Usar las herramientas de línea de comandos del servicio de directorio para administrar objetos de Active Directory en Windows Server 2003

  • Artículo

En este artículo se describe cómo usar las herramientas de línea de comandos del servicio de directorio para realizar tareas administrativas para Active Directory en Windows Server 2003. Las siguientes tareas se dividen en grupos de tareas.

Se aplica a: Versiones admitidas de Windows Server
Número de KB original: 322684

Administración de usuarios

En las secciones siguientes se proporcionan pasos detallados para administrar grupos.

Creación de una nueva cuenta de usuario

  1. Haga clic en Inicio y luego en Ejecutar.

  2. En el cuadro Abrir , escriba cmd.

  3. En el símbolo del sistema, escriba el siguiente comando:

    dsadd user <user_dn> -samid <sam_name>

    En este comando se usan los siguientes valores:

    • user_dn especifica el nombre distintivo (también conocido como DN) del objeto de usuario que desea agregar.
    • sam_name especifica el nombre del administrador de cuentas de seguridad (SAM) que se usa como nombre de cuenta SAM único para este usuario (por ejemplo, Linda).

  4. Para especificar la contraseña de la cuenta de usuario, escriba el siguiente comando, donde password es la contraseña que se va a usar para la cuenta de usuario:

    dsadd user <user_dn> -pwd password

Nota:

Para ver la sintaxis completa de este comando y obtener más información sobre cómo escribir más información de la cuenta de usuario, en un símbolo del sistema, escriba dsadd user /?.

Restablecimiento de una contraseña de usuario

  1. Haga clic en Inicio y luego en Ejecutar.

  2. En el cuadro Abrir , escriba cmd.

  3. En el símbolo del sistema, escriba el siguiente comando:

    dsmod user <user_dn> -pwd <new_password>

    Este comando usa los siguientes valores:

    • user_dn especifica el nombre distintivo del usuario para el que se restablecerá la contraseña.
    • new_password especifica la contraseña que reemplazará a la contraseña de usuario actual.

  4. Si desea requerir que el usuario cambie esta contraseña en el siguiente proceso de inicio de sesión, escriba el siguiente comando:

    dsmod user <user_dn> -mustchpwd {yes|no}

Si no se asigna una contraseña, la primera vez que el usuario intenta iniciar sesión (con una contraseña en blanco), se muestra el siguiente mensaje de inicio de sesión:

Debe cambiar la contraseña en el primer inicio de sesión.

Una vez que el usuario ha cambiado la contraseña, el proceso de inicio de sesión continúa.

Debe restablecer los servicios autenticados con una cuenta de usuario si se cambia la contraseña de la cuenta de usuario del servicio.

Nota:

Para ver la sintaxis completa de este comando y obtener más información sobre cómo escribir más información de la cuenta de usuario, en un símbolo del sistema, escriba dsmod user /?.

Deshabilitar o habilitar una cuenta de usuario

  1. Haga clic en Inicio y luego en Ejecutar.

  2. En el cuadro Abrir , escriba cmd.

  3. En el símbolo del sistema, escriba el siguiente comando:

    dsmod user <user_dn> -disabled {yes|no}

    Este comando usa los siguientes valores:

    • user_dn especifica el nombre distintivo del objeto de usuario que se va a deshabilitar o habilitar.
    • {sí|no} especifica si la cuenta de usuario está deshabilitada para el inicio de sesión (sí) o no (no).

Nota:

Como medida de seguridad, en lugar de eliminar la cuenta de ese usuario, puede deshabilitar las cuentas de usuario para evitar que un usuario determinado inicie sesión. Si deshabilita las cuentas de usuario que tienen pertenencias a grupos comunes, puede usar cuentas de usuario deshabilitadas como plantillas de cuenta para simplificar la creación de cuentas de usuario.

Eliminación de una cuenta de usuario

  1. Haga clic en Inicio y luego en Ejecutar.
  2. En el cuadro Abrir , escriba cmd.
  3. En el símbolo del sistema, escriba el dsrm <user_dn> comando , donde user_dn especifica el nombre distintivo del objeto de usuario que se va a eliminar.

Después de eliminar una cuenta de usuario, todos los permisos y pertenencias asociados a esa cuenta de usuario se eliminan permanentemente. Dado que el identificador de seguridad (SID) de cada cuenta es único, si crea una nueva cuenta de usuario con el mismo nombre que una cuenta de usuario eliminada anteriormente, la nueva cuenta no asume automáticamente los permisos y pertenencias de la cuenta eliminada anteriormente. Para duplicar una cuenta de usuario eliminada, debe volver a crear manualmente todos los permisos y pertenencias.

Nota:

Para ver la sintaxis completa de este comando y obtener más información sobre cómo escribir más información de la cuenta de usuario, en un símbolo del sistema, escriba dsrm /?.

Administración de grupos

En las secciones siguientes se proporcionan pasos detallados para administrar grupos.

Creación de un grupo nuevo

  1. Haga clic en Inicio y luego en Ejecutar.

  2. En el cuadro Abrir , escriba cmd.

  3. En el símbolo del sistema, escriba el siguiente comando:

    dsadd group <group_dn> -samid <sam_name> -secgrp {yes|no} -scope {l|g|u}

    Este comando usa los siguientes valores:

    • group_dn especifica el nombre distintivo del objeto de grupo que desea agregar.
    • sam_name especifica el nombre SAM que es el nombre de cuenta SAM único para este grupo (por ejemplo, operadores).
    • {sí|no} especifica si el grupo que desea agregar es un grupo de seguridad (sí) o un grupo de distribución (no).
    • {l|g|u} especifica el ámbito del grupo que desea agregar (dominio local [l], global [g], o universal [u]).

Si el dominio en el que va a crear el grupo está establecido en el nivel funcional de dominio de Windows 2000 mixto, solo puede seleccionar grupos de seguridad con ámbitos locales de dominio o ámbitos globales.

Para ver la sintaxis completa de este comando y obtener más información sobre cómo escribir más información de grupo, en un símbolo del sistema, escriba dsadd group /?.

Adición de un miembro a un grupo

  1. Haga clic en Inicio y luego en Ejecutar.

  2. En el cuadro Abrir , escriba cmd.

  3. En el símbolo del sistema, escriba el siguiente comando:

    dsmod group <group_dn> -addmbr <member_dn>

    Este comando usa los siguientes valores:

    • group_dn especifica el nombre distintivo del objeto de grupo que desea agregar.
    • member_dn especifica el nombre distintivo del objeto que desea agregar al grupo.

Además de los usuarios y equipos, un grupo puede contener contactos y otros grupos.

Para ver la sintaxis completa de este comando y obtener más información sobre cómo escribir más información de grupo y cuenta de usuario, en un símbolo del sistema, escriba dsmod group /?.

Convertir un grupo en otro tipo de grupo

  1. Haga clic en Inicio y luego en Ejecutar.

  2. En el cuadro Abrir , escriba cmd.

  3. En el símbolo del sistema, escriba el siguiente comando:

    dsmod group <group_dn> -secgrp {yes|no}

    Este comando usa los siguientes valores:

    • group_dn especifica el nombre distintivo del objeto de grupo para el que desea cambiar el tipo de grupo.
    • {sí|no} especifica que el tipo de grupo está establecido en grupo de seguridad (sí) o grupo de distribución (no).

Para convertir un grupo, la funcionalidad del dominio debe establecerse en Windows 2000 Nativo o superior. No se pueden convertir grupos cuando la funcionalidad del dominio está establecida en Windows 2000 Mixed.

Para ver la sintaxis completa de este comando, en un símbolo del sistema, escriba dsmod group /?.

Cambiar el ámbito del grupo

  1. Haga clic en Inicio y luego en Ejecutar.

  2. En el cuadro Abrir , escriba cmd.

  3. En el símbolo del sistema, escriba el siguiente comando:

    dsmod group <group_dn> -scope {l|g|u}

    Este comando usa los siguientes valores:

    • group_dn especifica los nombres distintivos del objeto de grupo al que se cambiará el ámbito.
    • {l|g|u} especifica el ámbito en el que se va a establecer el grupo (local, global o universal). Si el dominio sigue establecido en Windows 2000 mixto, no se admite el ámbito universal. Además, no es posible convertir un grupo local de dominio en un grupo global o viceversa.

Nota:

Solo puede cambiar los ámbitos de grupo cuando el nivel funcional del dominio está establecido en Nativo de Windows 2000 o superior.

Eliminar un grupo

  1. Haga clic en Inicio y luego en Ejecutar.

  2. En el cuadro Abrir , escriba cmd.

  3. En el símbolo del sistema, escriba el comando dsrm <group_dn>.

    El group_dn especifica el nombre distintivo del objeto de grupo que se va a eliminar.

Nota:

Si elimina el grupo, el grupo se quita permanentemente.

De forma predeterminada, los grupos locales que se proporcionan automáticamente en controladores de dominio que ejecutan Windows Server 2003, como administradores y operadores de cuenta, se encuentran en la carpeta Builtin. De forma predeterminada, los grupos globales comunes, como administradores de dominio y usuarios de dominio, se encuentran en la carpeta Usuarios. Puede agregar o mover nuevos grupos a cualquier carpeta. Microsoft recomienda mantener los grupos en una carpeta de unidad organizativa.

Para ver la sintaxis completa de este comando, en un símbolo del sistema, escriba dsrm /?.

Buscar grupos en los que un usuario es miembro

  1. Haga clic en Inicio y luego en Ejecutar.

  2. En el cuadro Abrir , escriba cmd.

  3. En el símbolo del sistema, escriba el siguiente comando:

    dsget user <user_dn> -memberof

    El user_dn especifica el nombre distintivo del objeto de usuario para el que desea mostrar la pertenencia a grupos.

Para ver la sintaxis completa de este comando, en un símbolo del sistema, escriba dsget user /?.

Administración de equipos

En las secciones siguientes se proporcionan pasos detallados para administrar equipos.

Creación de una nueva cuenta de equipo

  1. Haga clic en Inicio y luego en Ejecutar.

  2. En el cuadro Abrir , escriba cmd.

  3. En el símbolo del sistema, escriba el siguiente comando:

    dsadd computer <computer_dn>

    El computer_dn especifica el nombre distintivo del equipo que desea agregar. El nombre distintivo indica la ubicación de la carpeta.

Para ver la sintaxis completa de este comando, en un símbolo del sistema, escriba dsadd computer /?.

Para modificar las propiedades de una cuenta de equipo, use el comando dsmod computer.

Adición de una cuenta de equipo a un grupo

  1. Haga clic en Inicio y luego en Ejecutar.

  2. En el cuadro Abrir , escriba cmd.

  3. En el símbolo del sistema, escriba el siguiente comando:

    dsmod group <group_dn> -addmbr <computer_dn>

    Este comando usa los siguientes valores:

    • group_dn especifica el nombre distintivo del objeto de grupo al que desea agregar el objeto de equipo.
    • computer_dn especifica el nombre distintivo del objeto de equipo que se va a agregar al grupo. El nombre distintivo indica la ubicación de la carpeta.

Al agregar un equipo a un grupo, puede asignar permisos a todas las cuentas de equipo de ese grupo y, a continuación, filtrar directiva de grupo configuración en todas las cuentas de ese grupo.

Para ver la sintaxis completa de este comando, en un símbolo del sistema, escriba dsmod group /?.

Restablecimiento de una cuenta de equipo

  1. Haga clic en Inicio y luego en Ejecutar.

  2. En el cuadro Abrir , escriba cmd.

  3. En el símbolo del sistema, escriba el siguiente comando:

    dsmod computer <computer_dn> -reset

    El computer_dn especifica los nombres distintivos de uno o varios objetos de equipo que desea restablecer.

    Nota:

    Al restablecer una cuenta de equipo, interrumpe la conexión del equipo al dominio. Debe volver a unir la cuenta de equipo a la cuenta de equipo de dominio después de restablecerla.

Para ver la sintaxis completa de este comando, en un símbolo del sistema, escriba dsmod computer /? .

Deshabilitar o habilitar una cuenta de equipo

  1. Haga clic en Inicio y luego en Ejecutar.

  2. En el cuadro Abrir , escriba cmd.

  3. En el símbolo del sistema, escriba el siguiente comando:

    dsmod computer <computer_dn> -disabled {yes|no}

    Este comando usa los siguientes valores:

    • computer_dn especifica el nombre distintivo del objeto de equipo que desea deshabilitar o habilitar.
    • {sí|no} especifica si el equipo está deshabilitado para el inicio de sesión (sí) o no (no).

Al deshabilitar una cuenta de equipo, interrumpe la conexión del equipo con el dominio y el equipo no puede autenticarse en el dominio.

Para ver la sintaxis completa de este comando, en un símbolo del sistema, escriba dsmod computer /?.

Administración de unidades organizativas

En las secciones siguientes se proporcionan pasos detallados para administrar las unidades organizativas.

Creación de una nueva unidad organizativa

  1. Haga clic en Inicio y luego en Ejecutar.

  2. En el cuadro Abrir , escriba cmd.

  3. En el símbolo del sistema, escriba el siguiente comando:

    dsadd ou <organizational_unit_dn>

    El organizational_unit_dn especifica el nombre distintivo de la unidad organizativa que se va a agregar.

Para ver la sintaxis completa de este comando, en un símbolo del sistema, escriba dsadd ou /?.

Nota:

Para modificar las propiedades de una unidad organizativa, use el dsmod ou comando .

Eliminación de una unidad organizativa

  1. Haga clic en Inicio y luego en Ejecutar.

  2. En el cuadro Abrir , escriba cmd.

  3. En el símbolo del sistema, escriba el comando dsrm <organizational_unit_dn>.

    El organizational_unit_dn especifica el nombre distintivo de la unidad organizativa que se va a eliminar.

Para ver la sintaxis completa de este comando, en un símbolo del sistema, escriba dsrm /?.

Nota:

Si elimina una unidad organizativa, se eliminan todos los objetos que contiene.

Búsqueda en Active Directory

En las secciones siguientes se proporcionan pasos detallados para buscar en Active Directory.

Búsqueda de una cuenta de usuario

  1. Haga clic en Inicio y luego en Ejecutar.

  2. En el cuadro Abrir , escriba cmd.

  3. En el símbolo del sistema, escriba el comando dsquery user <parameter>.

    El parámetro especifica el parámetro que se va a usar. Para obtener la lista de parámetros, consulte la ayuda en línea para el comando dsquery user .

Para ver la sintaxis completa de este comando, en un símbolo del sistema, escriba dsquery user /?.

Búsqueda de un contacto

  1. Haga clic en Inicio y luego en Ejecutar.

  2. En el cuadro Abrir , escriba cmd.

  3. En el símbolo del sistema, escriba el comando dsquery contact <parameter>.

    El parámetro especifica el parámetro que se va a usar. Para obtener la lista de parámetros, consulte la ayuda en línea del comando dsquery user.

Buscar un grupo

  1. Haga clic en Inicio y luego en Ejecutar.

  2. En el cuadro Abrir , escriba cmd.

  3. En el símbolo del sistema, escriba el comando dsquery group <parameter>.

    El parámetro especifica el parámetro que se va a usar. Para obtener la lista de parámetros, consulte la ayuda en línea del comando dsquery user.

De forma predeterminada, los grupos locales que se proporcionan automáticamente en controladores de dominio que ejecutan Windows Server 2003, como administradores y operadores de cuenta, se encuentran en la carpeta Builtin. De forma predeterminada, los grupos globales comunes, como administradores de dominio y usuarios de dominio, se encuentran en la carpeta Usuarios. Puede agregar o mover nuevos grupos a cualquier carpeta. Microsoft recomienda mantener los grupos en una carpeta de unidad organizativa.

Búsqueda de una cuenta de equipo

  1. Haga clic en Inicio y luego en Ejecutar.

  2. En el cuadro Abrir , escriba cmd.

  3. En el símbolo del sistema, escriba el comando dsquery computer -name <name>.

    El nombre especifica el nombre del equipo que busca el comando. Este comando busca equipos cuyos atributos de nombre (valor del atributo CN) coincidan con el nombre.

Para ver la sintaxis completa de este comando, en un símbolo del sistema, escriba dsquery computer /?.

Búsqueda de una unidad organizativa

  1. Haga clic en Inicio y luego en Ejecutar.

  2. En el cuadro Abrir , escriba cmd.

  3. En el símbolo del sistema, escriba el comando dsquery ou <parameter>.

    El parámetro especifica el parámetro que se va a usar. Para obtener la lista de parámetros, consulte la ayuda en línea para dsquery ou.

Para ver la sintaxis completa de este comando, en un símbolo del sistema, escriba dsquery ou /?.

Búsqueda de un controlador de dominio

  1. Haga clic en Inicio y luego en Ejecutar.

  2. En el cuadro Abrir , escriba cmd.

  3. En el símbolo del sistema, escriba el comando dsquery server <parameter>.

    El parámetro especifica el parámetro que se va a usar. Hay varios atributos de un servidor que puede buscar mediante este comando. Para obtener la lista de parámetros, consulte la ayuda en línea para dsquery server.

  1. Haga clic en Inicio y luego en Ejecutar.

  2. En el cuadro Abrir , escriba cmd.

  3. En el símbolo del sistema, escriba el comando dsquery * <parameter>.

    El parámetro especifica el parámetro que se va a usar. Hay varios atributos que puede buscar mediante este comando. Para obtener más información sobre las búsquedas LDAP, consulte el Kit de recursos de Windows Server 2003.

Referencias

Para obtener más información sobre las herramientas de línea de comandos de Servicios de directorio en Windows Server 2003, haga clic en Inicio, en Ayuda y centro de soporte técnico y, a continuación, escriba herramientas de línea de comandos del servicio de directorio en el cuadro Buscar .