Cómo utilizar las herramientas de línea de comandos del Servicio de directorio para administrar los objetos de Active Directory en Windows Server 2003

Seleccione idioma Seleccione idioma
Id. de artículo: 322684 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

En este artículo se describe cómo utilizar las herramientas de línea de comandos del Servicio de directorio para realizar tareas administrativas de Active Directory en Windows Server 2003. Las tareas siguientes se dividen en grupos de tareas.

Cómo administrar usuarios

Crear una nueva cuenta de usuario

  1. Haga clic en Inicio y, a continuación, haga clic en Ejecutar.
  2. En el cuadro Abrir, escriba cmd.
  3. En el símbolo del sistema, escriba el comando siguiente:
    dsadd user dnUsuario -samid nombreSam
    A continuación se muestran los valores que se utilizan en este comando:
    • dnUsuario especifica el nombre completo (también conocido como DN) del objeto de usuario que desea agregar.
    • nombreSam especifica el nombre del administrador de cuentas de seguridad (SAM) que se usa como nombre de cuenta SAM único para este usuario (por ejemplo, Linda).
  4. Para especificar la contraseña de la cuenta de usuario, escriba el comando siguiente, donde contraseña es la contraseña que se usará para la cuenta de usuario.
    dsadd user userdn -pwd contraseña
NOTA
Para ver la sintaxis completa de este comando y obtener más información acerca de cómo escribir más datos sobre la cuenta de usuario, escriba dsadd user /? en un símbolo del sistema.

Restablecer la contraseña de un usuario

  1. Haga clic en Inicio y, a continuación, haga clic en Ejecutar.
  2. En el cuadro Abrir, escriba cmd.
  3. En el símbolo del sistema, escriba el comando siguiente:
    dsmod user dnUsuario -pwd nuevaContraseña
    Este comando utiliza los valores siguientes:
    • dnUsuario especifica el nombre completo del usuario para el que se restablecerá la contraseña.
    • nuevaContraseña especifica la contraseña que reemplazará a la contraseña de usuario actual
  4. Si desea pedir al usuario que cambie esta contraseña en el próximo proceso de inicio de sesión, escriba el comando siguiente:
    dsmod user dnUsuario -mustchpwd {yes|no}
NOTA
Si no se asigna ninguna contraseña, la primera vez que el usuario intenta iniciar sesión (utilizando una contraseña en blanco) se muestra el siguiente mensaje:
Necesita cambiar su contraseña la primera vez que inicie la sesión
Una vez que el usuario ha cambiado la contraseña, el proceso de inicio de sesión continúa.

Es necesario restablecer los servicios autenticados con una cuenta de usuario si se cambia la contraseña de la cuenta de usuario del servicio.

NOTA
Para ver la sintaxis completa de este comando y obtener más información acerca de cómo escribir más datos sobre la cuenta de usuario, escriba dsmod user /? en un símbolo del sistema.

Deshabilitar o habilitar una cuenta de usuario

  1. Haga clic en Inicio y, a continuación, haga clic en Ejecutar.
  2. En el cuadro Abrir, escriba cmd.
  3. En el símbolo del sistema, escriba el comando siguiente:
    dsmod user dnUsuario -disabled {yes|no}
    Este comando utiliza los valores siguientes:
    • dnUsuario especifica el nombre completo del objeto de usuario que se va a deshabilitar o habilitar.
    • {yes|no} especifica si la cuenta de usuario está deshabilitada para el inicio de sesión (yes) o no (no).
NOTA
Como medida de seguridad, en lugar de eliminar una cuenta de usuario, es posible deshabilitar las cuentas de usuario para impedir que determinados usuarios inicien sesión. Si deshabilita las cuentas de usuario que pertenecen a grupos comunes, puede utilizar las cuentas de usuario deshabilitadas como plantillas para simplificar la creación de cuentas de usuario.

Eliminar una cuenta de usuario

  1. Haga clic en Inicio y, a continuación, haga clic en Ejecutar.
  2. En el cuadro Abrir, escriba cmd.
  3. En el símbolo del sistema, escriba el comando siguiente, donde dnUsuario especifica el nombre completo del objeto de usuario que se va a eliminar.
    dsrm dnUsuario
Cuando se elimina una cuenta de usuario, todos los permisos y pertenencias a grupos asociados a ella se eliminan definitivamente. Puesto que el identificador de seguridad (SID) de cada cuenta es único, si crea una nueva cuenta de usuario con el mismo nombre que una cuenta de usuario eliminada con anterioridad, la nueva cuenta no asume automáticamente los permisos y pertenencias a grupos que la cuenta eliminada. Para duplicar una cuenta de usuario eliminada, debe volver a crear manualmente todos los permisos y pertenencias a grupos.

NOTA
Para ver la sintaxis completa de este comando y obtener más información acerca de cómo escribir más datos sobre la cuenta de usuario, escriba dsrm /? en un símbolo del sistema.

Cómo administrar grupos

Crear un nuevo grupo

  1. Haga clic en Inicio y, a continuación, haga clic en Ejecutar.
  2. En el cuadro Abrir, escriba cmd.
  3. En el símbolo del sistema, escriba el comando siguiente:
    dsadd group dnGrupo -samid nombreSam -secgrp yes | no -scope l | g | u
    Este comando utiliza los valores siguientes:
    • dnGrupo especifica el nombre completo del objeto de grupo que desea agregar.
    • nombreSam especifica el nombre SAM que es el nombre de cuenta SAM único para este grupo (por ejemplo, operadores).
    • yes | no especifica si el grupo que desea agregar es un grupo de seguridad (yes) o un grupo de distribución (no).
    • l | g | u especifica el ámbito del grupo que desea agregar (dominio local [l], global [g] o universal [u]).
Si el dominio en el que está creando el grupo se establece en el nivel funcional de dominio de Windows 2000 mixto, sólo podrá seleccionar grupos de seguridad con ámbitos de dominio local o ámbitos globales.

Para ver la sintaxis completa de este comando y obtener más información acerca de cómo escribir más datos sobre el grupo, escriba dsadd group /? en un símbolo del sistema.

Agregar un miembro a un grupo

  1. Haga clic en Inicio y, a continuación, haga clic en Ejecutar.
  2. En el cuadro Abrir, escriba cmd.
  3. En el símbolo del sistema, escriba el comando siguiente:
    dsmod group dnGrupo -addmbr dnMiembro
    Este comando utiliza los valores siguientes:
    • dnGrupo especifica el nombre completo del objeto de grupo que desea agregar.
    • dnMiembro especifica el nombre completo del objeto que desea agregar al grupo.
Además de usuarios y equipos, un grupo puede contener contactos y otros grupos.

Para ver la sintaxis completa de este comando y obtener más información acerca de cómo escribir más datos sobre las cuentas de usuario y los grupos, escriba dsmod group /? en un símbolo del sistema.

Convertir un grupo en otro tipo de grupo

  1. Haga clic en Inicio y, a continuación, haga clic en Ejecutar.
  2. En el cuadro Abrir, escriba cmd.
  3. En el símbolo del sistema, escriba el comando siguiente:
    dsmod group dnGrupo -secgrp {yes|no}
    Este comando utiliza los valores siguientes:
    • dnGrupo especifica el nombre completo del objeto de grupo cuyo tipo de grupo desea cambiar.
    • {yes|no} especifica si el tipo de grupo se establece en un grupo de seguridad (yes) o en un grupo de distribución (no).
Para convertir un grupo, la funcionalidad del dominio debe establecerse en Windows 2000 nativo o superior. No es posible convertir grupos cuando la funcionalidad del dominio está establecida en Windows 2000 mixto.

Para ver la sintaxis completa de este comando, escriba dsmod group /? en un símbolo del sistema.

Cambiar el ámbito de un grupo

  1. Haga clic en Inicio y, a continuación, haga clic en Ejecutar.
  2. En el cuadro Abrir, escriba cmd.
  3. En el símbolo del sistema, escriba el comando siguiente:
    dsmod group dnGrupo -scope l|g|u
    Este comando utiliza los valores siguientes:
    • dnGrupo especifica los nombres completos del objeto de grupo cuyo ámbito se cambiará.
    • l|g|u especifica el ámbito en el que se establecerá el grupo (local, global o universal). Si el dominio aún se encuentra establecido en Windows 2000 mixto, no se admitirá el ámbito universal. Asimismo, no es posible convertir un grupo de dominio local en un grupo global ni viceversa.
    NOTA
    Sólo puede cambiar los ámbitos de grupo cuando el nivel funcional del dominio está establecido en Windows 2000 nativo o superior.

Eliminar un grupo

  1. Haga clic en Inicio y, a continuación, haga clic en Ejecutar.
  2. En el cuadro Abrir, escriba cmd.
  3. En el símbolo del sistema, escriba el comando siguiente:
    dsrm dnGrupo
    Este comando utiliza el valor siguiente:
    • dnGrupo especifica el nombre completo del objeto de grupo que se eliminará.
NOTA
Si elimina el grupo, éste se quitará definitivamente.

De manera predeterminada, los grupos locales que se proporcionan automáticamente en los controladores de dominio que ejecutan Windows Server 2003, como Administradores y Operadores de cuentas, se encuentran en la carpeta Builtin. De manera predeterminada, los grupos globales comunes, como Administradores del dominio y Usuarios del dominio, se encuentran en la carpeta Users. Es posible agregar o mover los nuevos grupos a cualquier carpeta. Microsoft recomienda mantener los grupos en una carpeta de la unidad organizativa.

Para ver la sintaxis completa de este comando, escriba dsrm /? en un símbolo del sistema.

Buscar los grupos a los que pertenece un usuario

  1. Haga clic en Inicio y, a continuación, haga clic en Ejecutar.
  2. En el cuadro Abrir, escriba cmd.
  3. En el símbolo del sistema, escriba el comando siguiente:
    dsget user dnUsuario -memberof
    Este comando utiliza el valor siguiente:
    • dnUsuario especifica el nombre completo del objeto de usuario del que desea mostrar a qué grupos pertenece.
Para ver la sintaxis completa de este comando, escriba dsget user /? en un símbolo del sistema.

Cómo administrar equipos

Crear una nueva cuenta de equipo

  1. Haga clic en Inicio y, a continuación, haga clic en Ejecutar.
  2. En el cuadro Abrir, escriba cmd.
  3. En el símbolo del sistema, escriba el comando siguiente:
    dsadd computer dnEquipo
    Este comando utiliza el valor siguiente:
    • dnEquipo especifica el nombre completo del equipo que desea agregar. El nombre completo indica la ubicación de la carpeta.
Para ver la sintaxis completa de este comando, escriba dsadd computer /? en un símbolo del sistema.

Para modificar las propiedades de una cuenta de equipo, utilice el comando dsmod computer.

Agregar una cuenta de equipo a un grupo

  1. Haga clic en Inicio y, a continuación, haga clic en Ejecutar.
  2. En el cuadro Abrir, escriba cmd.
  3. En el símbolo del sistema, escriba el comando siguiente:
    dsmod group dnGrupo -addmbr dnEquipo
    Este comando utiliza los valores siguientes:
    • dnGrupo especifica el nombre completo del objeto de grupo al que desea agregar el objeto de equipo.
    • dnEquipo especifica el nombre completo del objeto de equipo que se va a agregar al grupo. El nombre completo indica la ubicación de la carpeta.
Cuando se agrega un equipo a un grupo, es posible asignar permisos a todas las cuentas de equipo de ese grupo y, después, filtrar los valores de la Directiva de grupo de todas las cuentas de ese grupo.

Para ver la sintaxis completa de este comando, escriba dsmod group /? en un símbolo del sistema.

Restablecer una cuenta de equipo

  1. Haga clic en Inicio y, a continuación, haga clic en Ejecutar.
  2. En el cuadro Abrir, escriba cmd.
  3. En el símbolo del sistema, escriba el comando siguiente:
    dsmod computer dnEquipo -reset
    Este comando utiliza el valor siguiente:
    • dnEquipo especifica los nombres completos de uno o más objetos de equipo que desea restablecer.
NOTA
Cuando se restablece una cuenta de equipo, se interrumpe la conexión del equipo al dominio. Es necesario volver a conectar la cuenta de equipo a la cuenta de equipo del dominio después de restablecerla.

Para ver la sintaxis completa de este comando, escriba dsmod computer /? en un símbolo del sistema.

Deshabilitar o habilitar una cuenta de equipo

  1. Haga clic en Inicio y, a continuación, haga clic en Ejecutar.
  2. En el cuadro Abrir, escriba cmd.
  3. En el símbolo del sistema, escriba el comando siguiente:
    dsmod computer dnEquipo -disabled {yes|no}
    Este comando utiliza los valores siguientes:
    • dnEquipo especifica el nombre completo del objeto de equipo que desea deshabilitar o habilitar.
    • {yes|no} especifica si el equipo está deshabilitado para el inicio de sesión (yes) o no (no).
Cuando se deshabilita una cuenta de equipo, se interrumpe la conexión del equipo al dominio y el equipo no puede autenticarse en el dominio.

Para ver la sintaxis completa de este comando, escriba dsmod computer /? en un símbolo del sistema.

Cómo administrar unidades organizativas

Crear una nueva unidad organizativa

  1. Haga clic en Inicio y, a continuación, haga clic en Ejecutar.
  2. En el cuadro Abrir, escriba cmd.
  3. En el símbolo del sistema, escriba el comando siguiente:
    dsadd ou dnUnidadOrganizativa
    Este comando utiliza el valor siguiente:
    • dnUnidadOrganizativa especifica el nombre completo de la unidad organizativa que se va a agregar.
Para ver la sintaxis completa de este comando, escriba dsadd ou /? en un símbolo del sistema.

NOTA
Para modificar las propiedades de una unidad organizativa, utilice el comando dsmod ou.

Eliminar una unidad organizativa

  1. Haga clic en Inicio y, a continuación, haga clic en Ejecutar.
  2. En el cuadro Abrir, escriba cmd.
  3. En el símbolo del sistema, escriba el comando siguiente:
    dsrm dnUnidadOrganizativa
    Este comando utiliza el valor siguiente:
    • dnUnidadOrganizativa especifica el nombre completo de la unidad organizativa que se va a eliminar.
    Para ver la sintaxis completa de este comando, escriba dsrm /? en un símbolo del sistema.

    NOTA
    Si se elimina una unidad organizativa, se eliminan todos los objetos que contiene.

Cómo buscar en Active Directory

Buscar una cuenta de usuario

  1. Haga clic en Inicio y, a continuación, haga clic en Ejecutar.
  2. En el cuadro Abrir, escriba cmd.
  3. En el símbolo del sistema, escriba el comando siguiente:
    dsquery user parámetro
    Este comando utiliza el valor siguiente:
    • parámetro especifica el parámetro que se va a utilizar. Para obtener una lista de parámetros, vea la ayuda en pantalla del comando dsquery user.
Para ver la sintaxis completa de este comando, escriba dsquery user /? en un símbolo del sistema.

Buscar un contacto

  1. Haga clic en Inicio y, a continuación, haga clic en Ejecutar.
  2. En el cuadro Abrir, escriba cmd.
  3. En el símbolo del sistema, escriba el comando siguiente:
    dsquery contact parámetro
    Este comando utiliza los valores siguientes:
    • parámetro especifica el parámetro que se va a utilizar. Para obtener una lista de parámetros, vea la ayuda en pantalla del comando dsquery user.

Buscar un grupo

  1. Haga clic en Inicio y, a continuación, haga clic en Ejecutar.
  2. En el cuadro Abrir, escriba cmd.
  3. En el símbolo del sistema, escriba el comando siguiente:
    dsquery group parámetro
    Este comando utiliza los valores siguientes:
    • parámetro especifica el parámetro que se va a utilizar. Para obtener una lista de parámetros, vea la ayuda en pantalla del comando dsquery user.
De manera predeterminada, los grupos locales que se proporcionan automáticamente en los controladores de dominio que ejecutan Windows Server 2003, como Administradores y Operadores de cuentas, se encuentran en la carpeta Builtin. De manera predeterminada, los grupos globales comunes, como Administradores del dominio y Usuarios del dominio, se encuentran en la carpeta Users. Es posible agregar o mover los nuevos grupos a cualquier carpeta. Microsoft recomienda mantener los grupos en una carpeta de la unidad organizativa.

Buscar una cuenta de equipo

  1. Haga clic en Inicio y, a continuación, haga clic en Ejecutar.
  2. En el cuadro Abrir, escriba cmd.
  3. En el símbolo del sistema, escriba el comando siguiente:
    dsquery computer -name nombre
    Este comando utiliza el valor siguiente:
    • nombre especifica el nombre de equipo que buscará el comando. Este comando busca en equipos cuyos atributos de nombre (valor de atributo CN) coinciden con nombre.
Para ver la sintaxis completa de este comando, escriba dsquery computer /? en un símbolo del sistema.

Buscar una unidad organizativa

  1. Haga clic en Inicio y, a continuación, haga clic en Ejecutar.
  2. En el cuadro Abrir, escriba cmd.
  3. En el símbolo del sistema, escriba el comando siguiente:
    dsquery ou parámetro
    Este comando utiliza el valor siguiente:
    • parámetro especifica el parámetro que se va a utilizar. Para obtener una lista de parámetros, vea la ayuda en pantalla del comando dsquery ou.
Para ver la sintaxis completa de este comando, escriba dsquery ou /? en un símbolo del sistema.

Buscar un controlador de dominio

  1. Haga clic en Inicio y, a continuación, haga clic en Ejecutar.
  2. En el cuadro Abrir, escriba cmd.
  3. En el símbolo del sistema, escriba el comando siguiente:
    dsquery server parámetro
    Este comando utiliza los valores siguientes:
    • parámetro especifica el parámetro que se va a utilizar. Con este comando se pueden buscar varios atributos de un servidor. Para obtener una lista de parámetros, vea la ayuda en pantalla del comando dsquery server.

Realizar una búsqueda personalizada

  1. Haga clic en Inicio y, a continuación, haga clic en Ejecutar.
  2. En el cuadro Abrir, escriba cmd.
  3. En el símbolo del sistema, escriba el comando siguiente:
    dsquery * parámetro
    Este comando utiliza el valor siguiente:
    • parámetro especifica el parámetro que se va a utilizar. Con este comando se pueden buscar varios atributos. Para obtener más información acerca de las búsquedas LDAP, consulte el Kit de recursos de Windows Server 2003.

Referencias

Para obtener información adicional acerca de las herramientas de línea de comandos de Servicios de directorio en Windows Server 2003, haga clic en Inicio y Ayuda y soporte técnico y, a continuación, escriba "servicio de directorio" herramientas "línea de comandos" en el cuadro Buscar.

Propiedades

Id. de artículo: 322684 - Última revisión: lunes, 3 de diciembre de 2007 - Versión: 8.3
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Palabras clave: 
kbhowtomaster kbactivedirectory KB322684

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com