Crear automatiacamente directorios de salva para usuarios de AD

johnp · #1 (**permalink**) 16/04/2010, 07:54

Hola a todos:

Amigos tengo la siguiente situación.
Tengo un dominio Windows Server 2003 Enterprise Edition SP2 con de unas 300 PC que usa XP y más o menos 400 usuarios. Por falta de espacio de almacenamiento no tenía implementado la salva de los documentos de trabajo de todos los usuario y solo se salvaban las de unos cuantos que la información es de vital importancia. Ha llegado papa Noel con un disco externo con el objetivo de que se pueda salvar la info importante de todos los usuarios. Para el uso racional de este disco tengo que implementar cuotas para todos los usuarios del AD y darle acceso a los usuarios en su directorio destinado para salvar su información.
Mis preguntas son:
1. ?existe modo de crear los 400 directorios a partir de los usuarios del AD automaticamento ó existe una herramienta, script, etc que me ahorre el tener que crear carpeta a carpeta y asignarle los permisos correspondientes para cada usuario?
2. ?podría de algún modo por políticas o algo similar hacer que se salven automaticamente carpetas definidas de cada usuario en el directorio creado en la pregunta anterior?

De antemano muchas gracias, escucho todas las recomendaciones pues no creo que exista alguna equivocada cuando vienen de colegas que estan dispuestos a compartir sus experiencias y conocimientos.

Salud2, para todos.

bufom · #2 (**permalink**) 17/04/2010, 07:05

Un consejo, porque no utilizas perfiles moviles?

johnp · #3 (**permalink**) 19/04/2010, 12:38

Amigo gracias por tu sugerencia pero no puedo usar los perfiles moviles ya que el disco es externo y la carga de los perfiles sería muy lenta debido a la cantidad de usuarios. Yo quisiera alguna herramienta que pudiera utilizar para crear multiples carpetas y establecer los permisos.

Gracias de todas formas por la idea.

PD: Se podrá hecer una política que cree una tarea programada en las pc y salve en el server?

bufom · #4 (**permalink**) 22/04/2010, 08:48

Yo lo hacia antes con un archivo .bat que copiaba los archivos a una carpeta y luego los pasaba al disco duro externo y asi yo podia sacar del recinto los backup del sistema en el disco duro externo y anticiparme a cualquier catastrofe en la empresa.
OJO esta .bat se ejecutaba por medio de una tarea programada del Windows Server a una hora especifica.
Espero esto te sirva para solucionar tu problema.

suerte...

johnp · #5 (**permalink**) 03/05/2010, 10:10

Cita:

Iniciado por bufom

Yo lo hacia antes con un archivo .bat que copiaba los archivos a una carpeta y luego los pasaba al disco duro externo y asi yo podia sacar del recinto los backup del sistema en el disco duro externo y anticiparme a cualquier catastrofe en la empresa.
OJO esta .bat se ejecutaba por medio de una tarea programada del Windows Server a una hora especifica.
Espero esto te sirva para solucionar tu problema.

suerte...

Gracias a este mensaje me diste tremenda idea ya que supuse que en los comandos de DOS debía existir alguno que me sirviece y los habían, me funcionó perfecto. Te explico:
Cree una carpeta para compartirla y allí estarían las carpetas de los usuarios, le quite todos los permiso menos los del sistema y los administradores para que a la hora de crear las carpetas hereden los permisos.

Para crear las carpetas:
- Exporté los usuarios con Dame Ware (se puede hacer con muchas herramientas)
- hice un .bat con la siguiente sentencia:
md <usuario>
(<usuario> es el nombre de la cuenta, yo para ahorrame tener que escribir hice en excel una fórmula de concatenacion entre un a columna y otra para nada más tener que copiar la lista de usuarios).
El resultado se guarda como .bat y aqui tienes un script para generar n carpetas.

Para otorgar los permisos:

echo Y|cacls <usuario> /e /g <dominio>\<usuario>:F

(<dominio> tu dominio ej: test.com colocas test y listo, de nuevo utilice el excel para generar la nueva columna)

Al final el resultado en un .bat y obtienes un script para asignar permisos.

Se corren los 2 .bat (el de las carpaetas y luego el de los permisos) y todo de maravilla.

Se que todo esto lo podía hacer en un solo script pero estaba algo apurado y con esto resolví y espero le sea utíl a los demás.

Salu2.

Alfon · #6 (**permalink**) 03/05/2010, 10:41

Perdona johnp, pero es que me dejas... ¿ 400 usuarios y no hay presupuesto para la seguridad de la información generada ?. Bueno, yendo al tema...por muy poco tienes discos de más de 1T. Por otra parte, comentar que hay software backup, incluso gratuíto, para asegurar y organizar las copias de seguridad, mantener permisos de carpetas en restauraciones, etc.
Por cierto, los usuaraios donde salvan la información generada ?.

bufom · #7 (**permalink**) 05/05/2010, 14:55

Como comenta Alfon es muy raro que para esta cantidad de usuario y para la informacion que manejan no se aya planteado un servicio de backup enterprise propiamente dicho.
No quiere decir que lo que tu hiciste este mal, ni lo que yo te sugeri tampoco, simplemente seria bueno que te curaras en salud y comentaras a tus superiores de la situacion y buscar una solucion mas robusta a este tema de seguridad que es muy delicado.

suerte...

johnp · #8 (**permalink**) 11/05/2010, 07:15

Gracias a ambos por su consejo. Está claro que los superiores deben tomar cartas en el asunto, no sé como son sus superiores pero los de acá no quiren invertir ni un duro en esto y quieren que exista un mecanismo de salvas de 7 estrellas. He planteado muchas veces esto pero como hasta ahora quien tiene que currarselo para recuperar información cuando hay algun problema es el que les habla a ellos le importa un bledo. Por mi parte estoy más tranquilo que antes.

Salu2, y muchas gracias.

ponpeyon · #9 (**permalink**) 15/05/2010, 03:22

Hola johnp,

Para crear tus 400 carpetas y definir permisos para el usuario en particular puedes hacer uso de 2 herramientas en conjunto:

1.- Una propiedad de los objetos User de AD llamada PprofilePath.
2.- Un script que te paso más abajo.

Antes que nada hay que poner los requisitos previos para que funcione:

1.- Tienes que conectar el HDD externo al servidor que lo va a compartir.
2.- Crea un recuso compartido en el HDD externo, Ejemplo: \\FileServer\Profiles\
3.- Establece los permisos necesarios para compartir y de seguridad para que todos los Domain Users puedan escribir en el.

Listo copiate el siguiente codigo en notepad y guardalo con extension .vbs

Código:

On Error Resume Next

Set objConnection = CreateObject("ADODB.Connection")
Set objCommand =   CreateObject("ADODB.Command")
objConnection.Provider = "ADsDSOObject"
objConnection.Open "Active Directory Provider"
Set objCommand.ActiveConnection = objConnection

objCommand.Properties("Page Size") = 1000

objCommand.CommandText = "<LDAP://dc=dominio,dc=com>;(&(objectCategory=Person)(objectClass=user));distinguishedName;Subtree"  

Set objRecordSet = objCommand.Execute

objRecordSet.MoveFirst

Do Until objRecordSet.EOF
    Datos = objRecordSet.Fields("distinguishedName").Value
    GrabaDatos(Datos)
    objRecordSet.MoveNext
Loop


Function GrabaDatos(SourceData)

Set objUser = GetObject ("LDAP://" & SourceData)
objUser.Put "profilePath", "\\FileServer\Profiles\%username%"
objUser.SetInfo

End Function

Te explico un poco de su funcionamiento, lo que hace el script es recorrer OU x OU de tu dominio buscando objetos User, cuando encuentra un usuario extrae el valor de su propiedad distinguishedName y se lo pasa a otra función que escribe en la propiedad profilePath la ruta del recuso compartido + la variable %username%.

Esto hará que cuando un usuario inicie sesión creará en tu HDD compartido una carpeta con nombre de usuario.

Supongamos que tienes un usuario con los siguientes datos:

cn: Andres Flores
dn: cn=Andres Flores,OU=Netadmin,DC=dominio,DC=com
%username% = sAMAccountName: andres.flores

Cuando el usuario Andres Flores inicie sesion en su PC automaticamente creará una carpeta en el recurso compartido con su nombre de usuario y con permisos exclusivos para él: \\FileServer\Profiles\andres.flores

Como podrás notar en el script te marque un par de variables en rojo, estas variables las tienes que modificar con respecto al nombre de tu dominio y la ruta del recurso compartido:

Supongamos que tu dominio se llama sony.com.es entonces debes de modificar dc=dominio,dc=com por dc=sony,dc=com,dc=es

Supongamos que el servidor que tiene conectado el HDD se llama Storage01 y el recurso compartido se llama UserFiles entonces debes de modificar \\FileServer\Profiles\%username% por \\Storage01\UserFiles\%username%

Espero haber sido claro.

Por otra parte comentas:

Cita:

2. ?podría de algún modo por políticas o algo similar hacer que se salven automaticamente carpetas definidas de cada usuario en el directorio creado en la pregunta anterior?

Desgraciadamente

es posible por políticas de dominio hacer esto, pero te puedo recomendar 2 opciones de bajo o nulo costo pero ambas igual de laboriosas de implementar:

1.- Windows XP Pro tiene una utileria en accesorios que se llamada Copia de seguridad preinstalada y si es Home puedes instalarla desde el CD, puedes programas respaldos del equipo completo o carpetas independientes. Lo malo como te imaginaras es que debes de programar los respaldo en las 300 PC's

2.- Mapea el recurso compartido en una unidad de red a tus usuarios referenciandola con su carpeta compartida. Lo malo es hacer consiencia a los usuarios para que aprendan que todo lo importante deben de trabajarlo desde esa ubicacion y que aprendan a no guardar como "IMPORTANTE" sus MP3's y porno.

La otra como te comentan es que compres o busques algun software que te programe esos respaldos y que de manera centralizada puedas manejarlos.

Espero haber sido de ayuda.

PD. Este script lo acabo de hacer en mi casa y no pude probarlo, te recomiendo si te es posible que lo ejecutes en un entorno de pruba, pero no te asustes, solo hay de 2 o funciona correctamente o te falla por que me equivoque en alguna linea de codigo y no se ejecutará, si es así dime y lo depuro.

SUERTE.