Share via


Redireccionando contenedor default de objetos Computers en AD

Hola a todos!

En esta oportunidad, les quiero dejar como redireccionar el contenedor default donde quedan los objetos Computers al generarse cuando se hace el Join de los equipos a nuestro dominio, como ventaja principal para realizar esta tarea, es cuando queremos desde un principio, aplicar políticas de dominio a nuestros equipos apenas los pongamos en dominio, sin esperar a que los objetos sean movidos de OU después de un tiempo.

En el Contenedor "Computers" donde por default en un dominio que instalamos y no realizamos el cambio, es donde se generan los objetos Computers al realizar el Join de los mismos y donde no podemos adjuntar una GPO de Dominio, con lo cual, muchos optan por correr el comando que les quiero dejar y ahí si, en la nueva OU que direccionamos, podremos poner una GPO de dominio y aplicar configuraciones para que apliquen desde un principio en los equipos que adjuntamos a nuestro dominio.

Como comentario inicial, este comando se corre por dominio, con lo que si tenemos varios dominios donde queremos realizar este cambio, por más que los mismos correspondan a un único Forest, tendremos que correrlo en cada uno de los dominios que deseamos modificar.-

Para empezar, entraremos a nuestra Consola de administración de Usuarios y Computadoras, para lo cual, tenemos que estar trabajando desde un Domain Controller o desde un equipo donde tengamos en Windows Server 2003 o Windows XP las Herramientas Administrativas de Active Directory o en Windows Server 2008 o Superior, el Feature de Administración instalado.

Luego hacemos Start – Administrative Tools – Active Directory Users and Computers como se muestra en la siguiente pantalla:

También podemos abrir la consola, desde Start - Run - Poniendo la llamada a la consola dsa.msc

Donde en la consola, podremos ver el contenedor Default de cualquier implementación de Active Directory donde se generan los objetos "Computer" al realizar el join al dominio, ese contenedor, se llama "Computers":

Ahora para realizar el cambio, generaremos una nueva OU que este directamente desde el raíz del dominio, para lo cual, nos pondremos en el dominio, desplegamos el menu y hacemos New - Organizational Unit como se muestra a continuación:

Donde nos aparecerá una ventana de creación y pondremos el nombre de la OU que deseamos generar, en este caso, pondremos "NewComputers"

Al dar OK, veremos la OU ya generada en la consola de Users and Computers, para también seguir, es importante ir desde la consola, View - Advanced Features:

Ahora desde la nueva OU, desplegaremos el menu, y vamos a "Properties", en la nueva ventana que nos aparece, vamos a la solapa "Attribute Editor" y de la lista de atributos que aparecen, vamos al atributo "distinguishedName", donde daremos la opción "View" y copiaremos la información que tenga dicho atributo.

Una vez realizado el paso anterior, vamos a Start - Command Prompt el cual ejecutaremos como "Administrator" (sobre Command Prompt, desplegamos el menu y seleccionamos la opción "Run as administrator")

En la ventana de CMD que se nos abrirá, escribiremos el comando redircmd, dejamos un espacio y pegamos lo copiado con anterioridad, desplegando el menu y seleccionando la opción "Paste":

Donde se pegará la información del atributo DistinguishedName, quedando la línea de comando completa de la siguiente manera:

Un punto a tener en cuenta, lo que aparece luego de OU= puede variar según la estructura de OUs y Dominio que estemos ejecutando. Luego de que tenemos completa la línea de comando a ejecutar, al dar "ENTER", se realizará el cambio que estamos solicitando y nos dará el aviso que el mismo, se realizó correctamente:

Luego de este cambio, todo equipo Computer que hagamos Join a nuestro dominio, se generará el objeto en la nueva OU que direccionamos.-

Con la herramienta ADExplorer, pueden chequear el atributo de dominio "wellKnownObjects" que tenga aplicado el cambio realizado como se muestra en la siguiente pantalla:

Espero que lo puedan aplicar, que les sea productivo el cambio, ya que como comente al principio, es útil para aplicar GPOs  desde un principio en los equipos que son agregados a nuestro dominio de Active Directory.-

Salu2

LeoPonti