11 Comandos PowerShell para optimizar la administración del Active Directory

El marco de gestión de Microsoft PowerShell (PS), desarrollado para la gestión de sistemas y la automatización de tareas administrativas, va mucho más allá de simplemente reemplazar el venerable shell de línea de comandos. No, PS ofrece mucho más al integrarse con servicios y aplicaciones para proporcionar una gestión integral de clientes y servidores.

A medida que se actualiza el marco subyacente, se harán disponibles nuevas funciones más poderosas. PS se mejora aún más importando módulos de servicios de soporte, como Active Directory (AD), lo que permite a los administradores tener un mayor control sobre los dispositivos y las cuentas de usuario almacenadas en AD, por ejemplo. Esta capacidad se expande a todas las facetas del mantenimiento de los servicios de directorio, incluidos los controladores y los servicios de dominio.

Índice de Contenido
  1. Acceso a los cmdlets de Active Directory
  2. 1. Crear un objeto de equipo
  3. 2. Crear nuevos grupos de seguridad
  4. 3. Crear una nueva cuenta de usuario
  5. 4. Crear una nueva OU
  6. 5. Agregar/eliminar usuarios u objetos de equipo a/desde grupos
  7. 6. Obtener la contraseña almacenada localmente de un objeto de equipo
  8. 7. Unir un equipo a un dominio
  9. 8. Habilitar/deshabilitar cuentas de usuario, equipos o cuentas de servicio
  10. 9. Desbloquear cuentas de usuario
  11. 10. Localizar cuentas de usuario u objetos de equipo deshabilitados
  12. 11. Reparar una confianza rota entre un cliente y el dominio

Acceso a los cmdlets de Active Directory

Comience importando el módulo de Active Directory.

Antes de poder ejecutar cualquiera de los cmdlets que permiten administrar AD, el módulo correspondiente debe importarse primero a la sesión actual de PowerShell. Una vez que se haya hecho esto, los cmdlets de AD estarán cargados y bajo su control.

Nota: debe realizar esto cada vez que se ejecute PowerShell antes de que los cmdlets específicos de AD estén disponibles.

Adiós a las contraseñas: la autenticación sin contraseña llega a Azure AD

1. Crear un objeto de equipo

Para crear un nuevo objeto de equipo en una unidad organizativa (OU) especificada, ingrese el cmdlet:

New-ADComputer -Name "NombreDeEquipo" -SamAccountName "NombreDeEquipo" -Path "OU=Computadoras,DC=Dominio,DC=com"

Especifique el nombre del objeto para ambos parámetros -Name y -SamAccountName. No olvide incluir el nombre distinguido (DN) entre comillas después del parámetro -Path, que designa dónde se creará el objeto.

Esto es especialmente útil al administrar sitios y/o dominios múltiples, particularmente al escribir scripts para realizar cambios en AD, como con la creación de nuevas cuentas vinculadas a nuevas contrataciones cuando son incorporadas por recursos humanos.

2. Crear nuevos grupos de seguridad

Ingrese el cmdlet:

New-ADGroup -Name "NombreDelGrupoDeSeguridad" -SamAccountName "NombreDelGrupoDeSeguridad" -GroupCategory Security -GroupScope Global -DisplayName "NombreDelGrupoDeSeguridad" -Path "CN=Grupos,DC=Dominio,DC=com" -Description "Descripción breve de para qué se utiliza el grupo de seguridad"

Las mejores formas de trabajar con archivos PDF en Windows 10

Este cmdlet ayuda en la creación de dichos grupos, lo que facilita considerablemente la administración. La administración de cuentas y equipos se vuelve mucho más fácil al aplicar configuraciones de administración basadas en roles a grupos de seguridad en lugar de realizar cambios en cada cuenta y objeto por separado.

3. Crear una nueva cuenta de usuario

Ingrese el cmdlet:

New-ADUser -Name "NombreDeCuentaDeUsuario" -SamAccountName "NombreDeCuentaDeUsuario" -AccountPassword (ConvertTo-SecureString "contraseña" -AsPlainText -Force) -DisplayName "NombreDeUsuario" -Enabled $True -GivenName "NombreDePila" -Path "CN=Usuarios,DC=Dominio,DC=com" -Server "controlador.dominio.com" -Surname "Apellido" -UserPrincipalName "[email protected]"

Crear y administrar cuentas de usuario van de la mano cuando AD sirve como el backend de la infraestructura centralizada de una organización. La generación de nuevas cuentas de usuario puede convertirse en una tarea tediosa, dadas todas las numerosas opciones y campos de texto presentes. Y aunque no todos son necesarios, muchos son ciertamente útiles cuando se completan, como el correo electrónico y el título, por mencionar algunos.

Se pueden configurar una gran cantidad de estos atributos agregando el parámetro -OtherAttributes y emparejándolo con los atributos que desea configurar, como el siguiente ejemplo: @{title=”puesto_de_trabajo”;mail=”[email protected]”}.

4. Crear una nueva OU

Ingrese el cmdlet:

Cómo automatizar la implementación de Windows 10 con Autopilot

New-ADOrganizationalUnit -Name "NombreDeOU" -Path "DC=Dominio,DC=com"

Las OUs son esenciales para administrar cuentas de usuario y objetos de equipo en la parte trasera de la red. En otras palabras, un Active Directory correctamente configurado incluirá un conjunto de OUs bien diseñadas, con las cuales se pueden segmentar todos los objetos que AD administra de forma centralizada, lo que permite tener un directorio ordenado y estructurado que se pueda endurecer sin dificultad y fácil de administrar.

Nota: Los cmdlets que comienzan con "New" connotan la creación de ese objeto. Cuando la tarea requiere eliminar un objeto, use el prefijo "Remove" en lugar de "New". Además, esto funciona cuando necesita modificar un objeto, utilizando el prefijo "Set" en lugar de "New". La sintaxis de estos cmdlets sigue un formato similar al de los cmdlets con prefijo "New" mencionados anteriormente.

5. Agregar/eliminar usuarios u objetos de equipo a/desde grupos

Ingrese el cmdlet:

Add-ADGroupMember NombreDelGrupoDeSeguridad -Members NombreDeUsuario01 -Server "controlador.dominio.com" Remove-ADGroupMember NombreDelGrupoDeSeguridad -Members NombreDeUsuario01 -Server "controlador.dominio.com"

Una vez que se crean las cuentas de usuario y los objetos de equipo, los administradores pueden optar por agregarlos a grupos de seguridad existentes para facilitar su administración. Al ejecutar este cmdlet, el parámetro -Members que enumera las cuentas que se agregarán se unirá al grupo de seguridad. Al agregar varias cuentas, estas pueden separarse por comas en una sola línea. Además, el parámetro -Server, aunque es opcional, especificará a qué controlador de dominio conectarse para procesar los cambios. Para eliminar miembros de un grupo, use el cmdlet Remove-ADGroupMember que sigue una sintaxis similar.

Todo lo que necesitas saber sobre las actualizaciones de Windows y cómo funcionan

6. Obtener la contraseña almacenada localmente de un objeto de equipo

Ingrese el cmdlet:

Get-AdmPwdPassword -ComputerName "equipo.dominio.net"

Para las organizaciones que han implementado la excelente (y gratuita) solución de contraseña de administrador local de Microsoft (LAPS), hay un cmdlet que puede obtener la contraseña almacenada en el objeto de equipo dentro de AD y mostrarla en un paso fácil de recuperar en lugar de buscar la base de datos de cada objeto para encontrar el atributo ms-mcs-AdmPwd.

7. Unir un equipo a un dominio

Ingrese el cmdlet:

Add-Computer -DomainName "dominio.com" -Credential Dominio\Usuario -Restart -Force

Unir un equipo al dominio es una de las tareas más comunes que los profesionales de TI realizan decenas de miles de veces durante su carrera. Y aunque la tarea solo lleva unos pocos minutos por máquina, se puede ejecutar desde PowerShell para agilizarla y, con algunos ajustes, todo el proceso incluso se puede automatizar por completo. Solo recuerde que el cmdlet, según se detalló anteriormente, pedirá al administrador su contraseña para completar la unión al dominio antes de reiniciar el equipo.

Azure Sentinel: La solución de Microsoft para la gestión de seguridad en entornos cloud

8. Habilitar/deshabilitar cuentas de usuario, equipos o cuentas de servicio

Ingrese el cmdlet:

Enable-ADAccount -Identity "NombreDelEquipo"

Disable-ADAccount -Identity "NombreDeUsuario"

Es bastante obvio lo que hace este cmdlet. Habilita (o deshabilita) una cuenta de usuario, un objeto de equipo o una cuenta de servicio administrados por AD para permitir (o evitar) que la cuenta de usuario o equipo se autentiquen con la red.

9. Desbloquear cuentas de usuario

Ingrese el cmdlet:

Unlock-ADAccount -Identity "NombreDeUsuario"

Cómo utilizar la Mac App Store para desplegar Office en macOS

A menudo se señala mediante análisis estadístico que TI dedica una cantidad excesiva de tiempo a resolver llamadas al servicio de asistencia relacionadas con el desbloqueo de cuentas de usuario y del restablecimiento de contraseñas. El último se cubre anteriormente con el cmdlet Set-ADUser, sin embargo, el primero es este cmdlet específico. Esto se aplica básicamente a las cuentas en las que los usuarios han superado sus contadores de intentos de contraseña y han bloqueado efectivamente su cuenta impidiendo su uso. Una vez desbloqueada, la funcionalidad de AD (incluida la autenticación de la cuenta) vuelve a estar disponible.

10. Localizar cuentas de usuario u objetos de equipo deshabilitados

Ingrese el cmdlet:

Search-ADAccount -AccountDisabled | FT Name,ObjectClass

El cmdlet Search-ADAccount se puede utilizar para buscar más que solo cuentas deshabilitadas. Hay muchos parámetros que se pueden invocar para buscar efectivamente en AD y devolver los resultados coincidentes. Sin embargo, para destacar su funcionalidad, decidí elegir las cuentas deshabilitadas, ya que es un cmdlet importante y útil para conocerlo.

Para limitar las búsquedas a una OU específica, se necesitará el parámetro -SearchBase seguido del DN de la ruta. Además, para enfocar estos resultados en un controlador específico, se debe agregar el atributo -Server seguido del nombre de dominio completo (FQDN) también.

11. Reparar una confianza rota entre un cliente y el dominio

Ingrese el cmdlet:

Cómo gestionar dispositivos Android con Microsoft Intune y Microsoft 365

Test-ComputerSecureChannel -Server "controlador.dominio.com"

Un canal roto, como lo denomina PowerShell, ocurre cuando el equipo cliente tiene una relación de confianza rota con el dominio. Dejará de autenticar las sesiones de inicio de sesión en el dominio, ya que el cliente y el dominio ya no tienen el canal configurado, que actúa como un enlace entre los dos. El cmdlet anterior prueba esta relación contra el controlador de dominio para verificar si el enlace aún existe. Si no existe, agregar el parámetro -Repair restablece este enlace entre los dos, restableciendo el canal.

Esto no pretende ser una lista exhaustiva de todos los cmdlets disponibles para los administradores de sistemas o dominios, sino más bien una lista de los cmdlets que se utilizan comúnmente a diario para administrar cuentas, modificar objetos y obtener información relevante utilizada para resolver problemas que afectan la productividad.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Microsoft, allí encontraras muchos artículos similares a 11 Comandos PowerShell para optimizar la administración del Active Directory , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.