Crear unidades organizativas en Windows Server

 En una entrada anterior de este blog se han expuesto brevemente los objetos de dominio básicos que posee cualquier dominio.

  Por otra parte, en la mencionada entrada se ha explicado lo que es el Directorio Administrativo de Microsoft (utilizado desde el Windows 2000) y su utilidad como depósito estructurado de la información de dichos objetos (impresoras, usuarios, equipos, unidades organizativas, grupos, etc.).

 En la presente entrada se explicará el modo de crear las unidades organizativas ["Organizational Units" (OU), en inglés] en el Directorio Activo de un servidor de Windows.

 Los ejemplos utilizados durante la explicación se han probado en el Windows Server 2012 R2, pero las indicaciones son extrapolables a otros sistemas operativos de servidor Windows (aunque se deben tener en cuenta las variaciones exclusivas de cada sistema operativo, por supuesto).

CENTRO DE ADMINISTRACIÓN DE ACTIVE DIRECTORY

  El método gráfico de crear una unidad organizativa en Windows Server consiste en utilizar el "Centro de Administración de Active Directory" ["Active Directory Administrative Center (ADAC)", en inglés], o bien la herramienta de "Usuarios y Equipos de Active Directory" (más antigua). Para acceder a cualquiera de ellas se debe utilizar el panel de "Administrador del Servidor" y activar el menú "Herramientas", donde se puede pulsar con el botón izquierdo del ratón la opción (de las dos antes mencionadas) que el usuario prefiera.

  El proceso de creación es similar en ambos casos; sin embargo, Microsoft recomienda utilizar el primero de ellos, ya que es donde piensa ir colocando todas las nuevas características, dejando la segunda opción más por compatibilidad que por otra cosa.

  Así pues, desde la ventana del ADAC, se pulsa con el botón derecho sobre el dominio con el que se quiera trabajar (en este ejemplo "asia55 (local)"), y se accede por el menú contextual por la ruta "Nuevo > Unidad organizativa".

 Se abrirá una nueva ventana llamada "Crear unidad organizativa" donde se deberán rellenar los campos obligatorios y, si se desea, alguno de los demás; también es conveniente tener activa la pestaña "Proteger contra eliminación accidental". Al terminar, sólamente hay que pulsar el botón "Aceptar".

POWERSHELL

  Uno de los métodos para crear unidades organizativas mediante comandos es utilizar PowerShell. A pesar de que la consola es bastante más engorrosa para estas operaciones que las interfaces gráficas de usuario, es muchísimo más conveniente si se pretende crear al mismo tiempo una gran cantidad de objetos, o bien automatizar la administración de los mismos.

  Para crear una nueva unidad organizativa se utiliza el cmdlet New-ADOrganizationalUnit -Name <Nombre de la OU> -Server <Nombre completo del servidor> -Path “dc=<ruta de dominio 1>,dc=<ruta de dominio 2>” en la consola de PowerShell (mejor si se está en una sesión de administrador). Como se puede apreciar, en este cmdlet el usuario debe indicar el nombre de la nueva OU, en qué servidor se va a crear y la ruta dentro del directorio donde se va a crear.

  Otros cmdlets muy útiles de PowerShell para administrar unidades organizativas son:

• Get-ADOrganizationalUnit -Identity "OU=<Nombre de la OU>,DC=<ruta de dominio 1>,DC=<ruta de dominio 2>": Proporciona información sobre una OU.
• Get-ADOrganizationalUnit -Identity "OU=<Nombre de la OU>,DC=<ruta de dominio 1>,DC=<ruta de dominio 2>" | FT Name,DistinguishedName,objectClass: Muestra información sobre una OU en formato tabla.
• Get-ADOrganizationalUnit -Filter *: Lista todas las unidades organizativas. Si se desea la información en formato tabla, basta con añadir al cmdlet | FT Name,DistinguishedName,objectClass.
• Rename-ADObject "OU=<Nombre de la OU>,DC=<ruta de dominio 1>,DC=<ruta de dominio 2>" -NewName "(nuevo nombre de la OU)": Cambia el nombre de la unidad organizativa.
• Remove-ADOrganizationalUnit "OU=<Nombre de la OU>,DC=<ruta de dominio 1>,DC=<ruta de dominio 2>": Elimina una unidad organizativa que no haya sido creada con protección contra eliminación accidental.

LDAP DESDE SÍMBOLO DEL SISTEMA

  Por último, pero no menos importante, se encuentra el método de creación de unidades organizativas mediante el empleo del símbolo del sistema para manipular LDAP, que es el más antiguo.

  El protocolo LDAP (utilizado por el Directorio Activo) emplea nombres distintivos ["Distinguished Name (DN)", en inglés] para identificar de forma única a los objetos, que, a su vez, usa varias parejas Tipo_Objeto=Nombre_Objeto separadas por comas para identificar cada objeto.

  Por otra parte, los DN van ordenados de izquierda a derecha, de modo que siempre terminan con los componentes del dominio ["Domain object Class (DC)", en inglés].

  Por su parte, los contenedores ("Usuarios", "Equipos") se identifican como de tipo  nombre común ["common name (CN)", en inglés]. Existen diferencias entre contenedores y unidades organizativas:

•   Los contenedores se crean automáticamente al crear el dominio y promover un servidor a controlador de dominio, mientras que las unidades organizativas hay que crearlas manualmente.
•  No se pueden aplicar políticas de grupo a los contenedores, pero sí a las unidades organizativas.
•   No se pueden crear OU dentro de los contenedores, sí dentro de otras OU.

  Si el nombre DN tiene espacios en blanco tiene que estar encerrado entre comillas; además, no distingue mayúsculas de minúsculas.

  El comando dsadd ou <DNUnidadOrganizativa> [-desc <descripción>] [{-s <servidor> | -d <dominio>}] [-u <nombreUsuario>] [-p {<contraseña> | *}] [-q] [{-uc | -uco | -uci}] es el que permite crear la unidad organizativa.

  Se puede ver la sintaxis completa del comando escribiendo dsadd ou /? en la consola del símbolo del sistema.

  Por último, para eliminar la unidad organizativa (que no tenga protección contra eliminación accidental) se empleará el comando dsrm <DNUnidadOrganizativa> [-desc <descripción>] [{-s <servidor> | -d <dominio>}] [-u <nombreUsuario>] [-p {<contraseña> | *}] [-q] [{-uc | -uco | -uci}].

  Espero que esta entrada haya sido entretenida y/o útil al lector. Si este ha sido el caso, aguardo que el lector la comparta y/o la comente, por favor.