CREACIÓN DE USUARIOS UTILIZANDO LA LÍNEA DE COMANDOS

Ahora vamos a pasar a otro método de creación de cuentas manual, cabe aclarar que el comando usado
para crear usuarios a través de la línea de comando aunque se trata de un proceso manual no significa que
no podamos usarlo como parte de un script para crear muchos usuarios al tiempo, luego veremos cómo se
hace, por ahora ingresemos a la línea de comandos cmd.exe y escribamos la siguiente instrucción:
dsadd user "cn=Jhon Smith,ou=Admins,dc=itpros-dc,dc=com"
Presionamos Enter y de este modo habrá quedado creado nuestro usuario, que para el caso del ejemplo el
nombre de dicho usuario es Jhon Smith el cual a su vez se encuentra dentro de la Unidad
Organizativa Admins que se encuentra bajo el dominio itpros-dc.com
En resumen, la creación de usuarios desde consola se hace con el comando dsadd user y como parámetro
debemos pasarle el nombre distintivo ó DN del usuario a crear: dsadd user DN

Es importante aclarar que si el nombre del usuario o de la Unidad Organzativa contiene algún espacio, es
necesario encerrar el DN entre comillas, tal como en el ejemplo anterior.

Con lo anterior, simplemente hemos creado un usuario y su contraseña, pero muchos de los parámetros de
dicho usuario no se encuentran establecidos, por ejemplo puede observarse que después de crear el
usuario con el comando anterior, en el complemento Usuarios y equipos de Active Directory, dicho
usuario aparecerá deshabilitado, lo cual nos lleva a realizar la habilitación del mismo de manera manual,
además muchas de las propiedades como el nombre anterior a Windows 2000 y las opciones de cuenta
tales como si el usuario debe cambiar la contraseña en el próximo inicio de sesión no estarán establecidas,
es por ello el comando dsadd acepta varios parámetros que especifican las propiedades de los usuarios,
las cuales vamos a poner en práctica a continuación.

Al comando anterior vamos a realizarle algunos cambios:

 -samid: El nombre anterior a Windows 2000

 -pwd: La contraseña del usuario (si se establece un * se solicitará la contraseña interactivamente)
 -mustchpwd: Especifica que el usuario debe cambiar la contraseña en el próximo inicio de sesión
Los anteriores son los parámetros necesarios para crear una cuenta completamente funcional, ya el resto
de parámetros dependerán de nuestras necesidades, por ejemplo si deseamos crear un directorio
particular para el usuario podemos usar el parámetro hmdir o si por ejemplo deseamos establecer una
ruta de perfil para el usuario en algún recurso compartido podemos usar el parámetro profile, por ahora
vamos a crear la cuenta con los parámetros mencionados anteriormente, con lo cual el parámetro quedará
de la siguiente manera:
dsadd user "cn=Jhon Smith,ou=Admins,dc=itpros-dc,dc=com" -samid jsmith -pwd * -mustchpwd
yes
Al presionar Enter, lo primero que nos va a solicitar es la contraseña para el usuario, ya que establecimos
como valor del parámetro pwd un asterisco, de este modo será creado nuestro usuario con los datos
básicos. Si queremos proporcionar parámetros adicionales como por ejemplo una ruta de perfil o un
directorio particular, podemos hacer uso de los parámetros profile y hmdir para el caso del directorio
particular la instrucción debe quedar de la siguiente manera:
dsadd user "cn=Jhon Smith,ou=Admins,dc=itpros-dc,dc=com" -samid jsmith -pwd * -mustchpwd
yes -hmdir \\server01\users\$username$\documents -hmdrv Y:
La lista completa de parámetros que se pueden usar con el comando dsadd puede ser revisada
directamente desde la ayuda que incorpora el propio comando, basta con escribir lo siguiente en la línea
de comando: dsadd user /?
LINEAS DE COMANDO POWER SHEL

Creación de cuentas de usuario en Active

Directory - Creación de cuentas de usuario con
PowerShell
Sábado, 05 de Mayo de 2012 18:32 César Herrada

INDICE DEL ARTÍCULO

Creación de cuentas de usuario en Active

Directory

Creación de usuarios utilizando el

complemento Usuarios y equipos de
Active Directory

Creación de usuarios utilizando la línea

de comandos

Creación de cuentas de usuario con

PowerShell

Todas las páginas

Página 4 de 4
CREACIÓN DE CUENTAS DE USUARIO CON POWERSHELL

Gracias a PowerShell las tareas para la administración de cuentas de usuario son cada vez más sencillas,
inicialmente con Windows Server 2008 la creación de cuentas de usuario con PowerShell era un proceso no
tan trivial, pero a partir de Windows Server 2008 R2 se mejoró mucho este aspecto. PowerShell ha venido
cogiendo mucha fuerza, y muchas cosas en adelante serán construidas con base en esta tecnología, tanto
así que el Centro Administrativo de Active Directory es basado en PowerShell, y de hecho la futura
nueva versión de Server, Windows Server 2012 incorporá un Server Manager basado en PowerShell, es
por ello que vale la pena que todos los profesionales de TI se empiecen a familiarizar con su
funcionamiento, y que mejor comienzo que crear cuentas de usuario en Active Directory ;-) así que vamos
a empezar:

La idea es irse familiarizando con la administración basada en PowerShell, les garantizo que si lo hacen se
irán olvidando de otros mecanismos, tales como los famosos comandos DS.
Qué es PowerShell?

Antes de entrar en materia, es importante dar un poco de contexto, y para ello explicaré brevemente qué
es PowerShell. Se trata de una línea de comando así como el famoso cmd.exe, diseñada especialmente
para la administración del sistema y la automatización de tareas, está basada en .Net Framework y no
solamente sirve para administrar tecnologías como Active Directory, sino también productos como
Exchange Server, Sharepoint y SQL Server, así que dominar esta herramienta no solo nos permite
administrar Windows sino otras tecnologías Microsoft.

Con PowerShell los comandos son llamados cmdlets, de manera predeterminada el sistema incluye varios
cmdlets listos para usar, sin que esto signifique que no pueda usar en PowerShell comandos que
habitualmente usamos con cmd.exe, tales como dir, ipconfig, entre otros.
Windows Server 2008 R2 y Windows 7 incluyen PowerShell 2.0, para ejecutarlo basta con
escribir powershell en la barra de búsqueda del menú inicio, otra cosa importante es que PowerShell es
extensible y permite que por ejemplo terceros desarrollen módulos que luego pueden ser importados y
usados en la consola, para el caso que nos compete en este arículo, el directorio activo, Windows Server
2008 R2 incorpora un módulo especializado para Active Directory, mediante el cual podemos llevar a cabo
tareas de administración del directorio de una manera sencilla y eficiente.

Administrar Active Directory con PowerShell

PowerShell viene instalado por defecto con Windows Server 2008 (powershell.exe), el cual puede ser
invocado desde la línea de comandos (cmd.exe) o simplemente escribiendo powershell en la barra de
búsqueda del menú inicio.

Como mencioné anteriormente, Windows Server 2008 incorporá un módulo especializado para administrar
el directorio, al instalar los Servicios de Dominio de Active Directory (ADDS), se instala dicho módulo, y lo
podemos encontrar incluido en las Herramientas Administrativas.

Una vez lo iniciemos se abre PowerShell y carga automáticamente el módulo para administrar Active
Directory, ya que si lo abrimos simplemente con el comando powershell.exe es necesario cargar el módulo
de manera manual escribiendo el siguiente comando:
 Import-Module ActiveDirectory

Una vez abierta la consola puede revisar la lista de cmdlets existente escribiendo: Get-Command

Nota: El explicar el funcionamiento de PowerShell en general se escapa del alcance de este artículo, por lo
cual nos centraremos en los comandos e instrucciones necesarias para la creación de cuentas en Active
Directory, empezaré pronto a escribir un tutorial completo sobre PowerShell, pero ello depende de la
demanda, asi que si estás interesado en un totorial no dudes en comentar para animarme a sacarlo pronto
;-)
Dentro de toda la lista de cmdlets que nos ofrece Get-Command podemos identificar de manera sencilla
los que han sido cargados por el módulo de Active Directory, ya que todos incluyen la abreviación AD en
su parte de sustantivo, ya que todos los cmdlets están conformados por dos partes, un verbo y un
sustantivo, de la siguiente forma: Verbo-Sustantivo, por ejemplo, para ver la lista de servicios del sistema
basta con escribir Get-Service, es así como cada uno de los cmdlets cargados por el módulo de Active
Directory son del siguiente estilo: New-ADUser nótese siempre el AD después del guión que separa el
verbo del sustantivo, claramente podemos identificar que el cmdlet anterior es para crear un nuevo
usuario. Sin embargo, si desea consultar solo la lista de cmdlets cargados por el módulo de Active
Directory, basta con escribir la siguiente instrucción: Get-Command -Noun AD* | more

Lo anterior ocasiona que solo sean mostrados en pantalla solamente los comandos relacionados con la
administración de Active Directory.

Comandos de PowerShell para la creación de cuentas en Active Directory

Si queremos ver solamente los cmdlets relacionados con el objeto usuario, basta con escribir la siguiente
instrucción:
Get-Command -Noun ADUser*

La anterior instrucción debe arrojar como resultado la siguiente lista de cmdlets:

 Get-ADUser

 GetADUserResultantPasswordPolicy
 New-ADUser
 Remove-ADUser

 Set-ADUser
Para efectos de este artículo veremos el funcionamiento únicamente del cmdlet New-ADUser, que como
su nombre intuitivamente lo indica, sirve para crear nuevos usuarios.

Para ello basta con escribir la siguiente instrucción:

New-ADUser -Name "Nombre_Usuario"

Donde Nombre_Usuario es el nombre que deseamos poner a nuestro nuevo usuario. En mi caso he creado
un usuario llamado César Herrada, para lo cual escribí lo siguiente:

New-ADUser -Name "Cesar Herrada"

Si vamos a la consola de Usuarios y Equipos de Active Directory, podemos observar que efectivamente ha
sido creado el usuario.

En nuestro ejemplo solamente creamos el usuario con un atributo, el nombre, no especificamos algunos
otros parámetros importantes para la cuenta como el nombre SAM, membresía y otras propiedades,
adicionalmente podemos observar que el usuario ha sido creado en el contenedor de usuarios
predeterminado Users, así que podemos completar algo más el comando indicando por ejemplo la OU en
la cual queremos ubicarlo, el nombre SAM de la cuenta o pre-Windows 2000. Para más información sobre
los parámetros y uso del cmdlet New-ADUser escribaGet-Help New-ADUser -Detailed desde PowerShell.
La siguiente instrucción crea el usuario pero adicionando varios parámetros para su creación:
New-ADUser -Path "ou=Usuarios,dc=itpros-dc,dc=com" -Name "Cesar Herrada"
-SAMAccountName "cesar.herrada" -GivenName "Cesar" -Surname "Herrada"
-Description "Webmaster"
-Company "ITPros-DC" -Department "Training"

Otro detalle que se puede observar es que la cuenta se encuentra deshabilitada, debido a que no hemos
especificado ninguna contraseña, así que para hacerlo debemos ejecutar la siguiente instrucción:

Set-ADAccountPassword "Cesar Herrada"

Se nos solicitará la nueva contraseña para la cuenta, y de este modo ya estamos listos para habilitarla,
utilizando la siguiente instrucción:

Set-ADUser "Cesar Herrada" -Enabled $true

De este modo quedará habilitada nuestra cuenta en Active Directory.

Cabe aclarar que PowerShell es un potente motor de scripting y es posible crear robustos y avanzados
scripts para crear usuarios y hacer importaciones masivas de los mismos, lo cual más adelante explicaré en
un tutorial. Por ahora esto es todo lo que quiero compartirles relacionado con la creación de cuentas en
Active Directory con PowerShell, si tienen alguna duda sugerencia o comentario no duden en hacerlo.

CREAR USUARIOS Y PONER AL DOMINO

Los ejemplos de la ejecución de comandos, el vídeo y el artículo están basados en

el sistema operativo Windows Server 2008 r2

Muy buenas amig@s, gracias a Luciano se me ha ocurrido incluir esto en la serie de

artículos sobre la MCTS de Active Directory en Windows Server 2008 ya que esta
serie de comandos son sin duda importantes sobre todo si nos dedicamos en pleno
a la administración de servidores, de todas formas creo que puede resultar un poco
“duro” tener que memorizar toda esta información por lo que os recomiendo tenerla
a mano (muy a mano) para que cuando os pueda hacer falta podáis echar mano de
ella.

Empecemos por el principio, el comando dsadd nos permite agregar objetos al

directorio desde la línea de comandos lo que nos permite incluso llegar a
automatizar la creación de una estructura de Grupos o Unidades Organizativas, a
continuación dejo una lista de los objetos que podemos añadir al directorio
con dsadd:

 Equipos
 Contactos
 Grupos
 Unidades Organizativas
 Usuarios
 Cuotas de directorio
Estos son los objetos que podremos crear con el comando dsadd y deberemos de
ser meticulosos y analizar bien las posibilidades de cada comando mediante la
ayuda de los mismos, para acceder a esta ayuda deberemos de ejecutar lo
siguiente:

Ayuda del comando dsadd para Equipos

dsadd computer /?

Ayuda del comando dsadd para Contactos

dsadd contact /?

Ayuda del comando dsadd para Grupos

dsadd group /?

Ayuda del comando dsadd para Unidades Organizativas

dsadd ou /?
Ayuda del comando dsadd para Usuarios
dsadd user /?

Ayuda del comando dsadd para Cuotas de directorio

dsadd quota /?

Bien, este rollo lo he soltado por dos motivos, el primero de ellos es porque este
artículo pasará a engrosar la lista de artículos en PDF del DVD de videotutoriales de
Windows Server 2008 del blog y quiero documentarlo al máximo, el segundo para
que podáis tener la referencia de cada objeto, es decir, para Usuarios ” user “, para
Unidades Organizativas ” ou ” etc, no voy a repetirlo…

Y ahora vamos con unos ejemplos antes de pasar al vídeo para que veamos la
sintaxis, vamos a trabajar con los siguientes supuestos:

Nombre de usuario: Pablo

Unidad Organizativa:

BlogUsers
Dominio: s3v-i.local

Primero creamos una Unidad Organizativa

dsadd ou ou=BlogUsers,dc=s3v-i,dc=local

Al ejecutar esto veamos lo que estamos haciendo por partes:

 dsadd
Este comando ordena la creación de un objeto en el directorio
 ou
Este modificador indica que el objeto que vamos a crear es una
Unidad Organizativa
 ou=BlogUsers,
Aquí estamos indicando el nombre que tendra la Unidad
Organizativa
 dc=s3v-i,dc=local
Aquí indicamos que el objeto será creado en el dominio s3v-i.local

Ahora utilizaremos dsadd para crear un usuario en la Unidad Organizativa

BlogUsers que hemos creado antes
dsadd user cn=Pablo,ou=BlogUsers,dc=s3v-i,dc=local -disabled no -pwd *

Y pasamos a analizar este comando…

 dsadd
Este comando ordena la creación de un objeto en el directorio
 user
Este modificador indica que el objeto que vamos a crear es un
Usuario
  cn=Pablo,
Aquí estamos indicando el nombre que tendra el Usuario
 ou=BlogUsers,
Aquí estamos indicando en que Unidad Organizativa vamos a
crear el usuario
 dc=s3v-i,dc=local
Aquí indicamos que el objeto será creado en el dominio s3v-i.local
 -disabled no
Nos permite especificar si la cuenta estará activa o no, si no
especificamos una contraseña la cuenta se creará pero estará
desactivada
 -pwd *
Este modificador lo que nos permite es especificar el password
después de lanzar el comando, la principal ventaja es que no
tendría que estar integrada en un fichero por lotes y no sería
visible aunque en un caso de crear muchos usuarios de forma
masiva lo mejor es establecer que el usuario cambia la
contraseña en el siguiente inicio de sesión
Como vemos en este segundo comando ya se va complicando bastante la cosa y es
que todavía no podemos imaginar la cantidad de parámetros que podemos incluir a
dsadd.

En cuanto al resto de objetos con los que podremos trabajar como los contactos,
cuotas, grupos y/o equipos tienen un funcionamiento muy similar aunque los
parámetros para cada uno de ellos varían muchísimo y deberemos de ejecutar la
ayuda como ya he indicado más arriba para descubrir los modificadores de cada
objeto.

Para no alargarme más y a modo de ampliación y repaso de todo este artículo creo
que será mejor que continuemos con un vídeo y veamos como deberemos de
proceder y los efectos que la ejecución de estos comandos tendrá sobre nuestro
sistema, vamos con el vídeo.