PowerShell, un aliado para la administracion de nuestro Active Directory

PowershellIconjpg[1]Hace un tiempo escribí una nota sobre PowerShell, y Como administrar las funciones de nuestros servidores con PowerShell en nuestra Arquitectura de Directory Services {HowTo}. En esa nota, describía una breve introducción a que es y como podemos potenciar nuestras tareas de administración

Hoy vamos a hablar un poco mas sobre PowerShell, y como nos puede ayudar en nuestras tareas diarias de administración de nuestro Active Directory.

Ahora disponemos de un modulo para tal fin que se llama, Active Directory Module for Windows PowerShell y podemos ejecutarlo tanto en Windows Server 2008 R2 como en Windows 7.

Si planeamos utilizar las herramientas RSAT en Windows 7 para administrar nuestro dominio de ADDS, o una instancia de AD LDS o una instancia de Active Directory Database Mounting Tool utilizando el módulo de directorio activo de Windows PowerShell, debemos tener al menos un Windows Server 2008 R2 como controlador de dominio en nuestra arquitectura o al menos una instancia de AD LDS en nuestra configuración que este ejecutándose en un servidor con Windows Server 2008 R2.

Si deseamos utilizar el módulo de directorio activo para administrar un dominio de Active Directory, una instancia de AD LDS o conjunto de configuración o una instancia de Active Directory Database Mounting Tool, debemos estar instalado el servicio de Windows Server 2008 R2 Active Directory Web Services (ADWS) en al menos un controlador de dominio en este dominio o en un servidor que posea la instancia de AD LDS.

Este módulo puede instalarse en las siguientes ediciones de Windows:

  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows 7

Si desea repasar las novedades y funcionalidades que nos ofrecen las herramientas RSAT, le recomiendo ver las notas que he escrito hace un tiempo:

Entonces, primero debemos instalar AD WS, para esto tenemos dos opciones:

  • En Windows 2008 R2, podemos agregar el rol de Active Directory Web Services.
  • Sino podemos instalar Active Directory Management Gateway Service permite a los administradores administrar tanto los Servicios de dominio de Active Directory como Active Directory Lightweight Directory Services (AD LDS) o Active Directory Application Mode (ADAM) utilizando el módulo de Active Directory para Windows PowerShell y el centro de administración de Active Directory. Para descargar este paquete: Active Directory Management Gateway Service (Active Directory Web Service for Windows Server 2003 and Windows Server 2008), ahí podrán también encontrar la guía de instalación, y corre sobre:
    • Windows Server 2003 R2 with Service Pack 2
    • Windows Server 2003 SP2
    • Windows Server 2008
    • Windows Server 2008 SP2

Para poder usar los cmdlets del Server Manager, necesitamos importar el módulo servermanager ejecutando el siguiente comando en la consola de PowerShell: Import-Module servermanager. Como vimos hace un tiempo; esto se debe a que dichos cmdlets están encapsulados en un módulo aparte, el que llamamos servermanager; y no forman parte de los cmdlets Build-In de PowerShell.

02[1]

Ahora, podemos ver el módulo servermanager contiene tres cmdlets de PowerShell. Si a continuación ejecutamos "Get-WindowsFeature" nos dará una lista de nombres de las funciones de Windows. Ya que esto generará una larga lista de todas las funciones:

Seleccionamos, el nombre de la función es "RSAT-AD-PowerShell". Podemos seguir adelante y instalar esta función, por medio del comando Add-WindowsFeature, como vemos a continuación:

  • Add-WindowsFeature RSAT-AD-PowerShell

www.radians.com.ar © 2011

Recordemos que esto sólo debe hacerse en servidores Windows Server 2008 R2 miembros. La función de RSAT-AD-PowerShell es añadida a los DC con Windows 2008 R2 durante el proceso DCPromo. Una vez hecho esto podremos ver en los servicios que se ejecutan en nuestro servidor lo siguiente:

www.radians.com.ar © 2011

Si queremos listar los CmdLets disponibles podemos hacerlo con: Get-Command *-AD*

www.radians.com.ar © 2011

En la sección “Mas Información” les dejo el link del sitio de MS donde pueden ver el detalle de cada función. Igualmente acá están los CmdLets por función:

Retrieve Information

  • Get-ADAccountAuthorizationGroup
  • Get-ADAccountResultantPasswordReplicationPolicy
  • Get-ADComputer
  • Get-ADComputerServiceAccount
  • Get-ADDefaultDomainPasswordPolicy
  • Get-ADDomain
  • Get-ADDomainController
  • Get-ADDomainControllerPasswordReplicationPolicy
  • Get-ADDomainControllerPasswordReplicationPolicyUsage
  • Get-ADFineGrainedPasswordPolicy
  • Get-ADFineGrainedPasswordPolicySubject
  • Get-ADForest
  • Get-ADGroup
  • Get-ADGroupMember
  • Get-ADObject
  • Get-ADOptionalFeature
  • Get-ADOrganizationalUnit
  • Get-ADPrincipalGroupMembership
  • Get-ADRootDSE
  • Get-ADServiceAccount
  • Get-ADUser
  • Get-ADUserResultantPasswordPolicy

Create Objects

  • New-ADComputer
  • New-ADFineGrainedPasswordPolicy
  • New-ADGroup
  • New-ADObject
  • New-ADOrganizationalUnit
  • New-ADServiceAccount
  • New-ADUser

Delete Objects

  • Remove-ADComputer
  • Remove-ADComputerServiceAccount
  • Remove-ADDomainControllerPasswordReplicationPolicy
  • Remove-ADFineGrainedPasswordPolicy
  • Remove-ADFineGrainedPasswordPolicySubject
  • Remove-ADGroup
  • Remove-ADGroupMember
  • Remove-ADObject
  • Remove-ADOrganizationalUnit
  • Remove-ADPrincipalGroupMembership
  • Remove-ADServiceAccount
  • Remove-ADUser

Set Properties

  • Set-ADAccountControl
  • Set-ADAccountExpiration
  • Set-ADAccountPassword
  • Set-ADComputer
  • Set-ADDefaultDomainPasswordPolicy
  • Set-ADDomain
  • Set-ADDomainMode
  • Set-ADFineGrainedPasswordPolicy
  • Set-ADForest
  • Set-ADForestMode
  • Set-ADGroup
  • Set-ADObject
  • Set-ADOrganizationalUnit
  • Set-ADServiceAccount
  • Set-ADUser

Add Objects

  • Add-ADComputerServiceAccount
  • Add-ADDomainControllerPasswordReplicationPolicy
  • Add-ADFineGrainedPasswordPolicySubject
  • Add-ADGroupMember
  • Add-ADPrincipalGroupMembership

Disable Objects and Features

  • Disable-ADAccount
  • Disable-ADOptionalFeature

Enable Objects and Features

  • Enable-ADAccount
  • Enable-ADOptionalFeature

Move Objects

  • Move-ADDirectoryServer
  • Move-ADDirectoryServerOperationMasterRole
  • Move-ADObject

Rename Objects

  • Rename-ADObject

Reset Objects

  • Reset-ADServiceAccountPassword

Restore Objects

  • Restore-ADObject

Search

  • Search-ADAccount

Uninstall

  • Uninstall-ADServiceAccount

Unlock

  • Unlock-ADAccount

Clear

  • Clear-ADAccountExpiration

Install

  • Install-ADServiceAccount

Como puede ver, PowerShell es una herramienta súper importante en la administración de línea de comandos de Active Directory; y puntualmente el módulo de Active Directory de Windows PowerShell incluye un número de CmdLets sumamente útil y potente, que en definitiva nos ayuda a la hora de administrar nuestra estructura de Active Directory desde la línea de comandos.

Espero que les sea de interés y de utilidad. Saludos, Roberto Di Lello.

Mas Información:

Roberto Di Lello

Acerca del autor: Roberto Di Lello

Hola, soy Roberto Di Lello trabajo como Consultor Senior en Infraestructura, especializado en Tecnologias Microsoft con mas de 25 años en la industria. He sido galardonado como MS-MVP en Active Directory-Enterprise Mobility por 10 años, y actualmente soy MVP Windows Insider, ademas de poseer otras certificaciones de Microsoft. He trabajado en distintos projectos que involucran Migraciones, Implementaciones, y soporte de Active Directory y Microsoft Exchange, y en los ultimos años me he desempeñado armando equipos de trabajo para diferentes paises y areas de sistemas, he planificado a distintas migraciones a datacenters (ambiente cloud y mixtos). He tenido la oportunidad de participar como miembro del staff de Microsoft en eventos internacionales como ser TechEd NorteAmerica y MS Ignite (NA) al ser Trainer Certificado por Microsoft (MCT).

You May Also Like

10 Comments

  1. Don Roberto Di Lello.

    Envio este correo para felicitarlo por el blog que lleva hace varios anos en funcionamiento. El blog lo encontre hace unos dias porque andaba buscando unos manuales de Microsoft Exchange; y aca encontre lo que necesitaba.

    Siga asi­ con el blog tirando para arriba con sus conocimientos ayuda a muchas personas.

    A todo esto, mi nombre es Rodrigo Munoz, tengo 21 anos y estudio Soporte Computacional, y mas adelante quería ya empezar estudiar para sacar mis certificaciones Microsoft.

    Se despide atentamente. Rodrigo Munoz

  2. tengo en mi trabajo un server es windows server 2003 R2 Enterprise edition, al parecer mi antecesor metio esa
    version despues de haber experimentado unos errores en el server.

    El detalle es que al meter esa version no tenia la licencia, asi que permanece bloqueado, si quiero hacer algun cambio a algun usuario como permisos o admon de clave lo hago por otro server que esta de respaldo como un DCs.

    La pregunta es Ud. ha desbloquedao un server asi ?

    Cree que comprando la licencia e instalarla no se como ,,de inicio tal vez, cree que se desbloque y asi poder manejarlo normalmente ??

    Espero su respuesta. de antemano le agradesco su ayuda

  3. Estimado Roberto, te hago una consulta, cuando quiero configurar outlook anywhere,
    la pc o notebook tiene q estar en el dominio? es necesario? gracias

  4. Patricio, gracias por participar. no necesariamente. te paso una breve descripcion del troubleshooting del auto config.

    To setup the Outlook profile automatically, Autodiscover service must be working fine. For an external client, it means the URl https://SMTPsuffix/autodiscover/autodiscover.xmlor https://Autodiscover.SMTPsuffix/autodiscover/autodiscover.xmlis available.

    si queres mas info, mira este thread: http://social.technet.microsoft.com/Forums/en-CA/exchangesvrdeploy/thread/f3ce9627-587c-499c-8033-9295880f89f4

    Saludos.

  5. Andres Rodriguez, muchas gracias por participar.
    Si no hay problema, cuando te logeas al servidor tenes las distintas opciones de acuerdo a la licencia. Seleccionas cambiar clave, ahi ingresas la nueva y podras registrarlo y administrarlo normalmente.

    Saludos, y gracias!

  6. Estimado Roberto y gente de RaDians:
    Me comunico con ustedes por primera vez, para hacerles una consulta sobre el WSUS. El tema es el siguiente, yo soy novato en cuanto a Windows Server, y en mi trabajo me propusieron administrar el servidor, acepte la propuesta y lo primero que me mandaron a investigar es sobre el WSUS.

    Lo que yo me preguntaba es si se puede configurar para que no descargue todas las actualizaciones de Microsoft (por ejemplo baja actualizaciones hasta de Office XP o Windows 2.000 siendo que en ninguna maquina del dominio están estos softwares instalados) Yo quisiera configurar (si es posible) el WSUS para que solo baje actualizaciones de Windows XP x86, Windows 7 Professional x86 y x64, Office 2010, IE 8 y 9. y no todas las demas que son innecesarias.
    Desde ya muchas gracias por su tiempo.

    Lo saluda atentamente. Cristian

  7. Cristian, disculpa mi demora en contestar pero estuve medio complicado con los tiempos. Te cuento que lo que querés hacer es muy sencillo, podes utilizar WSUS en donde configuras donde bajas los fixes, y configuras por políticas cuando instalas y como (si requiere reiniciar o no). Ahi podes seleccionar que fixes queres bajar y cuales no. Debes seleccionar los productos que deseas.

    Te paso algunos links donde hablo del tema:
    * WSUS SP1 Configuracion {HOWTO} https://www.radians.com.ar/blog/?p=296
    * Configuracion de WSUS via Group Policies {HOWTO} https://www.radians.com.ar/blog/?p=485
    * Implementacion Windows Update Services 3.0 Service Pack 1 {ScreenCast HOWTO} https://www.radians.com.ar/blog/?p=430
    * Configurando Windows Update Server 3.0 Service Pack 1 {ScreenCast HOWTO} https://www.radians.com.ar/blog/?p=436
    * Windows Server Update Services 3.0 (WSUS v3.0) Instalación Step-By-Step https://www.radians.com.ar/blog/?p=98
    * Windows Server Update Services 3.0 (WSUS v3.0) Instalación Step-By-Step https://www.radians.com.ar/blog/?p=98
    * WSUS SP1 Configuracion {HOWTO}https://www.radians.com.ar/blog/?p=296

    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo; y te pido que nos ayudes a difundirlo con tus amigos y contactos! Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Espero te sean de utilidad. Saludos!

  8. hola, mi nombre es edwin salazar, actualmente estoy en la empresa donde trabajo montando un servidor windows 2008r2 standard, junto con el servicio de correo con exchange, al parecer todo iba perfecto, se instaló, se configuraron unas 3 cuentas de correo, se realizaron pruebas de envío y recepción entre las cuentas y funciona perfecto, sin embargo, se realizaron pruebas de envío y recepción con cuentas de hotmail. y el envio hacia una cuenta de hotmail funciona, solo que el correo llega a la carpeta de no deseados, pero en fin , llegan, el problema esta al momento de responder el mensaje, cuando lo envio , me aparece este error, lo dejo de ultimo en el mensaje, el caso es que obviamente al rato llega el rebote del mensaje….sabes que puede ser el inconveniente?, de antemano te agradezco por la ayuda prestada y te felicito por los videotutoriales.

  9. Edwin Camilo Salazar Guzman, disculpa mi demora en contestar pero estuve medio complicado con los tiempos.

    Es raro el tema, y medio que no lo entendí. Tenés un Exchange (que versión). Funciona el tema de entrega pero cuando respondes te da ese error? por medio de que cliente? ese error parecería ser de una pagina web. Hace las pruebas desde OWA y Outlook, y documenta el comportamiento en cada caso. También seria bueno ver los logs que genera el envió y recepción de estos mails. Y también ver el mensaje de rebote, a ver que código de error te da. Esto como para empezar a hacer el troubleshooting. Fíjate estas cosas y cualquier cosa avísame los resultados.

    Algo muy importante, verifica que tu ISP genere las entradas correctas en los DNS Públicos (Host, MX y SPF); si esto esta deberías de dejar de tener estos problemas. Después, tienes una IP Publica fija no?, este puede ser el motivo de que Hotmail deniegue la entrega es que al intentar resolver el dominio de origen, no le gusta ver que el servidor tiene IP dinámica ya que es susceptible de ser un servidor de SPAM. Es decir, por seguridad, nunca te dejará entregar nada si tu servidor no está configurado de otra manera.

    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo; y te pido que nos ayudes a difundirlo con tus amigos y contactos! Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Espero te sean de utilidad. Buen comienzo de año. Saludos!

Comments are closed.