• Artículo

Windows Server

11 herramientas esenciales para administrar Active Directory

Laura E. Hunter

 

Resumen:

  • Creación de objetos en la línea de comandos
  • Realización de operaciones masivas dentro de Active Directory
  • Actualizaciones y mantenimiento de Active Directory

Si ha recibido alguna vez una hoja de cálculo de Excel con una lista de 200 empleados nuevos que empiezan la semana próxima, o si sus cuentas de usuario se han configurado incorrectamente porque el personal de soporte técnico hizo clic en algo

en lo que debía haber hecho clic, o si simplemente desea facilitar la administración de Active Directory® sin tener que abrir usuarios y equipos cada vez, existen varias herramientas de administración gratuitas que pueden ayudarle con todo esto. Algunas se han creado directamente en el sistema operativo Windows®, otras proceden de un kit de recursos o de las herramientas de soporte de Windows y algunas otras son herramientas de terceros gratuitas. ¿Cuáles son estas herramientas tan prácticas y dónde pueden obtenerse? Averigüémoslo.

Empezaré con las herramientas de la línea de comandos integradas en Windows Server® 2003 que permiten crear, eliminar, modificar y buscar objetos en Active Directory.

CSVDE

La herramienta Comma-Separated Values Data Exchange, conocida como CSVDE, permite importar objetos nuevos a Active Directory mediante un archivo de código de origen CSV; también proporciona la capacidad de exportar objetos existentes a un archivo CSV. CSVDE no puede usarse para modificar objetos existentes; cuando se usa esta herramienta en el modo de importación, es sólo para crear objetos nuevos.

Exportar una lista de objetos existentes con CSVDE es bastante sencillo. Aquí se muestra cómo se exportan objetos de Active Directory a un archivo llamado ad.csv:

csvde –f ad.csv

El modificador de comandos –f indica que sigue el nombre del archivo de salida. Pero debe ser consciente de que, en función del entorno, esta sintaxis básica podría tener como resultado un archivo de salida muy grande y difícil de manejar. Para restringir la herramienta de forma que sólo se exporten objetos dentro de una unidad organizativa concreta, se pueden modificar las instrucciones de la siguiente manera:

csvde –f UsersOU.csv –d ou=Users,dc=contoso,dc=com

Digamos además que sólo está interesado en exportar objetos de usuario al archivo CSV. En ese caso, se puede agregar el modificador de comandos –r, el cual permite especificar un filtro del Protocolo ligero de acceso a directorios (LDAP) para la búsqueda, y el modificador de comandos –l, el cual restringe el número de atributos que se van a exportar (observe que lo que sigue está todo en una línea):

csvde –f UsersOnly.csv –d ou=Users,dc=contoso,dc=com –r 
    "(&(objectcategory=person)(objectclass=user))" –l 
    DN,objectClass,description

El modificador de comandos -i permite importar objetos a Active Directory desde un archivo de origen CSV. Sin embargo, crear objetos de usuario con CSVDE tiene una limitación importante: no se pueden establecer contraseñas de usuario. A causa de esto, se recomienda evitar el uso de CSVDE para crear objetos de usuario.

LDIFDE

Active Directory ofrece una segunda herramienta integrada para operaciones masivas del usuario llamada LDIFDE y que es más eficaz y flexible que CSVDE. Además de crear objetos nuevos, LDIFDE también puede modificar y eliminar objetos existentes e incluso ampliar el esquema de Active Directory. El equilibrio para la flexibilidad de LDIFDE es que el archivo de entrada necesario, que se llama archivo LDIF con la extensión .ldf, usa un formato más complejo que el archivo sencillo de CSV. (Con un poco de trabajo también se podrán configurar contraseñas de usuario, pero llegaremos a este punto dentro de un momento).

Empecemos con un ejemplo sencillo: exportar usuarios desde una unidad organizativa a un archivo de LDF (observe que lo que sigue está todo en una línea):

ldifde -f users.ldf -s DC1.contoso.com -d "ou=UsersOU,dc=contoso,dc=com"
       –r "(&(objectcategory=person)(objectclass=user))"

Al igual que con la mayoría de las herramientas de la línea de comandos, se puede encontrar una explicación completa de los modificadores de comandos LDIFDE ejecutando el comando LDIFDE /?. La figura 1 describe los que se han usado aquí. (Observe que los modificadores de comandos son de hecho lo mismo para los comandos CSVDE y LDIFDE).

Figure 1 Modificadores de comandos LDIFDE

Modificador de comandos Descripción
-d Permite especificar la ruta de acceso del LDAP al que LDIFDE debe conectarse para la operación.
-f Permite indicar el nombre del archivo que va a usarse, en este caso para ofrecer los resultados de la exportación.
-r Permite especificar el filtro LDAP que se usará para una exportación.
-s Permite especificar el controlador de dominio (DC) al que debe conectarse para realizar la operación. Si se excluye este comando, LDIFDE se conectará al controlador de dominio local (o el que autenticó al ejecutar la herramienta desde una estación de trabajo).
   

La verdadera eficacia de LDIFDE está en la capacidad de creación y manipulación de los objetos. Sin embargo, antes de hacer esto, se deberá crear un archivo de entrada. Lo siguiente crea dos cuentas de usuario nuevas llamadas afuller y rking; para crear el archivo de entrada, escriba el texto en el Bloc de notas (o en su editor favorito de texto sin formato) y guárdelo como NewUsers.ldf:

dn: CN=afuller, OU=UsersOU, DC=contoso, DC=com 
changetype: add 
cn: afuller
objectClass: user 
samAccountName: afuller 

dn: CN=rking, OU=UsersOU, DC=contoso, DC=com 
changetype: add 
cn: rking
objectClass: user 
samAccountName: rking

Tras haber creado el archivo, ejecute el comando siguiente:

ldifde –i –f NewUsers.ldf –s DC1.contoso.com

El único modificador de comandos nuevo aquí es -i, que, como puede adivinarse, indica que se trata de una operación de importación en vez de una de exportación.

Al modificar o eliminar objetos existentes, la sintaxis para el comando de LDIFDE no cambia; en vez de eso, se modifica el contenido del archivo LDF. Para cambiar el campo de descripción de las cuentas de usuario, cree un archivo de texto llamado ModifyUsers.ldf, tal como el que se muestra en la figura 2.

Figura 2 Archivo ModifyUsers de LDF

Figura 2** Archivo ModifyUsers de LDF **(Hacer clic en la imagen para ampliarla)

Los cambios se importan al ejecutar la misma sintaxis del comando de LDIFDE como antes, especificando el nombre nuevo de archivo LDF después del modificador de comandos -f. El formato LDF para eliminar objetos es aún más sencillo; para eliminar los usuarios con los que ha estado trabajando, cree un archivo llamado DeleteUsers.ldf y escriba lo siguiente:

dn: CN=afuller OU=UsersOU, DC=contoso, DC=com 
changetype: delete

dn: CN=rking, OU=UsersOU, DC=contoso, DC=com 
changetype: delete

Tenga en cuenta que a diferencia de CSVDE, LDIFDE sí puede configurar contraseñas de usuario. Sin embargo, antes de poder configurar el atributo unicodePWD para una cuenta de usuario, debe configurarse el cifrado de nivel de sockets seguros o la seguridad del nivel de transporte (SSL/TLS) en los controladores de dominio.

Además, LDIFDE puede crear y modificar cualquier tipo de objeto de Active Directory, no sólo las cuentas de usuario. El archivo LDF siguiente, por ejemplo, creará una extensión de esquema personalizada llamada EmployeeID-example en el esquema del bosque contoso.com:

dn: cn=EmployeeID-example,cn=Schema,
cn=Configuration,dc=contoso,dc=com
changetype: add
adminDisplayName: EmployeeID-Example
attributeID: 1.2.3.4.5.6.6.6.7
attributeSyntax: 2.5.5.6
cn: Employee-ID
instanceType: 4
isSingleValued: True
lDAPDisplayName: employeeID-example

Dado que los archivos de LDIFDE usan el formato de archivo estándar del sector LDAP, las aplicaciones de terceros que necesitan modificar el esquema de Active Directory a menudo suministrarán archivos LDF que pueden usarse para examinar y aprobar los cambios antes de aplicarlos al entorno de producción.

Además de herramientas para las operaciones de importación y exportación masivas, Windows Server 2003 incluye también un conjunto de herramientas integrado que permite crear, eliminar y modificar distintos objetos de Active Directory, así como realizar consultas para objetos que cumplen ciertos criterios. (Tenga en cuenta que estas herramientas, dsadd, dsrm, dsget y dsquery, no son compatibles con Active Directory para Windows 2000).

Dsadd

Dsadd se usa para crear una copia de una clase de objeto de Active Directory en una partición de directorios concreta. Estas clases incluyen usuarios, equipos, contactos, grupos, unidades organizativas y cuotas. Dsadd tiene una sintaxis genérica que consiste en lo siguiente:

dsadd <ObjectType> <ObjectDistinguishedName> attributes

Tenga en cuenta que cada tipo de objeto que se crea toma un conjunto específico de modificadores de comandos correspondiente a los atributos disponibles para ese tipo de objeto. Este comando crea un solo objeto de usuario con distintos atributos rellenados (observe que lo que sigue está todo en una línea):

dsadd user cn=afuller,ou=IT,dc=contoso,dc=com 
–samID afuller –fn Andrew –ln Fuller –pwd * 
-memberOf cn=IT,ou=Groups,dc=contoso,dc=com "cn=Help Desk,ou=Groups,
dc=contoso,dc=com" 
–desc "Marketing Director"

El modificador de comandos –memberOf requiere el nombre distintivo (DN) de cada grupo al que debería agregarse el usuario; si se desea agregar el usuario a varios grupos, se pueden agregar varios DN delimitados por espacios.

Si hay algún elemento que contenga espacios, tal como el nombre completo del grupo del departamento de soporte técnico, deberá incluirse en comillas dobles. Si un elemento contiene una barra diagonal inversa, como por ejemplo una unidad organizativa llamada TI\EMEA, la barra diagonal inversa debe especificarse dos veces: TI\\EMEA. (Estos requisitos se aplican a todas las herramientas ds*).

Al usar el modificador de comandos -pwd *se le pedirá que escriba una contraseña para el usuario en la línea de comandos. Esta contraseña puede especificarse dentro del propio comando (-pwd P@ssword1), pero esto mostrará la contraseña en texto sin formato en la pantalla o en cualquier texto o archivo de script en el que incrustó el comando.

De una forma similar, puede crear un objeto de grupo y una unidad organizativa con los dos comandos siguientes:

dsadd computer cn=WKS1,ou=Workstations,dc=contoso,dc=com
dsadd ou "ou=Training OU,dc=contoso,dc=com"

Dsmod

Dsmod se usa para modificar un objeto existente y se puede usar de manera muy similar a la de dsadd, con submenús y sintaxis diferentes en función del tipo de objeto que se está modificando. La instrucción siguiente de dsmod cambia una contraseña de usuario y modifica la cuenta de éste de forma que se le pedirá que cambie a una contraseña nueva en el inicio de sesión siguiente:

dsmod user "cn=afuller,ou=IT,dc=contoso,dc=com" –pwd P@ssw0rd1
    –mustchpwd yes

Para ver las semejanzas entre estos modificadores de comandos, observe la sintaxis de dsadd que se usaría para crear este usuario con los mismos atributos configurados:

dsadd user "cn=afuller,ou=IT,dc=contoso,dc=com" –pwd P@ssw0rd1
    –mustchpwd yes

Como puede verse claramente, si se conocen los modificadores de comandos para crear objetos en dsadd, se pueden usar estos mismos modificadores de comandos para modificar usuarios con dsmod.

Dsrm

Lo contrario de dsadd es dsrm; como quizás se puede imaginar, esta herramienta permite eliminar un objeto de la línea de comandos. La sintaxis básica de dsrm es bastante sencilla: simplemente escriba dsrm seguido del nombre distintivo del objeto que desea eliminar. Del modo siguiente:

dsrm cn=WKS1,ou=Workstations,dc=contoso,dc=com

De forma predeterminada, dsrm le preguntará si está seguro de que desea eliminar este objeto. Escriba Y y, a continuación, presione Entrar. Este mensaje se puede suprimir con el modificador de comandos -noprompt, pero, obviamente, entonces no tendrá ocasión de confirmar que seleccionó el objeto correcto antes de eliminarlo. Dos modificadores de comandos adicionales pueden ser de utilidad si se está eliminando un objeto del contenedor; es decir, una unidad organizativa que podría contener otros objetos. El comando siguiente elimina la unidad organizativa TrainingOU y todos los objetos que contiene:

dsrm ou=TrainingOU,dc=contoso,dc=com –subtree

Éste elimina todos los objetos secundarios incluidos dentro de TrainingOU, pero deja el objeto de la unidad organizativa en su lugar:

dsrm ou=TrainingOU,dc=contoso,dc=com –subtree 
    –exclude

Dsmove

Para mover un objeto o cambiarle el nombre en Active Directory, se usa la herramienta dsmove, pero observe que debería usarla para mover un objeto sólo dentro de un único dominio. Para migrar objetos entre dominios o bosques, use la herramienta de migración Active Directory (ADMT), que se descarga gratuitamente desde el sitio web de Microsoft. Dsmove depende de dos modificadores de comandos que pueden usarse por separado o combinados. Este comando proporciona un apellido nuevo a la cuenta de Steve Conn:

dsmove "cn=Conn, Steve,ou=IT,dc=contoso,dc=com" 
    –newname "Steve Conn"

Este comando mueve la cuenta de Steve de la unidad organizativa IT a la unidad organizativa Training OU:

dsmove "cn=Conn, Steve,ou=IT,dc=contoso,dc=com" –newparent 
    ou=Training,dc=contoso,dc=com

Se puede combinar un cambio de nombre y un desplazamiento en una sola operación si se especifican ambos modificadores de comandos a la vez. Del modo siguiente:

dsmove "cn=Conn, Steve,ou=IT,dc=contoso,dc=com" –newname 
    "Steve Conn" –newparent ou=Training,dc=contoso,dc=com

Dsget y dsquery

El conjunto de herramientas de la línea de comandos ds* contiene dos herramientas que se usan para hacer consultas en Active Directory y obtener información antes de crear o modificar objetos.

Dsget toma el nombre completo de un objeto como si se tratara de un entrada y devuelve el valor del atributo o atributos especificados. Dsget usa los mismos submenús que dsadd y dsmod: user, computer, contact, group, ou y quota.

Para obtener el nombre de cuenta SAM y el identificador de seguridad (SID) de una cuenta de usuario, escriba el comando siguiente (observe que lo que sigue está todo en una línea):

dsget user cn=afuller,ou=IT,dc=contoso,dc=com 
    –samAccountName –sid

Obtendrá un resultado como el que se muestra en la figura 3.

Figura 3 Ejecución de dsget

Figura 3** Ejecución de dsget **(Hacer clic en la imagen para ampliarla)

Dsquery devuelve una lista de objetos de Active Directory que cumplen los criterios especificados. Se pueden especificar los parámetros siguientes independientemente del submenú se está usando:

dsquery <ObjectType> <StartNode> -s <Search Scope> -o <OutputFormat>

Para ObjectType, dsquery puede usar los submenús siguientes, cada uno de los cuales tiene su propia sintaxis: computer, contact, subnet, group, ou, site, server (observe que el submenú server recupera la información acerca de los controladores de dominio, no de cualquier servidor que sea miembro del entorno), user, quota y partition. Y si uno de estos tipos de consulta no cumple con los requisitos, se puede usar el submenú *, lo que permite escribir una consulta LDAP de forma libre.

StartNode especifica la ubicación en el árbol de Active Directory en la que se iniciará la búsqueda. Se puede usar un nombre completo específico como ou=IT,dc=contoso,dc=com o uno de los especificadores de acceso directo siguientes: domainroot, que empieza en la raíz de un dominio en particular; o forestroot, que empieza en la raíz del dominio raíz del bosque con un servidor de catálogo global para realizar la búsqueda.

Por último, la opción del ámbito de búsqueda especifica cómo dsquery debe buscar en el árbol de Active Directory. La opción Subtree (predeterminada) consulta el StartNode especificado y todos sus objetos secundarios, la opción onelevel sólo consulta los elementos secundarios inmediatos de StartNode y la opción base consulta sólo el objeto StartNode.

Para entender mejor los ámbitos de búsqueda, imagine una unidad organizativa que contenga objetos de usuario y una unidad organizativa secundaria que contenga objetos adicionales. Con el ámbito subtree se consultará la unidad organizativa, todos los objetos de usuario que ésta contiene, la unidad organizativa secundaria y su contenido. El ámbito onelevel consultará sólo los usuarios que contiene la unidad organizativa y no se consultará la unidad organizativa secundaria ni su contenido. Una consulta base buscará sólo la unidad organizativa sin consultar ninguno de los objetos que ésta contiene.

Por último, se puede usar el formato de salida para controlar cómo se formatean los resultados de dsquery. De forma predeterminada, dsquery devuelve los nombres completos de cualquier objeto que coincide con la consulta. Del modo siguiente:

"cn=afuller,ou=Training,dc=contoso,dc=com"
"cn=rking,ou=ITTraining,ou=Training,dc=contoso,dc=com"

Para realizar consultas para todos los objetos de usuario que contiene la unidad organizativa de IT y de cualquier unidad organizativa secundaria, use lo siguiente:

dsquery user ou=IT,dc=contoso,dc=com

Se puede perfeccionar aún más esta consulta si se agregan modificadores de comandos adicionales como por ejemplo: -disabled (devuelve sólo cuentas de usuario desactivadas), -inactive x, (devuelve sólo usuarios que no han iniciado sesión en las últimas semanas o más) o -stalepwd x (devuelve sólo usuarios que no han cambiado sus contraseñas en x días o más).

Según el número de objetos del directorio, es posible que sea necesario especificar el modificador de comandos -limit x al ejecutar la consulta. De forma predeterminada, dsquery devolverá hasta 100 objetos que coinciden con las especificaciones de la consulta; se puede especificar un número más grande, tal como -limit 500, o usar -limit 0 para dar instrucciones de que dsquery devuelva todos los objetos que coincidan.

Se pueden usar los otros submenús para realizar consultas útiles también para otros tipos de objeto. Considere la consulta siguiente que devuelve cada subred definida en los sitios y servicios de Active Directory que está en el espacio de direcciones 10.1.x.x:

dsquery subnet –name 10.1.*

O bien, use lo siguiente para devolver cada subred ubicada en el sitio de la corporación:

dsquery subnet –site Corp

Con otro submenú, se puede determinar rápidamente cuántos controladores de dominio están configurados en el bosque como servidores de catálogo global:

dsquery server –forest –isgc

Esta sintaxis también se puede usar para ayudar a determinar qué controlador de dominio hospeda en el dominio la función Emulator Flexible Single Master Operations (FSMO) del controlador de dominio principal (PDC):

dsquery server –hasfsmo pdc

Al igual que con los otros comandos ds* que incluyen submenús, se pueden ver todos los modificadores de comandos disponibles dentro de un submenú de dsquery particular si se va al mensaje del comando y se escribe dsquery user /?, dsquery computer /?, dsquery subnet /?, etcétera.

Otro truco fácil de usar es canalizar el resultado de la consulta dsquery a otra herramienta, tal como dsmod, que use el carácter | (teclas Mayús+barra diagonal inversa en teclados de EE. UU.). Por ejemplo, supongamos que su compañía cambia el nombre de un departamento desde Aprendizaje a Desarrollo interno y ahora debe actualizar el campo de la descripción de cada usuario desde el nombre anterior de departamento al nuevo. En una única línea de comandos, se pueden consultar objetos de usuario que tienen un campo de descripción Aprendizaje y luego modificar masivamente el campo de la descripción de la siguiente manera:

dsquery user –description "Training" | dsmod 
    -description "Internal Development"

Algunas perlas de terceros

Dado que Active Directory se basa en estándares LDAP, se puede consultar y modificar con cualquier herramienta compatible con LDAP. Muchos otros proveedores han lanzado al mercado herramientas de pago para facilitar la administración de Active Directory, pero a veces se pueden encontrar con tesoros que se han puesto a disposición de la comunidad de forma gratuita. Es el caso de una recopilación creada por el MVP de Servicios de directorio Joe Richards, que está disponible para descarga desde joeware.net/freetools. En este sitio pueden encontrarse muchas herramientas que son útiles para muchas funciones diferentes. Tres a las que recurro una y otra vez son adfind, admod y oldcmp.

Adfind y admod

Adfind y admod son similares a dsquery y dsmod; adfind es una herramienta de consulta de línea de comandos para Active Directory y admod puede crear, eliminar o modificar uno o más objetos de Active Directory.

A diferencia de las herramientas ds* que tienen varios submenús y modificadores de comandos diferentes en función del tipo de objeto, adfind y admod tienen una sintaxis constante independientemente del tipo de consulta o de la modificación que se está intentando realizar. La sintaxis básica para adfind es:

adfind –b <Search Base> -s <Search Scope> -f <Search Filter>
    attributesDesired

Por lo tanto, una consulta para el nombre completo y la descripción de todos los objetos del equipo dentro de su dominio sería:

adfind –b dc=contoso,dc=com –s subtree –f (objectclass=computer) dn 
    description

Una consulta para todos los objetos de usuario tendría el aspecto siguiente:

adfind –b dc=contoso,dc=com –s subtree –f "(&(objectcategory=person)
    (objectclass=user))" dn description

Observe que, salvo en el caso del contenido de la consulta LDAP, la sintaxis no cambió.

Cuando se trabaja con adfind, encontrará con que varios operadores de acceso directo pueden ahorrarle mucha escritura. Por ejemplo, el modificador de comandos -default puede reemplazar -b dc=contoso, dc=com en el ejemplo anterior y buscar en el dominio entero; -gc busca en un recopilación de elementos no usados y devuelve todos los usuarios del bosque de Active Directory. También puede usar el modificador de comandos -rb para establecer una base relativa para la búsqueda; si desea buscar la unidad organizativa de aprendizaje en el dominio phl.east.us.contoso.com, podrá ahorrar bastante esfuerzo si simplemente especifica –default –rb ou=Training en vez de –b ou=Training, dc=phl,dc=east,dc=us,dc=contoso,dc=com.

Adfind también puede realizar varias funciones de búsqueda avanzadas que, de otro modo, no pueden administrarse fácilmente en la línea de comandos, incluidas las que se muestran en la figura 4.

Figure 4 Modificadores de comandos adfind

Modificador de comandos Descripción
-showdel Permite consultar el contenedor de objetos eliminados para objetos de desecho.
-bit Permite consultar en operadores de bit a bit como, por ejemplo, el atributo user­AccountControl.
-asq Permite realizar una consulta del ámbito de atributos. Esta función (que no puede replicarse en dsquery) puede recuperar un atributo de un objeto en particular y luego realizar una consulta en él.
-dsq Permite canalizar los resultados de una consulta adfind en dsmod o en otras herramientas ds*.
   

Un ejemplo con el modificador de comandos -asq sería "Show me the group memberships of the members of the HelpDesk". Del modo siguiente:

adfind –default –rb cn=HelpDesk,ou=IT –asq member memberOf

Admod, como su nombre sugiere, se usa para modificar objetos dentro de Active Directory. Al igual que con adfind, no hay submenús especializados con sintaxis específicos para recordar; admod usa la misma sintaxis independientemente del tipo de objeto con el que se está trabajando. También se puede usar admod para agregar, mover, cambiar el nombre e incluso recuperar objetos mediante la adición del modificador de comandos apropiado, como por ejemplo: -add, -rm, -move, -undel. Y, al igual que con dsquery y dsmod, se puede usar también el carácter | para canalizar los resultados de una consulta de adfind a admod.

Tenga en cuenta que si se realiza una recuperación con admod, se llevará a cabo simplemente una operación de reanimación de desecho, en la que la mayor parte de los atributos de objetos se eliminaron. Para restaurar completamente un objeto y todos sus atributos, todavía será necesario realizar una restauración autoritativa del objeto.

Oldcmp

Hay una herramienta adicional de joeware que pienso que es imprescindible para mi kit de herramientas de automatización: oldcmp, que examina la base de datos de Active Directory en búsqueda de cuentas de equipo que no se han usado durante un número determinado de semanas. Puede realizar las siguientes acciones:

  • Crear un informe de cuentas sin necesidad de emprender ninguna acción contra ellas
  • Desactivar las cuentas de equipo sin usar
  • Mover las cuentas de equipo a una unidad organizativa diferente asignada por el usuario
  • Eliminar las cuentas del equipo

Tenga en cuenta que dado que oldcmp tiene la capacidad de sembrar un caos grave en el directorio, tiene varias características de seguridad integradas. No eliminará ninguna cuenta que no esté desactivada (y sin haberse especificado manualmente un modificador de línea de comandos tipo "En serio, ¡es así!"). No modificará más de 10 objetos a la vez sin disponer de un modificador de comandos tipo "En serio, ¡es así!", y definitivamente no realizará ninguna acción sobre la cuenta del equipo para un controlador de dominio.

A pesar del nombre engañoso de la herramienta, Joe ha actualizado oldcmp para que también realice funciones semejantes para cuentas de usuario que no se han usado durante cierto tiempo.

Para un entorno pequeño de Active Directory o para uno donde sólo se trabaja con una o dos adiciones o modificaciones a la vez, las herramientas GUI, tal como Usuarios y equipos de Active Directory, podrían ser suficientes para llevar una administración diaria. Pero si se agregan y se modifican muchos objetos diariamente o simplemente desea una solución más simplificada para las tareas administrativas, moverse a la línea de comandos puede acelerar mucho el proceso de creación, modificación y eliminación de objetos dentro de Active Directory. Como ha visto, hay varias flexibles y eficaces herramientas disponibles y gratuitas, tanto herramientas integradas en Windows y como herramientas que se pueden descargar de los miembros de la comunidad de Active Directory. Cualquiera de estas herramientas tiene la capacidad de mejorar mucho su productividad como administrador de Active Directory, y todas juntas se convierten aún más en algo esencial para el trabajo diario.

Laura E. Hunter ha recibido cuatro veces el premio Microsoft MVP en el área de redes de Windows Server. Es autora de Active Directory Cookbook, segunda edición (O'Reilly, 2006). Laura cuenta con 10 años de experiencia en el sector de TI y trabaja actualmente como arquitecta de Active Directory para una empresa mundial de ingeniería. Tiene varias certificaciones del sector y es conferenciante habitual en las reuniones de grupos de usuarios y conferencias del sector.

© 2008 Microsoft Corporation and CMP Media, LLC. Reservados todos los derechos; queda prohibida la reproducción parcial o total sin previa autorización.