March 29, 2011

Manejo de politicas.

Les comparto una consulta que tuve hoy.
En X ambiente se necesita desactivar la sección de usuario de ciertas políticas. Como es muy común esto debe de hacerse con el mínimo de recursos.
Muy bien, este parámetro es controlado por el atributo llamado flags del objeto tipo groupPolicyContainer, que se encuentra en domainDNS/SYSTEM/Policies.
Los valores del atributo son:

flags = 0 = Habilitado.

flags = 1 = Configuración de usuario deshabilitado.

flags = 2 = Configuración de equipo deshabilitado.

Muy bien, con la información anterior en mente entonces veamos la configuración actual de las políticas:

adfind -f (objectClass=groupPolicyContainer) cn displayName flags

El comando anterior me mostrara las políticas, su nombre común y su configuración.
Y bien, como sé yo si la política ABC123 está ligada a un OU especifico?
Pues en este caso deberemos ver las propiedades de la Unidad Organizativa, el atributo que nos interesa es el llamado gPLink, por ende, una consulta como la siguiente debería de darle ma información necesaria:

adfind -f "(&(objectClass=organizationalUnit)(gPLink=*ABC123*))" cn

Ahora, si lo que deseas es buscar la información "al revés" (cuales GPOs están ligadas al OU XYZ) entonces usted necesita algo como:

adfind -f "(OU=XYZ)" gpLink

El resultado de la consulta anterior sería algo como:

dn:OU=XYZ,DC=sysadmin-cr,DC=com
>gPLink: [LDAP://cn={4449C74E-409F-471E-93C3-D02AAEE9722D},cn=policies,cn=system,DC=sysadmin-cr,DC=com;0]...

Nótese el valor entre {} y el resultado del cn de las consultas anteriores.
Eh aquí una versión grafica de lo anterior, espero le sea útil. Recuerde que una política puede estar ligada a N sitios y/o OUs.


Hasta pronto y gracias por leer.

No comments:

Post a Comment