lunes, 27 de febrero de 2012

viernes, 24 de febrero de 2012

Contraseñas caducadas del Directorio Activo

A medida que se van agregando cuentas de usuario en el Directorio Activo, dependiendo del uso de estas cuentas, el número de cuentas con contraseña caducada puede incrementarse en el tiempo.

A parte de implementar una política de recuperación de contraseñas y a efectos de limpieza, conviene saber qué cuentas tienen la contraseña caducada para tomar medidas, ya sea para eliminar la cuenta o para que el usuario recupere la contraseña.

El siguiente script en Powershell extrae el tiempo de vigencia de las contraseñas de la política del dominio y la fecha en que se estableció la contraseña en cada cuenta de usuario. Con estos dos datos y la fecha actual, el script lista el estado de la contraseña de cada usuario, el total de cuentas con la contraseña vigente, el total de cuentas con la contraseña caducada y el número de cuentas totales:
# caducadas.ps1 - Cuentas con contraseña vigente o caducada

$fecha_actual = Get-Date
$total = 0
$vigentes = 0
$caducadas = 0

# detección del dominio y preparación de búsquedas
$dom = [System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain()
$root_dom = New-Object DirectoryServices.DirectoryEntry("LDAP://$dom")
$search = [System.DirectoryServices.DirectorySearcher]$root_dom

# vigencia actual en días de las contraseñas del dominio
$search.Filter = "(objectclass=domainDNS)"
$result = $search.FindOne()
$vigencia_actual_pass = New-Object System.TimeSpan([System.Math]::ABS($result.properties["maxpwdage"][0]))
$dias_vigencia_actual = $vigencia_actual_pass.Days

# vigencia actual de la contraseña de cada usuario
$search.Filter = "(&(objectClass=user)(objectCategory=person))"
$users = $search.findall()

foreach ($user in $users)
{
$total++
$sam = $user.Properties.samaccountname

$fecha_lastset = [datetime]::fromfiletime(($user.properties.pwdlastset)[0])
$fecha_caducidad = $fecha_lastset.AddDays($dias_vigencia_actual)

# fecha actual mayor o igual que fecha de caducidad
if ($fecha_actual -ge $fecha_caducidad)
{
write-host "caducada - $sam"
$caducadas++
}
else # fecha actual menor que fecha de caducidad
{
write-host "vigente - $sam"
$vigentes++
}
}

Write-Host "---"
Write-Host "Estado de contraseñas:"
Write-Host ""
Write-Host " Vigentes: $vigentes"
Write-Host "Caducadas: $caducadas"
Write-Host " Total: $total"
Write-Host "---"

miércoles, 8 de febrero de 2012

Acceso total y Enviar como | Buzones Exchange 2010

Dos de los permisos más utilizados en los buzones de los usuarios de Exchange 2010 es el Acceso total, para que uno, varios o grupos de usuarios puedan acceder al buzón de correo deseado desde su Outlook y Enviar como, para que uno, varios o grupos de usuarios puedan enviar correo suplantando al dueño del buzón mediante el campo DE en un nuevo email (desde Outlook y OWA).

En la consola de administración de Exchange 2010 puedes gestionar ambos permisos por separado. Para agilizar la gestión de ambos permisos, he creado una herramienta (buzon_permisos.exe) que, iniciada con un usuario con permisos de administración en Exchange 2010, puedes introducir el nombre de la cuenta de un buzón (samaccountname), pulsar ENTER y aparecerán los permisos de Acceso total y Enviar como del buzón proporcionado (este proceso tarda unos segundos y el estado lo verás en el texto del título de la ventana):


Los permisos del buzón proporcionado terminarán de aparecer cuando en el texto del título de la ventana ponga: Permisos del buzón: ... y el samaccountname del buzón proporcionado (indicado en la siguiente imagen como samaccountname del buzón actual):


Ahora, en el buzón proporcionado (buzón actual que aparece en el texto del título de la ventana) puedes:
  • Dar el permiso de Acceso total a un usuario o grupo, introduciendo su samaccountname en el campo Cuenta y clicando en el botón Acceso total.

  • Dar el permiso de Enviar como a un usuario o grupo, introduciendo su samaccountname en el campo Cuenta y clicando en el botón Enviar como.

  • Eliminar un usuario o grupo y su permiso correspondiente, seleccionando la línea donde aparezca y clicando en el botón Eliminar permiso.

Ten en cuenta que:
  • En los tres casos anteriores, después de clicar en el botón deseado, tardará unos segundos en actualizar la nueva información de permisos (aparecerá un texto de carga en el título de la ventana).

  • Al agregar o quitar el permiso de Enviar como y después de la carga de los permisos es posible que no aparezca el cambio realizado (debido al tiempo de replicación en el Directorio Activo). Para solucionarlo, clica en botón Actualizar (en la parte superior de la ventana) hasta que aparezca el cambio actualizado.

  • Los permisos que puedes ver, agregar o quitar no son permisos heredados, son permisos que sólo afectan al buzón en sí.

Requisitos: