Category Archives: Directorio Activo

Para finalizar esta serie rápida y concisa de diez tareas habituales de un administrador de sistemas realizadas con Powershell vamos a encontrar equipos en Directorio Activo por tipo, tal como Servidor, portatil, sistema operativo, etc.,

Cuando un equipo entra en dominio, se vuelca cierta información sobre Directorio Activo, como por ejemplo y sirviendonos para este Post, el Sistema Operativo

Si ejecutamos el siguiente cmdlet nos mostrará todos los sistemas operativos que tenemos en nuestro Directorio Activo. No extrañaros de lo que aparece:

Get-ADComputer -filter * -Properties OPeratingSystem | Select OperatingSystem -unique | Sort OperatingSystem

Por otro lado, si lo que queremos es saber qué equipos tienen un determinado sistema operativo, ejecutamos el siguiente cmdlet:

Poco mas que contaros, que tengo que actualizar estos equipos obsoletos que me han aparecido.
Saludos y feliz año 2013

Bibliografía:
WindowsITPro.

Penúltima entrega de esta serie de Post…. y allá vamos.

¿Cómo deshabilitamos una cuenta de equipo?

Disable-ADAccount -Identity ‘RobeznoDC$’ -whatif (ya sabeis que lo del whatif):

Otra forma de hacerlo es mediante un entubado:

Y, enlazándolo con el post anterior, donde hablamos de cuentas de equipo obsoletas, entubamos la salida para deshabilitar todas aquellas cuentas de equipo que estén obsoletas a partir de una fecha:

Ya nos queda solo uno.
Saludos,

Ya nos queda poquito, de tareas y de año 2012.

Según Jeffery Hicks, autor del artículo y blog en el que me baso para esta serie de Posts sobre tareas habituales de un administrador de Directorio Activo ejecutadas con Powershell, surgen dudas de cómo considerar obsoletas las cuentas de Directorio Activo.

Bien, seguiremos su criterio y definamos que son aquellas cuentas de equipo que la password no ha sido modificado en los últimos 90 dias, asumiendo que si un equipo está mas de 90 dias sin contactar con sus controladores de dominio, deja de poder acceder a los recursos de dicho dominio.

Ejecutando el siguiente cmdlet entubado nos proporciona aquellas cuenta de equipo obsoletas:

Poco mas que decir al respecto.
Un saludo,

Otra tarea bastante habitual, en mi caso, la de descubrir qué usuario pertenecen a un grupo.

Get-ADGroupMember ‘nombre del grupo’ nos mostrará todos sus componentes:

Y ¿Qué ocurre cuando hay usuarios anidados? me explico, y ¿si en un grupo tenemos otro grupo que contiene a otros usuarios? En estos casos añadiremos el parámetro -Recursive mostrándonos el siguiente resultado:

En este ejemplo, el grupo SuperUsers está formado por el usuario Ronin y el Grupo Usuarios de Zaragoza. Este último grupo está a su vez formado por el usuario prueba.
Nos vemos.

Ya hemos pasado el ecuador de esta extensa lista de tareas habituales de un administrador y vamos a buscar en Directorio Activo aquellos grupos que no tienen contenido.

Ejecutamos el siguiente cmdlet entubado:

Como veis, nos aparecen grupos creados en Directorio Activo por defecto que, en este caso, no contienen ningún usuario.

Pero, ya sabeis que nos gusta complicarnos un poquito. Aqui os dejo otro ejemplo en el que podemos especificar la OU y el tipo de Grupo, en este caso, Universal, independientemente de si es un grupo de seguridad o una Lista de Distribución:

Que poco nos queda de 2012.
Un saludo

Otra tarea ardua del administrador es la inclusión de usuarios en grupos o listas de distribución. Vamos a añdir a nuestro querido usuario «ronin» al grupo»SuperUsers»:

Comprobamos la inclusión en dicho grupo:

Como veis es muy sencillo, podemos incluir cientos de usuarios a un grupo, independientemente de si es de seguridad o Lista de distribución.

Pongamos un ejemplo mas complejo. Vamos a meter a todos los usuarios que tengan el parámetro «Ciudad»=»Zaragoza» en un grupo denominado «SuperUsers». Este campo de Directorio Activo se puede ver en la siguiente captura:

Ejecutamos el siguiente cmdlet:

Finiquitado por hoy.
Besos y abrazos.

Sabemos que desde la consola de ADU&C borrar una cuenta es muy sencillo, pero y ¿si tenemos que borrar múltiples cuentas?

En este caso con Powershell ejecutariamos Remove-ADUser <usuario>
(Aqui he sido un valiente borrando la cuenta que tengo de pruebas)

Pero, ¿si queremos borrar un grupo de usuarios, como por ejemplo, si queremos borrar todas las cuentas que están deshabilitadas dentro de la OU Staging que no han tenido cambios en los últimos 180 dias?

Get-ADUser -filter «enabled -eq ‘false'» -property Whenchanged -SearchBase «OU=Staging,DC=ROBEZNO,DC=com» | where {$_.WhenChanged -le (Get-Date).addDays(-180)} | Remove-ADUser

Como podeis comprobar, el uso de tuberias nos aporta una mayor potencia a Powershell. En este caso primero hemos entubado el resultado de la búsqueda en la OU Staging de aquellas cuentas con «Enabled»=False, vamos, desabilitadas, en un segundo tubo que nos buscará aquellas cuentas que no hayan sido modificadas en los últimos 180 dias, para, finalmente, eliminar el resultado.

Hasta la proxima.

Hoy toca desbloquear una cuenta. Nuevamente una tarea fácil desde la consola de Active Directory User & Computers (ADUC), pero vamos con Powershell.

Ya sabeis que cuando un usuario introduce n-veces mal su password se bloquea la cuenta, todo depende de la politica que hayamos definido para Directorio Activo. en este caso, yo tengo definido que si introduces 10 veces mal la password (para asegurar, que los lunes son muy malos), el usuario se bloquea automáticamente durante 10 minutos.

Para desbloquearlo, ejecutamos Unlock-ADAccount <usuario>

Con este cmdlet si tenemos la opción de los parámetros -Whatif o -Confirm como se puede ver en la imagen.
Nos vemos.

Continuamos con estas breves lecciones de Powershell. Hoy Habilitar o Deshabilitar cuentas en Directorio Activo.

Para deshabilitar una cuenta, utilizaremos el cmdlet Disable-ADAccount. Sirva como ejemplo el de nuestro usuario de pruebas ‘ronin’:

A diferencia del cmdlet del post anterior, éste si nos deja introducir el parámetro -Whatif, que nos permitirá ver el resultado de nuestra acción antes de hacerlo en producción.

Comprobamos el resultado:

 Si queremos habilitarlo, pues ejecutamos Enable-ADAccount:

¿Cómo sacar partido a este cmdlet? Pues ejecutándolo mediante un entubado (pipe). Ejemplo, queremos deshabilitar todas las cuentas de un departamento, Recursos Humanos, pues nada ejecutamos el siguiente cmdlet, el cúal, primero nos buscará todos los componentes de un departamento, entubando el resultado a la deshabilitación de la cuenta:

Interesante.
Nos vemos.