AD Administration: Guided Lab Part II
En esta sección del laboratorio guiado, completaremos las tareas finales del día. Tenemos que agregar una computadora al dominio y cambiar la OU (Unidad Organizativa) en la que reside.
Connection Instructions
Para este laboratorio, utilizarás RDP y tendrás acceso a un host Windows no unido al dominio desde el cual podrás realizar cualquier acción necesaria para completar el laboratorio. Estarás usando una conexión RDP, similar a la utilizada en la Parte uno.
- Haz clic a continuación en la sección de Preguntas para iniciar el host objetivo y obtener una dirección IP.
- IP ==
- Username ==
image - Password ==
Academy_student_AD!
Task 4 Add and Remove Computers To The Domain
Nuestros nuevos usuarios necesitarán computadoras para realizar sus tareas diarias. El equipo de soporte técnico acaba de terminar de provisionarlas y nos solicita que las agreguemos al dominio INLANEFREIGHT. Dado que estas posiciones de analista son nuevas, tendremos que asegurarnos de que los hosts terminen en la OU correcta una vez que se unan al dominio para que la política de grupo (Group Policy) pueda aplicarse correctamente.
El host que necesitamos unir al dominio INLANEFREIGHT se llama: ACADEMY-IAD-W10 y tiene las siguientes credenciales para que podamos iniciar sesión y finalizar el proceso de provisionamiento:
- Usuario ==
image - Contraseña ==
Academy_student_AD!
Una vez que tengas acceso al host, utiliza tu cuenta htb-student_adm: Academy_student_DA! para unir el host al dominio.
Solution
Para agregar el localhost a un dominio a través de PowerShell, abre una sesión de PowerShell como administrador, y luego podemos usar el siguiente comando:
PowerShell Join a Domain
PS C:\htb> Add-Computer -DomainName INLANEFREIGHT.LOCAL -Credential INLANEFREIGHT\HTB-student_adm -Restart
Esta cadena utiliza el domain (INLANEFREIGHT.LOCAL) al que deseamos unir el host, y debemos especificar el user cuyas credenciales utilizaremos para autorizar la unión. (HTB-student_ADM). Es necesario especificar el reinicio al final de la cadena porque la unión no ocurrirá hasta que el host se reinicie nuevamente, lo que le permitirá adquirir configuraciones y políticas del dominio.
Add via the GUI
Para agregar la computadora al dominio desde la GUI del localhost es un poco diferente. Sigue estos pasos para unirla al dominio:
- Desde la computadora que deseas unir al dominio, abre el
Control Panely navega a "System and Security > System." - Ahora selecciona el icono "Change Settings" en la sección
Computer name. Aparecerá otro cuadro de diálogo que te pedirá credenciales de administrador. En la siguiente ventana, necesitamos seleccionar el icono de cambio junto a la parte que dice, "To rename this computer or change its domain or workgroup, click change". Esto abrirá otra ventana para que puedas modificar el nombre de la computadora, el dominio y el grupo de trabajo. Verifica que el nombre de la computadora coincida con el estándar de nomenclatura que deseas usar para el dominio antes de unirla. Hacerlo facilitará la carga administrativa de renombrar un host unido al dominio más tarde. - Luego, necesitamos ingresar el nombre del dominio al que deseamos unir la computadora (
INLANEFREIGHT.LOCAL) y hacer clic en OK. Es posible que recibas una advertencia sobre la resolución de nombres NetBIOS. Ese es un problema fuera del alcance de este laboratorio. Por ahora, continúa.- Se te solicitarán credenciales de dominio para completar esta acción. Utiliza la cuenta de administrador del dominio que te fue proporcionada al comienzo de este laboratorio. (
htb-student_adm). - Si todo sale bien, se te presentará un mensaje dándote la bienvenida al dominio. La computadora debe reiniciarse para aplicar los cambios y las nuevas configuraciones de políticas de grupo que recibirá del dominio.
- Se te solicitarán credenciales de dominio para completar esta acción. Utiliza la cuenta de administrador del dominio que te fue proporcionada al comienzo de este laboratorio. (
Add A Computer To The Domain
Vamos a usar la GUI de Windows para agregar esta PC al dominio. - Desde el panel de control, abre las propiedades del sistema para la PC. Haz clic en Cambiar configuración en la sección Nombre del equipo.
- En esta ventana, selecciona el botón Cambiar al lado de "renombrar esta computadora o cambiar su dominio."
- Ingresa el dominio al que deseas unir el host. (INLANEFREIGHT.LOCAL) Presiona OK.
- Ingresa las credenciales de administrador de dominio proporcionadas para unir el host al dominio.
- Si todo sale bien, recibirás un mensaje dándote la bienvenida al dominio.
Add a Remote Computer to a Domain
PS C:\htb> Add-Computer -ComputerName ACADEMY-IAD-W10 -LocalCredential ACADEMY-IAD-W10\image -DomainName INLANEFREIGHT.LOCAL -Credential INLANEFREIGHT\htb-student_adm -Restart
Cuando agregamos la computadora al dominio, no creamos previamente un objeto de AD para ella en la OU en la que queríamos que estuviera la computadora, por lo que ahora tenemos que moverla a la OU correcta. Para hacerlo a través de PowerShell:
Check OU Membership of a Host
PS C:\htb> Get-ADComputer -Identity "ACADEMY-IAD-W10" -Properties * | select CN,CanonicalName,IPv4Address
La propiedad CanonicalName (vista arriba) nos dirá la ruta completa del host imprimiendo el nombre en el formato "Domain/OU/Name". Podemos usar esto para localizar el host y validar dónde está en nuestra estructura de Active Directory (AD).
Utilizando el complemento ADUC, también puedes mover objetos de computadora bastante rápido. Puedes hacerlo de la siguiente manera:
Add to a New OU
Move A Computer Object To A New OU
Necesitamos encontrar el nuevo host y moverlo a la OU "Security Analysts" de la misma manera en que movimos la cuenta de usuario anteriormente.
- Buscando en la OU de Computadoras, selecciona nuestro host recién unido y haz clic derecho sobre él. Selecciona la opción "Mover".
- En la ventana emergente, navega hasta la OU "Security Analysts".
- Selecciona la OU "Security Analysts" y haz clic en OK.
- Si miramos en esa OU, ahora veremos un nuevo objeto de computadora dentro.
Summary
Esto concluye nuestras tareas de administración por el día. Esperamos que este laboratorio haya ayudado a reforzar los conceptos básicos relacionados con la administración de AD. Siempre es genial obtener experiencia práctica con temas y tecnologías como Active Directory. Esta experiencia proporciona una mejor comprensión de cómo funciona y cómo podría ser aprovechado. Nuevas vulnerabilidades y ataques se lanzan todos los días que afectan al sistema operativo Windows, y por extensión, a Active Directory. Una comprensión fundamental de AD, los ataques que lo afectan y las medidas defensivas nos llevará lejos como profesionales de seguridad.