemplo en las características de un usuario, por ejemplo. Esto podremos hacerlo en cada una

de las características del Active Directory.




Una vez creada la MMC con el Esquema de AD, vamos a la clase user y en ella vamos a crear

un nuevo atributo. Estas son las propiedades de la clase user:

Y en ella podemos ver los atributos y demás propiedades que se van a mostrar en la

característica user.




Ahora lo que vamos a intentar en esta práctica es crear un nuevo Atributo para que cada vez

que tengamos un usuario podamos añadirle, además de las características que vienen

predefinidas.

Pulsaremos sobre Atributos con el botón derecho del ratón y pulsaremos sobre Crear Atributo




Ahora podemos ver la pantalla de de creación de un nuevo atributo: El Id. de objeto X500 único, como el propio nombre índica, debe de ser único y lo

generaremos mediante un script, que lo obtendremos de este link. Lo almacenaremos en un

documento con extensión .vbs y dentro del recuadro especificaremos el numero identificativo

que nos dé.

Una vez ejecutado el script veremos algo así:




Copiaremos el código dentro de la casilla mencionada antes y nos quedará así: Me he

equivocado en la sintaxis asique después solo dejara hacer los cambios desde el esquema y no

de usuarios y equipos, recordad que hay que escoger uno que se adapta a nuestras

necesidades.




Ahora que tenemos creado el atributo, vamos a añadirlo para que cuando añadamos un nuevo usuario podamos introducir su TITULACION. Iremos a Clases dentro del Esquema de Active Directory y buscaremos user y clicaremos con

el botón derecho del ratón sobre él para escoger Propiedades.




Iremos a la pestaña Atributos y pulsaremos sobre Agregar para añadir uno nuevo:

Y podremos ver cómo nos salen toda la lista de atributos que existen, entre ellos el que

acabamos de crear, le seleccionamos y le agregamos pulsando sobre Aceptar:




De este modo, aceptaremos todas las pantallas que tengamos abiertas e iremos a la MMC creada con el editor ADSI si no pues la creamos, siguiendo estos pasos, que es el que nos puede mostrar todos los atributos que tiene un clase y miraremos a ver si un usuario tiene el nuevo atributo creado TITULACION.




Abriremos el Editor ADSI desde una MMC y antes de ver si aparece el atributo en un usuario

tenemos que actualizar el caché:




Aceptaremos y ya podremos ver, dentro de las propiedades del usuario que nosotros

queremos, que aparece nuestro atributo creado el cual podemos editar ya si queremos:




Ahora vamos a editar el esquema para poder mostrar y modificar el atributo creado desde la función de Usuarios y Equipos de Active Directory. Esto nos ayudará a añadir de manera sencilla el TITULACION (en nuestro caso, que es el que hemos creado) sin necesidad de entrar al editor ADSI y desde la herramienta de usuarios y equipos. Lo primero que debemos hacer es generar un script con extensión .vbs que nos permita editar

el TITULACION:




Guardaremos el script (DS_TITULACION.vbs) y es recomendable almacenarlo en C:\. Ahora nos conectaremos a nuestra MMC con el editorADSI, normalmente nos conectábamos

al equipo sobre el empresajavier.org pero ahora nos conectaremos como Configuración:




A continuación sobre Editor ADSI iremos navegando, Configuración[NombrePC.Dominio] >CN=Configuración,DC=dominio,DC=es >CN=DisplaySpecifiers Veremos una serie de líneas, del tipo CN=XXX, ¿Cuál es la que tenemos que editar? Abriremos

una consola de ejecutar y especificamos: regedit

Se nos abrirá el editor de registro y debemos navegar por él para seleccionar el nodo que

corresponda a nuestra configuración regional. La mía es el español por lo que navegaremos

hasta: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\ContentIndex\Language




Y el valor, en nuestro caso el 3082 habrá que pasarlo a hexadecimal, que equivale al numero

C0A por lo que el nodo que editaremos es el CN=C0A




Entonces volveremos a la configuración del Editor ADSI y e iremos hasta la línea que pone CN=C0A. Hacemos clic con el botón derecho del ratón sobre CN-user-Display y seleccionamos

Propiedades.




Dentro de las propiedades, seleccionaremos adminContextMenu y pulsaremos sobre Editar.

Debemos añadir una línea tal y como la que he seleccionado, cambiando la ruta o el nombre

del archivo si le hemos llamado de manera diferente.




También es conveniente actualizar el caché del esquema:

Iremos a la función de Usuarios y Equipos de Active Directory y haremos clic sobre un usuario a ver si hemos realizado correctamente los pasos anteriores: Podemos observar como aparece el TITULACION para añadir en uno de nuestros usuarios.




Y como podemos añadir los valores que queramos o modificar los ya existentes, mientras

cumplan los requisitos:

Si vamos a las propiedades del usuario al que le hemos especificado el TITULACION dentro del

Editor ADSI, podemos ver que el valor se ha almacenado correctamente(En este caso lo he

editado desde aquí porque como he dicho seleccione nombre completo con cadena y claro

desde el recuadro de arriba solo se puede meter el nombre completo y no la cadena por lo que

no queda guardado).

Editar Esquema de active Directory: Crear un nuevo atributo

Documents

Transcript of Editar Esquema de active Directory: Crear un nuevo atributo