Download - Crear Usuarios Comandos
CREACIÓN DE USUARIOS UTILIZANDO LA LÍNEA DE COMANDOS
Ahora vamos a pasar a otro método de creación de cuentas manual, cabe aclarar que el
comando usado para crear usuarios a través de la línea de comando aunque se trata de un
proceso manual no significa que no podamos usarlo como parte de un script para crear
muchos usuarios al tiempo, luego veremos cómo se hace, por ahora ingresemos a la línea de
comandos cmd.exe y escribamos la siguiente instrucción:
dsadd user "cn=Jhon Smith,ou=Admins,dc=itpros-dc,dc=com"
Presionamos Enter y de este modo habrá quedado creado nuestro usuario, que para el caso
del ejemplo el nombre de dicho usuario es Jhon Smith el cual a su vez se encuentra dentro
de la Unidad Organizativa Admins que se encuentra bajo el dominio itpros-dc.com
En resumen, la creación de usuarios desde consola se hace con el comando dsadd user y
como parámetro debemos pasarle el nombre distintivo ó DN del usuario a crear: dsadd user
DN
Es importante aclarar que si el nombre del usuario o de la Unidad Organzativa contiene algún
espacio, es necesario encerrar el DN entre comillas, tal como en el ejemplo anterior.
Con lo anterior, simplemente hemos creado un usuario y su contraseña, pero muchos de los
parámetros de dicho usuario no se encuentran establecidos, por ejemplo puede observarse
que después de crear el usuario con el comando anterior, en el complemento Usuarios y
equipos de Active Directory, dicho usuario aparecerá deshabilitado, lo cual nos lleva a
realizar la habilitación del mismo de manera manual, además muchas de las propiedades
como el nombre anterior a Windows 2000 y las opciones de cuenta tales como si el usuario
debe cambiar la contraseña en el próximo inicio de sesión no estarán establecidas, es por
ello el comando dsadd acepta varios parámetros que especifican las propiedades de los
usuarios, las cuales vamos a poner en práctica a continuación.
Al comando anterior vamos a realizarle algunos cambios:
-samid: El nombre anterior a Windows 2000
-pwd: La contraseña del usuario (si se establece un * se solicitará la contraseña
interactivamente)
-mustchpwd: Especifica que el usuario debe cambiar la contraseña en el próximo inicio de
sesión
Los anteriores son los parámetros necesarios para crear una cuenta completamente
funcional, ya el resto de parámetros dependerán de nuestras necesidades, por ejemplo si
deseamos crear un directorio particular para el usuario podemos usar el parámetro hmdir o
si por ejemplo deseamos establecer una ruta de perfil para el usuario en algún recurso
compartido podemos usar el parámetro profile, por ahora vamos a crear la cuenta con los
parámetros mencionados anteriormente, con lo cual el parámetro quedará de la siguiente
manera:
dsadd user "cn=Jhon Smith,ou=Admins,dc=itpros-dc,dc=com" -samid jsmith -pwd *
-mustchpwd yes
Al presionar Enter, lo primero que nos va a solicitar es la contraseña para el usuario, ya que
establecimos como valor del parámetro pwd un asterisco, de este modo será creado nuestro
usuario con los datos básicos. Si queremos proporcionar parámetros adicionales como por
ejemplo una ruta de perfil o un directorio particular, podemos hacer uso de los
parámetros profile y hmdir para el caso del directorio particular la instrucción debe quedar
de la siguiente manera:
dsadd user "cn=Jhon Smith,ou=Admins,dc=itpros-dc,dc=com" -samid jsmith -pwd *
-mustchpwd yes -hmdir \\server01\users\$username$\documents -hmdrv Y:
La lista completa de parámetros que se pueden usar con el comando dsadd puede ser
revisada directamente desde la ayuda que incorpora el propio comando, basta con escribir lo
siguiente en la línea de comando: dsadd user /? LINEAS DE COMANDO POWER SHEL
Creación de cuentas de usuario en Active Directory - Creación de cuentas de usuario con PowerShellSábado, 05 de Mayo de 2012 18:32 César Herrada
INDICE DEL ARTÍCULO
Creación de cuentas de usuario en Active Directory
Creación de usuarios utilizando el complemento Usuarios y equipos de Active Directory
Creación de usuarios utilizando la línea de comandos
Creación de cuentas de usuario con PowerShell
Todas las páginas
Página 4 de 4
CREACIÓN DE CUENTAS DE USUARIO CON POWERSHELL
Gracias a PowerShell las tareas para la administración de cuentas de usuario son cada vez
más sencillas, inicialmente con Windows Server 2008 la creación de cuentas de usuario con
PowerShell era un proceso no tan trivial, pero a partir de Windows Server 2008 R2 se mejoró
mucho este aspecto. PowerShell ha venido cogiendo mucha fuerza, y muchas cosas en
adelante serán construidas con base en esta tecnología, tanto así que el Centro
Administrativo de Active Directory es basado en PowerShell, y de hecho la futura nueva
versión de Server, Windows Server 2012 incorporá un Server Manager basado en
PowerShell, es por ello que vale la pena que todos los profesionales de TI se empiecen a
familiarizar con su funcionamiento, y que mejor comienzo que crear cuentas de usuario en
Active Directory ;-) así que vamos a empezar:
La idea es irse familiarizando con la administración basada en PowerShell, les garantizo que
si lo hacen se irán olvidando de otros mecanismos, tales como los famosos comandos DS.
Qué es PowerShell?
Antes de entrar en materia, es importante dar un poco de contexto, y para ello explicaré
brevemente qué es PowerShell. Se trata de una línea de comando así como el famoso
cmd.exe, diseñada especialmente para la administración del sistema y la automatización de
tareas, está basada en .Net Framework y no solamente sirve para administrar tecnologías
como Active Directory, sino también productos como Exchange Server, Sharepoint y SQL
Server, así que dominar esta herramienta no solo nos permite administrar Windows sino
otras tecnologías Microsoft.
Con PowerShell los comandos son llamados cmdlets, de manera predeterminada el sistema
incluye varios cmdlets listos para usar, sin que esto signifique que no pueda usar en
PowerShell comandos que habitualmente usamos con cmd.exe, tales como dir, ipconfig,
entre otros.
Windows Server 2008 R2 y Windows 7 incluyen PowerShell 2.0, para ejecutarlo basta con
escribir powershell en la barra de búsqueda del menú inicio, otra cosa importante es que
PowerShell es extensible y permite que por ejemplo terceros desarrollen módulos que luego
pueden ser importados y usados en la consola, para el caso que nos compete en este arículo,
el directorio activo, Windows Server 2008 R2 incorpora un módulo especializado para Active
Directory, mediante el cual podemos llevar a cabo tareas de administración del directorio de
una manera sencilla y eficiente.
Administrar Active Directory con PowerShell
PowerShell viene instalado por defecto con Windows Server 2008 (powershell.exe), el cual
puede ser invocado desde la línea de comandos (cmd.exe) o simplemente escribiendo
powershell en la barra de búsqueda del menú inicio.
Como mencioné anteriormente, Windows Server 2008 incorporá un módulo especializado
para administrar el directorio, al instalar los Servicios de Dominio de Active Directory (ADDS),
se instala dicho módulo, y lo podemos encontrar incluido en las Herramientas
Administrativas.
Una vez lo iniciemos se abre PowerShell y carga automáticamente el módulo para
administrar Active Directory, ya que si lo abrimos simplemente con el comando
powershell.exe es necesario cargar el módulo de manera manual escribiendo el siguiente
comando:
Import-Module ActiveDirectory
Una vez abierta la consola puede revisar la lista de cmdlets existente escribiendo: Get-
Command
Nota: El explicar el funcionamiento de PowerShell en general se escapa del alcance de este
artículo, por lo cual nos centraremos en los comandos e instrucciones necesarias para la
creación de cuentas en Active Directory, empezaré pronto a escribir un tutorial completo
sobre PowerShell, pero ello depende de la demanda, asi que si estás interesado en un totorial
no dudes en comentar para animarme a sacarlo pronto ;-)
Dentro de toda la lista de cmdlets que nos ofrece Get-Command podemos identificar de
manera sencilla los que han sido cargados por el módulo de Active Directory, ya que todos
incluyen la abreviación AD en su parte de sustantivo, ya que todos los cmdlets están
conformados por dos partes, un verbo y un sustantivo, de la siguiente forma: Verbo-
Sustantivo, por ejemplo, para ver la lista de servicios del sistema basta con escribir Get-
Service, es así como cada uno de los cmdlets cargados por el módulo de Active Directory
son del siguiente estilo: New-ADUser nótese siempre el AD después del guión que separa el
verbo del sustantivo, claramente podemos identificar que el cmdlet anterior es para crear un
nuevo usuario. Sin embargo, si desea consultar solo la lista de cmdlets cargados por el
módulo de Active Directory, basta con escribir la siguiente instrucción: Get-Command -
Noun AD* | more
Lo anterior ocasiona que solo sean mostrados en pantalla solamente los comandos
relacionados con la administración de Active Directory.
Comandos de PowerShell para la creación de cuentas en Active Directory
Si queremos ver solamente los cmdlets relacionados con el objeto usuario, basta con escribir
la siguiente instrucción:
Get-Command -Noun ADUser*
La anterior instrucción debe arrojar como resultado la siguiente lista de cmdlets:
Get-ADUser
GetADUserResultantPasswordPolicy
New-ADUser
Remove-ADUser
Set-ADUser
Para efectos de este artículo veremos el funcionamiento únicamente del cmdlet New-
ADUser, que como su nombre intuitivamente lo indica, sirve para crear nuevos usuarios.
Para ello basta con escribir la siguiente instrucción:
New-ADUser -Name "Nombre_Usuario"
Donde Nombre_Usuario es el nombre que deseamos poner a nuestro nuevo usuario. En mi
caso he creado un usuario llamado César Herrada, para lo cual escribí lo siguiente:
New-ADUser -Name "Cesar Herrada"
Si vamos a la consola de Usuarios y Equipos de Active Directory, podemos observar que
efectivamente ha sido creado el usuario.
En nuestro ejemplo solamente creamos el usuario con un atributo, el nombre, no
especificamos algunos otros parámetros importantes para la cuenta como el nombre SAM,
membresía y otras propiedades, adicionalmente podemos observar que el usuario ha sido
creado en el contenedor de usuarios predeterminado Users, así que podemos completar
algo más el comando indicando por ejemplo la OU en la cual queremos ubicarlo, el nombre
SAM de la cuenta o pre-Windows 2000. Para más información sobre los parámetros y uso del
cmdlet New-ADUser escribaGet-Help New-ADUser -Detailed desde PowerShell.
La siguiente instrucción crea el usuario pero adicionando varios parámetros para su creación:
New-ADUser -Path "ou=Usuarios,dc=itpros-dc,dc=com" -Name "Cesar Herrada"
-SAMAccountName "cesar.herrada" -GivenName "Cesar" -Surname "Herrada"
-Description "Webmaster"
-Company "ITPros-DC" -Department "Training"
Otro detalle que se puede observar es que la cuenta se encuentra deshabilitada, debido a
que no hemos especificado ninguna contraseña, así que para hacerlo debemos ejecutar la
siguiente instrucción:
Set-ADAccountPassword "Cesar Herrada"
Se nos solicitará la nueva contraseña para la cuenta, y de este modo ya estamos listos para
habilitarla, utilizando la siguiente instrucción:
Set-ADUser "Cesar Herrada" -Enabled $true
De este modo quedará habilitada nuestra cuenta en Active Directory.
Cabe aclarar que PowerShell es un potente motor de scripting y es posible crear robustos y
avanzados scripts para crear usuarios y hacer importaciones masivas de los mismos, lo cual
más adelante explicaré en un tutorial. Por ahora esto es todo lo que quiero compartirles
relacionado con la creación de cuentas en Active Directory con PowerShell, si tienen alguna
duda sugerencia o comentario no duden en hacerlo.
CREAR USUARIOS Y PONER AL DOMINO
Los ejemplos de la ejecución de comandos, el vídeo y el artículo están basados en el sistema operativo Windows Server 2008 r2
Muy buenas amig@s, gracias a Luciano se me ha ocurrido incluir esto en la serie de artículos sobre la MCTS de Active Directory en Windows Server 2008 ya que esta serie de comandos son sin duda importantes sobre todo si nos dedicamos en pleno a la administración de servidores, de todas formas creo que puede resultar un poco “duro” tener que memorizar toda esta información por lo que os recomiendo tenerla a mano (muy a mano) para que cuando os pueda hacer falta podáis echar mano de ella.
Empecemos por el principio, el comando dsadd nos permite agregar objetos al directorio desde la línea de comandos lo que nos permite incluso llegar a automatizar la creación de una estructura de Grupos o Unidades Organizativas, a continuación dejo una lista de los objetos que podemos añadir al directorio con dsadd:
Equipos Contactos Grupos Unidades Organizativas Usuarios Cuotas de directorio
Estos son los objetos que podremos crear con el comando dsadd y deberemos de ser meticulosos y analizar bien las posibilidades de cada comando mediante la ayuda de los mismos, para acceder a esta ayuda deberemos de ejecutar lo siguiente:
Ayuda del comando dsadd para Equiposdsadd computer /?
Ayuda del comando dsadd para Contactosdsadd contact /?
Ayuda del comando dsadd para Gruposdsadd group /?
Ayuda del comando dsadd para Unidades Organizativasdsadd ou /?
Ayuda del comando dsadd para Usuariosdsadd user /?
Ayuda del comando dsadd para Cuotas de directoriodsadd quota /?
Bien, este rollo lo he soltado por dos motivos, el primero de ellos es porque este artículo pasará a engrosar la lista de artículos en PDF del DVD de videotutoriales de Windows Server 2008 del blog y quiero documentarlo al máximo, el segundo para que podáis tener la referencia de cada objeto, es decir, para Usuarios ” user “, para Unidades Organizativas ” ou ” etc, no voy a repetirlo…
Y ahora vamos con unos ejemplos antes de pasar al vídeo para que veamos la sintaxis, vamos a trabajar con los siguientes supuestos:
Nombre de usuario: Pablo
Unidad Organizativa:
BlogUsersDominio: s3v-i.local
Primero creamos una Unidad Organizativadsadd ou ou=BlogUsers,dc=s3v-i,dc=local
Al ejecutar esto veamos lo que estamos haciendo por partes:
dsaddEste comando ordena la creación de un objeto en el directorio
ouEste modificador indica que el objeto que vamos a crear es una Unidad Organizativa
ou=BlogUsers,Aquí estamos indicando el nombre que tendra la Unidad Organizativa
dc=s3v-i,dc=localAquí indicamos que el objeto será creado en el dominio s3v-i.local
Ahora utilizaremos dsadd para crear un usuario en la Unidad Organizativa BlogUsers que hemos creado antesdsadd user cn=Pablo,ou=BlogUsers,dc=s3v-i,dc=local -disabled no -pwd *
Y pasamos a analizar este comando…
dsaddEste comando ordena la creación de un objeto en el directorio
userEste modificador indica que el objeto que vamos a crear es un Usuario
cn=Pablo,Aquí estamos indicando el nombre que tendra el Usuario
ou=BlogUsers,Aquí estamos indicando en que Unidad Organizativa vamos a crear el usuario
dc=s3v-i,dc=localAquí indicamos que el objeto será creado en el dominio s3v-i.local
-disabled noNos permite especificar si la cuenta estará activa o no, si no especificamos una contraseña la cuenta se creará pero estará desactivada
-pwd *Este modificador lo que nos permite es especificar el password después de lanzar el comando, la principal ventaja es que no tendría que estar integrada en un fichero por lotes y no sería visible aunque en un caso de crear muchos usuarios de forma masiva lo mejor es establecer que el usuario cambia la contraseña en el siguiente inicio de sesión
Como vemos en este segundo comando ya se va complicando bastante la cosa y es que todavía no podemos imaginar la cantidad de parámetros que podemos incluir a dsadd.
En cuanto al resto de objetos con los que podremos trabajar como los contactos, cuotas, grupos y/o equipos tienen un funcionamiento muy similar aunque los parámetros para cada uno de ellos varían muchísimo y deberemos de ejecutar la ayuda como ya he indicado más arriba para descubrir los modificadores de cada objeto.
Para no alargarme más y a modo de ampliación y repaso de todo este artículo creo que será mejor que continuemos con un vídeo y veamos como deberemos de proceder y los efectos que la ejecución de estos comandos tendrá sobre nuestro sistema, vamos con el vídeo.