1.6K
Una unidad organizativa (OU) es un contenedor en el dominio de Active Directory que puede contener diferentes objetos del mismo dominio de AD: otros contenedores, grupos, usuarios y cuentas de computadora. Una unidad organizativa de Active Directory es una unidad administrativa simple dentro de un dominio en la que un administrador puede vincular objetos de directiva de grupo y asignar permisos a otros usuarios/grupos.
Hay dos tareas principales al usar OU, además de almacenar objetos de Active Directory:
- Delegación de tareas administrativas y de gestión dentro del dominio a otros administradores y usuarios sin otorgarles los privilegios de administrador del dominio;
- Vinculación de directivas de grupo (GPO) a todos los objetos (usuarios y equipos) de esta unidad organizativa.
¿Cómo crear una unidad organizativa utilizando la ADUC?
Para crear una nueva Unidad Organizativa en Active Directory, su cuenta debe tener permisos de Administrador de Dominio, o se deben delegar los permisos para crear una nueva OU (en todo el dominio o en un contenedor específico).
Abra el complemento Usuarios y equipos de Active Directory (Win + R > dsa.msc) y seleccione el contenedor de dominio en el que desea crear una nueva unidad organizativa (crearemos una nueva unidad organizativa en la raíz del dominio).
Haga clic con el botón derecho en el nombre de dominio y seleccione Nuevo > Unidad organizativa.
Especifique el nombre de la unidad organizativa que desea crear.
También puede utilizar el Centro de administración de directorios (dsac.exe) para crear unidades organizativas nuevas:
- Cambie a la vista de árbol y expanda el dominio o contenedor donde desea crear una nueva unidad organizativa;
- Haga clic con el botón derecho en la unidad organizativa o el dominio, seleccione Nuevo > Unidad organizacional;
- Especifique el nombre de la unidad organizativa. Además, puede especificar una Descripción, asignar un administrador;
- Haga clic en Aceptar, regrese a la consola del Centro de administración de Active Directory y verifique si la nueva unidad organizativa aparece ahora en la lista y está disponible para su uso.
Tenga en cuenta que, de forma predeterminada, al instalar Active Directory, el dominio contiene varios contenedores y unidades organizativas integrados:
- Incorporado — este contenedor contiene grupos de seguridad locales administrativos y de dominio;
- Ordenadores — este contenedor es donde las cuentas de computadora se crean de manera predeterminada cuando une el dispositivo a un dominio de AD.
Nota. Puede cambiar el contenedor predeterminado para nuevas cuentas de computadora con el comando:
redircmp «OU = Computadoras, OU = HQ, OU = EE. UU., DC = THEITBROS, DC = COM»
- Usuarios — contenedor predeterminado para nuevos usuarios y grupos con varias cuentas de usuario y grupos predefinidos. También puede cambiar la unidad organizativa predeterminada para usuarios y grupos con el comando:
redirusr “OU=Usuarios,OU=HQ,OU=EE.UU.,DC=THEITBROS,DC=COM” - Controladores de dominio — esta es la unidad organizativa, que contiene todos los controladores de dominio. Cuando promociona el servidor a controlador de dominio, su cuenta se coloca en esta unidad organizativa. El Por defecto Política de controlador de dominio está vinculado a esta unidad organizativa.
De forma predeterminada, cualquier unidad organizativa creada está protegida contra la eliminación accidental. Si abres las propiedades de la nueva OU, verás la opción Proteja el objeto de la eliminación accidental activado en la pestaña Objeto. Para eliminar esta unidad organizativa, debe desmarcar esta casilla de verificación.
Haga clic derecho en la unidad organizativa y seleccione Borrar.
Si la unidad organizativa que desea eliminar contiene otros objetos, se le solicitará:
Confirmar eliminación de subárbol
El objeto Alaska contiene otros objetos. ¿Está seguro de que desea eliminar el objeto Alaska y todos los objetos que contiene?
Si habilita el Usar el control de servidor Eliminar subárbol y confirme la eliminación, se eliminarán todos los objetos anidados en el subárbol, incluso si están protegidos contra la eliminación.
Pista. Si habilita la papelera de reciclaje de AD en su dominio de Active Directory, puede recuperar algunos elementos eliminados. El enlace proporciona un ejemplo de cómo restaurar un usuario de AD eliminado.
Si no desmarca esta casilla, se producirá un error cuando intente eliminar la unidad organizativa protegida de Active Directory:
No tiene privilegios suficientes para eliminar la unidad organizativa o este objeto está protegido contra una eliminación accidental.
Puede ocultar la unidad organizativa a los usuarios en la consola Usuarios y equipos de Active Directory.
-
- Abra las propiedades de la unidad organizativa en el complemento ADUC;
- Vaya a la pestaña Editor de atributos de AD;
- Cambiar el valor de showInAdvancedViewOnly a verdadero;
- Actualice el contenido de la consola (presione F5). Ahora su unidad organizativa está oculta para los usuarios.
- Las unidades organizativas ocultas solo se muestran en el modo avanzado de la consola ADUC. Puede habilitar este modo a través del menú Vista > Función avanzada.
Estructura de unidad organizativa de Active Directory
En una pequeña infraestructura de Active Directory (20-50 usuarios) no es necesario crear una estructura de unidad organizativa compleja. Puede agregar todos los objetos a los contenedores raíz predeterminados (Usuarios y Equipos). En una gran infraestructura, es deseable dividir todos los objetos en diferentes contenedores. Básicamente se utiliza el diseño jerárquico de la Unidad Organizacional en Active Directory, ya sea geográfica, funcional u organizacionalmente.
Por ejemplo, su organización tiene sucursales en todo el mundo en diferentes países y ciudades. Sería lógico crear contenedores separados para cada país en el nivel superior del dominio y también crear contenedores separados dentro del país para la ciudad o el estado. Dentro de cada ubicación, puede crear unidades organizativas separadas para administradores, grupos, computadoras, servidores y usuarios (vea la captura de pantalla a continuación).
Si es necesario, puede agregar niveles adicionales de la jerarquía (edificios, departamentos, etc.). En tal jerarquía de Active Directory, puede delegar permisos de AD y vincular GPO de manera flexible.
¿Cómo crear una unidad organizativa de Active Directory usando PowerShell?
Anteriormente, para crear una unidad organizativa de AD, podía usar la utilidad de la consola dsadd. Por ejemplo, para crear una unidad organizativa en un dominio, puede ejecutar este comando:
dsadd ou “ou=IT,dc=theitbros,dc=com”
En Windows Server 2008 R2 y sistemas operativos más nuevos, apareció un módulo separado para interactuar con AD: el módulo PowerShell Active Directory (es parte de RSAT). Puedes usar el New-ADOrganizationalUnit cmdlet para crear una unidad organizativa. Por ejemplo, cree una nueva unidad organizativa denominada Canadá en la raíz del dominio:
New-ADOrganizationalUnit -Name "Canada"
Para crear una unidad organizativa nueva en un contenedor existente, ejecute el siguiente comando:
New-ADOrganizationalUnit -Name Toronto -Path "OU=Canada,DC=theitbros,DC=com" -Description "Toronto city" –PassThru
Si necesita crear una estructura de unidad organizativa específica, puede crearla de una en una, pero es mucho más fácil usar PowerShell.
Cree un archivo CSV simple que enumere los nombres de unidades organizativas que desea crear:
Para crear una estructura de unidad organizativa de acuerdo con este archivo, use el siguiente script de PowerShell:
$targetOU=”OU=Nevada,OU=USA,DC=theitbros,DC=loc”
$OUs = Import-csv "C:PSnew_ou.csv"
foreach ($ou in $OUs)
{
write-host $ou.name
New-ADOrganizationalUnit -Name $ou.name -path $targetOU
}
Ejecute el script y verifique si su estructura OU se ha creado en el contenedor AD especificado.
Administración de unidades organizativas de Active Directory con PowerShell
Puede usar PowerShell para administrar unidades organizativas en Active Directory y realizar tareas administrativas. Los siguientes cmdlets están disponibles para usted:
- Get-ADOrganizationalUnit
- New-ADOrganizationalUnit
- Eliminar-ADOrganizationalUnit
- Conjunto-ADOrganizationalUnit
Puede enumerar todas las unidades organizativas de su dominio con el comando:
Get-ADOrganizationalUnit -Properties CanonicalName -Filter * | Format-Table CanonicalName, DistinguishedName
Puede mostrar la cantidad de usuarios o computadoras en cada unidad organizativa de Active Directory:
Get-ADOrganizationalUnit -Properties CanonicalName -Filter * |
Sort-Object CanonicalName |
ForEach-Object {
[pscustomobject]@{
OUName = Split-Path $_.CanonicalName -Leaf
CN = $_.CanonicalName
UserCount = @(Get-AdUser -Filter * -SearchBase $_.DistinguishedName -SearchScope OneLevel).Count
}
}
Puede cambiar el nombre de una unidad organizativa existente mediante Rename-ADObject. Debe especificar el nombre distinguido (DN) o GUID de la unidad organizativa como el parámetro -Identity. Por ejemplo, para cambiar el nombre de la unidad organizativa «HQ» a «NewYork»:
Rename-ADObject -Identity "OU=HQ,DC=THEITBROS,DC=COM" -NewName NewYork
Puedes usar el Conjunto-ADOrganizationalUnit cmdlet para cambiar la configuración de la unidad organizativa. En el siguiente ejemplo, cambiaremos la descripción y el administrador de la OU:
Set-ADOrganizationalUnit -Identity "OU=Test,OU=Nevada,OU=USA,DC=theitbros,DC=loc" -ManagedBy "CN=Alex Weber,CN=Users,DC=theitbros,DC=loc" –Description "Test OU for Alex Weber "
El Eliminar-ADOrganizationalUnit cmdlet se utiliza para eliminar la unidad organizativa de Active Directory. Puede eliminar una unidad organizativa «Nueva York» de la siguiente manera:
Get-ADOrganizationalUnit -filter "Name -eq 'NewYork'"| Remove-ADOrganizationalUnit
Pista. Además, puede eliminar OU con la herramienta dsrm.exe:
dsrm.exe "OU=TestOU,DC=theitbros,DC=com" -subtree
Si recibe un error «Remove-ADOrganizationalUnit: Acceso denegado», asegúrese de que la opción Proteger objeto contra eliminación accidental no esté habilitada. Puede deshabilitar ProtectedFromAccidentalDeletion usando PowerShell:
Get-ADOrganizationalUnit -filter "Name -eq 'NewYork'"| Set-ADOrganizationalUnit -ProtectedFromAccidentalDeletion $False
Si la unidad organizativa contiene objetos, aparecerá un error al eliminarlos. Para eliminar la unidad organizativa y todos los objetos secundarios, utilice la opción -Recursiva:
Get-ADOrganizationalUnit -filter "Name -eq 'NewYork'"| Remove-ADOrganizationalUnit –Recursive
Para buscar todas las unidades organizativas desprotegidas para las que la opción ProtectedFromAccidentalDeletion está deshabilitada:
Get-ADOrganizationalUnit -filter * -Properties ProtectedFromAccidentalDeletion | where {$_.ProtectedFromAccidentalDeletion -eq $false} | FT Name,DistinguishedName,ProtectedFromAccidentalDeletion
Para habilitar la opción de protección contra eliminación para todas las unidades organizativas en un dominio de Active Directory:
Get-ADOrganizationalUnit -filter * -Properties ProtectedFromAccidentalDeletion | where {$_.ProtectedFromAccidentalDeletion -eq $false} | Set-ADOrganizationalUnit -ProtectedFromAccidentalDeletion $true
Para mover la unidad organizativa, utilice el Move-ADObject cmdlet (la opción ProtectedFromAccidentalDeletion no debe estar habilitada en la unidad organizativa de origen):
Move-ADObject -Identity "OU=Services,OU=NewYork,DC=THEITBROS,DC=Com" -TargetPath "OU=IT,OU=Enterprise,DC=THEITBROS,DC=Com"
Move-ADObject también se puede usar para mover otros objetos AD (usuarios, computadoras, grupos) entre unidades organizativas. Por ejemplo, puede mover la computadora a OU con PowerShell:
Move-ADObject –Identity “CN=pc-b11-23,OU=Computers,OU=NewYork,OU=USA,DC=theitbros,DC=com” -TargetPath "OU=Computers,OU=LA,OU=USA,DC=theitbros,DC=com"
Puede usar el siguiente script de PowerShell para cambiar la unidad organizativa de varias computadoras cuyos nombres se especifican en el archivo .txt sin formato:
$computers = Get-Content C:PSMoveComputerList.txt
$TargetOU = "OU=Computers,OU=LA,OU=USA,DC=theitbros,DC=com"
ForEach($computer in $computers){
Get-ADComputer $computer | Move-ADObject -TargetPath $TargetOU
}
El siguiente script de PowerShell le permite contar la cantidad de usuarios habilitados en cada unidad organizativa de su dominio.
Get-ADOrganizationalUnit -Properties CanonicalName -Filter * | Sort-Object CanonicalName |
ForEach-Object {
[pscustomobject]@{
CanonicalName = $_.CanonicalName
UserCount = @(Get-AdUser -Filter 'enabled -eq $true' -SearchBase $_.DistinguishedName -SearchScope OneLevel).Count
}
}
Si desea contar la cantidad de usuarios de AD deshabilitados, reemplace la línea con:
UserCount = @(Get-AdUser -Filter 'enabled -eq $false' -SearchBase $_.DistinguishedName -SearchScope OneLevel).Count
Puede usar los cmdlets en el módulo GroupPolicy integrado para vincular un objeto de política de grupo a una unidad organizativa o para desvincularlo:
Get-Command -Module GroupPolicy
Pista. Para instalar el módulo GroupPolicy en Windows Server, ejecute el comando:
Install-WindowsFeature GPMC -IncludeManagementTools
Para asignar un GPO con el nombre gpoEnableWinRM a la unidad organizativa de destino, ejecute el comando:
Get-GPO gpoEnableWinRM | New-GPLink -Target "OU=Computers,OU=NewYork,OU=US,DC=contoso,DC=com" -LinkEnabled Yes -Enforced Yes
Para eliminar un vínculo de GPO de una unidad organizativa:
Remove-GPLink -Name gpoEnableWinRM -Target "OU=Computers,OU=NewYork,OU=US,DC=contoso,DC=com"
¿Cómo delegar permisos de Active Directory a las Unidades Organizativas?
Al delegar permisos de Active Directory a OU a otros usuarios, es conveniente otorgar permisos no directamente a cuentas de usuario, sino a grupos de Active Directory. Por lo tanto, para otorgar permisos de OU a un nuevo usuario, basta con agregarlo al grupo de seguridad.
Para delegar los permisos, haga clic con el botón derecho en la unidad organizativa y seleccione Control delegado.
En el asistente de administración de delegados, seleccione el grupo de usuarios a los que desea otorgar acceso.
Luego, seleccione las tareas administrativas que desea delegar.
Puede delegar tareas administrativas comunes mediante la unidad organizativa:
- gestión de usuarios de AD (crear, editar, eliminar, etc.);
- Gestión de grupos de AD (creación, eliminación de grupos, modificación de la pertenencia a grupos de AD);
- Administrar enlaces de GPO;
- Cambiar contraseña de usuario en Active Directory.
Hoy ha aprendido a usar la consola ADUC y PowerShell para crear una unidad organizativa (OU), administrar y eliminar unidades organizativas protegidas y delegar el control de la unidad organizativa a los usuarios de AD.
