Tag Archive: power shell


Creación y Modificación de Usuarios de Active Directory con PowerShell (Bulk-Users)

Introducción

En este documento utilizaremos la nueva consola de comandos de Windows denominada PowerShell para crear y modificar usuarios en el Active Directory. Desde ella, podremos administrar desde un usuario hasta el número que necesiten. Existen muchos escenarios en los cuales debemos crear una gran cantidad de usuarios (nuevo dominio, nuevos empleados, etc), como así también podríamos necesitar modificar varios datos de usuarios ya existentes (modificación de teléfono, puesto, dirección, etc). En el ejemplo de ésta guía crearemos 13 usuarios de Active Directory y luego modificaremos ciertos datos para poder ejemplificar el script de modificación. Por último, activaremos el Mailbox de cada usuario en Microsoft Exchange 2007 SP1, por medio de PowerShell o bien por medio de la GUI.

Escenario

Nuestro escenario es muy simple, el cual consta de un servidor que es nuestro controlador de dominio principal, es DNS Server y posee Microsoft Exchange Server 2007 SP1 instalado. En nuestro caso tenemos instalado todo en un solo servidor debido a cuestiones prácticas de la guía. Recuerden que no es recomendable instalar el servidor de correo en el mismo servidor que es controlador de nuestro dominio.

clip_image001[4]

Requisitos

Nuestro controlador de dominio posee Microsoft Windows Server 2003 Standard Edition con Service Pack 2 y la actualización de R2 instalada, siendo ésta última no necesaria. Adicionalmente debemos tener las siguientes aplicaciones instaladas:

Powershell 1.0
http://www.microsoft.com/windowsserver2003/technologies/management/powershell/download.mspx

Microsoft Core XML Services (MSXML) 6.0
http://www.microsoft.com/downloads/details.aspx?FamilyID=993c0bcf-3bcf-4009-be21-27e85e1857b1&displaylang=en

PowerShell Commands for Active Directory (ActiveRoles Management Shell) by Quest Software
http://www.quest.com/powershell/activeroles-server.aspx

PowerShell Commands for Active Directory es un agregado para Microsoft PowerShell realizado por la firma Quest Software, el cual es gratuito y agrega comandos de PowerShell para administrar objetos de nuestro Active Directory.

Creando Bulk-Users en Active Directory con PowerShell

Lista de Usuarios

Una vez que dispongamos de nuestro servidor (Controlador de Dominio) instalado, procederemos a utilizar PowerShell para crear Usuarios de Active Directory a partir de una lista de usuarios, que en principio podríamos tener en Microsoft Excel pero que en definitiva debemos tenerla en un archivo CSV.

clip_image002
Figura 1. Lista completa de usuarios con datos adicionales

En la Figura 1 tenemos una lista completa de usuario con todos sus datos. En ella tenemos: nombre, apellido, nombre a mostrar, nombre de usuario, teléfono, area de trabajo, cargo laboral, empresa, dirección postal de trabajo, código postal y ciudad y password.
Una vez completada toda la lista la debemos guardar como CSV (archivo delimitado por coma), el cual utilizaremos en nuestro script de PowerShell.

Conociendo los cmdlets de Quest Software para PowerShell

Para crear usuarios debemos utilizar el cmdlet New-QADuser.

Sintaxis

La sintaxis que utilizaremos en el script de PowerShell para crear los usuarios es la siguiente:

New-QADUser [-Name] <String> -ParentContainer <IdentityParameter>

[-City <String>] [-Company <String>] [-Department <String>]

[-Fax <String>] [-FirstName <String>] [-HomePhone <String>]

[-Initials <String>] [-LastName <String>]

[-Manager<IdentityParameter>] [-MobilePhone <String>]

[-Notes <String>] [-Office <String>] [-Pager <String>]

[-PhoneNumber <String>] [-PostalCode <String>]

[-PostOfficeBox <String>] [-SamAccountName <String>]

[-StateOrProvince <String>] [-StreetAddress <String>]

[-Title <String>] [-UserPrincipalName <String>]

[-WebPage <String>] [-UserPassword <String>]

[-ObjectAttributes <ObjectAttributesParameter>]

[-Description <String>] [-DisplayName <String>]

[-ExcludedProperties <String[]>] [-IncludedProperties <String[]>]

[-DeserializeValues] [-UseDefaultExcludedProperties]

[-UseDefaultExcludedPropertiesExcept <String[]>] [-Proxy]

[-Service <String>] [-ConnectionAccount <String>]

[-ConnectionPassword <SecureString>] [-Credential <PSCredential>]

[-Connection <ArsConnection>] [-UseGlobalCatalog]

A continuación se listan los atributos/sintaxis posibles a usar con el cmdlet para modificar los atributos de los usuarios.

Atributo

Sintaxis

l

-City <String>

company

-Company <String>

description

-Description <String>

department

-Department <String>

displayName

-DisplayName <String>

facsimileTelephoneNumber

-Fax <String>

givenName

-FirstName <String>

homePhone

-HomePhone <String>

initials

-Initials <String>

sn

-LastName <String>

manager

-Manager <IdentityParameter>

mobile

-MobilePhone <String>

info

-Notes <String>

physicalDeliveryOfficeName

-Office <String>

pager

-Pager <String>

Parametro para setear la clave del usuario

-UserPassword <String>

telephoneNumber

-Phone <String>

postalCode

-PostalCode <String>

postOfficeBox

-PostOfficeBox <String>

samAccountName

-SamAccountName <String>

st

-StateOrProvince <String>

streetAddress

-StreetAddress <String>

title

-Title <String>

userPrincipalName

-UserPrincipalName <String>

wWWHomePage

-WebPage <String>

Creando la Unidad Organizacional

El siguiente paso comprende en crear una nueva Unidad Organizacional (OU) en nuestro dominio al cual denominaremos “UsuariosNuevos”, tal como podemos ver en la Figura 2.

clip_image002[5]

Figura 2. Aquí es donde estarán los nuevos usuarios que crearemos con PowerShell

Armando el script de creación de usuarios

Ahora solo nos queda por crear el script final acorde a nuestra lista de usuarios. Para ello, primero analizaremos el script y luego lo ejecutaremos.

Import-CSV c:\users.csv | ForEach-Object { New-QADUser -Name $_.display -SamAccountName $_.SamAccountName -UserPrincipalName $_.user1 -FirstName $_.first -LastName $_.last -DisplayName $_.display -Phone $_.phone -Department $_.departamento -Title $_.Title -Company $_.company -Streetaddress $_.street -PostalCode $_.zip -City $_.city -StateOrProvince $_.state -UserPassword $_.password -ParentContainer mazzite.com/UsuariosNuevos }

En este script utilizaremos el cmdlet “Import-CSV” para importar la lista de nuestros usuarios, la cual habíamos creado anteriormente, que tomará de la ubicación que le indiquemos. Luego por cada objeto de la lista se ejecutara el cmdlet “New-QADUser” seguido de los parámetros con sus variables correspondientes. El código resaltado en verde son los nombres que le hemos dado a cada columna de datos en nuestra lista de usuarios. Por último, el dato resaltado en rojo, es la OU en donde se crearan los nuevos usuarios. Cabe destacar que estamos utilizando solo algunos de los parámetros para modificar atributos. Si quisiéramos agregar algún otro dato, solo es cuestión de agregar la sintaxis según la tabla vista anteriormente y agregar la columna en nuestra lista de usuarios.

clip_image002[7]
Figura 3. Aquí vemos el nuestro script ejecutado desde la Quest Managemente Shell

clip_image002[11]
Figura 4. Como resultado vemos que se han creado los usuarios correspondientes.

Como hemos visto con éste script, crear grandes cantidades de usuarios toma tan solo pocos minutos. Lo más importante es tener la lista de usuarios completa y con todos los datos actualizados, aunque esto no sería un problema ya que existe otro cmdlet que nos permitirá realizar cambios en los atributos de cada usuario de una forma bastante similar a la que hemos utilizado para crear usuarios.

Crear Cuentas de E-Mail desde PowerShell

Como opcional, veremos cómo crear en forma muy sencilla una cuenta de e-mail por cada uno de los usuarios que hemos creado anteriormente.

clip_image002[13]
Figura 5. Management Console de Microsoft Exchange Server 2007. Tan solo vemos dos usuarios con cuenta de e-mail.

Para crear las cuentas de e-mail a cada usuario tan solo debemos correr el siguiente script luego de haber creado los usuarios:

Get-User –OrganizationalUnit “MAZZITE.COM/UsuariosNuevos” | Enable-Mailbox -Database “SRV1\Mailbox Database”

Es importante aclarar que el script para crear las cuentas de e-mail lo debemos ejecutar desde la consola de PoweShell de Microsoft Exchange Server 2007. Una vez que ejecutemos el script de PowerShell obtendremos algo similar como la Figura 6.

 

clip_image002[15]
Figura 6. Ahora los usuarios poseen cuenta de e-mail en nuestra empresa.

Si entramos nuevamente a la consola grafica de administración de Microsoft Exchange Server 2007 veremos que ahora vemos mas de dos cuentas de e-mail. Ahora se suman todos los usuarios que hay en la OU “UsuariosNuevos”.

clip_image004
Figura 7. Management Console de Microsoft Exchange Server 2007. Con tan solo un script hemos creado las cuentas de e-mail de todos los usuarios de una determinada OU.

Es importante aclarar que Microsoft Exchange Server 2007 permite crear cuentas de e-mail para usuarios existentes con muy pocos pasos, utilizando la selección múltiple a través de la consola gráfica desde Service Pack 1 de Exchange 2007. Sin Service Pack 1, solo hubiera sido posible a través de la GUI realizando la creación usuario por usuario.

Modificación de atributos en Active Directory con PowerShell (Bulk-Users)

Anteriormente hemos visto como crear usuarios con todos sus datos en nuestro Active Directory. Ahora veremos cómo podemos modificar atributos para grandes cantidades de usuarios en muy pocos pasos.

Modificando la lista de Usuarios

Existen muchos casos en el cual debamos modificar un mismo dato para todos los usuarios o bien para cierta cantidad de ellos. En nuestro caso veremos cómo agregar un dato y modificar otro dos datos para todos los usuarios que hemos creado. Este caso, ejemplifica la modificación de la dirección y código postal, ya que la empresa se ha mudado de oficina y se ha agrega una descripción a cada uno de los usuarios.

 clip_image002[18]
Figura 8
. En nuestra lista de usuarios debemos modificar los datos necesarios y agregar otra columna con los nuevos datos.

Tal como vemos en la Figura 8, hemos modificado la dirección de cada usuario, el código postal y al final hemos agregado la columna de “descripción”. Una vez finalizada la modificación volvemos a guardar el archivo como CSV.

Armando el script de modificación de  Usuarios

Ahora tan solo debemos crear y ejecutar el script de PowerShell para modificar los atributos de los usuarios en nuestro Active Directory.

Import-CSV c:\users.csv | ForEach-Object { Set-QADUser -Identity $_.SamAccountName  -Streetaddress $_.street -PostalCode $_.zip -description $_.descripcion }

Una vez ejecutado el script, veremos como resultado algo similar como vemos en las siguientes Figuras:

 

clip_image002
Figura 9
. Aquí vemos el script en acción.

 

clip_image004
Figura 10
. Active Directory Users and Computers: La descripción ha sido agregada a cada usuario


clip_image006
Figura 11
. La dirección y el código postal han sido modificados.

Resumen

A lo largo de ésta guía hemos visto el potencial de PowerShell para la administración de Active Directory y Microsoft Exchange Server 2007. Existen una gran cantidad de parámetros y opciones que en esta guía no hemos visto, por lo cual les recomiendo que revisen toda la documentación de Microsoft PowerShell y de Quest Software para que puedan adaptar y utilizar ésta fascinante herramienta que nos permitirá automatizar gran parte de nuestro trabajo.

Links y Referencias

Grupo Latinoamericano de Usuarios de Active Directory
http://www.msglad.org

Grupo Latinoamericano de Usuarios de Exchange Server
http://www.msglue.org

Blog del Team de Windows PowerShell
http://blogs.msdn.com/PowerShell

Download de Windows PowerShell
http://www.microsoft.com/windowsserver2003/technologies/management/powershell/download.mspx

Quest ActiveRoles Management Shell for Active Directory – Administrator’s Guide
http://info.quest.com/QuestWebMgmtShellForADAdminGuide

Quest Downloads
http://www.quest.com/powershell/activeroles-server.aspx


Documentodel equipo  MSGLAD – www.msglad.org

AD DS: Módulo de Active Directory para Windows PowerShell

Cambios más importantes

El Módulo de Active Directory para Windows PowerShell proporciona un scripting de línea de comandos con un vocabulario y una sintaxis coherentes destinado a tareas administrativas, de configuración y de diagnóstico. El Módulo Active Directory permite una capacidad de administración de un extremo a otro con Exchange Server, la directiva de grupo y otros servicios.

¿Para qué sirve el módulo Active Directory?

Windows PowerShell™ es un shell de línea de comandos y lenguaje de scripting que ayuda a los profesionales de las tecnologías de la información (TI) a controlar la administración del sistema más fácilmente, así como a lograr una mayor productividad.

El Módulo Active Directory en Windows Server 2008 R2 es un módulo de Windows PowerShell (llamado ActiveDirectory) que consolida un grupo de cmdlets. Estos cmdlets se pueden usar para administrar los dominios de Active Directory, los conjuntos de configuración de Active Directory Lightweight Directory Services (AD LDS) y las instancias de la herramienta de montaje de bases de datos de Active Directory en un único paquete independiente.

En Windows Server 2000, Windows Server 2003 y Windows Server 2008, los administradores usaban distintas herramientas de línea de comandos y complementos Microsoft Management Console (MMC) para conectarse a los dominios de Active Directory y a los conjuntos de configuración de AD LDS para supervisarlos y administrarlos. El Módulo Active Directory en Windows Server 2008 R2 proporciona una experiencia centralizada para administrar el servicio de directorio.

¿A quién puede interesar esta característica?

Es probable que los siguientes grupos estén interesados en el Módulo Active Directory:

  • Los usuarios pioneros de Windows Server 2008 R2 y los planificadores y analistas de TI que realizan la evaluación técnica de Windows Server 2008 R2
  • Planificadores y diseñadores de TI de empresas
  • Equipos de administración de Servicios de dominio de Active Directory (AD DS)
  • Administradores de AD DS

¿Debe tenerse en cuenta alguna consideración especial?

  • El Módulo Active Directory solo se puede instalar en equipos que ejecutan Windows Server 2008 R2. No se puede instalar en equipos que ejecutan Windows 2000, Windows Server 2003 o Windows Server 2008.
  • El Módulo Active Directory también se puede instalar en Windows 7 como parte de las Herramientas de administración remota del servidor (RSAT) de Windows Server 2008 R2. No obstante, si desea instalar el Módulo Active Directory en Windows 7 para administrar remotamente un dominio de Active Directory, una instancia o un conjunto de configuración de AD LDS o una instancia de la herramienta de montaje de bases de datos de Active Directory, debe tener al menos un controlador de dominio de Windows Server 2008 R2 en el dominio o, como mínimo, una instancia en un conjunto de configuración de AD LDS que esté en ejecución en un servidor de Windows Server 2008 R2.

¿Qué nueva funcionalidad aporta el módulo Active Directory?

El Módulo Active Directory está compuesto del proveedor del Módulo Active Directory y de los cmdlets del Módulo Active Directory.

Proveedor del módulo Active Directory

Los administradores pueden usar el proveedor del Módulo Active Directory para navegar y obtener acceso fácilmente a los datos almacenados en los dominios de Active Directory, en las instancias de la herramienta de montaje de bases de datos de Active Directory y en las instancias y conjuntos de configuración de AD LDS. El proveedor del Módulo Active Directory expone la base de datos de Active Directory mediante un sistema de navegación jerárquico, muy parecido al sistema de archivos. Por ejemplo, mientras usa el Módulo Active Directory, puede usar los siguientes comandos para navegar por el directorio:

  • cd
  • dir
  • remove
  • .
  • ..

El proveedor del Módulo Active Directory también sirve para asignar dominios de Active Directory, instancias de AD LDS e instancias de la herramienta de montaje de bases de datos de Active Directory a unidades específicas del proveedor. Cuando se carga el Módulo Active Directory por primera vez, se monta una unidad de Active Directory (AD:) predeterminada. Para conectarse a esa unidad, ejecute el comando cd AD:. Para conectar una nueva unidad de proveedor a un dominio de Active Directory, un servidor AD LDS o una instancia de la herramienta de montaje de bases de datos de Active Directory, se puede usar el siguiente cmdlet:

New-PSDrive -Name <name of the drive> -PSProvider ActiveDirectory -Root “<DN of the partition/NC>” –Server <server or domain name (NetBIOS/FQDN)[:port number]> -Credential <domain name>\<username>

Parámetro Descripción
-Name <name of the drive> Especifica el nombre de la unidad que se va a agregar.
-PSProvider ActiveDirectory El nombre del proveedor, en este caso, ActiveDirectory.
-Root “<DN of the partition/NC>” Especifica la raíz o ruta de acceso interna del proveedor.
–Server <server or domain name (NetBIOS/FQDN)[:port number]> Especifica el servidor que hospeda el dominio de Active Directory o una instancia de AD LDS.
-Credential <domain name>\<username> Especifica las credenciales que debe tener para conectarse al dominio de Active Directory o al servidor AD LDS.

Cmdlets del módulo Active Directory

Los cmdlets del Módulo Active Directory se pueden usar para realizar diversas tareas administrativas, de configuración y de diagnóstico en los entornos de AD DS y AD LDS. En esta versión de Windows Server 2008 R2, el Módulo Active Directory puede servir para administrar las cuentas de equipo y usuario, grupos, unidades organizativas (OU), dominios y bosques, controladores de dominio y directivas de contraseñas de Active Directory existentes, o bien para crear unos nuevos.

En la siguiente tabla se enumeran todos los cmdlets disponibles en esta versión del Módulo Active Directory en Windows Server 2008 R2.

Cmdlet Descripción
Disable-ADAccount Deshabilita una cuenta de Active Directory.
Enable-ADAccount Habilita una cuenta de Active Directory.
Search-ADAccount Obtiene cuentas de usuario, de equipo y de servicio de Active Directory.
Unlock-ADAccount Desbloquea una cuenta de Active Directory.
Get-ADAccountAuthorizationGroup Obtiene los grupos de seguridad de Active Directory que contienen una cuenta.
Set-ADAccountControl Modifica los valores de Control de cuentas de usuario (UAC) relativos a una cuenta de Active Directory.
Clear-ADAccountExpiration Borra la fecha de expiración de una cuenta de Active Directory.
Set-ADAccountExpiration Establece la fecha de expiración de una cuenta de Active Directory.
Set-ADAccountPassword Modifica la contraseña de una cuenta de Active Directory.
Get-ADAccountResultantPasswordReplicationPolicy Obtiene la directiva de replicación de contraseñas resultante de una cuenta de Active Directory.
Get-ADComputer Obtiene uno o varios equipos de Active Directory.
New-ADComputer Crea un nuevo equipo de Active Directory.
Remove-ADComputer Quita un equipo de Active Directory.
Set-ADComputer Modifica un equipo de Active Directory.
Add-ADComputerServiceAccount Agrega una o varias cuentas de servicio a un equipo de Active Directory.
Get-ADComputerServiceAccount Obtienen las cuentas de servicio que hospeda un equipo de Active Directory.
Remove-ADComputerServiceAccount Quita una o varias cuentas de servicio de un equipo.
Get-ADDefaultDomainPasswordPolicy Obtiene la directiva de contraseñas predeterminada de un dominio de Active Directory.
Set-ADDefaultDomainPasswordPolicy Modifica la directiva de contraseñas predeterminada de un dominio de Active Directory.
Move-ADDirectoryServer Traslada un controlador de dominio en AD DS a un nuevo sitio.
Move-ADDirectoryServerOperationMasterRole Traslada roles de maestro de operaciones, también conocidos como FSMO (Operaciones de maestro único flexible), a un controlador de dominio de Active Directory.
Get-ADDomain Obtiene un dominio de Active Directory.
Set-ADDomain Modifica un dominio de Active Directory.
Get-ADDomainController Obtiene uno o varios controladores de dominio de Active Directory en función de criterios de servicios detectables, parámetros de búsqueda o proporcionando un identificador de controlador de dominio, como el nombre de NetBIOS.
Add-ADDomainControllerPasswordReplicationPolicy Agrega usuarios, equipos y grupos a la lista de permitidos o denegados de la Directiva de replicación de contraseñas (PRP) del controlador de dominio de solo lectura (RODC).
Get-ADDomainControllerPasswordReplicationPolicy Obtiene los miembros de la lista de permitidos o denegados de la PRP del RODC.
Remove-ADDomainControllerPasswordReplicationPolicy Quita usuarios, equipos y grupos de la lista de permitidos o denegados de la PRP del RODC.
Get-ADDomainControllerPasswordReplicationPolicyUsage Obtiene la directiva de contraseñas resultante de la ADAccount especificada en el RODC especificado.
Set-ADDomainMode Establece el nivel funcional de dominio de un dominio de Active Directory.
Get-ADFineGrainedPasswordPolicy Obtiene una o varias directivas de contraseñas específicas de Active Directory.
New-ADFineGrainedPasswordPolicy Crea una nueva directiva de contraseñas específica de Active Directory.
Remove-ADFineGrainedPasswordPolicy Quita una directiva de contraseñas específica de Active Directory.
Set-ADFineGrainedPasswordPolicy Modifica una directiva de contraseñas específica de Active Directory.
Add-ADFineGrainedPasswordPolicySubject Aplica una directiva de contraseñas específica a uno o más usuarios y grupos.
Get-ADFineGrainedPasswordPolicySubject Obtiene los usuarios y grupos a los que se aplica una directiva de contraseñas específica.
Remove-ADFineGrainedPasswordPolicySubject Quita uno o varios usuarios de una directiva de contraseñas específica.
Get-ADForest Obtiene un bosque de Active Directory.
Set-ADForest Modifica un bosque de Active Directory.
Set-ADForestMode Establece el modo de bosque de un bosque de Active Directory.
Get-ADGroup Obtiene uno o varios grupos de Active Directory.
New-ADGroup Crea un grupo de Active Directory.
Remove-ADGroup Quita un grupo de Active Directory.
Set-ADGroup Modifica un grupo de Active Directory.
Add-ADGroupMember Agrega uno o varios miembros a un grupo de Active Directory.
Get-ADGroupMember Obtiene los miembros de un grupo de Active Directory.
Remove-ADGroupMember Quita uno o varios miembros de un grupo de Active Directory.
Get-ADObject Obtiene uno o varios objetos de Active Directory.
Move-ADObject Traslada un objeto de Active Directory o un contenedor de objetos a otro contenedor o dominio.
New-ADObject Crea un objeto de Active Directory.
Remove-ADObject Quita un objeto de Active Directory.
Rename-ADObject Cambia el nombre de un objeto de Active Directory.
Restore-ADObject Restaura un objeto de Active Directory.
Set-ADObject Modifica un objeto de Active Directory.
Disable-ADOptionalFeature Deshabilita una característica opcional de Active Directory.
Enable-ADOptionalFeature Habilita una característica opcional de Active Directory.
Get-ADOptionalFeature Obtiene una o varias características opcionales de Active Directory.
Get-ADOrganizationalUnit Obtiene una o varias OU de Active Directory.
New-ADOrganizationalUnit Crea una nueva OU de Active Directory.
Remove-ADOrganizationalUnit Quita una OU de Active Directory.
Set-ADOrganizationalUnit Modifica una OU de Active Directory.
Add-ADPrincipalGroupMembership Agrega un miembro a uno o varios grupos de Active Directory.
Get-ADPrincipalGroupMembership Obtiene los grupos de Active Directory que contienen un usuario, equipo o grupo especificados.
Remove-ADPrincipalGroupMembership Quita un miembro de uno o varios grupos de Active Directory.
Get-ADRootDSE Obtiene la raíz de un árbol de información del controlador de dominio.
Get-ADServiceAccount Obtiene una o varias cuentas de servicio de Active Directory.
Install-ADServiceAccount Instala una cuenta de servicio de Active Directory en un equipo.
New-ADServiceAccount Crea una nueva cuenta de servicio de Active Directory.
Remove-ADServiceAccount Quita una cuenta de servicio de Active Directory.
Set-ADServiceAccount Modifica una cuenta de servicio de Active Directory.
Uninstall-ADServiceAccount Desinstala una cuenta de servicio de Active Directory de un equipo.
Reset-ADServiceAccountPassword Restablece la contraseña de una cuenta de servicio de un equipo.
Get-ADUser Obtiene uno o varios usuarios de Active Directory.
New-ADUser Crea un nuevo usuario de Active Directory.
Remove-ADUser Quita un usuario de Active Directory.
Set-ADUser Modifica un usuario de Active Directory.
Get-ADUserResultantPasswordPolicy Obtiene la directiva de contraseñas resultante de un usuario.
noteNota
Para obtener una lista de todos los cmdlets que hay disponibles en el Módulo Active Directory, use el cmdlet Get-Command *-AD*

 

Para obtener más información sobre cualquiera de los cmdlets de Módulo Active Directory (o la sintaxis de cada uno de ellos), use el cmdlet Get-Help <cmdlet name>, donde <cmdlet name> es el nombre del cmdlet que desea buscar. Para obtener información más detallada, ejecute cualquiera de los siguientes cmdlets:

  • Get-Help <cmdlet name> -Detailed
  • Get-Help <cmdlet name> -Full
  • Get-Help <cmdlet name> -Detailed
  • Get-Help <cmdlet name> -Examples

¿Qué pasos previos son necesarios para implementar el módulo Active Directory?

El Módulo Active Directory se puede instalar mediante uno de los siguientes métodos:

  • De forma predeterminada, en un servidor de Windows Server 2008 R2 cuando se instalan los roles de servidor AD DS o AD LDS
  • De forma predeterminada, cuando se crea un controlador de dominio a partir de un servidor de Windows Server 2008 R2 mediante la ejecución de Dcpromo.exe
  • Como parte de la característica RSAT en un servidor de Windows Server 2008 R2
  • Como parte de la característica RSAT en un equipo con Windows 7
    ImportantImportante
    Si desea usar e Módulo Active Directory en Windows 7 para administrar remotamente un dominio de Active Directory, una instancia o un conjunto de configuración de AD LDS o una instancia de la herramienta de montaje de bases de datos de Active Directory, debe tener al menos un controlador de dominio de Windows Server 2008 R2 en el dominio o, como mínimo, una instancia en un conjunto de configuración de AD LDS que esté en ejecución en un servidor de Windows Server 2008 R2. 

     

  • De forma predeterminada, el Módulo Active Directory se instala con las siguientes características:
    • Windows PowerShell
    • Microsoft .NET Framework 3.5.1

    Para que el Módulo Active Directory funcione correctamente, Windows PowerShell y .NET Framework 3.5.1 deben estar instalados en el equipo de Windows Server 2008 R2 o Windows 7.

  • Si desea usar el Módulo Active Directory para administrar un dominio de Active Directory, una instancia o conjunto de configuraciones de AD LDS, o una instancia de la herramienta de montaje de bases de datos de Active Directory, debe instalar el servicio Servicios web de Active Directory (ADWS) de Windows Server 2008 R2 en al menos un controlador de dominio en este dominio o en un servidor que hospede la instancia de AD LDS. Para obtener más información sobre ADWS, vea Novedades de AD DS: Servicios web de Active Directory.
    WarningAdvertencia
    Para que funcione correctamente, el Módulo Active Directory depende del servicio ADWS, que requiere que el puerto TCP 389 esté abierto en el controlador de dominio en el que se ejecuta el servicio ADWS. Si se configura el firewall mediante un objeto de directiva de grupo (GPO), éste deberá actualizarse para asegurarse de que este puerto está abierto para ADWS. 

     

noteNota
Una vez el Módulo Active Directory esté instalado, para iniciarlo, haga clic en Inicio, elija Herramientas administrativas y, a continuación, haga clic en shortcut_ad_powershell. También se puede cargar el Módulo Active Directory de forma manual mediante la ejecución del comando Import-Module ActiveDirectoryen el símbolo del sistema de Windows PowerShell. 

 

¿Qué ediciones incluyen el módulo Active Directory?

El nextref_ad_powershell está disponible en las siguientes ediciones de Windows Server 2008 R2 y Windows 7:

  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows 7

El nextref_ad_powershell no está disponible en las siguientes ediciones de Windows Server 2008 R2:

  • Windows Server 2008 R2 para sistemas basados en Itanium
  • Windows Web Server 2008 R2