Administrando Computer Objects (W2008/2012)

Cuando hablamos de equipos la autoridad para la autenticación en un grupo de trabajo es realizado por la SAM, y cuando está metido en dominio, es el Active Directory.

Cuando se mete una maquina en dominio, ésta configura su SID para que coincide con el SID de la computer account que esta en el AD (si la creamos previamente) y entonces configura una password inicial con el dominio.


Aparte hace otras tareas como añadir al grupo Domain Admins al grupo administradores de la maquina

Requerimientos para unir una maquina al dominio

  • Debemos tener permisos en AD para meter maquinas en dominio (a través de delegación) . Por defecto los usuarios pueden meter 10 máquinas en dominio pero esto lo podemos cambiar
  • Ser miembro del grupo administradores del PC cliente, ya que cambiaremos la pertenencia de workgroup a dominio

Lo más recomendable es crear previamente una cuenta de maquina en el dominio, en la OU que deseemos, luego al meter la maquina en dominio, Windows busca el objeto y lo une. En el caso de no crearse previamente, la maquina se añade al contendor “Computers”

Al añadirse a Computers (el contenedor) implica que no es una OU, por lo que no se puede linkar a una GPO ni crear sug-OU dentro del contenedor

No obstante podemos forzar a que las máquinas que no están creadas previamente, se añadan donde queramos. El comando es

OU para computers

La mayoría de las organizaciones, crean dos OU, una para equipos y otra para servidores y a su vez hacer subdivisiones por región y si es necesario otra subdivisión por departamento. De esta forma es más fácil poder aplicar GPO

También podemos hacer subdivisiones en la categoría servidor, por ejemplo creando una OU para File Servers y otra para servidores de bases de datos, de esta forma podemos delegar permisos a otros usuarios

Delegar permisos para crear Computadoras

El permiso requerido es “create computer Objects“. Se crearía sobre una OU, y daríamos pernisos al usuario o grupo en cuestión.

Para hacerlo a través de la pestaña seguridad

En las propiedades de la OU > pestaña security > botón advanced


Elegimos”Create Computer Object” aunque a veces falla porque le falta más permisos. Que sea a este objeto y todos los descendientes


Añadimos otro permiso avanzado al usuario y que se aplique a “Descendant Computers object” y seleccionamos los siguientes


Para evitar los usuarios metan maquinas en domino (las 10)

Si una maquina esta pre-creada solo podrá meterla en dominio las personas que tengan permisos, y un usuario normal no podrá agregarla, ya que al estar creada comprueba si tiene permisos o no. PERO un usuario puede meter en dominio 10 máquinas que no estén pre-creadas.

Podemos evitarlo de la siguiente manera

01..- Poner machine cuota a cero

En las propiedades del dominio.com, con las opciones avanzadas activadas > pestaña “Attribute Editor” > editamos “ms-DS-MachineAccountQuota” y le ponemos valor 0


02.- El administrador pre-crea la cuenta y delegar permisos (por ejemplo a help desk)

Ahora si quiero que el usuario juan meta una cuenta en dominio, lo que hago es pre-configurar un nombre de equipo.

  1. Pre-configuro una cuenta de equipo, por ejemplo, BCN1. Creo el objeto computer
  2. con el botón “change” añado al grupo help desk, por lo que el grupo helpdesk podrá meter en dominio un equipo llamado “BCN1″ que habrá sido pre-creado por el administrador”


No obstante esto implica que le da más permisos de los necesarios, ya que también puede modificar objetos

Cuando un usuario normal intente meter maquinas en dominio, le va a salir el mensaje de que o ya está metido en dominio, o si es uno equipo nuevo, le dirá que ya ha sobrepasado el límite (0).


Si viéramos las propiedad de seguridad del objeto computer, veriamos que al usuario/grupo que se le ha dado permiso para meter maquina en dominio, veríamos que se le ha dado varios, realmente más de los que necesita para meter maquina en dominio


USO DELEGATE CONTROL PARA METER EQUIPOS EN DOMINIO

Delegar meter maquinas en dominio (solo meter) con Delegate Control

Desde la OU a la que queremos dar el permiso > delegate control


Añadimos a los usuarios /grupos que podrán unir maquinas l dominio


Creamos a custom delegate


Seleccionamos “Only the following…” , “Computer Objects” y “Create selected objects in this folder” next


Seleccionamos “Create All Child Objects” o También nos valdría en vez de seleccionar “all child objects” seleccionar lo siguiente

  • Reset Password
  • Read and write Account Restrictions
  • Validated write to DNS host name
  • Validated write to service principal name

Next y finalizamos

Best practice para la creación y unión de PC al dominio

Las mejores prácticas para meter maquinas al dominio son

  • Pre-crear la maquina en una OU: de esta forma no requiere movimiento. Al estar en una OU le podemos aplicar una GPO, ya que si se crea en el container “computer”, todo esto no sería posible
  • Configurar el Default computer container: si la maquina no esta pre-creada, se creara en el contenedor “cn=computers”dc=domain,dc=com” y no se podrá aplicar políticas. Si cambiamos esta ruta, podemos minimizar el impacto de no tener un equipo pre-creado y hacer que las maquinas nuevas se añadan a una OU, en la cual por ejemplo. Tenga una GPO que le instale un software
    • Redircmp <DN of OU for new computer>
    • Eliminar la restricción de que los usuarios puedan añadir maquinas al dominio: por defecto son 10 y lo podemos evitar editando el atributo del dominio llamado ms-DS-MachineAccountQuota y poniéndolo a 0.

      Cuando una maquina esta pre-creada, solo podrán meterla en dominio los grupos que tengan permisos, pero cuando no está pre-creada, los usuarios tienen la capacidad de meter 10 máquinas en dominio

      Tambien desde ADSI edit > propiedades de Default Naming Context


Automatizar la creación de cuentas de equipo

Podemos hacer con CSVDE, LDIFDE, DSAD, Netdom y Powershell

CSVDE

Deberíamos tener un fichero


Como vemos. Debe incluír las columnas

  • userAccountControl que siempre ponga 4096 (asi se asegura que se una al dominio)
  • sAMAccountName que sea igual que la columna name y que acabe en $ (nombre pre-windows

El fichero es un Excel, pero se exportaría a CSV delimitado por comas. El comando para importarlo seria


LDIFDE

Es similar al anterior, e importa en formato LDAP (fichero en bloque de líneas separado por una línea en blanco)



Comando dsadd




NOTA: el $ del samid es para que reconozca el netbios, si no pongo el dolar, cuando quiera meter una maquina en dominio que lo ponga en la OU que quiero, me va a crear una maquina nueva llamada cliente, y no va a respetar la que ha creado

Powershell

Para crear una cuenta de computadra

Meter maquina en dominio: Este comando añade la maquina cliente al dominio con las credenciales del administrador. Vemos que no hay que poner el nombre de máquina, se supone que es PC01


NetDom

Podemos usar el comando netdom add (la ayuda netdom add /help) para crear una cuenta de equipo

Para crear una cuenta de computadora


Para unir una maquina al dominio desde un equipo remoto


Nos pedira primero las credenciales del objeto domain user (userD) y luego la password del objeto (userO)

Administración del objeto computer

Configurar atributos de “computer”

Cuando creamos el objeto manualmente, nos pide muy pocas cosas; el nombre del equipo, y la delegación para unir unirla al dominio. Pero tiene otras muchas propiedades no visibles


Estas son las propiedades de una maquina pre-creada


  • Operating system: es de solo lectura y estra vacia hasta que se meta la maquina en dominio
  • Location: util para poner donde está ubicado. Ejemplo; ES/MAD/sol/planta3/
  • Managed By: Podemos poner al usuario al que está destinada esta máquina. Es a título informativo y los campos se rellenaran con los del usuario en cuestión. Em caso de que fuera un servidor, podemos poner al grupo responsable
  • Member of: podemos unir la computadora a gupos. Es útil para asignar acceso a un recurso gracias a ese grupo, para filtrar la aplicación de una GPO o para implementación de software a través de SCCM
  • Dial-in: configuración de NPS

Podemos modificar atributos con dsmod y con powersell (set-ADComputer)

Mover una computadora

Podemos moverla de OU con dsmove <dn origen> -newparent <dn destiono> [-newname “juan gris”]

Canal seguro entre dominio y computadora (Trust Relationship)

Cada computador en un Active directory tiene un nombre de usuario (sAMAccountName) y una password. Esta password se guarda en forma LSA (local security authority) y cambia su password con el dominio cada 30 dias

Este usuario y password se usa para crear un canal seguro entre el equipo y el domain controller. Este canal seguro se puede romper por

  • Después de reinstalar el S.O en una Workstation, ya que la nueva instalación genera un nuevo SID y la nueva computadora la “computer account password” del dominio.
  • Una computadora es restaurada de un antiguo backup: el controlador de dominio, solo conoce la password actual, y se restauramos de un backup viejo, la computadora tendrá una password vieja, que no coincide con la que sabe el dominio
  • La password entre computadora y dominio no coincide

Muchos errores nos pueden dar una pista, como por ejemplo, que la cuenta computadora esta pérdida, que password de computadora es incorrecta, o que la relación de confianza (secure relationship) entre la computadora y dominio falla


Reparar el canal seguro. Reseteo

Cuando el canal seguro falla, debemos resetear el canal. Muchos administradores eliminan la computadora del dominio, la meten engrupo de trabajo y la vuelven a unir al dominio, pero no es bueno, porque pierde el computer SID, y la membresía de grupos, incluso aunque lo añadamos con el mismo nombre

En vez de hacer esto, lo que haremos será resetear el canal seguro. Hay varias formas

Desde usuarios y equipos de active directory lo reserteamos y luego metemos de nuevo el equipo en dominio y reiniciamos


Por comando reseteamos el canal, rejoin de la maquina al dominio y reiniciamos

Con Netdom. Las credenciales deben pertenecer al grupo local de administradores de la maquina a resetear. Este comando resetea simultáneamente la password en computadora y dominio, por lo que no requiere reiniciar ni rejoin al dominio

Con NLTEST: tampoco haría falta un rejoin ni reiniciar el equipo

Por powershell.

Resetea simultáneamente la password en computadora y dominio. Desde ser ejecutado en equipo local



Rename Computer

Hay que tener cuidado con el renombrar, ya que si solo renombramos el objeto del dominio, o solo renombramos la computadora, la sincronizaciones fallara.

Debemos renombrar un equipo de forma que sean cambiados ambos, el objeto del dominio y la computadora. Se puede renombrar una máquina que ya está metida e dominio de distintas formas

Por entorno grafico


Con Netdom:

Necesitamos credenciales que sean administradores locales del equipo y credenciales que puedan renombrar el objeto en el domino. Por defecto usara las credenciales con el que estamos logados


Por powershell

Este comando requiere que Remote Registry y RPC services
estén arrancados en la maquina remota a la que queremos cambiar el nombre remotamente. En versiones anteriores

Enable-Disable Computer

Si una computadora no es usada por mucho tiempo, podemos desactivarla, ya que no modifica SID, membresía. Al estar desactivado no se puede crear un canal seguro



Delete y recicle Computer

Cuando se borra un equipo, se piedre el SID y sus membresías, y aunque se cree un equipo con el mismo nombre, hay que reasignar los permisos y membresías



Hemos dicho que es importante, mantener el SID y membresía. Qué pasa si tenemos un equipo y le queremos actualizar el S.O con nuevo hardware. Este es otro escenario para resetear la password

Be the first to comment

Leave a Reply