CREACIÓN DE USUARIOS UTILIZANDO LA LÍNEA DE COMANDOS

Ahora vamos a pasar a otro método de creación de cuentas manual, cabe aclarar que el

comando usado para crear usuarios a través de la línea de comando aunque se trata de un

proceso manual no significa que no podamos usarlo como parte de un script para crear

muchos usuarios al tiempo, luego veremos cómo se hace, por ahora ingresemos a la línea de

comandos cmd.exe y escribamos la siguiente instrucción:

dsadd user "cn=Jhon Smith,ou=Admins,dc=itpros-dc,dc=com"

Presionamos Enter y de este modo habrá quedado creado nuestro usuario, que para el caso

del ejemplo el nombre de dicho usuario es Jhon Smith el cual a su vez se encuentra dentro

de la Unidad Organizativa Admins que se encuentra bajo el dominio itpros-dc.com

En resumen, la creación de usuarios desde consola se hace con el comando dsadd user y

como parámetro debemos pasarle el nombre distintivo ó DN del usuario a crear: dsadd user

DN

 

Es importante aclarar que si el nombre del usuario o de la Unidad Organzativa contiene algún

espacio, es necesario encerrar el DN entre comillas, tal como en el ejemplo anterior.

Con lo anterior, simplemente hemos creado un usuario y su contraseña, pero muchos de los

parámetros de dicho usuario no se encuentran establecidos, por ejemplo puede observarse

que después de crear el usuario con el comando anterior, en el complemento Usuarios y

equipos de Active Directory, dicho usuario aparecerá deshabilitado, lo cual nos lleva a

realizar la habilitación del mismo de manera manual, además muchas de las propiedades

como el nombre anterior a Windows 2000 y las opciones de cuenta tales como si el usuario

debe cambiar la contraseña en el próximo inicio de sesión no estarán establecidas, es por

ello el comando dsadd acepta varios parámetros que especifican las propiedades de los

usuarios, las cuales vamos a poner en práctica a continuación.

Al comando anterior vamos a realizarle algunos cambios:

-samid: El nombre anterior a Windows 2000

-pwd: La contraseña del usuario (si se establece un * se solicitará la contraseña

interactivamente)

-mustchpwd: Especifica que el usuario debe cambiar la contraseña en el próximo inicio de

sesión

Los anteriores son los parámetros necesarios para crear una cuenta completamente

funcional, ya el resto de parámetros dependerán de nuestras necesidades, por ejemplo si

deseamos crear un directorio particular para el usuario podemos usar el parámetro hmdir o

si por ejemplo deseamos establecer una ruta de perfil para el usuario en algún recurso

compartido podemos usar el parámetro profile, por ahora vamos a crear la cuenta con los

parámetros mencionados anteriormente, con lo cual el parámetro quedará de la siguiente

manera:

dsadd user "cn=Jhon Smith,ou=Admins,dc=itpros-dc,dc=com" -samid jsmith -pwd *

-mustchpwd yes

Al presionar Enter, lo primero que nos va a solicitar es la contraseña para el usuario, ya que

establecimos como valor del parámetro pwd un asterisco, de este modo será creado nuestro

usuario con los datos básicos. Si queremos proporcionar parámetros adicionales como por

ejemplo una ruta de perfil o un directorio particular, podemos hacer uso de los

parámetros profile y hmdir para el caso del directorio particular la instrucción debe quedar

de la siguiente manera:

dsadd user "cn=Jhon Smith,ou=Admins,dc=itpros-dc,dc=com" -samid jsmith -pwd *

-mustchpwd yes -hmdir \\server01\users\$username$\documents -hmdrv Y:

La lista completa de parámetros que se pueden usar con el comando dsadd puede ser

revisada directamente desde la ayuda que incorpora el propio comando, basta con escribir lo

siguiente en la línea de comando: dsadd user /? LINEAS DE COMANDO POWER SHEL

Creación de cuentas de usuario en Active Directory - Creación de cuentas de usuario con PowerShellSábado, 05 de Mayo de 2012 18:32 César Herrada

INDICE DEL ARTÍCULO

Creación de cuentas de usuario en Active Directory

Creación de usuarios utilizando el complemento Usuarios y equipos de Active Directory

Creación de usuarios utilizando la línea de comandos

Creación de cuentas de usuario con PowerShell

Todas las páginas

Página 4 de 4

CREACIÓN DE CUENTAS DE USUARIO CON POWERSHELL 

Gracias a PowerShell las tareas para la administración de cuentas de usuario son cada vez

más sencillas, inicialmente con Windows Server 2008 la creación de cuentas de usuario con

PowerShell era un proceso no tan trivial, pero a partir de Windows Server 2008 R2 se mejoró

mucho este aspecto. PowerShell ha venido cogiendo mucha fuerza, y muchas cosas en

adelante serán construidas con base en esta tecnología, tanto así que el Centro

Administrativo de Active Directory es basado en PowerShell, y de hecho la futura nueva

versión de Server, Windows Server 2012 incorporá un Server Manager basado en

PowerShell, es por ello que vale la pena que todos los profesionales de TI se empiecen a

familiarizar con su funcionamiento, y que mejor comienzo que crear cuentas de usuario en

Active Directory ;-) así que vamos a empezar:

La idea es irse familiarizando con la administración basada en PowerShell, les garantizo que

si lo hacen se irán olvidando de otros mecanismos, tales como los famosos comandos DS.

 

 

Qué es PowerShell?

Antes de entrar en materia, es importante dar un poco de contexto, y para ello explicaré

brevemente qué es PowerShell. Se trata de una línea de comando así como el famoso

cmd.exe, diseñada especialmente para la administración del sistema y la automatización de

tareas, está basada en .Net Framework y no solamente sirve para administrar tecnologías

como Active Directory, sino también productos como Exchange Server, Sharepoint y SQL

Server, así que dominar esta herramienta no solo nos permite administrar Windows sino

otras tecnologías Microsoft.

Con PowerShell los comandos son llamados cmdlets, de manera predeterminada el sistema

incluye varios cmdlets listos para usar, sin que esto signifique que no pueda usar en

PowerShell comandos que habitualmente usamos con cmd.exe, tales como dir, ipconfig,

entre otros.

Windows Server 2008 R2 y Windows 7 incluyen PowerShell 2.0, para ejecutarlo basta con

escribir powershell en la barra de búsqueda del menú inicio, otra cosa importante es que

PowerShell es extensible y permite que por ejemplo terceros desarrollen módulos que luego

pueden ser importados y usados en la consola, para el caso que nos compete en este arículo,

el directorio activo, Windows Server 2008 R2 incorpora un módulo especializado para Active

Directory, mediante el cual podemos llevar a cabo tareas de administración del directorio de

una manera sencilla y eficiente.

 

 

Administrar Active Directory con PowerShell

PowerShell viene instalado por defecto con Windows Server 2008 (powershell.exe), el cual

puede ser invocado desde la línea de comandos (cmd.exe) o simplemente escribiendo

powershell en la barra de búsqueda del menú inicio.

Como mencioné anteriormente, Windows Server 2008 incorporá un módulo especializado

para administrar el directorio, al instalar los Servicios de Dominio de Active Directory (ADDS),

se instala dicho módulo, y lo podemos encontrar incluido en las Herramientas

Administrativas.

Una vez lo iniciemos se abre PowerShell y carga automáticamente el módulo para

administrar Active Directory, ya que si lo abrimos simplemente con el comando

powershell.exe es necesario cargar el módulo de manera manual escribiendo el siguiente

comando:

Import-Module ActiveDirectory

Una vez abierta la consola puede revisar la lista de cmdlets existente escribiendo: Get-

Command

Nota: El explicar el funcionamiento de PowerShell en general se escapa del alcance de este

artículo, por lo cual nos centraremos en los comandos e instrucciones necesarias para la

creación de cuentas en Active Directory, empezaré pronto a escribir un tutorial completo

sobre PowerShell, pero ello depende de la demanda, asi que si estás interesado en un totorial

no dudes en comentar para animarme a sacarlo pronto ;-)

Dentro de toda la lista de cmdlets que nos ofrece Get-Command podemos identificar de

manera sencilla los que han sido cargados por el módulo de Active Directory, ya que todos

incluyen la abreviación AD en su parte de sustantivo, ya que todos los cmdlets están

conformados por dos partes, un verbo y un sustantivo, de la siguiente forma: Verbo-

Sustantivo, por ejemplo, para ver la lista de servicios del sistema basta con escribir Get-

Service, es así como cada uno de los cmdlets cargados por el módulo de Active Directory

son del siguiente estilo: New-ADUser nótese siempre el AD después del guión que separa el

verbo del sustantivo, claramente podemos identificar que el cmdlet anterior es para crear un

nuevo usuario. Sin embargo, si desea consultar solo la lista de cmdlets cargados por el

módulo de Active Directory, basta con escribir la siguiente instrucción: Get-Command -

Noun AD* | more

Lo anterior ocasiona que solo sean mostrados en pantalla solamente los comandos

relacionados con la administración de Active Directory.

 

 

Comandos de PowerShell para la creación de cuentas en Active Directory

Si queremos ver solamente los cmdlets relacionados con el objeto usuario, basta con escribir

la siguiente instrucción:

Get-Command -Noun ADUser*

La anterior instrucción debe arrojar como resultado la siguiente lista de cmdlets:

Get-ADUser

GetADUserResultantPasswordPolicy

New-ADUser

Remove-ADUser

Set-ADUser

Para efectos de este artículo veremos el funcionamiento únicamente del cmdlet New-

ADUser, que como su nombre intuitivamente lo indica, sirve para crear nuevos usuarios.

 

Para ello basta con escribir la siguiente instrucción:

 

New-ADUser -Name "Nombre_Usuario"

 

Donde Nombre_Usuario es el nombre que deseamos poner a nuestro nuevo usuario. En mi

caso he creado un usuario llamado César Herrada, para lo cual escribí lo siguiente:

 

New-ADUser -Name "Cesar Herrada"

Si vamos a la consola de Usuarios y Equipos de Active Directory, podemos observar que

efectivamente ha sido creado el usuario.

 

 

En nuestro ejemplo solamente creamos el usuario con un atributo, el nombre, no

especificamos algunos otros parámetros importantes para la cuenta como el nombre SAM,

membresía y otras propiedades, adicionalmente podemos observar que el usuario ha sido

creado en el contenedor de usuarios predeterminado Users, así que podemos completar

algo más el comando indicando por ejemplo la OU en la cual queremos ubicarlo, el nombre

SAM de la cuenta o pre-Windows 2000. Para más información sobre los parámetros y uso del

cmdlet New-ADUser escribaGet-Help New-ADUser -Detailed desde PowerShell.

La siguiente instrucción crea el usuario pero adicionando varios parámetros para su creación:

New-ADUser -Path "ou=Usuarios,dc=itpros-dc,dc=com" -Name "Cesar Herrada"

-SAMAccountName "cesar.herrada" -GivenName "Cesar" -Surname "Herrada"

-Description "Webmaster"

-Company "ITPros-DC" -Department "Training"

 

Otro detalle que se puede observar es que la cuenta se encuentra deshabilitada, debido a

que no hemos especificado ninguna contraseña, así que para hacerlo debemos ejecutar la

siguiente instrucción:

 

Set-ADAccountPassword "Cesar Herrada"

Se nos solicitará la nueva contraseña para la cuenta, y de este modo ya estamos listos para

habilitarla, utilizando la siguiente instrucción:

Set-ADUser "Cesar Herrada" -Enabled $true

De este modo quedará habilitada nuestra cuenta en Active Directory.

Cabe aclarar que PowerShell es un potente motor de scripting y es posible crear robustos y

avanzados scripts para crear usuarios y hacer importaciones masivas de los mismos, lo cual

más adelante explicaré en un tutorial. Por ahora esto es todo lo que quiero compartirles

relacionado con la creación de cuentas en Active Directory con PowerShell, si tienen alguna

duda sugerencia o comentario no duden en hacerlo. 

CREAR USUARIOS Y PONER AL DOMINO

Los ejemplos de la ejecución de comandos, el vídeo y el artículo están basados en el sistema operativo Windows Server 2008 r2

Muy buenas amig@s, gracias a Luciano se me ha ocurrido incluir esto en la serie de artículos sobre la MCTS de Active Directory en Windows Server 2008 ya que esta serie de comandos son sin duda importantes sobre todo si nos dedicamos en pleno a la administración de servidores, de todas formas creo que puede resultar un poco “duro” tener que memorizar toda esta información por lo que os recomiendo tenerla a mano (muy a mano) para que cuando os pueda hacer falta podáis echar mano de ella.

Empecemos por el principio, el comando dsadd nos permite agregar objetos al directorio desde la línea de comandos lo que nos permite incluso llegar a automatizar la creación de una estructura de Grupos o Unidades Organizativas, a continuación dejo una lista de los objetos que podemos añadir al directorio con dsadd:

Equipos Contactos Grupos Unidades Organizativas Usuarios Cuotas de directorio

Estos son los objetos que podremos crear con el comando dsadd y deberemos de ser meticulosos y analizar bien las posibilidades de cada comando mediante la ayuda de los mismos, para acceder a esta ayuda deberemos de ejecutar lo siguiente:

Ayuda del comando dsadd para Equiposdsadd computer /?

Ayuda del comando dsadd para Contactosdsadd contact /?

Ayuda del comando dsadd para Gruposdsadd group /?

Ayuda del comando dsadd para Unidades Organizativasdsadd ou /?

Ayuda del comando dsadd para Usuariosdsadd user /?

Ayuda del comando dsadd para Cuotas de directoriodsadd quota /?

Bien, este rollo lo he soltado por dos motivos, el primero de ellos es porque este artículo pasará a engrosar la lista de artículos en PDF del DVD de videotutoriales de Windows Server 2008 del blog y quiero documentarlo al máximo, el segundo para que podáis tener la referencia de cada objeto, es decir, para Usuarios ” user “, para Unidades Organizativas ” ou ” etc, no voy a repetirlo…

Y ahora vamos con unos ejemplos antes de pasar al vídeo para que veamos la sintaxis, vamos a trabajar con los siguientes supuestos:

Nombre de usuario: Pablo

Unidad Organizativa:

BlogUsersDominio: s3v-i.local

 

Primero creamos una Unidad Organizativadsadd ou ou=BlogUsers,dc=s3v-i,dc=local

Al ejecutar esto veamos lo que estamos haciendo por partes:

dsaddEste comando ordena la creación de un objeto en el directorio

ouEste modificador indica que el objeto que vamos a crear es una Unidad Organizativa

ou=BlogUsers,Aquí estamos indicando el nombre que tendra la Unidad Organizativa

dc=s3v-i,dc=localAquí indicamos que el objeto será creado en el dominio s3v-i.local

 

Ahora utilizaremos dsadd para crear un usuario en la Unidad Organizativa BlogUsers que hemos creado antesdsadd user cn=Pablo,ou=BlogUsers,dc=s3v-i,dc=local -disabled no -pwd *

Y pasamos a analizar este comando…

dsaddEste comando ordena la creación de un objeto en el directorio

userEste modificador indica que el objeto que vamos a crear es un Usuario

cn=Pablo,Aquí estamos indicando el nombre que tendra el Usuario

ou=BlogUsers,Aquí estamos indicando en que Unidad Organizativa vamos a crear el usuario

dc=s3v-i,dc=localAquí indicamos que el objeto será creado en el dominio s3v-i.local

-disabled noNos permite especificar si la cuenta estará activa o no, si no especificamos una contraseña la cuenta se creará pero estará desactivada

-pwd *Este modificador lo que nos permite es especificar el password después de lanzar el comando, la principal ventaja es que no tendría que estar integrada en un fichero por lotes y no sería visible aunque en un caso de crear muchos usuarios de forma masiva lo mejor es establecer que el usuario cambia la contraseña en el siguiente inicio de sesión

Como vemos en este segundo comando ya se va complicando bastante la cosa y es que todavía no podemos imaginar la cantidad de parámetros que podemos incluir a dsadd.

En cuanto al resto de objetos con los que podremos trabajar como los contactos, cuotas, grupos y/o equipos tienen un funcionamiento muy similar aunque los parámetros para cada uno de ellos varían muchísimo y deberemos de ejecutar la ayuda como ya he indicado más arriba para descubrir los modificadores de cada objeto.

Para no alargarme más y a modo de ampliación y repaso de todo este artículo creo que será mejor que continuemos con un vídeo y veamos como deberemos de proceder y los efectos que la ejecución de estos comandos tendrá sobre nuestro sistema, vamos con el vídeo.