domingo, 22 de febrero de 2015

Herramientas de Active Directory en línea de comandos

Comando ADPREP

Denominación de cada herramienta y nombre o comando abreviado de las mismas.

Esta aplicación es lanzada desde la power Shell o desde el propio terminal de comandos CMD. Tenemos un manual de ayuda desde el terminal con la siguiente instrucción Adprep /?.

Descripción y funcionalidad de cada herramienta.

Adprep.exe es una herramienta de línea de comandos que se incluye en el disco de instalación de todas las versiones de Windows Server. Adprep.exe realiza operaciones que se deben completar en un entorno de Active Directory existente antes de que se pueda agregar un controlador de dominio que ejecute dicha versión de Windows Server. Hay distintos comandos de Adprep.exe que se deben ejecutar en los controladores de dominio existentes para completar estas operaciones en los siguientes casos:
  • Antes de agregar el primer controlador de dominio que ejecuta una versión de Windows Server que es posterior a la versión más reciente que se esté ejecutando en el dominio existente.
  • Cuando se ejecuta el Asistente para la instalación de los Servicios de dominio de Active Directory (Dcpromo.exe), aparece un mensaje de error si aún no se ha ejecutado Adprep.exe.
  • Antes de actualizar un controlador de dominio existente a una versión posterior de Windows Server, si dicho controlador de dominio será el primer controlador de dominio en el dominio o el bosque en ejecutar esa versión de Windows Server.

Sintaxis o forma de ejecución y opciones de cada herramienta.

Adprep.exe tiene parámetros que realizan una serie de operaciones que ayudan a preparar un entorno de Active Directory existente para un controlador de dominio que ejecuta una versión posterior de Windows Server. Adprep puede realizar lo siguiente:
  • Actualizar el esquema de Active Directory
  • Actualizar los descriptores de seguridad
  • Modificar las listas de control de acceso (ACL) en objetos de Active Directory y en archivos de la carpeta compartida SYSVOL
  • Crear nuevos objetos, según sea necesario
  • Crear nuevos contenedores, según sea necesario

Ejemplo de ejecución y utilización de cada herramienta.

Para ejecutar este comando tenemos que ir al terminal para ello Windows + Q y escribimos CMD y lo arrancamos como modo de administrador:



Una vez arrancado tenemos las siguientes sintaxis aunque podemos consultar la ayuda desde el propio terminal poniendo adprep /?

  • adprep /forestprep : Este comando se ejecuta desde el maestro de operaciones el que lleva el control del esquema para el bosque .

  • adprep /domainprep: Se debe ejecutar en el maestro de operaciones de infraestructura para el dominio. Se debe hacer por cada dominio que se haya planeado instalar el controlador de dominio adicional.

  • adprep /domainprep: Se debe ejecutar en el maestro de operaciones de infraestructura para el dominio.

  • adprep /rodcprep: Se puede ejecutar desde cualquier equipo. Este comando realiza operaciones de forma remota. Para que las operaciones se completen correctamente, se debe tener acceso al maestro de operaciones de nomenclatura de dominios del bosque y al maestro de operaciones de infraestructura de todas las particiones de directorio de aplicaciones y de todas las particiones de dominio.

Otras herramientas relacionadas con cada una de ellas.

Son herramientas que operan desde el propio terminal es decir desde la línea de comando y para poder utilizar esta serie de herramientas debe de tener el AD montado “instalado” si no, no podemos prescindir de dicha herramienta.

Comando Dsadd

Denominación de cada herramienta y nombre o comando abreviado de las mismas.

Esta aplicación es lanzada desde la power Shell o desde el propio terminal de comandos CMD. Tenemos un manual de ayuda desde el terminal con la siguiente instrucción DSADD /?.

Descripción y funcionalidad de cada herramienta.

Añade equipos, contactos, grupos, unidades organizativas y usuarios a Active

Directory. Dsadd es una herramienta de línea de comandos que está integrada en Windows Server 2012. Está disponible si tiene instalada la función de servidor de servicios de dominio de Active Directory. El comando Dsadd nos permite crear cuentas de equipo desde la consola de comando o desde Windows Powershell.

Sintaxis o forma de ejecución y opciones de cada herramienta.

Para utilizar dsadd, debe ejecutar el comando dsadd desde un símbolo del sistema con privilegios elevados. Para abrir un símbolo del sistema con privilegios elevados, haga clic en Inicio, haga clic en símbolo del sistemay, a continuación, haga clic en Ejecutar como administrador.

Ejemplo de ejecución y utilización de cada herramienta.

Para ejecutar este comando tenemos que ir al terminal para ello Windows + Q y escribimos CMD y lo arrancamos como modo de administrador:



Una vez arrancado tenemos las siguientes sintaxis aunque podemos consultar la ayuda desde el propio terminal poniendo dsadd /? Podremos ver una serie de funciones que muestra la ayuda de este comando.

Este comando tiene varias funciones de las cuales se encuentran las siguientes:

Dsadd computer Agrega un solo equipo en el directorio.

dsadd computer <ComputerDN>[-samid <SAMName>] [-desc <Description>] [-loc <Location>] [-memberof < DNGrupo... >] [{-s <Server>| -d. <Domain>}] [-u <UserName>] [-p {<Password>| *] [-q] [{-uc | - uco | - uci}]

  • <ComputerDN> : Requerido. Especifica el nombre completo del equipo que desea agregar. Si se omite el nombre completo, dsadd toma el nombre de la entrada estándar (stdin).

  • -samid <SAMName> : Especifica que se utilice el nombre del Administrador de cuentas de seguridad (SAM) como el nombre de cuenta SAM único para este equipo, por ejemplo, TESTPC2$. Si no especifica este parámetro, dsadd deriva un nombre de cuenta SAM desde el valor del atributo nombre común en dnEquipo.

  • -desc <Description>: Especifica la descripción del equipo que desea agregar.

  • -loc <Location>: Especifica la ubicación del equipo que desea agregar.

  • -memberof <GroupDN>: Especifica los grupos de los cuales desea que el equipo sea miembro.

  • {-s <Server>| -d. <Domain>}: Se conecta el equipo a un servidor o dominio que especifique. De forma predeterminada, dsadd conecta el equipo para el controlador de dominio en el dominio de inicio de sesión.

  • -u <UserName>: Especifica el nombre de usuario con el que el usuario inicia sesión en un servidor remoto. De forma predeterminada, -u utiliza el nombre de usuario con el que inició la sesión el usuario. Puede utilizar cualquiera de los siguientes formatos para especificar un nombre de usuario:


    • nombre de usuario (por ejemplo, Linda)
    • dominio\nombre de usuario (por ejemplo, widgets\Laura)
    • nombre principal de usuario (UPN) (por ejemplo, Linda@widgets.contoso.com)


  • -p {<Password> | *}: Especifica que se utilice una contraseña o un asterisco (**) para iniciar sesión en un servidor remoto. Si escribe *, dsadd le pide una contraseña.

  • -q: Suprime todos los resultados en la salida estándar (modo silencioso).

  • {-uc | - uco | - uci}: Especifica que dsadd formatos de salida o entradas de datos en Unicode. En la lista siguiente se explica cada formato.
    • las comunicaciones unificadas: especifica un formato Unicode para la entrada desde o salida a una canalización (|).
    • -uco : especifica un formato Unicode para la salida a un archivo o una canalización (|).
    • -uci: especifica un formato Unicode para la entrada desde un archivo o una canalización (|).


Dsadd contact Agrega un contacto al directorio.

dsadd contact <ContactDN>[-fn <FirstName>] [-mi <Initial>] [-ln <LastName>] [-mostrar <DisplayName>] [-desc <Description>] [-office <Office>] [-tel <PhoneNumber>] [-<Email> de correo electrónico] [-hometel <HomePhoneNumber>] [-pager <PagerNumber>] [-mobile <CellPhoneNumber>] [-fax <FaxNumber>] [-iptel <IPPhoneNumber>] [-<Title> el título] [-dept <Department>] [-<Company> de la compañía] [{-s <Server>| -d. <Domain>}] [-u <UserName>] [-p {<Password>| *] [-q] [{-uc | - uco | - uci}]

  • <ContactDN>: Requerido. Especifica el nombre completo del contacto que desea agregar. Si se omite el nombre completo, dsadd toma el nombre de la entrada estándar (stdin).

  • -fn <FirstName>: Especifica el nombre del contacto que desea agregar.
  • -mi <Initial>: Especifica la inicial del segundo nombre del contacto que desea agregar.

  • ln - <LastName>: Especifica los apellidos del contacto que desea agregar.
  • -Mostrar <DisplayName>: Especifica el nombre para mostrar del contacto que desea agregar.

  • -desc <Description>: Especifica la descripción del contacto que desea agregar.

  • -office <Office>: Especifica la ubicación de la oficina del contacto que desea agregar.

  • -tel <PhoneNumber>: Especifica el número de teléfono del contacto que desea agregar.

  • -<Email> de correo electrónico: Especifica la dirección de correo electrónico del contacto que desea agregar.

  • -hometel <HomePhoneNumber>: Especifica el número de teléfono del domicilio particular del contacto que desea agregar.

  • -localizador <PagerNumber>: Especifica el número de localizador del contacto que desea agregar.

  • -mobile <CellPhoneNumber>: Especifica el número de teléfono móvil del contacto que desea agregar.

  • -fax <FaxNumber>: Especifica el número de fax del contacto que desea agregar.

  • -iptel <IPPhoneNumber>: Especifica el número de teléfono IP del contacto que desea agregar.
  • -título <Title>: Especifica el título del contacto que desea agregar.
  • -dept <Department>: Especifica el departamento del contacto que desea agregar.

  • -<Company> de la compañía: Especifica la información de la compañía del contacto que desea agregar.

  • {-s <Server>| -d. <Domain>}: Se conecta a un servidor remoto especificado o el dominio. De forma predeterminada, dsadd conecta el equipo para el controlador de dominio en el dominio de inicio de sesión.

  • -u <UserName>: Especifica el nombre de usuario con el que el usuario inicia sesión en un servidor remoto. De forma predeterminada, -u utiliza el nombre de usuario con el que inició la sesión el usuario. Puede utilizar cualquiera de los siguientes formatos para especificar un nombre de usuario:
    • nombre de usuario (por ejemplo, Linda)
    • dominio\nombre de usuario (por ejemplo, widgets\Laura)
    • nombre principal de usuario (UPN) (por ejemplo, Linda@widgets.contoso.com)

  • -p {<Password>| *}: Especifica que se utilice una contraseña o un asterisco (**) para iniciar sesión en un servidor remoto. Si escribe *, dsadd le pide una contraseña.

  • -q: Suprime todos los resultados en la salida estándar (modo silencioso).

  • {-uc | - uco | - uci}: Específica que dsadd formatos de salida o entradas de datos en Unicode. En la lista siguiente se explica cada formato.

  • -las comunicaciones unificadas: especifica un formato Unicode para la entrada desde o salida a una canalización (|).

    • -uco : especifica un formato Unicode para la salida a un archivo o una canalización (|).
    • -uci: especifica un formato Unicode para la entrada desde un archivo o una canalización(|).

Dsadd group Agrega un grupo en el directorio.

dsadd group <GroupDN>[-secgrp {yes | no}] [-ámbito {l | g | u}] [-samid <SAMName>] [-desc <Description>] [-memberof <Group>...] [-miembros <Member>...] [{-s servidor >| -d. <Domain>}] [-u <UserName>] [-p {<Password>| *] [-q] [{-uc | - uco | - uci}]

  • <GroupDN> : Requerido. Especifica el nombre completo del grupo al que desea agregar. Si se omite el nombre completo, dsadd toma el nombre de la entrada estándar (stdin)
  • -secgrp {yes | no}: Especifica si el grupo que desea agregar es un grupo de seguridad (Sí) o un grupo de distribución (no). De forma predeterminada, dsadd agrega el grupo como un grupo de seguridad (Sí).
  • -ámbito {l | g | u}: Especifica si el ámbito del grupo al que desea agregar es de dominio local (l), global (g) o universal (u). Si el dominio está en modo mixto, AD DS no es compatible con el ámbito universal. De forma predeterminada, dsadd establece el ámbito del grupo global.

  • -samid <SAMName>: Especifica que se utilice el nombre del Administrador de cuentas de seguridad (SAM) como el nombre de cuenta SAM único para este grupo, por ejemplo, los operadores. Si no especifica este parámetro, dsadd genera el nombre de cuenta SAM desde el nombre completo relativo.

  • -desc <Description>: Especifica la descripción del grupo que desea agregar.

  • -memberof <Group>: Especifica otros grupos de los cuales el nuevo grupo que va a agregar es un miembro.

  • -los miembros <Member>: Especifica los miembros para agregar al nuevo grupo.

  • {-s <Server>| -d. dominio}: Se conecta a un servidor remoto o el dominio que especifique. De forma predeterminada, dsadd conecta el equipo para el controlador de dominio en el dominio de inicio de sesión.

  • -u <UserName>: Especifica el nombre de usuario con el que el usuario inicia sesión en un servidor remoto. De forma predeterminada, -u utiliza el nombre de usuario con el que inició la sesión el usuario. Puede utilizar cualquiera de los siguientes formatos para especificar un nombre de usuario:

    • nombre de usuario (por ejemplo, Linda)
    • dominio\nombre de usuario (por ejemplo, widgets\Laura)
    • nombre principal de usuario (UPN) (por ejemplo, Linda@widgets.contoso.com)
  • -p {<Password>| *}: Especifica que se utilice una contraseña o un asterisco (**) para iniciar sesión en un servidor remoto. Si escribe *, se le pedirá una contraseña
  • -q: Suprime todos los resultados en la salida estándar (modo silencioso).
  • {-uc | - uco | - uci}: Especifica que dsadd formatos de salida o entradas de datos en Unicode. En la lista siguiente se explica cada formato.

    • -las comunicaciones unificadas: especifica un formato Unicode para la entrada desde o salida a una canalización (|).
    • -uco : especifica un formato Unicode para la salida a un archivo o una canalización (|).
    • -uci: especifica un formato Unicode para la entrada desde un archivo o una canalización(|)

Dsadd ou Agrega una unidad organizativa (OU) en el directorio.

dsadd ou <OrganizationalUnitDN>[-desc <Description>] [{-s <Server>| -d. <Domain>}] [-u <UserName>] [-p {<Password>| *] [-q] [{-uc | - uco | - uci}]

  • <OrganizationalUnitDN> Requerido. Especifica el nombre completo de la unidad organizativa que desea agregar. Si se omite el nombre completo, dsadd toma el nombre de la entrada estándar (stdin).

  • -desc <Description>: Especifica la descripción de la unidad organizativa que desea agregar.

  • {-s <Server>| -d. <Domain>}: Se conecta a un servidor remoto o el dominio que especifique. De forma predeterminada, dsadd conecta el equipo para el controlador de dominio en el dominio de inicio de sesión.

  • -u <UserName>: Especifica el nombre de usuario con el que el usuario inicia sesión en un servidor remoto. De forma predeterminada, -u utiliza el nombre de usuario con el que inició la sesión el usuario. Puede utilizar cualquiera de los siguientes formatos para especificar un nombre de usuario:

    • nombre de usuario (por ejemplo, Linda)
    • dominio\nombre de usuario (por ejemplo, widgets\Laura)
    • nombre principal de usuario (UPN) (por ejemplo, Linda@widgets.contoso.com
  • -p {<Password>| *}: Especifica que se utilice una contraseña o un asterisco (**) para iniciar sesión en un servidor remoto. Si escribe *, se le pedirá una contraseña

  • -q: Suprime todos los resultados en la salida estándar (modo silencioso)

  • {-uc | - uco | - uci}: Especifica que dsadd formatos de salida o entradas de datos en Unicode. En la lista siguiente se explica cada formato.

    • -las comunicaciones unificadas: especifica un formato Unicode para la entrada desde o salida a una canalización (|).

    • -uco : especifica un formato Unicode para la salida a un archivo o una canalización (|).

    • -uci: especifica un formato Unicode para la entrada desde un archivo o una canalización(|).

Dsadd user Agrega un usuario al directorio.

dsadd user <UserDN>[-samid <SAMName>] [-upn <UPN>] [-fn <FirstName>] [-mi <Initial>] [-ln <LastName>] [-mostrar <DisplayName>] [-empid <EmployeeID>] [-pwd {<Password>| *] [-desc <Description>] [-memberof <Group>...] [-office <Office>] [-tel <PhoneNumber>] [-<Email> de correo electrónico] [-hometel <HomePhoneNumber>] [-pager <PagerNumber>] [-mobile <CellPhoneNumber>] [-fax <FaxNumber>] [-iptel <IPPhoneNumber>] [-webpg <WebPage>] [-<Title> el título] [-dept <Department>] [-<Company> de la compañía] [-mgr <Manager>] [-hmdir <HomeDirectory>] [-hmdrv <DriveLetter>:][-profile <ProfilePath>] [-loscr <ScriptPath>] [-mustchpwd {yes | no}] [-canchpwd {yes | no}] [-reversiblepwd {yes | no}] [-pwdneverexpires {yes | no}] [-acctexpires <NumberOfDays>] [-deshabilitado {yes | no}] [{-s <Server>| -d. <Domain>}] [-u <UserName>] [-p {<Password>| *] [-q] [{-uc | - uco | - uci}]

  • <UserDN> : Requerido. Especifica el nombre completo del usuario que desea agregar. Si se omite el nombre completo, dsadd toma el nombre de la entrada estándar (stdin).

  • -samid <SAMName>: Especifica el nombre del Administrador de cuentas de seguridad (SAM) como el nombre de cuenta SAM único para este usuario, por ejemplo, Linda. Si no especifica el nombre SAM, dsadd intenta crear el nombre de cuenta SAM con los 20 primeros caracteres del valor del nombre (CN) comunes de dnUsuario.

  • -upn <UPN>: Especifica el nombre principal de usuario del usuario que desea agregar, por ejemplo, Linda@widgets.contoso.com.
  •  -fn <FirstName>: Especifica el nombre del usuario que desea agregar.

  • -mi <Initial>: Especifica la inicial del usuario que desea agregar

  • ln - <LastName>: Especifica los apellidos del usuario que desea agregar

  • -Mostrar <DisplayName>: Especifica el nombre para mostrar del usuario que desea agregar

  • -empid <EmployeeID>: Especifica el ID. de empleado del usuario que desea agregar

  • -pwd {<Password> | *}: Especifica que se puede establecer la contraseña para el usuario a la contraseña o un asterisco (**). Si establece la contraseña en *, dsadd le pide una contraseña de usuario.

  • -desc <Description>: Especifica la descripción del usuario que desea agregar.

  • -memberof <GroupDN>: Especifica los nombres completos de los grupos de los cuales desea que el usuario sea miembro.
  • -office <Office>: Especifica la ubicación de la oficina del usuario que desea agregar.

  • r -tel <PhoneNumbe>: Especifica el número de teléfono del usuario que desea agregar

  • -<Email> de correo electrónico: Especifica la dirección de correo electrónico del usuario que desea agregar.

  • -hometel <HomePhoneNumber>: Especifica el número de teléfono del domicilio particular del usuario que desea agregar

  • -localizador <PagerNumber>: Especifica el número de localizador del usuario que desea agregar

  • -mobile <CellPhoneNumber>: Especifica el número de teléfono móvil del usuario que desea agregar.

  • -fax <FaxNumber>: Especifica el número de fax del usuario que desea agregar

  • -iptel <IPPhoneNumber>: Especifica el número de teléfono IP del usuario que desea agregar.

  • -webpg <WebPage>: Especifica la dirección URL de página Web del usuario que desea agregar.

  • -título <Title>: Especifica el título del usuario que desea agregar

  • -dept <Department>: Especifica el departamento del usuario que desea agregar.

  • -<Company> de la compañía: Especifica la información de la compañía del usuario que desea agregar.

  • -mgr <ManagerDN>: Especifica el nombre completo del administrador del usuario que desea agregar.

  • -hmdir <HomeDirectory>: Especifica la ubicación del directorio principal del usuario que desea agregar. Si especifica HomeDirectory como una ruta de acceso de convención de nomenclatura Universal (UNC), debe especificar una letra de unidad de dsadd asignar a esta ruta de acceso mediante el parámetro – hmdrv.

  • -hmdrv <DriveLetter>: Especifica la letra de unidad del directorio particular

  • -perfil <ProfilePath>: Especifica la ruta del perfil del usuario que desea agregar

  • -loscr <ScriptPath>: Especifica la ruta de acceso de secuencia de comandos de inicio de sesión del usuario que desea agregar.

  • -mustchpwd {yes | no}: Especifica si los usuarios deben cambiar sus contraseñas cuando inicien sesión a continuación. Los valores disponibles no son Sí y no. De forma predeterminada, los usuarios no tienen que cambien sus contraseñas (no).

  • -canchpwd {yes | no}: Especifica si los usuarios pueden cambiar sus contraseñas. Los valores disponibles no son Sí y no. De forma predeterminada, los usuarios pueden cambiar sus contraseñas (Sí). El valor de este parámetro debe ser Sí si el valor del parámetro - mustchpwd es Sí.

  • -reversiblepwd {yes | no}: Especifica si se va a almacenar contraseñas usando cifrado reversible. Los valores disponibles no son Sí y no. De forma predeterminada, los usuarios no pueden utilizar cifrado reversible (no).

  • -pwdneverexpires {yes | no}: Especifica si la contraseña del usuario nunca caduca. Los valores disponibles no son Sí y no. De forma predeterminada, las contraseñas de usuario caducan (no).

  • -acctexpires <NumberOfDays>: Especifica el número de días a partir de hoy en día que caducará la cuenta de usuario. El valor 0 establece la caducidad al final del día. Un valor positivo establece la caducidad en el futuro. Un valor negativo establece la caducidad en el pasado. Establece el valor nunca la cuenta no caduque nunca. Por ejemplo, el valor 0 implica que la cuenta caduca al final del día. Un valor de -5 implica que la cuenta ya ha vencido hace 5 días y establece una fecha de caducidad en el pasado. Un valor de 5 establece la fecha de caducidad de 5 días en el futuro.

  • -deshabilitado {yes | no}: Especifica si dsadd deshabilita la cuenta de usuario de inicio de sesión. Los valores disponibles no son Sí o no. Por ejemplo, el comando siguiente crea una cuenta de usuario de Nicolettep en un estado habilitado.

  • {-s <Server>| -d. <Domain>}: Se conecta a un servidor remoto especificado o el dominio. De forma predeterminada, el equipo está conectado al controlador de dominio en el dominio de inicio de sesión.

  • -u <UserName>: Especifica el nombre de usuario con el que el usuario inicia sesión en un servidor remoto. De forma predeterminada, -u utiliza el nombre de usuario con el que inició la sesión el usuario. Puede utilizar cualquiera de los siguientes formatos para especificar un nombre de usuario:

    • nombre de usuario (por ejemplo, Linda)
    • dominio\nombre de usuario (por ejemplo, widgets\Laura)
    • nombre principal de usuario (UPN)

  • -p {<Password>| *}: Especifica que se utilice una contraseña o un asterisco (**) para iniciar sesión en un servidor remoto. Si escribe *, se le pedirá una contraseña

  • -q: Suprime todos los resultados en la salida estándar (modo silencioso)

  • {-uc | - uco | - uci}: Especifica que dsadd formatos de salida o entradas de datos en Unicode. En la lista siguiente se explica cada formato.

    • -las comunicaciones unificadas: especifica un formato Unicode para la entrada desde o salida a una canalización (|).

    • -uco : especifica un formato Unicode para la salida a un archivo o una canalización (|).

    • -uci: especifica un formato Unicode para la entrada desde un archivo o una canalización (|).

Dsadd quota Agrega una especificación de cuota a una partición de directorio. Una especificación de cuota determina el número máximo de objetos de directorio que puede poseer un principal de seguridad en una partición de directorio especificada.

dsadd quota-part <PartitionDN>[-rdn <RelativeDistinguishedName>] - acct <Name>-qlimit <Value>[-desc <Description>] [{-s <Server>| -d. <Domain>}] [-u <UserName>] [-p {<Password>| *] [-q] [{-uc | - uco | - uci}]
  • -<PartitionDN> de pieza: Requerido. Especifica el nombre completo de la partición de directorio en el que desea crear una cuota. Si no especifica el nombre completo, dsadd toma el nombre de la entrada estándar (stdin)

  • -rdn <RelativeDistinguishedName>specifica el nombre completo relativo de la especificación de cuota que desea crear. Si no se especifica - rdn, dsadd establece el nombre a Domain_AccountName con el nombre de dominio y la cuenta de la entidad de seguridad que especifica el parámetro – acct

  • acct - <Name>: Requerido. Especifica a la entidad de seguridad (por ejemplo, un objeto de usuario, grupo o equipo, o un objeto InetOrgPerson) a los cuales se aplica la especificación de cuota. Puede utilizar cualquiera de las siguientes formas de nombre:

  • Nombre completo (también conocido como DN) de la entidad de seguridad

  • Dominio\nombreDeCuentaSAM de la entidad de seguridad

  • -qlimit <Value>: Requerido. Especifica el número de objetos dentro de la partición de directorio que puede ser propietario de la entidad de seguridad. Para especificar una cuota sin límite, utilice -1.

  • -desc <Description>: Especifica una descripción de la especificación de cuota que desea agregar

  • {-s <Server>| -d. <Domain>}: Se conecta el equipo a un servidor o dominio especificado. De forma predeterminada, dsadd conecta el equipo a un controlador de dominio en el dominio de inicio de sesión.

  • -u <UserName>: Especifica el nombre de usuario con el que el usuario inicia sesión en un servidor remoto. De forma predeterminada, -u utiliza el nombre de usuario con el que inició la sesión el usuario. Puede utilizar cualquiera de los siguientes formatos para especificar un nombre de usuario:

    • nombre de usuario (por ejemplo, Linda)
    • dominio\nombre de usuario (por ejemplo, widgets\Laura)
    • nombre principal de usuario (UPN)

  • -p {<Password>| *}: Especifica que se utilice una contraseña o un asterisco (**) para iniciar sesión en un servidor remoto. Si escribe *, se le pedirá una contraseña

  • -q: Suprime todos los resultados en la salida estándar (modo silencioso)

  • {-uc | - uco | - uci}: Especifica que dsadd formatos de salida o entradas de datos en Unicode. En la lista siguiente se explica cada formato.

    • -las comunicaciones unificadas: especifica un formato Unicode para la entrada desde o salida a una canalización (|).

    • -uco : especifica un formato Unicode para la salida a un archivo o una canalización (|).

    • -uci: especifica un formato Unicode para la entrada desde un archivo o una canalización(|).

Otras herramientas relacionadas con cada una de ellas.

Son herramientas que operan desde el propio terminal es decir desde la línea de comando y para poder utilizar esta serie de herramientas debe de tener el AD montado “instalado” si no, no podemos prescindir de dicha herramienta.

Comando Dsget

Denominación de cada herramienta y nombre o comando abreviado de las mismas.

Esta aplicación es lanzada desde la power Shell o desde el propio terminal de comandos CMD. Tenemos un manual de ayuda desde el terminal con la siguiente instrucción DSGET /?.

Descripción y funcionalidad de cada herramienta.

Dsget es una herramienta de línea de comandos que está integrada en Windows Server 2012. Está disponible si tiene instalada la función de servidor de servicios de dominio de Active Directory. Dsget es un comando que nos permitirá obtener información de los objetos del Directorio Activo. Muestra propiedades de equipos, contactos, grupos, unidades organizativas, usuarios, sitios, subredes y servidores registrados en Active Directory. Escriba dsget nombreobjeto R en la linea de comandos para obtener información sobre cómo utilizarla. Por ejemplo, dsget subnet R le informara sobre cómo obtener las propiedades de una subred.

Sintaxis o forma de ejecución y opciones de cada herramienta.

Para utilizar dsget, debe ejecutar el comando dsget desde un símbolo del sistema con privilegios elevados. Para abrir un símbolo del sistema con privilegios elevados, haga clic en Inicio, haga clic en símbolo del sistemay, a continuación, haga clic en Ejecutar como administrador.

Ejemplo de ejecución y utilización de cada herramienta.

Para ejecutar este comando tenemos que ir al terminal para ello Windows + Q y escribimos CMD y lo arrancamos como modo de administrador:



Una vez arrancado tenemos las siguientes sintaxis aunque podemos consultar la ayuda desde el propio terminal poniendo dsget /? Podremos ver una serie de funciones que muestra la ayuda de este comando.

Este comando tiene varias funciones de las cuales se encuentran las siguientes:

Dsget computer Muestra las propiedades de un equipo en el directorio. Hay dos variantes de este comando. La primera modalidad muestra las propiedades de varios equipos. La segunda muestra la información de pertenencia de un solo equipo

dsget computer <ComputerDN>[-dn] [-samid] [-sid] [-desc] [-loc] [-deshabilitado] [{-s <Server>| -d. <Domain>}] [-u <UserName>] [-p {<Password>| *] [-c] [-q] [-l] [{-uc | - uco | - uci}] [-<PartitionDN> de pieza[-qlimit] [-qused]]dsget computer <ComputerDN>[-memberof [-expandir]] [{-s <Server>| -d. <Domain>}] [-u <UserName>] [-p {<Password>| *] [-c] [-q] [-l] [{-uc | - uco | - uci}]

  • <ComputerDN> : Requerido. Especifica el nombre completo de la lista de objetos de equipo que desea ver. Si se omiten los valores, se obtienen a través de la entrada estándar (stdin) para admitir la canalización de salida de otro comando a los datos de entrada de este comando. Compare este parámetro con dnEquipo en la segunda modalidad.

  • - -dn: Muestra los nombres completos de los equipos

  • -samid : Muestra los nombres de cuenta de administrador de cuentas de seguridad (SAM) de los equipos que especifique

  • : -sid : Muestra el equipo identificadores de seguridad (SID).

  • -desc: Muestra las descripciones de los equipos

  • -loc: Muestra las ubicaciones de los equipos.

  • -deshabilitado: Muestra el estado de las cuentas de equipo. Sí indica que la cuenta no está desactivada y no indica que la cuenta está habilitada.

  • <ComputerDN>(segunda variación): Requerido. Especifica el nombre completo del equipo único que desea ver

  • -memberof : Muestra la lista inmediata de los grupos de los cuales el equipo es miembro. Esto toma un único objeto de destino como parámetro de entrada (la segunda modalidad del comando de dsget computer)

  • -expand: Muestra la lista expandida de manera recursiva de los grupos de los cuales el equipo es miembro. Esta opción toma la lista inmediata de pertenencia a grupos del equipo, tal como lo devuelve el parámetro - memberof y expande de forma recursiva cada grupo en esta lista para determinar su pertenencia a grupos, así como para llegar a un conjunto de cierre completo de los grupos

  • {-s <Server> | -d <Domain>} Se conecta el equipo a un servidor remoto o el dominio que especifique. De forma predeterminada, dsget conecta el equipo para el controlador de dominio en el dominio de inicio de sesión.

  • -u <UserName>: Especifica el nombre de usuario con el que el usuario inicia sesión en un servidor remoto. De forma predeterminada, -u utiliza el nombre de usuario con el que inició la sesión el usuario. Puede utilizar cualquiera de los siguientes formatos para especificar un nombre de usuario:

    • nombre de usuario (por ejemplo, Linda)

    • dominio\nombre de usuario (por ejemplo, widgets\Laura)

    • nombre principal de usuario (UPN)

  • -p {<Password>| *}: Especifica que se utilice una contraseña o un asterisco (**) para iniciar sesión en un servidor remoto. Si escribe *, dsget le pide una contraseña

  • -c: Informes de errores, pero continúa con el siguiente objeto en la lista de argumentos cuando se especifican varios objetos de destino (modo de funcionamiento continuo). Si no se especifica este parámetro, dsget sale cuando se produce el primer error

  • -q: Suprime todos los resultados en la salida estándar (modo silencioso)

  • -l: Muestra las entradas en un formato de lista. De forma predeterminada, dsget muestra las entradas en un formato de tabla

  • {-uc | - uco | - uci} Especifica que dsget formatos de salida o entradas de datos en Unicode. En la lista siguiente se explica cada formato.

  • -las comunicaciones unificadas: especifica un formato Unicode para la entrada desde o salida a una canalización (|).

    • -uco : especifica un formato Unicode para la salida a un archivo o una canalización (|).

    • -uci: especifica un formato Unicode para la entrada desde un archivo o una canalización (|).

  • -<PartitionDN> de pieza: Se conecta a la partición de directorio con el nombre completo de DNPartición.

  • -qlimit: Muestra la cuota efectiva del equipo en la partición de directorio que especifique para el parámetro-parte

  • -qused: Muestra la parte de su cuota de un equipo ha utilizado en la partición de directorio que especifique para el - parámetro de parte


Dsget subnet: Muestra las propiedades de una subred en el directorio.

  • <SubnetDN> : Requerido. Especifica los nombres comunes de una o varias subredes que desee ver.

  • Dn: Muestra los nombres completos de las subredes. Si se omiten los valores, se obtienen a través de la entrada estándar (stdin) para admitir la canalización de salida de otro comando a los datos de entrada de este comando

  • -desc: Muestra las descripciones de las subredes

  • Loc: Muestra la ubicación de cada subred.

  • -sitio: Muestra los nombres de sitio asociados con las subredes

  • {-s <Server> | -d <Domain>}: Se conecta a un servidor remoto o el dominio que especifique. De forma predeterminada, dsget conecta el equipo para el controlador de dominio en el dominio de inicio de sesión.

  • -u <UserName>: Especifica el nombre de usuario con el que el usuario inicia sesión en un servidor remoto. De forma predeterminada, -u utiliza el nombre de usuario con el que inició la sesión el usuario. Puede utilizar cualquiera de los siguientes formatos para especificar un nombre de usuario:

    • nombre de usuario (por ejemplo, Linda)
    • dominio\nombre de usuario (por ejemplo, widgets\Laura)
    • nombre principal de usuario (UPN)

  • -p {<Password>| *}: Especifica que se utilice una contraseña o un asterisco (**) para iniciar sesión en un servidor remoto. Si escribe *, dsget le pide una contraseña

  • -c: Informes de errores, pero continúa con el siguiente objeto en la lista de argumentos cuando se especifican varios objetos de destino (modo de funcionamiento continuo). Si no se especifica este parámetro, dsget sale cuando se produce el primer error

  • -q: Suprime todos los resultados en la salida estándar (modo silencioso)

  • -l: Muestra las entradas en un formato de lista. De forma predeterminada, dsget muestra las entradas en un formato de tabla

  • {-uc | - uco | - uci} Especifica que dsget formatos de salida o entradas de datos en Unicode. En la lista siguiente se explica cada formato.

    • -las comunicaciones unificadas: especifica un formato Unicode para la entrada desde o salida a una canalización (|).

    • -uco : especifica un formato Unicode para la salida a un archivo o una canalización (|).

    • -uci: especifica un formato Unicode para la entrada desde un archivo o una canalización (|).


Dsget user: Muestra las propiedades de un usuario en el directorio. Hay dos variantes de este comando. La primera modalidad muestra las propiedades de varios usuarios. La segunda muestra la información de pertenencia al grupo de un solo usuario

Sintaxis:

dsget user <UserDN>[-dn] [-samid] [-sid] [-upn] [-fn] [-mi] [-ln] [-mostrar] [-empid] [-desc] [-office] [-tel] [-correo electrónico] [-hometel] [-localizador] [-móvil] [-fax] [-iptel] [-webpg] [-título] [-dept.] [-compañía] [-mgr] [-hmdir] [-hmdrv] [-perfil] [-loscr] [-mustchpwd] [-canchpwd] [-pwdneverexpires] [-deshabilitado] [-acctexpires] [-reversiblepwd] [{-uc | - uco | - uci}] [-<PartitionDN> de pieza[-qlimit] [-qused]]dsget user <UserDN>[-memberof] [-expandir][{-uc | - uco | - uci}]

Dsget contact: Muestra las propiedades de un contacto en el directorio.

Sintaxis

dsget contact <ContactDN>[-dn] [-fn] [-mi] [-ln] [-mostrar] [-desc] [-office] [-tel] [-correo electrónico] [-hometel] [-localizador] [-móvil] [-fax] [-iptel] [-título] [-dept.] [-compañía] [{-s <Server>| -d. <Domain>}] [-u <UserName>] [-p {<Password>| *] [-c] [-q] [-l] [{-uc | - uco | - uci}]

Dsget group : Muestra las propiedades de un grupo en el directorio, incluidos a sus miembros. Hay dos variantes de este comando. La primera modalidad le permite ver las propiedades de varios grupos. La segunda muestra la información de pertenencia al grupo de un único grupo

Sintaxis

dsget group <GroupDN>[-dn] [-samid] [-sid] [-desc] [-secgrp] [-ámbito de aplicación] [{-s <Server>| -d. <Domain>}] [-u <UserName>] [-p {<Password>| *] [-c] [-q] [-l] [{-uc | - uco | - uci}] [-<PartitionDN> de pieza[-qlimit] [-qused]]dsget group <GroupDN>[{-memberof |-miembros}] [-expandir] [{-s <Server>| -d. <Domain>}] [-u <UserName>] [-p {<Password>| *] [-c] [-q] [-l] [{-uc | - uco | - uci}]

Dsget ou: Muestra las propiedades de una unidad organizativa (OU) en el directorio.

Sintaxis

dsget Server <OrganizationalUnitDN>...[-dn] [-desc] [{-s <Server>| -d. <Domain>}] [-u <UserName>] [-p {<Password>| *] [-c] [-q] [-l] [{-uc | - uco | - uci}]

Dsget server: Muestra las propiedades de un controlador de dominio definido en el directorio. Existen tres variantes de este comando. La primera modalidad muestra las propiedades generales de un controlador de dominio que especifique. La segunda muestra una lista de los principales de seguridad que posee el mayor número de objetos de directorio en el controlador de dominio que especifique. La tercera muestra los nombres completos de las particiones de directorio en el servidor que especifique

Sintaxis

dsget server <ServerDN>[-dn] [-desc] [-dnsname] [-site] [-isgc] [{-s <Server>| -d. <Domain>}] [-u <UserName>] [-p {<Password>| *] [-c] [-q] [-l] [{-uc | - uco | - uci}] dsget server <ServerDN>[{-s <Server>| -d. <Domain>}] [-u <UserName>] [-p {<Password>| *] [-c] [-q] [-l] [{-uc | - uco | - uci}] [-topobjowner <Display>] dsget server <ServerDN>[{-s <Server>| -d. <Domain>}] [-u <UserName>] [-p {<Password>| *] [-c] [-q] [-l] [{-uc | - uco | - uci}] [-part <PartitionDN>]

Dsget user: Muestra las propiedades de un sitio en el directorio

Sintaxis

dsget site <SiteCN>[-dn] [-desc] [-autotopology] [-cachegroups] [-prefGCsite] [{-s <Server>| -d. <Domain>}] [-u <UserName>] [-p {<Password>| *] [-c] [-q] [-l] [{-uc | - uco | - uci}]

Dsget quota: Muestra las propiedades de una especificación de cuota definida en el directorio. Una especificación de cuota determina el número máximo de objetos de directorio que puede poseer un principal de seguridad en una partición de directorio que especifique

Sintaxis

dsget quota <ObjectDN>[-dn] [-acct] [-qlimit] [{-s <Server>| -d. <Domain>}] [-u <UserName>] [-p {<Password>| *] [-c] [-q] [-l] [{-uc | - uco | - uci}]

Dsget partition: Muestra las propiedades de una partición de directorio.

Sintaxis

sget partition <ObjectDN>...

[-dn] [-qdefault] [-qtmbstnwt] [-topobjowner <Display>] [{-s <Server>| -d. <Domain>}] [-u <UserName>] [-p {<Password>| *] [-c] [-q] [-l] [{-uc | - uco | - uci}]
Otras herramientas relacionadas con cada una de ellas.

Son herramientas que operan desde el propio terminal es decir desde la línea de comando y para poder utilizar esta serie de herramientas debe de tener el AD montado “instalado” si no, no podemos prescindir de dicha herramienta.

Comando Dsmod

Denominación de cada herramienta y nombre o comando abreviado de las mismas.

Esta aplicación es lanzada desde la power Shell o desde el propio terminal de comandos CMD. Tenemos un manual de ayuda desde el terminal con la siguiente instrucción DSMOD /?.
Descripción y funcionalidad de cada herramienta.

DsmodModifica las propiedades de equipos, contactos, grupos, unidades organizativas, usuarios y servidores existentes en Active Directory. Escriba dsmod nombreobjeto R en la linea de comandos para conseguir información sobre cómo utilizarla. Por ejemplo, dsmod server /? le informara sobre como modificar las

Modifica un objeto existente de un tipo específico en el directorio.

Dsmod es una herramienta de línea de comandos que está integrada en Windows Server 2012. Está disponible si tiene instalada la función de servidor de servicios de dominio de Active Directory (AD DS). Sintaxis o forma de ejecución y opciones de cada herramienta.

Para utilizar dsmod, debe ejecutar el comando dsmod desde un símbolo del sistema con privilegios elevados. Para abrir un símbolo del sistema con privilegios elevados, haga clic en Inicio, haga clic en símbolo del sistemay, a continuación, haga clic en Ejecutar como administrador.
Ejemplo de ejecución y utilización de cada herramienta.

Para ejecutar este comando tenemos que ir al terminal para ello Windows + Q y escribimos CMD y lo arrancamos como modo de administrador:


Una vez arrancado tenemos las siguientes sintaxis aunque podemos consultar la ayuda desde el propio terminal poniendo dsmod /? Podremos ver una serie de funciones que muestra la ayuda de este comando.

Este comando tiene varias funciones de las cuales se encuentran las siguientes:

Dsmod computer: Modifica los atributos de los equipos existentes en el directorio.

Sintaxis

dsmod computer <ComputerDN>...

[-desc <Description>] [-loc <Location>] [-deshabilitado {yes | no}] [-reset] [{-s servidor >| -d. dominio >}] [-u <UserName>] [-p {<Password>| *] [-c] [-q] [{-uc | - uco | - uci}]

Ø <ComputerDN>: Requerido. Especifica los nombres completos de uno o más equipos que desea modificar. Si se omiten los valores, se obtienen a través de la entrada estándar (stdin) para admitir la canalización de salida de otro comando a los datos de entrada de este comando

Ø -desc <Description>: Especifica la descripción del objeto de equipo que desea modificar.

Ø -loc <Location>: Especifica la ubicación del objeto de equipo que desea modificar.

Ø -deshabilitado {yes | no}: Especifica si está deshabilitada la cuenta de equipo para iniciar una sesión (yes) o no (no).

Ø -Restablecer : Restablece las cuentas de equipo.

Ø {-s <Server>| -d. <Domain>}: Conecta un equipo a un servidor remoto o el dominio que especifique. De forma predeterminada, dsmod conecta el equipo para el controlador de dominio en el dominio de inicio de sesión.

Ø -u <UserName> Especifica el nombre de usuario con el que el usuario inicia sesión en un servidor remoto. De forma predeterminada, -u utiliza el nombre de usuario con el que inició la sesión el usuario. Puede utilizar cualquiera de los siguientes formatos para especificar un nombre de usuario:

o nombre de usuario.

o dominio\nombre de usuario

o nombre principal de usuario (UPN)

Ø -p {<Password>| *} Especifica que se utilice una contraseña o un asterisco (**) para iniciar sesión en un servidor remoto. Si escribe *, dsmod le pide una contraseña.

Ø -c: Informes de errores, pero continúa con el siguiente objeto en la lista de argumentos cuando se especifican varios objetos de destino (modo de funcionamiento continuo). Si no se especifica este parámetro, dsmod sale cuando se produce el primer error.

Ø -q Suprime todos los resultados en la salida estándar (modo silencioso).

Ø {-uc | - uco | - uci} Especifica que dsmod formatos de salida o entradas de datos en Unicode. En la lista siguiente se explica cada formato.

o -las comunicaciones unificadas: especifica un formato Unicode para la entrada desde o salida a una canalización (|).

o -uco : especifica un formato Unicode para la salida a un archivo o una canalización (|).

o -uci: especifica un formato Unicode para la entrada desde un archivo o una canalización (|).

Dsmod contact Modifica los atributos de uno o varios contactos existentes en el directorio.

Sintaxis

dsmod contact <ContactDN>...

[-fn <FirstName>] [-mi <Initial>] [-ln <LastName>] [-mostrar <DisplayName>] [-desc <Description>] [-office <Office>] [-tel <PhoneNumber>] [-<Email> de correo electrónico] [-hometel <HomePhoneNumber>] [-pager <PagerNumber>] [-mobile <CellPhoneNumber>] [-fax <FaxNumber>] [-iptel <IPPhoneNumber>] [-<Title> el título] [-dept <Department>] [-<Company> de la compañía] [{-s <Server>| -d. <Domain>}] [-u <UserName>] [-p {<Password>| *] [-c] [-q] [{-uc | - uco | - uci}]

Dsmod group Modifica los atributos de uno o más grupos existentes en el directorio.

Sintaxis

dsmod group <GroupDN>...

[-samid <SAMName>] [-desc <Description>] [-secgrp {yes | no}] [-ámbito {l | g | u}] [{-addmbr | - rmmbr | - chmbr} <MemberDN>...] [{-s <Server>| -d. <Domain>}] [-u <UserName>] [-p {<Password>| *] [-c] [-q] [{-uc | - uco | - uci}]

Dsmod ou: Modifica los atributos de uno o más existente de unidades organizativas (OU) en el directorio.

Sintaxis

dsmod ou <OrganizationalUnitDN>[-desc <Description>] [{-s <Server>| -d. dominio >}] [-u <UserName>] [-p {<Password>| *] [-c] [-q] [{-uc | - uco | - uci}]

Dsmod server: Modifica las propiedades de un controlador de dominio.

Sintaxis

dsmod server <ServerDN>...

[-desc <Description>] [-isgc {yes | no}] [{-s <Server>| -d. <Domain>}] [-u <UserName>] [-p {<Password>| *] [-c] [-q] [{-uc | - uco | - uci}]

Dsmod user: Modifica los atributos de los usuarios existentes en el directorio.

Sintaxis

dsmod user <UserDN>...

[-upn <UPN>] [-fn <FirstName>] [-mi <Initial>] [-ln <LastName>] [-mostrar <DisplayName>] [-empid <EmployeeID>] [-pwd (<Password>| *] [-desc <Description>] [-office <Office>] [-tel <PhoneNumber>] [-correo electrónico < direcciónCorreoElectrónico >] [-hometel <HomePhoneNumber>] [-pager <PagerNumber>] [-mobile <CellPhoneNumber>] [-fax <FaxNumber>] [-iptel <IPPhoneNumber>] [-webpg <WebPage>] [-<Title> el título] [-dept <Department>] [-<Company> de la compañía] [-mgr <Manager>] [-hmdir <HomeDirectory>] [-hmdrv <DriveLetter>:] [-profile <ProfilePath>] [-loscr <ScriptPath>] [-mustchpwd {sí | no}] [-canchpwd {sí | no}] [-reversiblepwd {sí | no}] [-pwdneverexpires {yes | no}] [-acctexpires <NumberOfDays>] [-deshabilitado {sí | no}] [{-s <Server>| -d. <Domain>}] [-u <UserName>] [-p {<Password>| *] [-c] [-q] [{-uc | - uco | - uci}]

Dsmod quota: Modifica los atributos de uno o más especificaciones de cuota existente en el directorio.

Sintaxis

dsmod quota <QuotaDN>...

[-qlimit <Value>] [-desc <Description>] [{-s <Server>| -d. <Domain>}] [-u <UserName>] [-p {<Password>| *] [-c] [-q] [{-uc | - uco | - uci}]

Dsmod partition: Modifica los atributos de las particiones existentes en el directorio.

Sintaxis

dsmod partition <PartitionDN>...

[-qdefault <Value>] [-qtmbstnwt <Percent>] [{-s <Server>| -d. <Domain>}] [-u <UserName>] [-p {<Password>| *] [-c] [-q] [{-uc | - uco | - uci}]

Otras herramientas relacionadas con cada una de ellas.

Son herramientas que operan desde el propio terminal es decir desde la línea de comando y para poder utilizar esta serie de herramientas debe de tener el AD montado “instalado” si no, no podemos prescindir de dicha herramienta.

DSMOVE:

Denominación y nombre o comando abreviado de las mismas.

Dsmove es una herramienta de línea de comandos que está integrada en Windows Server 2012. Está disponible si tiene instalada los servicios de dominio de Active Directory (AD DS) o Active Directory Lightweight Directory Services (AD LDS). Para utilizar dsmove, debe ejecutar el comando dsmove desde un símbolo del sistema con privilegios elevados. Para abrir un símbolo del sistema con privilegios elevados, haga clic en Inicio, haga clic en símbolo del sistema y, a continuación, haga clic en Ejecutar como administrador.

Descripción y funcionalidad de cada herramienta.

Mueve un solo objeto, dentro de un dominio, desde su ubicación actual en el directorio a una nueva ubicación, o cambia el nombre de un solo objeto sin moverlo en el árbol de directorios.

También nos permite cambiar el nombre de los grupos e incluso, como su nombre indica, mover grupos entre diferentes Unidades Organizativas del mismo dominio.

Traslada un objeto a una nueva ubicación dentro del dominio o lo renombra sin trasladarlo. Escriba dsmove R en la línea de comandos para información sobre cómo utilizarla.

Sintaxis o forma de ejecución y opciones de cada herramienta.

La sintaxis es la siguiente:

dsmove DNdelObjeto [-newname nuevonombre] [-newparent DNOUDestino]
Ejemplo de ejecución y utilización de cada herramienta.

Parámetros


Parámetro

Descripción


<ObjectDN>

Requerido. Especifica el nombre completo del objeto que desea mover o cambiar el nombre. Si se omite el valor, se obtiene a través de la entrada estándar (stdin) para admitir la canalización de salida de otro comando a los datos de entrada de este comando.


newname - <NewRDN>

Cambia el nombre del objeto especificado con un nuevo nombre completo relativo.


-newparent <ParentDN>

Especifica una nueva ubicación para el objeto que desea mover. Para especificar la nueva ubicación, proporcione el nombre completo del nuevo objeto principal del objeto.


{-s <Server>| -d. <Domain>}

Conecta un equipo a un servidor remoto o el dominio que especifique. De forma predeterminada, dsmove conecta el equipo para el controlador de dominio en el dominio de inicio de sesión.


-u <UserName>

Especifica el nombre de usuario con el que el usuario inicia sesión en un servidor remoto. De forma predeterminada, -u utiliza el nombre de usuario con el que inició la sesión el usuario. Puede utilizar cualquiera de los siguientes formatos para especificar un nombre de usuario:

nombre de usuario (por ejemplo, Linda)

dominio\nombre de usuario (por ejemplo, widgets\Laura)

nombre principal de usuario (UPN) (por ejemplo, Linda@widgets.contoso.com)


-p {<Password>| *}

Especifica que se utilice una contraseña o un asterisco (**) para iniciar sesión en un servidor remoto. Si escribe *, dsmove le pide una contraseña.


-q

Suprime todos los resultados en la salida estándar (modo silencioso).


{-uc | - uco | - uci}

Especifica que dsmove formatos de salida o entradas de datos en Unicode. En la lista siguiente se explica cada formato.

-las comunicaciones unificadas: especifica un formato Unicode para la entrada desde o salida a una canalización (|).

-uco: especifica un formato Unicode para la salida a un archivo o una canalización (|).

-uci: especifica un formato Unicode para la entrada desde un archivo o una canalización (|).


/?

Muestra la Ayuda en el símbolo del sistema.

Ejemplos de uso:

· Para cambiar el nombre de un objeto de usuario de Claudia Ramírez a Claudia del Valle, escriba:dsmove "CN = Claudia Ramírez, OU = ventas, DC = Contoso, DC = Com" - newname "Claudia del Valle"



· Para mover el objeto de usuario de Claudia Ramírez desde la organización de ventas a la organización de Marketing, escriba:dsmove "CN = Claudia Ramírez, OU = ventas, DC = Contoso, DC = Com" - newparent OU = Marketing, DC = Contoso, DC = Com



· Para combinar el cambio de nombre y las operaciones de movimiento, escriba:dsmove "CN = Claudia Ramírez, OU = ventas, DC = Contoso, DC = Com" - newparent OU = Marketing, DC = Contoso, DC = Com - newname "Claudia del Valle"

Otras herramientas relacionadas con cada una de ellas.

Está relacionada con la herramienta de AD de Usuarios y equipos.

DSQUERY:

Denominación y nombre o comando abreviado de las mismas.

Dsquery es una herramienta de línea de comandos que está integrada en Windows Server 2008. Está disponible si tiene instalada la función de servidor de servicios de dominio de Active Directory (AD DS). Para usar dsquery, debe ejecutar el comando dsquery desde un símbolo del sistema con privilegios elevados. Para abrir un símbolo del sistema con privilegios elevados, haga clic en Inicio, haga clic en símbolo del sistema y, a continuación, haga clic en Ejecutar como administrador.

Descripción y funcionalidad de cada herramienta.

Consulta el directorio mediante criterios de búsqueda que especifique. Cada uno de los comandos de dsquery busca objetos de un tipo de objeto específico, con excepción dedsquery *, que puede consultar cualquier tipo de objeto.

Localiza equipos, contactos, grupos, unidades organizativas, usuarios, sitios, subredes y servidores dentro de Active Directory utilizando criterios de búsqueda. Escriba dsquery /? en la línea de comandos para obtener información sobre cómo utilizarla.

Sintaxis o forma de ejecución y opciones de cada herramienta.

El comando o comandos que vamos a utilizar son:

dsquery user -name “NOMBRE *” | dsmod user -office “NOMBRE” -disabled yes

Comandos


Comando

Descripción



Busca equipos en el directorio que coincidan con los criterios de búsqueda especificados.



Busca contactos en el directorio que coincidan con los criterios de búsqueda especificados.



Busca grupos en el directorio que coincidan con los criterios de búsqueda especificados. Si los criterios de búsqueda predefinida en este comando son insuficientes, utilice la versión general del comando de consulta, dsquery *.



Busca unidades organizativas (OU) en el directorio que coincidan con los criterios de búsqueda especificados. Si los criterios de búsqueda predefinida en este comando son insuficientes, utilice la versión más general del comando de consulta, dsquery *.



Busca sitios en el directorio que coincidan con los criterios de búsqueda especificados. Si los criterios de búsqueda predefinida en este comando son insuficientes, utilice la versión más general del comando de consulta, dsquery *.



Busca controladores de dominio con arreglo a criterios de búsqueda especificados. Si los criterios de búsqueda predefinida en este comando son insuficientes, utilice la versión más general del comando de consulta, dsquery *.



Busca los usuarios en el directorio que coincidan con los criterios de búsqueda especificados. Si los criterios de búsqueda predefinida en este comando son insuficientes, utilice la versión más general del comando de consulta, dsquery *.



Busca especificaciones de cuota en el directorio que coincidan con los criterios de búsqueda especificados. Una especificación de cuota determina el número máximo de objetos de directorio que puede poseer un principal de seguridad especificado en una partición de directorio determinada. Si los criterios de búsqueda predefinida en este comando son insuficientes, utilice la versión más general del comando de consulta, dsquery *.



Busca objetos de partición en el directorio que coincidan con los criterios de búsqueda especificados. Si los criterios de búsqueda predefinida en este comando son insuficientes, utilice la versión más general del comando de consulta, dsquery *.



Busca todos los objetos en el directorio con arreglo a criterios mediante una consulta LDAP.

Ejemplo de ejecución y utilización de cada herramienta.

Parámetros


Parámetro

Definición de


{<StartNode>| forestroot | domainroot}

Especifica el nodo en el árbol de la consola donde comienza la búsqueda. Puede especificar la raíz del bosque (forestroot), raíz de dominio (domainroot) o nombre completo de un nodo como nodo de inicio <StartNode>. Si especifica forestroot, busca en AD DS con el catálogo global. El valor predeterminado es domainroot.


-ámbito {subtree | onelevel | base}

Especifica el ámbito de la búsqueda. Un valor de subárbol especifica que el ámbito es un subárbol cuya raíz está en el nodo de inicio. Un valor de un nivel específica a los elementos secundarios inmediatos del nodo de inicio únicamente. Un valor de base especifica el único objeto que representa el nodo de inicio. Si especifica forestroot como el nodo de inicio <StartNode>, subárbol es el único ámbito válido. El valor predeterminado es elsubárbol.


-filtrar <LDAPFilter>

Especifica que se utilice un filtro de búsqueda explícito, <LDAPFilter>, en el formato de filtro de búsqueda LDAP. Por ejemplo, un filtro de búsqueda válida es (&(objectCategory=Person)(sn=smith*)).

El valor predeterminado de <LDAPFilter>es (objectClass = *).


-attr {<AttributeList>| *}

Específica que el punto y coma separar los nombres para mostrar LDAP incluidos en <AttributeList>para cada entrada en el conjunto de resultados. Si especifica el valor de este parámetro como un carácter comodín (**), este parámetro muestra todos los atributos que están presentes en el objeto del conjunto de resultados. Además, si se especifica un *, este parámetro utiliza el formato de salida predeterminado (lista), independientemente de si especifica el parámetro -l . El valor predeterminado <AttributeList>es un nombre completo.


-attrsonly

Especifica mostrar sólo los tipos de atributos que están presentes en las entradas en el resultado establecido, no sus valores. El valor predeterminado es mostrar el valor y el tipo de atributo.


-l

Muestra las entradas de una lista. De forma predeterminada, dsquery muestra las entradas en una tabla.


{-s <Server>| -d. <Domain>}

Conecta un equipo a un servidor remoto o el dominio que especifique. De forma predeterminada, dsquery se conecta el equipo para el controlador de dominio en el dominio de inicio de sesión.


-u <UserName>

Especifica el nombre de usuario con que el usuario iniciará una sesión en el servidor remoto. De forma predeterminada, -u utiliza el nombre de usuario con el que inició la sesión el usuario. Puede utilizar cualquiera de los siguientes formatos para especificar un nombre de usuario:

nombre de usuario (por ejemplo, Linda)

dominio\nombre de usuario (por ejemplo, widgets\Laura)

nombre principal de usuario (UPN) (por ejemplo, Linda@widgets.contoso.com)


-p {<Password>| *}

Especifica que se utilice una contraseña o un asterisco (**) para iniciar sesión en un servidor remoto. Si escribe *, dsquery le pide una contraseña.


-q

Suprime todos los resultados en la salida estándar (modo silencioso).


-r

Especifica que la búsqueda usar recursión o seguir las referencias. De forma predeterminada, la búsqueda no sigue las referencias durante la búsqueda.


-gc

Especifica que la búsqueda debe utilizar el catálogo global de Active Directory.


-limitar <NumberOfObjects>

Especifica el número de objetos para devolver que coincida con los criterios que especifique. Si especifica un valor de 0 para <NumberOfObjects>, este parámetro devuelve todos los objetos que coincidan. Si no especifica este parámetro, dsquery muestra los 100 primeros resultados de forma predeterminada.


{-uc | - uco | - uci}

Especifica que dsquery formatos de salida o entradas de datos en Unicode. En la lista siguiente se explica cada formato.

-las comunicaciones unificadas: especifica un formato Unicode para la entrada desde o salida a una canalización (|).

-uco: especifica un formato Unicode para la salida a un archivo o una canalización (|).

-uci: especifica un formato Unicode para la entrada desde un archivo o una canalización (|).


/?

Muestra la Ayuda en el símbolo del sistema.




Ejemplos

· Para mostrar, en formato de tabla, los nombres de cuenta de administrador de cuentas de seguridad (SAM), los nombres principales de usuario y los departamentos de todos los usuarios del dominio actual cuyos nombres de cuenta SAM comiencen por "Jon", escriba:dsquery * domainroot-filter "((objectCategory=Person)(objectClass=User)(sAMAccountName=Jon*)) - attr sAMAccountName userPrincipalName department



· Para leer el SAM los nombres de cuenta, nombres principales de usuario (UPN) y los atributos de departamento del objeto cuyo nombre completo es OU = Test, DC = Contoso, DC = Com, escriba:dsquery * OU = Test, DC = Contoso, DC = Com-departamento de ámbito base - attr sAMAccountName userPrincipalName



· Para leer todos los atributos del objeto cuyo nombre completo es OU = Test, DC = Contoso, DC = Com, escriba:dsquery * OU = Test, DC = Contoso, DC = Com-scope base - attr *

Otras herramientas relacionadas con cada una de ellas.

Se puede consultar las búsquedas en entorno grafico como es para consultar objetos podemos acceder a la herramienta de active directory llamada “Usuarios y equipos de AD”.

DSRM:

Denominación y nombre o comando abreviado de las mismas.

Dsrm es una herramienta de línea de comandos que está integrada en Windows Server 2008. Está disponible si tiene instalada los servicios de dominio de Active Directory (AD DS) o Active Directory Lightweight Directory Services (AD LDS). Para utilizar dsrm, debe ejecutar el comando dsrm desde un símbolo del sistema con privilegios elevados. Para abrir un símbolo del sistema con privilegios elevados, haga clic en Inicio, haga clic en símbolo del sistema y, a continuación, haga clic en Ejecutar como administrador.

Descripción y funcionalidad de cada herramienta.

Elimina un objeto de un tipo específico o cualquier objeto general del directorio.

Sintaxis o forma de ejecución y opciones de cada herramienta.

La sintaxis que se emplea para usar este comando es:

dsrm <ObjectDN> (Nombre del equipo)

[-subárbol [-excluir]] [-/noprompt] [{-s <Server>| -d. <Domain>}] [-u <UserName>] [-p {<Password>| *] [-c] [-q] [{-uc | - uco | - uci}]
Ejemplo de ejecución y utilización de cada herramienta.

Parámetros


Parámetro

Descripción


<ObjectDN>

Requerido. Especifica los nombres completos de objetos que desee eliminar. Si se introduce ningún valor en el símbolo del sistema, el valor se obtiene a través de la entrada estándar.


-subárbol [-excluir]

Especifica que se deben eliminar el objeto y todos los objetos contenidos en el subárbol bajo dicho objeto. Si se especifica la -Excluir parámetro, debe especificar también el -subtree parámetro. Al especificar ambos parámetros, dsrm excluye de la eliminación del objeto base que <ObjectDN>parámetro proporciona cuando elimina los objetos en el subárbol. De forma predeterminada, dsrm elimina sólo el objeto base especificado.


-noprompt

Establece el modo silencioso opcional, lo que impide que los avisos que le pida que confirme la eliminación de cada objeto. De forma predeterminada, dsrm le preguntará si desea confirmar cada eliminación.


{-s <Server>| -d. <Domain>}

Conecta un equipo a un servidor remoto o el dominio que especifique. De forma predeterminada, dsrm conecta el equipo para el controlador de dominio en el dominio de inicio de sesión.


-u <UserName>

Especifica el nombre de usuario con el que el usuario inicia sesión en un servidor remoto. De forma predeterminada, -u utiliza el nombre de usuario con el que inició la sesión el usuario. Puede utilizar cualquiera de los siguientes formatos para especificar un nombre de usuario:
nombre de usuario (por ejemplo, Linda)
dominio\nombre de usuario (por ejemplo, widgets\Laura)
nombre principal de usuario (UPN) (por ejemplo, Linda@widgets.contoso.com)


-p {<Password>| *}

Especifica que se utilice una contraseña o un asterisco (**) para iniciar sesión en un servidor remoto. Si escribe *, dsrm le pide una contraseña.


-c

Informes de errores, pero continúa con el siguiente objeto en la lista de argumentos cuando se especifican varios objetos de destino (modo de funcionamiento continuo). Si no se especifica este parámetro, dsrm sale cuando se produce el primer error.


-q

Suprime todos los resultados en la salida estándar (modo silencioso).


{-uc | - uco | - uci}

Especifica que dsrm formatos de salida o entradas de datos en Unicode. En la lista siguiente se explica cada formato.
-las comunicaciones unificadas: especifica un formato Unicode para la entrada desde o salida a una canalización (|).
-uco : especifica un formato Unicode para la salida a un archivo o una canalización (|).
-uci: especifica un formato Unicode para la entrada desde un archivo o una canalización (|).


/?

Muestra la Ayuda en el símbolo del sistema.




Ejemplos

· Para quitar una unidad organizativa (OU) denominada Marketing y todos los objetos en esa unidad organizativa, escriba:dsrm-subtree - noprompt - c OU = Marketing, DC = Contoso, DC = Com



· Para quitar todos los objetos en una unidad organizativa denominada Mercadotecnia, pero dejar intacta la unidad organizativa, escriba:dsrm-subtree - exclude - noprompt -c "OU = Marketing, DC = Contoso, DC = Com"



· Para dejar la contraseña de DSRM en un controlador de dominio denominado DC2, escriba el comando siguiente y, a continuación, presione ENTRAR:

Reset DSRM Administrator Password: reset password on server DC2
Otras herramientas relacionadas con cada una de ellas.

Se pueden borrar datos en entorno grafico tan simple como dar en el click derecho de los objetos y elegir la opción de eliminar, para ello tenemos la herramienta de active directory llamada “Usuarios y equipos de AD”.

NTDSUTIL:

Denominación y nombre o comando abreviado de las mismas.

Utilizar Ntdsutil.exe, debe ejecutar el comando ntdsutil desde un símbolo del sistema con privilegios elevados. Para abrir un símbolo del sistema con privilegios elevados, haga clic en Inicio, haga clic en símbolo del sistema y, a continuación, haga clic en Ejecutar como administrador.

Descripción y funcionalidad de cada herramienta.

Ntdsutil.exe es una herramienta de línea de comandos que proporciona las funciones de administración de servicios de dominio de Active Directory (AD DS) y servicios de directorio ligero de Active Directory (AD LDS). Puede utilizar los comandos de ntdsutil para realizar el mantenimiento de base de datos de AD DS, administrar y controlar operaciones de maestro único y quitar metadatos dejados por los controladores de dominio que se quitaron de la red sin desinstalarse correctamente. Esta herramienta está destinada a los administradores con experiencia.

Permite que el usuario obtenga información sobre el sitio, el dominio y el servidor, administre los maestros de operaciones y lleve a cabo tareas de mantenimiento en las bases de datos de Active Directory.

Sintaxis o forma de ejecución y opciones de cada herramienta.

La Sintaxis de ejecución es:

Ntdsutil [activar una instancia %s | restauración autoritaria | cambiar servicio cuenta % s1% s2 | opciones configurables | El comportamiento de DS | archivos | evaluación de pertenencia de grupo | Ayuda | IFM | las directivas LDAP | puerto LDAP %d | instancia de la lista | roles locales | limpieza de metadatos | partición de administración | menús emergentes en | menús emergentes | salir | las funciones | administración de cuentas de seguridad | análisis semántico de la base de datos | Establecer contraseña de DSRM | instantánea | Puerto SSL % d]

Ejemplo de ejecución y utilización de cada herramienta.

PARAMETROS


Comando

Descripción


Activar una instancia %s

forma corta: ac i %s

Establece NTDS o una instancia de AD LDS específica como la instancia activa.



Forma corta: r au

Restaura autoritativamente la base de datos de Active Directory o una instancia de AD LDS.


Cambiar servicio cuenta % s1% s2

Cambia la cuenta de servicio de AD LDS a usuario nombre % s1 y la contraseña % s2. Utilice "NULL" para una contraseña en blanco. Utilice * para pedir al usuario que introduzca una contraseña.



Forma corta: s co

Administra los valores configurables.



Forma corta: b ds

Ve y modifica el comportamiento de AD DS o AD LDS.



Forma corta: f

Administra los archivos de base de datos de AD DS o AD LDS.



Forma corta: g m e

Se evalúa como identificadores de seguridad (SID) en el símbolo (token) para un determinado usuario o grupo.


Ayuda

Muestra esta información de ayuda.


IFM

Forma abreviada:

Crea medios de instalación para escritura (completa) y controladores de dominio de sólo lectura (RODC) y las instancias de AD LDS.



Administra las directivas de protocolo de Protocolo ligero de acceso a directorios (LDAP).


Puerto LDAP %d

Configura un puerto LDAP de una instancia de AD LDS.


Instancias de listas

Forma corta: li

Enumera todas las instancias de AD LDS se instalan en un equipo.



Forma corta: lo r

Administra las funciones administrativas locales en un RODC.



Forma abreviada: c m

Limpia los objetos de los servidores decomisados.



Forma corta: pa m

Administra las particiones de directorio.


Menús emergentes

Forma corta: PC apagado

Deshabilita los menús emergentes.


Menús emergentes en

Forma corta: orden de compra en

Permite ventanas emergentes.


Salir

Forma abreviada: q

Se cierra el comando.



Forma corta: r

Transfiere y asume funciones de maestro de operaciones.



Forma corta: sec a m

Administra los SID.



Forma corta: sem d. un

Comprueba la integridad de los archivos de base de datos de AD DS o AD LDS con respecto a la semántica de Active Directory.



Forma corta: establece p d

Restablece la contraseña de administrador del modo de restauración de servicios de directorio (DSRM).



Forma corta: sn

Administra las instantáneas de los volúmenes que contienen los archivos de base de datos y registro de Active Directory.


Puerto SSL %d

Configura un puerto Secure Sockets Layer (SSL) para una instancia de AD LDS.




Asignar maestrías

Existen dos modos básicos de transferencia de maestrías. ``Seize'' se utiliza para tomar una maestría aunque el maestro actual no esté disponible. ``Transfer'' se utiliza para transferir la maestría avisando al maestro actual. Es preferible usar ``transfer'' siempre que sea posible.

C:\> ntdsutil.exe

ntdsutil: roles

fsmo maintenance: connections

server connections: connect to server miServidor

...

server connections: quit

fsmo maintenance: {transfer | seize} {domain naming master | infrastructure master | pdc | rid master | schema master}

...

fsmo maintenance: quit

ntdsutil: quit

Dar de baja un servidor que no está disponible o que ha fallado su ``de-promoción''

C:\> ntdsutil.exe

ntdsutil: metadata cleanup

metadata cleanup: connections

server connections: connect to server miServidor

...

server connections: quit

metadata cleanup: select operation target

select operation target: list domains

...

select operation target: select domain x

select operation target: list servers in site x

...

select operation target: select server x

...

select operation target: quit

metadata cleanup: remove selected server

metadata cleanup: quit

ntdsutil: quit

Consultar maestrías de un servidor

C:\> ntdsutil.exe

ntdsutil: roles

fsmo maintenance: connections

server connections: connect to server miServidor

...

server connections: quit

fsmo maintenance: select operation target

select operation target: list roles for connected server

...

Transferir los FSMO mediante ntdsutil

Ante la caída de un DC en un dominio dado y si no hay posibilidad ninguna de restaurarlo, y después de haber leído el punto anterior , seguiremos el siguiente procedimiento.

· En cualquier controlador de dominio, haga clic en Inicio, haga clic en Ejecutar, escriba ntdsutil en el cuadro Abrir y, a continuación, haga clic en Aceptar.

NOTA: Microsoft recomienda que utilice el controlador de dominio que va a asumir las funciones FSMO.

· Escriba roles y, a continuación, presione ENTRAR.

NOTA: para ver una lista de los comandos disponibles en cualquiera de los símbolos del sistema de la herramienta Ntdsutil, escriba ? y, a continuación, presione ENTRAR.

· Escriba connections y, a continuación, presione ENTRAR.

· Escriba connect to server nombre del servidor , donde nombre del servidor es el nombre del servidor que desea utilizar y presione ENTRAR.

· En el símbolo de server connections:, escriba q y, a continuación, presione ENTRAR de nuevo.

· Escriba seize función , donde función es la función que desea asumir. Para ver una lista de las funciones que puede asumir, escriba ? en el símbolo de Fsmo maintenance: y presione ENTRAR o consulte la lista de funciones que aparece al principio de este artículo. Por ejemplo, para asumir la función Maestro RID escribiría seize maestro rid . La única excepción es la función Emulador PDC, cuya sintaxis sería "seize pdc" y no "seize emulador pdc".

NOTA: las cinco funciones deben estar en el bosque. Si el primer controlador de dominio está fuera del bosque, asuma todas las funciones. Determine qué funciones van a estar en cada uno de los controladores de dominio restantes de forma que las cinco funciones no estén en un único servidor.

Microsoft recomienda que sólo asuma todas las funciones cuando el otro controlador de dominio no vuelve al dominio; de lo contrario, repare con las funciones el controlador de dominio que no funciona.

Si el controlador de dominio original que tiene las funciones FSMO sigue en conexión, transfiera las funciones. Escriba transfer función .

· Después de asumir o transferir las funciones, haga clic en q y presione ENTRAR hasta que salga de la herramienta Ntdsutil.

NOTA: no ponga la función Maestro de infraestructuras en el mismo controlador de dominio que el catálogo global.

En el caso de nuestro domino, gctiberica.local, esto nos es indiferente, pudiendo estar el GC en el mismo DC que el Maestro de Infraestructuras sin ningún problema.
Para comprobar si un controlador de dominio es un servidor de catálogos globales:

· Haga clic en Inicio, seleccione Programas, seleccione Herramientas administrativas y, a continuación, haga clic en Sitios y servicios de Active Directory.

· Haga doble clic en Sitios en el panel izquierdo y vaya hasta el sitio apropiado o haga clic en Nombre-predeterminado-primer-sitio si no hay ningún otro sitio disponible.

· Abra la carpeta Servidores y haga clic en el controlador de dominio.

· En la carpeta del controlador de dominio, haga doble clic en Configuración de NTDS.

· En el menú Acción, haga clic en Propiedades.

· En la ficha General, busque la casilla de verificación Catálogo global para ver si está activada.

Otras herramientas relacionadas con cada una de ellas.

Las herramientas para este comando que pueden interactuar con el son varias ya que este comando es el principal y al que mayor uso se le da sobre todo para forzar los cambios de maestro de operaciones entre dominios. Las herramientas que interactúan con el son sitios y servicios de AD, dominios y confianzas y Usuarios y equipos, están son las que más podemos usar con este comando.
Publicado por en
Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)