AD DS: Módulo de Active Directory para Windows PowerShell

Cambios más importantes

El Módulo de Active Directory para Windows PowerShell proporciona un scripting de línea de comandos con un vocabulario y una sintaxis coherentes destinado a tareas administrativas, de configuración y de diagnóstico. El Módulo Active Directory permite una capacidad de administración de un extremo a otro con Exchange Server, la directiva de grupo y otros servicios.

¿Para qué sirve el módulo Active Directory?

Windows PowerShell™ es un shell de línea de comandos y lenguaje de scripting que ayuda a los profesionales de las tecnologías de la información (TI) a controlar la administración del sistema más fácilmente, así como a lograr una mayor productividad.

El Módulo Active Directory en Windows Server 2008 R2 es un módulo de Windows PowerShell (llamado ActiveDirectory) que consolida un grupo de cmdlets. Estos cmdlets se pueden usar para administrar los dominios de Active Directory, los conjuntos de configuración de Active Directory Lightweight Directory Services (AD LDS) y las instancias de la herramienta de montaje de bases de datos de Active Directory en un único paquete independiente.

En Windows Server 2000, Windows Server 2003 y Windows Server 2008, los administradores usaban distintas herramientas de línea de comandos y complementos Microsoft Management Console (MMC) para conectarse a los dominios de Active Directory y a los conjuntos de configuración de AD LDS para supervisarlos y administrarlos. El Módulo Active Directory en Windows Server 2008 R2 proporciona una experiencia centralizada para administrar el servicio de directorio.

¿A quién puede interesar esta característica?

Es probable que los siguientes grupos estén interesados en el Módulo Active Directory:

  • Los usuarios pioneros de Windows Server 2008 R2 y los planificadores y analistas de TI que realizan la evaluación técnica de Windows Server 2008 R2
  • Planificadores y diseñadores de TI de empresas
  • Equipos de administración de Servicios de dominio de Active Directory (AD DS)
  • Administradores de AD DS

¿Debe tenerse en cuenta alguna consideración especial?

  • El Módulo Active Directory solo se puede instalar en equipos que ejecutan Windows Server 2008 R2. No se puede instalar en equipos que ejecutan Windows 2000, Windows Server 2003 o Windows Server 2008.
  • El Módulo Active Directory también se puede instalar en Windows 7 como parte de las Herramientas de administración remota del servidor (RSAT) de Windows Server 2008 R2. No obstante, si desea instalar el Módulo Active Directory en Windows 7 para administrar remotamente un dominio de Active Directory, una instancia o un conjunto de configuración de AD LDS o una instancia de la herramienta de montaje de bases de datos de Active Directory, debe tener al menos un controlador de dominio de Windows Server 2008 R2 en el dominio o, como mínimo, una instancia en un conjunto de configuración de AD LDS que esté en ejecución en un servidor de Windows Server 2008 R2.

¿Qué nueva funcionalidad aporta el módulo Active Directory?

El Módulo Active Directory está compuesto del proveedor del Módulo Active Directory y de los cmdlets del Módulo Active Directory.

Proveedor del módulo Active Directory

Los administradores pueden usar el proveedor del Módulo Active Directory para navegar y obtener acceso fácilmente a los datos almacenados en los dominios de Active Directory, en las instancias de la herramienta de montaje de bases de datos de Active Directory y en las instancias y conjuntos de configuración de AD LDS. El proveedor del Módulo Active Directory expone la base de datos de Active Directory mediante un sistema de navegación jerárquico, muy parecido al sistema de archivos. Por ejemplo, mientras usa el Módulo Active Directory, puede usar los siguientes comandos para navegar por el directorio:

  • cd
  • dir
  • remove
  • .
  • ..

El proveedor del Módulo Active Directory también sirve para asignar dominios de Active Directory, instancias de AD LDS e instancias de la herramienta de montaje de bases de datos de Active Directory a unidades específicas del proveedor. Cuando se carga el Módulo Active Directory por primera vez, se monta una unidad de Active Directory (AD:) predeterminada. Para conectarse a esa unidad, ejecute el comando cd AD:. Para conectar una nueva unidad de proveedor a un dominio de Active Directory, un servidor AD LDS o una instancia de la herramienta de montaje de bases de datos de Active Directory, se puede usar el siguiente cmdlet:

New-PSDrive -Name <name of the drive> -PSProvider ActiveDirectory -Root “<DN of the partition/NC>” –Server <server or domain name (NetBIOS/FQDN)[:port number]> -Credential <domain name>\<username>

Parámetro Descripción
-Name <name of the drive> Especifica el nombre de la unidad que se va a agregar.
-PSProvider ActiveDirectory El nombre del proveedor, en este caso, ActiveDirectory.
-Root “<DN of the partition/NC>” Especifica la raíz o ruta de acceso interna del proveedor.
–Server <server or domain name (NetBIOS/FQDN)[:port number]> Especifica el servidor que hospeda el dominio de Active Directory o una instancia de AD LDS.
-Credential <domain name>\<username> Especifica las credenciales que debe tener para conectarse al dominio de Active Directory o al servidor AD LDS.

Cmdlets del módulo Active Directory

Los cmdlets del Módulo Active Directory se pueden usar para realizar diversas tareas administrativas, de configuración y de diagnóstico en los entornos de AD DS y AD LDS. En esta versión de Windows Server 2008 R2, el Módulo Active Directory puede servir para administrar las cuentas de equipo y usuario, grupos, unidades organizativas (OU), dominios y bosques, controladores de dominio y directivas de contraseñas de Active Directory existentes, o bien para crear unos nuevos.

En la siguiente tabla se enumeran todos los cmdlets disponibles en esta versión del Módulo Active Directory en Windows Server 2008 R2.

Cmdlet Descripción
Disable-ADAccount Deshabilita una cuenta de Active Directory.
Enable-ADAccount Habilita una cuenta de Active Directory.
Search-ADAccount Obtiene cuentas de usuario, de equipo y de servicio de Active Directory.
Unlock-ADAccount Desbloquea una cuenta de Active Directory.
Get-ADAccountAuthorizationGroup Obtiene los grupos de seguridad de Active Directory que contienen una cuenta.
Set-ADAccountControl Modifica los valores de Control de cuentas de usuario (UAC) relativos a una cuenta de Active Directory.
Clear-ADAccountExpiration Borra la fecha de expiración de una cuenta de Active Directory.
Set-ADAccountExpiration Establece la fecha de expiración de una cuenta de Active Directory.
Set-ADAccountPassword Modifica la contraseña de una cuenta de Active Directory.
Get-ADAccountResultantPasswordReplicationPolicy Obtiene la directiva de replicación de contraseñas resultante de una cuenta de Active Directory.
Get-ADComputer Obtiene uno o varios equipos de Active Directory.
New-ADComputer Crea un nuevo equipo de Active Directory.
Remove-ADComputer Quita un equipo de Active Directory.
Set-ADComputer Modifica un equipo de Active Directory.
Add-ADComputerServiceAccount Agrega una o varias cuentas de servicio a un equipo de Active Directory.
Get-ADComputerServiceAccount Obtienen las cuentas de servicio que hospeda un equipo de Active Directory.
Remove-ADComputerServiceAccount Quita una o varias cuentas de servicio de un equipo.
Get-ADDefaultDomainPasswordPolicy Obtiene la directiva de contraseñas predeterminada de un dominio de Active Directory.
Set-ADDefaultDomainPasswordPolicy Modifica la directiva de contraseñas predeterminada de un dominio de Active Directory.
Move-ADDirectoryServer Traslada un controlador de dominio en AD DS a un nuevo sitio.
Move-ADDirectoryServerOperationMasterRole Traslada roles de maestro de operaciones, también conocidos como FSMO (Operaciones de maestro único flexible), a un controlador de dominio de Active Directory.
Get-ADDomain Obtiene un dominio de Active Directory.
Set-ADDomain Modifica un dominio de Active Directory.
Get-ADDomainController Obtiene uno o varios controladores de dominio de Active Directory en función de criterios de servicios detectables, parámetros de búsqueda o proporcionando un identificador de controlador de dominio, como el nombre de NetBIOS.
Add-ADDomainControllerPasswordReplicationPolicy Agrega usuarios, equipos y grupos a la lista de permitidos o denegados de la Directiva de replicación de contraseñas (PRP) del controlador de dominio de solo lectura (RODC).
Get-ADDomainControllerPasswordReplicationPolicy Obtiene los miembros de la lista de permitidos o denegados de la PRP del RODC.
Remove-ADDomainControllerPasswordReplicationPolicy Quita usuarios, equipos y grupos de la lista de permitidos o denegados de la PRP del RODC.
Get-ADDomainControllerPasswordReplicationPolicyUsage Obtiene la directiva de contraseñas resultante de la ADAccount especificada en el RODC especificado.
Set-ADDomainMode Establece el nivel funcional de dominio de un dominio de Active Directory.
Get-ADFineGrainedPasswordPolicy Obtiene una o varias directivas de contraseñas específicas de Active Directory.
New-ADFineGrainedPasswordPolicy Crea una nueva directiva de contraseñas específica de Active Directory.
Remove-ADFineGrainedPasswordPolicy Quita una directiva de contraseñas específica de Active Directory.
Set-ADFineGrainedPasswordPolicy Modifica una directiva de contraseñas específica de Active Directory.
Add-ADFineGrainedPasswordPolicySubject Aplica una directiva de contraseñas específica a uno o más usuarios y grupos.
Get-ADFineGrainedPasswordPolicySubject Obtiene los usuarios y grupos a los que se aplica una directiva de contraseñas específica.
Remove-ADFineGrainedPasswordPolicySubject Quita uno o varios usuarios de una directiva de contraseñas específica.
Get-ADForest Obtiene un bosque de Active Directory.
Set-ADForest Modifica un bosque de Active Directory.
Set-ADForestMode Establece el modo de bosque de un bosque de Active Directory.
Get-ADGroup Obtiene uno o varios grupos de Active Directory.
New-ADGroup Crea un grupo de Active Directory.
Remove-ADGroup Quita un grupo de Active Directory.
Set-ADGroup Modifica un grupo de Active Directory.
Add-ADGroupMember Agrega uno o varios miembros a un grupo de Active Directory.
Get-ADGroupMember Obtiene los miembros de un grupo de Active Directory.
Remove-ADGroupMember Quita uno o varios miembros de un grupo de Active Directory.
Get-ADObject Obtiene uno o varios objetos de Active Directory.
Move-ADObject Traslada un objeto de Active Directory o un contenedor de objetos a otro contenedor o dominio.
New-ADObject Crea un objeto de Active Directory.
Remove-ADObject Quita un objeto de Active Directory.
Rename-ADObject Cambia el nombre de un objeto de Active Directory.
Restore-ADObject Restaura un objeto de Active Directory.
Set-ADObject Modifica un objeto de Active Directory.
Disable-ADOptionalFeature Deshabilita una característica opcional de Active Directory.
Enable-ADOptionalFeature Habilita una característica opcional de Active Directory.
Get-ADOptionalFeature Obtiene una o varias características opcionales de Active Directory.
Get-ADOrganizationalUnit Obtiene una o varias OU de Active Directory.
New-ADOrganizationalUnit Crea una nueva OU de Active Directory.
Remove-ADOrganizationalUnit Quita una OU de Active Directory.
Set-ADOrganizationalUnit Modifica una OU de Active Directory.
Add-ADPrincipalGroupMembership Agrega un miembro a uno o varios grupos de Active Directory.
Get-ADPrincipalGroupMembership Obtiene los grupos de Active Directory que contienen un usuario, equipo o grupo especificados.
Remove-ADPrincipalGroupMembership Quita un miembro de uno o varios grupos de Active Directory.
Get-ADRootDSE Obtiene la raíz de un árbol de información del controlador de dominio.
Get-ADServiceAccount Obtiene una o varias cuentas de servicio de Active Directory.
Install-ADServiceAccount Instala una cuenta de servicio de Active Directory en un equipo.
New-ADServiceAccount Crea una nueva cuenta de servicio de Active Directory.
Remove-ADServiceAccount Quita una cuenta de servicio de Active Directory.
Set-ADServiceAccount Modifica una cuenta de servicio de Active Directory.
Uninstall-ADServiceAccount Desinstala una cuenta de servicio de Active Directory de un equipo.
Reset-ADServiceAccountPassword Restablece la contraseña de una cuenta de servicio de un equipo.
Get-ADUser Obtiene uno o varios usuarios de Active Directory.
New-ADUser Crea un nuevo usuario de Active Directory.
Remove-ADUser Quita un usuario de Active Directory.
Set-ADUser Modifica un usuario de Active Directory.
Get-ADUserResultantPasswordPolicy Obtiene la directiva de contraseñas resultante de un usuario.
noteNota
Para obtener una lista de todos los cmdlets que hay disponibles en el Módulo Active Directory, use el cmdlet Get-Command *-AD*

 

Para obtener más información sobre cualquiera de los cmdlets de Módulo Active Directory (o la sintaxis de cada uno de ellos), use el cmdlet Get-Help <cmdlet name>, donde <cmdlet name> es el nombre del cmdlet que desea buscar. Para obtener información más detallada, ejecute cualquiera de los siguientes cmdlets:

  • Get-Help <cmdlet name> -Detailed
  • Get-Help <cmdlet name> -Full
  • Get-Help <cmdlet name> -Detailed
  • Get-Help <cmdlet name> -Examples

¿Qué pasos previos son necesarios para implementar el módulo Active Directory?

El Módulo Active Directory se puede instalar mediante uno de los siguientes métodos:

  • De forma predeterminada, en un servidor de Windows Server 2008 R2 cuando se instalan los roles de servidor AD DS o AD LDS
  • De forma predeterminada, cuando se crea un controlador de dominio a partir de un servidor de Windows Server 2008 R2 mediante la ejecución de Dcpromo.exe
  • Como parte de la característica RSAT en un servidor de Windows Server 2008 R2
  • Como parte de la característica RSAT en un equipo con Windows 7
    ImportantImportante
    Si desea usar e Módulo Active Directory en Windows 7 para administrar remotamente un dominio de Active Directory, una instancia o un conjunto de configuración de AD LDS o una instancia de la herramienta de montaje de bases de datos de Active Directory, debe tener al menos un controlador de dominio de Windows Server 2008 R2 en el dominio o, como mínimo, una instancia en un conjunto de configuración de AD LDS que esté en ejecución en un servidor de Windows Server 2008 R2. 

     

  • De forma predeterminada, el Módulo Active Directory se instala con las siguientes características:
    • Windows PowerShell
    • Microsoft .NET Framework 3.5.1

    Para que el Módulo Active Directory funcione correctamente, Windows PowerShell y .NET Framework 3.5.1 deben estar instalados en el equipo de Windows Server 2008 R2 o Windows 7.

  • Si desea usar el Módulo Active Directory para administrar un dominio de Active Directory, una instancia o conjunto de configuraciones de AD LDS, o una instancia de la herramienta de montaje de bases de datos de Active Directory, debe instalar el servicio Servicios web de Active Directory (ADWS) de Windows Server 2008 R2 en al menos un controlador de dominio en este dominio o en un servidor que hospede la instancia de AD LDS. Para obtener más información sobre ADWS, vea Novedades de AD DS: Servicios web de Active Directory.
    WarningAdvertencia
    Para que funcione correctamente, el Módulo Active Directory depende del servicio ADWS, que requiere que el puerto TCP 389 esté abierto en el controlador de dominio en el que se ejecuta el servicio ADWS. Si se configura el firewall mediante un objeto de directiva de grupo (GPO), éste deberá actualizarse para asegurarse de que este puerto está abierto para ADWS. 

     

noteNota
Una vez el Módulo Active Directory esté instalado, para iniciarlo, haga clic en Inicio, elija Herramientas administrativas y, a continuación, haga clic en shortcut_ad_powershell. También se puede cargar el Módulo Active Directory de forma manual mediante la ejecución del comando Import-Module ActiveDirectoryen el símbolo del sistema de Windows PowerShell. 

 

¿Qué ediciones incluyen el módulo Active Directory?

El nextref_ad_powershell está disponible en las siguientes ediciones de Windows Server 2008 R2 y Windows 7:

  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows 7

El nextref_ad_powershell no está disponible en las siguientes ediciones de Windows Server 2008 R2:

  • Windows Server 2008 R2 para sistemas basados en Itanium
  • Windows Web Server 2008 R2
Anuncios