12/12/22, 17:04 Unidad organizativa (OU) de Active Directory: guía definitiva – informaticamadridmayor - informaticamadridmayor.

es

Unidad organizativa (OU) de Active Directory: guía definitiva –

informaticamadridmayor
por @informaticamadridmayor.es | Mar 27, 2022 | Admin

La Unidad organizativa (OU) es un contenedor en el dominio de Active Directory que puede contener diferentes objetos del
mismo dominio de AD: otros contenedores, grupos, cuentas de usuario y de computadora. Una unidad organizativa de Active
Directory es una unidad administrativa simple dentro de un dominio en la que un administrador puede vincular objetos de
directiva de grupo y asignar permisos a otros usuarios/grupos.

Hay dos tareas principales al usar OU, además de almacenar objetos de Active Directory:

Delegación de tareas administrativas y de gestión dentro del dominio a otros administradores y usuarios sin otorgarles los
privilegios de administrador del dominio;
Vinculación de directivas de grupo (GPO) a todos los objetos (usuarios y equipos) de esta unidad organizativa.

¿Cómo crear una unidad organizativa de Active Directory utilizando ADUC?

Para crear una nueva Unidad Organizativa en Active Directory, su cuenta debe tener permisos de Administrador de Dominio, o
se deben delegar los permisos para crear una nueva OU (en todo el dominio o en un contenedor específico).

Abra el complemento mmc de Active Directory Users and Computers (Win + R > dsa.msc) y seleccione el contenedor de dominio
en el que desea crear una nueva unidad organizativa (crearemos una nueva unidad organizativa en la raíz del dominio).

Haga clic con el botón derecho en el nombre de dominio y seleccione Nuevo > Unidad organizativa.

Especifique el nombre de la unidad organizativa que desea crear.

También puede utilizar el Centro de administración de directorios (dsac.exe) para crear unidades organizativas nuevas:

1. Cambie a la vista de árbol y expanda el dominio o contenedor donde desea crear una nueva unidad organizativa;

https://informaticamadridmayor.es/admin/unidad-organizativa-ou-de-active-directory-guia-definitiva-informaticamadridmayor/ 1/11
12/12/22, 17:04 Unidad organizativa (OU) de Active Directory: guía definitiva – informaticamadridmayor - informaticamadridmayor.es
2. Haga clic con el botón derecho en la unidad organizativa o el dominio, seleccione Nuevo > Unidad organizacional;

3. Especifique el nombre de la unidad organizativa. Además, puede especificar una Descripción, asignar un administrador;

4. Haga clic en Aceptar, regrese a la consola del Centro de administración de Active Directory y verifique si la nueva unidad
organizativa aparece ahora en la lista y está disponible para su uso.

Tenga en cuenta que, de forma predeterminada, al instalar Active Directory, el dominio contiene varios contenedores y
unidades organizativas integradas:

Incorporado — este contenedor contiene grupos de seguridad locales administrativos y de dominio;

Ordenadores — en este contenedor, de manera predeterminada, las cuentas de computadora se crean a través del cuadro
de diálogo Propiedades de la computadora después de unir Windows al dominio.

Nota. Puede cambiar el contenedor en el que se crean las cuentas de equipo de forma predeterminada con el comando:
redircmp "OU = Computadoras, OU = HQ, OU = EE. UU., DC = THEITBROS, DC = COM"

Usuarios — contenedor predeterminado para nuevos usuarios y grupos. Además, hay varias cuentas y grupos de usuarios
predefinidos (además de los del contenedor integrado) en este contenedor. Esto incluye grupos de seguridad para tareas de
administración de dominios y bosques. También puede cambiar la unidad organizativa predeterminada para usuarios y
grupos con el comando:
redirusr “OU=Usuarios,OU=HQ,OU=EE.UU.,DC=THEITBROS,DC=COM”

Controladores de dominio — esta es la unidad organizativa, que contiene todos los controladores de dominio. Cuando un
servidor se promociona a un controlador de dominio, su cuenta se coloca en esta unidad organizativa. El valor por defecto
Política de controlador de dominio está vinculado a esta unidad organizativa.

De forma predeterminada, cualquier unidad organizativa creada está protegida contra la eliminación accidental. Si abres las
propiedades de la OU creada, verás la opción Proteja el objeto de la eliminación accidental está habilitado en la pestaña
Objeto. Para eliminar esta unidad organizativa, debe desmarcar esta casilla de verificación. Cuando elimina OU, elimina todos
los demás objetos (anidados) que contiene.

https://informaticamadridmayor.es/admin/unidad-organizativa-ou-de-active-directory-guia-definitiva-informaticamadridmayor/ 2/11
12/12/22, 17:04 Unidad organizativa (OU) de Active Directory: guía definitiva – informaticamadridmayor - informaticamadridmayor.es

Nota. Puede ocultar específicamente AD OU de los usuarios.

Estructura de unidad organizativa de Active Directory

En una pequeña infraestructura de Active Directory (20-50 usuarios) no es necesario crear una estructura de unidad
organizativa compleja. Puede agregar todos los objetos a los contenedores raíz predeterminados (Usuarios y Equipos). En una
gran infraestructura, es deseable dividir todos los objetos en diferentes contenedores. Básicamente se utiliza el diseño
jerárquico de la Unidad Organizacional en Active Directory, ya sea geográfica, funcional u organizacionalmente.

Por ejemplo, su organización tiene sucursales en todo el mundo en diferentes países y ciudades. Sería lógico crear
contenedores separados para cada país en el nivel superior del dominio y también crear contenedores separados dentro del
país para la ciudad o el estado. Dentro de cada ubicación, puede crear unidades organizativas separadas para
administradores, grupos, computadoras, servidores y usuarios (vea la captura de pantalla a continuación).

Si es necesario, puede agregar niveles adicionales de la jerarquía (edificios, departamentos, etc.). En tal jerarquía de Active
Directory, puede delegar permisos de AD y vincular GPO de manera flexible.

¿Cómo crear una unidad organizativa de Active Directory con PowerShell?

Anteriormente, para crear una unidad organizativa de AD, podía usar la utilidad de la consola dsadd. Por ejemplo, para crear
una unidad organizativa en un dominio, puede ejecutar este comando:

dsadd ou “ou=IT,dc=theitbros,dc=com”

https://informaticamadridmayor.es/admin/unidad-organizativa-ou-de-active-directory-guia-definitiva-informaticamadridmayor/ 3/11
12/12/22, 17:04 Unidad organizativa (OU) de Active Directory: guía definitiva – informaticamadridmayor - informaticamadridmayor.es
En Windows Server 2008 R2 y sistemas operativos más nuevos, apareció un módulo separado para interactuar con AD: módulo
Active Directory para Windows PowerShell (es parte de RSAT). Puede usar el cmdlet New-ADOrganizationalUnit para crear una
unidad organizativa. Por ejemplo, cree una nueva unidad organizativa denominada Canadá en la raíz del dominio:

New-ADOrganizationalUnit -Name "Canada"

Para crear una unidad organizativa nueva en un contenedor existente, ejecute el siguiente comando:

New-ADOrganizationalUnit -Name Toronto -Path "OU=Canada,DC=theitbros,DC=com" -Description "Toronto city" –PassThru

Si necesita crear una estructura de unidad organizativa específica, puede crearla de una en una, pero es mucho más fácil usar
PowerShell.

Cree un archivo CSV simple que enumere los nombres de unidades organizativas que desea crear:

Para crear una estructura de unidad organizativa de acuerdo con este archivo, use el siguiente script de PowerShell:

$targetOU=”OU=Nevada,OU=USA,DC=theitbros,DC=loc”

$OUs = Import-csv "C:PSnew_ou.csv"

foreach ($ou in $OUs)

write-host $ou.name

New-ADOrganizationalUnit -Name $ou.name -path $targetOU

Ejecute el script y verifique si su estructura OU se ha creado en el contenedor AD especificado.

Administración de unidades organizativas de Active Directory con PowerShell

Puede cambiar el nombre de una unidad organizativa existente mediante Rename-ADObject. Debe especificar el nombre
distinguido (DN) o GUID de la unidad organizativa como el parámetro -Identity. Por ejemplo, para cambiar el nombre de la
unidad organizativa "HQ" a "NewYork":

Rename-ADObject -Identity "OU=HQ,DC=THEITBROS,DC=COM" -NewName NewYork

https://informaticamadridmayor.es/admin/unidad-organizativa-ou-de-active-directory-guia-definitiva-informaticamadridmayor/ 4/11
12/12/22, 17:04 Unidad organizativa (OU) de Active Directory: guía definitiva – informaticamadridmayor - informaticamadridmayor.es
Puede usar el cmdlet Set-ADOrganizationalUnit para cambiar la configuración de la unidad organizativa. En el siguiente
ejemplo, cambiaremos la descripción y el administrador de la OU:

Set-ADOrganizationalUnit -Identity ”OU=Test,OU=Nevada,OU=USA,DC=theitbros,DC=loc”

-ManagedBy "CN=Alex Weber,CN=Users,DC=theitbros,DC=loc" – Description

“Test OU for Alex Weber”

Para eliminar la unidad organizativa de Active Directory, se usa el cmdlet Remove-ADOrganizationalUnit. Puede eliminar una
unidad organizativa "Nueva York" de la siguiente manera:

Get-ADOrganizationalUnit -filter "Name -eq 'NewYork'"| Remove-ADOrganizationalUnit

Insinuación. Además, puede eliminar OU con la herramienta dsrm.exe:

dsrm.exe "OU=TestOU,DC=theitbros,DC=com" -subtree

Si recibe un error "Remove-ADOrganizationalUnit: Acceso denegado", asegúrese de que la opción Proteger objeto contra
eliminación accidental no esté habilitada. Puede deshabilitar ProtectedFromAccidentalDeletion usando PowerShell:

Get-ADOrganizationalUnit -filter "Name -eq 'NewYork'"| Set-ADOrganizationalUnit -ProtectedFromAccidentalDeletion $False

Si la unidad organizativa contiene objetos, aparecerá un error al eliminarlos. Para eliminar la unidad organizativa y todos los
objetos secundarios, utilice la opción –Recursiva:

Get-ADOrganizationalUnit -filter "Name -eq 'NewYork'"| Remove-ADOrganizationalUnit –Recursive

Para buscar todas las unidades organizativas desprotegidas para las que la opción ProtectedFromAccidentalDeletion está
deshabilitada:

Get-ADOrganizationalUnit -filter * -Properties ProtectedFromAccidentalDeletion | where {$_.ProtectedFromAccidentalDeletio

Para habilitar la opción de protección contra eliminación para todas las unidades organizativas en un dominio de Active
Directory:

Get-ADOrganizationalUnit -filter * -Properties ProtectedFromAccidentalDeletion | where {$_.ProtectedFromAccidentalDeletio

Para mover la unidad organizativa, use el cmdlet Move-ADObject (la opción ProtectedFromAccidentalDeletion no debe estar
habilitada en la unidad organizativa de origen):

Move-ADObject -Identity "OU=Services,OU=NewYork,DC=THEITBROS,DC=Com" -TargetPath "OU=IT,OU=Enterprise,DC=THEITBROS,DC=Com

Move-ADObject también se puede usar para mover otros objetos AD (usuarios, computadoras, grupos) entre unidades
organizativas. Por ejemplo, puede mover la computadora a la nueva unidad organizativa:

Move-ADObject –Identity “CN=pc-b11-23,OU=Computers,OU=NewYork,OU=USA,DC=theitbros,DC=com” -TargetPath "OU=Computers,OU=LA

Para transferir varias computadoras, cuyos nombres se especifican en el archivo txt, puede usar el siguiente script de
PowerShell:

$computers = Get-Content C:PSMoveComputerList.txt

$TargetOU = "OU=Computers,OU=LA,OU=USA,DC=theitbros,DC=com"

ForEach($computer in $computers){

Get-ADComputer $computer | Move-ADObject -TargetPath $TargetOU

El siguiente script de PowerShell le permite contar la cantidad de usuarios habilitados en cada unidad organizativa de su
dominio.

https://informaticamadridmayor.es/admin/unidad-organizativa-ou-de-active-directory-guia-definitiva-informaticamadridmayor/ 5/11
12/12/22, 17:04 Unidad organizativa (OU) de Active Directory: guía definitiva – informaticamadridmayor - informaticamadridmayor.es
Get-ADOrganizationalUnit -Properties CanonicalName -Filter * | Sort-Object CanonicalName |

ForEach-Object {

[pscustomobject]@{

CanonicalName = $_.CanonicalName

UserCount = @(Get-AdUser -Filter 'enabled -eq $true' -SearchBase $_.DistinguishedName -SearchScope OneLevel).Count

Si desea contar la cantidad de usuarios de AD deshabilitados, reemplace la línea con:

UserCount = @(Get-AdUser -Filter 'enabled -eq $false' -SearchBase $_.DistinguishedName -SearchScope OneLevel).Count

¿Cómo delegar permisos de Active Directory a las unidades organizativas?

Al delegar permisos de Active Directory para OU a otros usuarios, es conveniente otorgar permisos no directamente a cuentas
de usuario, sino a grupos de seguridad. Por lo tanto, para otorgar permisos de OU a un nuevo usuario, basta con agregarlo al
grupo de seguridad.

Para delegar los permisos, haga clic con el botón derecho en la unidad organizativa y seleccione Control delegado.

En el asistente de administración de delegados, seleccione el grupo de usuarios a los que desea otorgar acceso.

Luego, seleccione las tareas administrativas que desea delegar.

https://informaticamadridmayor.es/admin/unidad-organizativa-ou-de-active-directory-guia-definitiva-informaticamadridmayor/ 6/11
12/12/22, 17:04 Unidad organizativa (OU) de Active Directory: guía definitiva – informaticamadridmayor - informaticamadridmayor.es

Puede delegar tareas administrativas comunes mediante la unidad organizativa:

4.6 / 5 ( 172 votos )

Recomendado para ti

BESTSELLER NO. 1 REBAJAS

Introducción a la programación informática: Una excelente guía visual que explica, paso a
paso, desde el código binario hasta la creación de juegos

18,90 EUR
Ver en Amazon

BESTSELLER NO. 2 REBAJAS

Introducción a la informática. Edición 2020 (INFORMÁTICA PARA MAYORES)

15,15 EUR
Ver en Amazon

BESTSELLER NO. 3

https://informaticamadridmayor.es/admin/unidad-organizativa-ou-de-active-directory-guia-definitiva-informaticamadridmayor/ 7/11
12/12/22, 17:04 Unidad organizativa (OU) de Active Directory: guía definitiva – informaticamadridmayor - informaticamadridmayor.es

Las Sinergias de Marcio: Sátiras de programadores e informáticos dentro del mundo

corporativo de las empresas multinacionales de consultoría, tecnología y desarrollo de
software

19,99 EUR
Ver en Amazon

Artículos relacionados:

Tipos de grupos de
Actualización del Active Directory - ¿Cómo verificar la Importar usuarios a
esquema de Active informaticamadridmay replicación de Active Active Directory desde
Directory –… or Directory?… CSV –…

Comprobación del
estado de replicación de Configuración de sitios
Active… y subredes de Active…

Index
1 ¿Cómo crear una unidad organizativa de Active Directory utilizando ADUC?
2 Estructura de unidad organizativa de Active Directory
3 ¿Cómo crear una unidad organizativa de Active Directory con PowerShell?
4 Administración de unidades organizativas de Active Directory con PowerShell
5 ¿Cómo delegar permisos de Active Directory a las unidades organizativas?

Entradas recientes
Para iniciar sesión de forma remota, necesita el derecho de iniciar sesión a través del servicio de escritorio remoto –
informaticamadridmayor
Office 365: "No se pudo enviar este mensaje. Intente enviarlo de nuevo..."
No se puede encontrar un servidor predeterminado con los servicios web de Active Directory ejecutándose –
informaticamadridmayor
Para configurar TCP/IP, debe instalar y habilitar un adaptador de red – informaticamadridmayor
El procesamiento de la directiva de grupo falló
Implementación de la solución de contraseña de administrador local (LAPS) en Active Directory – informaticamadridmayor
¿Cómo instalar phpMyAdmin en IIS en Windows 10 o Windows Server 2016? – informaticamadridmayor
Intercambio 550 5.7.1 RESOLVER.RST.AuthRequired; Autenticacion requerida
Cómo extraer miembros del grupo de Active Directory y exportarlo a un archivo CSV – informaticamadridmayor
Adición de un contacto a la libreta de direcciones en una copiadora Toshiba e-STUDIO

Categorias
Elegir categoría

Para ti
NUEVO

https://informaticamadridmayor.es/admin/unidad-organizativa-ou-de-active-directory-guia-definitiva-informaticamadridmayor/ 8/11
12/12/22, 17:04 Unidad organizativa (OU) de Active Directory: guía definitiva – informaticamadridmayor - informaticamadridmayor.es

Fujitsu Esprimo D756 E85+ Intel Pentium G4400 - Disco duro SSD de 256 GB, memoria de 4 GB, Windows 10 Pro,
grabadora de DVD, ordenador de sobremesa Mini PC (reacondicionado)
238,80 EUR
Ver en Amazon

NUEVO

Lenovo ThinkCentre M900 Tiny USDT Intel Quad Core i5 256 GB SSD disco duro de 8 GB de memoria Windows 10 Pro
incluye ordenador de escritorio inalámbrico Mini PC (reacondicionado)
335,80 EUR
Ver en Amazon

NUEVO

Lenovo Ordenador ThinkCentre M715Q Tiny, AMD A6-8750B, RAM 8GB, SSD 240GB, Windows 10 Pro (reacondicionado)
129,90 EUR
Ver en Amazon

NUEVO

HP EliteDesk 800 G3 Mini PC Ordenador Desktop Intel i5-6400T Ram 8GB SSD 240GB Windows 10 Pro (Reacondicionado)
199,90 EUR
Ver en Amazon

informaticamadridmayor.es

https://informaticamadridmayor.es/admin/unidad-organizativa-ou-de-active-directory-guia-definitiva-informaticamadridmayor/ 9/11
12/12/22, 17:04 Unidad organizativa (OU) de Active Directory: guía definitiva – informaticamadridmayor - informaticamadridmayor.es

https://informaticamadridmayor.es/admin/unidad-organizativa-ou-de-active-directory-guia-definitiva-informaticamadridmayor/ 10/11
12/12/22, 17:04 Unidad organizativa (OU) de Active Directory: guía definitiva – informaticamadridmayor - informaticamadridmayor.es

https://informaticamadridmayor.es/admin/unidad-organizativa-ou-de-active-directory-guia-definitiva-informaticamadridmayor/ 11/11