Active Directory – Alterar local padrão de computadores e usuários

Por padrão, ao adicionarmos um computador ao Active Directory, ele é colocado no contêiner Computers (CN=Computers,DC=domain). Até aí tudo bem, não há problemas os computadores estarem todos em um único lugar! O problema ocorre quando temos um ambiente um pouco maior, onde temos GPOs (Group Policy Object) de segurança vinculadas as máquinas! A principal diferença de um contêiner para uma Unidade Organizacional (OU) é a possibilidade de aplicarmos GPO nela!

NÃO é possível aplicarmos GPO em um contêiner! Ou seja, toda máquina que adicionarmos ao domínio, será necessário abrir o Active Directory Users and Computers e mover tal objeto! Quando nosso ambiente é pequeno, não temos problemas! Fazemos essa mudança manualmente, até porque colocamos apenas pontualmente as máquinas em domínio. Porém, quando o ambiente começa a crescer, fica desgastante fazer tal ação! Sem contar que as vezes um computador pode ficar perdido no contêiner Computers durante um bom tempo!

Bom, com essa pequena explicação, podemos supor que seria muito fácil se assim que eu adicionar uma máquina ao domínio, ela fosse automaticamente acrescentada em uma OU onde tivesse algumas GPOs básicas de segurança e/ou instalação de software.

OBJETIVO

Nossa meta é aprender como é possível alterar o local padrão dos computadores e usuários assim que eles são ingressão/criados no domínio.

CENÁRIO

Para atingirmos nosso objetivo, estarei efetuando todos os testes em uma máquina com Windows Server 2012 R2 Standard com a role Active Directory Domain Services instalada!

PRÁTICA

Para conseguirmos atingir nosso objetivo, devemos abrir o prompt de comando! Os comandos responsáveis por fazer a “mágica” são:

  • redircmp: Usado para alterar o local padrão dos computadores;
  • redirusr: Similar ao redircmp porém, é voltado para os usuários.

Se digitarmos “redircmp /?” podemos ver o seguinte conteúdo da ajuda:

Active Directory - Usando o comando redircmp
Active Directory – Usando o comando redircmp

Como também observamos na imagem acima, a sintaxe deste comando é bem simples: redircmp ENDEREÇO_LDAP_DA_NOVA_OU. No exemplo, redircmp OU=Computadores,DC=GrupoEmpresas,DC=local (Meu domínio é GrupoEmpresas.local), ou seja, estou fazendo o redirecionamento de todas as máquinas que ingressarem no domínio para a OU Computadores. Atenção que a OU já precisa estar criada.

Em relação a mudança de usuários, a sintaxe é a mesma:

Active Directory - Usando o comando redirusr
Active Directory – Usando o comando redirusr

Observando a sintaxe, temos: redirusr OU=Usuários,DC=GrupoEmpresas,DC=Local.

Lembrem-se que para estes comandos funcionarem, é preciso que o domínio esteja com nível funcional de pelo menos Windows Server 2003.

Legal né? Espero que tenham gostado de mais essa dica!

Você talvez também goste