SISTEMAS OPERATIVOS EN RED

U.T. 2. Creación de usuarios en un dominio

AUTOR: Ana María Herrero Francisco

FECHA: 09/2024
TABLA DE CONTENIDOS

1. DS..........................................................................................................................................................3
2. DSADD.................................................................................................................................................3
3. Crear Unidades Organizativas.....................................................................................................5
4. Crear Usuarios...................................................................................................................................7
5. AUTOMATIZAR EL PROCESO........................................................................................................9
6. RESTO DE COMANDOS.................................................................................................................14
6.1 ELIMINAR OBJETOS....................................................................................................................15
6.2 MODIFICAR OBJETOS.................................................................................................................17
6.3 DSQUERY.......................................................................................................................................18
6.4 DSGET /? Consultas al LADP desde línea de comando.................................................21
6.5 POWERSHELL...............................................................................................................................25
1. DS.

Ds es una herramienta de línea de comandos que está integrado en Windows

Server 2008/2012/2016/2019/2022. Está disponible si tiene los servicios de dominio
de Active Directory (AD DS) función de servidor instalado.

(DS de Directory Service )

DSADD –(ADD de añadir)

DSRM –(RM Elimina Objetos)

DSMOD—(MOD Modifica objetos)

DSGET –(GET Consulta u obtener atributos)

DSMOVE –(MOVE Mover objetos)

2. DSADD.

El comando dsadd nos permite agregar objetos al directorio desde la línea de

comandos lo que nos permite incluso llegar a automatizar la creación de una
estructura de Grupos o Unidades Organizativas.

Para utilizar dsadd , debe ejecutar el dsadd comando desde un símbolo del sistema
elevado. Para abrir un símbolo del sistema elevado, haga clic en Inicio , haga clic en
Símbolo del sistema.

Dsadd enter nos muestra la ayuda del comando dsadd.

Dsadd user Añade un único usuario en el directorio

Añade un único grupo en el directorio.

Dsadd group
Agrega una sola unidad organizativa al directorio.
Dsadd ou
Añade un único equipo en el directorio.
Dsadd computer Dsadd HYPERLINK "[Link]
us/library/[Link]" HYPERLINK
"[Link]
[Link]" HYPERLINK "[Link]
us/library/[Link]"computer
Añade una especificación de cuota a una partición de
Dsadd quota directorio.
Ayuda del comando dsadd para Unidades Organizativas
dsadd ou /?

Ayuda del comando dsadd para Usuarios

dsadd user /?

Ayuda del comando dsadd para Grupos

dsadd group /?

Ayuda del comando dsadd para Equipos

dsadd computer /?

Ayuda del comando dsadd para Contactos

dsadd contact /?

Ayuda del comando dsadd para Cuotas de directorio

dsadd quota /?

3. Crear Unidades Organizativas

Nombre de usuario: Laura

Unidad Organizativa: Aulas,Segundo
Dominio: [Link]

dsadd ou /?

creamos una Unidad Organizativa

Unidad Organizativa = OU

Para crear una unidad organizativa tenemos que utilizar dsadd ou y después hay que
darle el nombre distintivo. El nombre distintivo consta de la unidad organizativa o
unidades organizativas donde queremos crear nuestra unidad y el nombre de
dominio. El nombre de dominio si tenemos un dominio que se llama [Link] es
dc=ana,dc=local

dsadd ou “ou=Aulas,dc=ana,dc=local”
Al ejecutar esto veamos lo que estamos haciendo por partes:

• dsadd
Este comando ordena la creación de un objeto en el directorio

• ou
Este modificador indica que el objeto que vamos a crear es una Unidad
Organizativa

• Después hay que indicar el nombre distintivo entre “ “ de la unidad

organizativa que queremos crear.

• ou=Aulas,
Aquí estamos indicando el nombre que tendrá la Unidad Organizativa

• dc=ana,dc=local
Aquí indicamos que el objeto será creado en el dominio [Link]

Ahora vamos a crear dos unidades organizativas dentro llamas primero y segundo.
4. Crear Usuarios

2º Segundo creamos un Usuario

Ahora utilizaremos dsadd para crear un usuario en la Unidad Organizativa Segundo

que hemos creado antes.

dsadd user /?

Dsadd user: crea usuarios.

dsadd user “cn=Laura,ou=Aulas,ou=Segundo,dc=ana,dc=local”

• dsadd
Este comando ordena la creación de un objeto en el directorio

• user
Este modificador indica que el objeto que vamos a crear es un Usuario

• Después hay que indicar el nombre distintivo entre “ “ del usuario a crear.

• cn=Laura,
Aquí estamos indicando el nombre que tendrá el Usuario

• ou=Aulas,ou=Segundo
Aquí estamos indicando en que Unidad Organizativa vamos a crear el usuario

• dc=ana,dc=local
Aquí indicamos que el objeto será creado en el dominio [Link]
Nos crea el usuario Laura en la unidad organizativa Segundo, pero la cuenta del
usuario Laura la deja deshabilitada, gráficamente aparece con una flechita hacía
abajo.

Nos crea el usuario Laura en la unidad organizativa Segundo, y ahora la cuenta del
usuario Laura sí que está habilitada porque tiene contraseña.

Y pasamos a analizar este comando…

• dsadd
Este comando ordena la creación de un objeto en el directorio

• user
Este modificador indica que el objeto que vamos a crear es un Usuario

• Después hay que indicar el nombre distintivo entre “ “ del usuario a crear.
 • cn=Laura,
Aquí estamos indicando el nombre que tendrá el Usuario

• ou=Aulas,ou=Segundo
Aquí estamos indicando en que Unidad Organizativa vamos a crear el usuario

• dc=ana,dc=local
Aquí indicamos que el objeto será creado en el dominio [Link]

• -pwd *
Este modificador lo que nos permite es especificar el password después de
lanzar el comando, la principal ventaja es que no tendría que estar integrada
en un fichero por lotes y no sería visible, aunque en un caso de crear muchos
usuarios de forma masiva lo mejor es establecer que el usuario cambia la
contraseña en el siguiente inicio de sesión.

Nos crea el usuario Carlos en la unidad organizativa Segundo, y ahora la cuenta del
usuario Carlos sí que está habilitada porque tiene contraseña, pero la contraseña al
teclearla no se ve, permanece oculta. Esto se debe a que hemos indicado el
parámetro -pwd con un asterisco (*).

5. AUTOMATIZAR EL PROCESO.
Ahora que hemos aprendido a crear usuarios y Unidades organizativas desde línea de
comando, vamos a Automatizar el proceso.

Para ello con el notepad creamos un fichero con nombres de personas.

Lo guardamos con codificación Unicode y con un nombre [Link].

Ahora creamos otro fichero llamado [Link] con el notepad con los siguientes
datos. Tipo ANSI

UN BUCLE:

Sintaxis:

FOR /F ["options"] %%parameter IN (filenameset) DO command

FOR /F ["options"] %%parameter IN ("Text string to process") DO command

%%i es la variable I que va a ir tomando los distintos valores que se le van a pasar en
el fichero [Link]

Do detrás del do se le dice lo que queremos que ejecute con cada uno de los valores
de i.

Tokens= es como decirle que tenemos dos campos definidos en el fichero de datos
de alumnos

Delims= le decimos que carácter vamos a utilizar para separar un campo de otro, es
decir para separar el nombre del alumno de la contraseña utilizo una,

Usebackq= este delimitador es para decirle que en el type utilizo las comas
invertidas.

Type [Link] = le decimos que nos visualice el contenido del fichero indicado.
Para ejecutar el fichero ponemos alta.

Ya vemos en la imagen como nos coge los nombres del fichero y nos los muestra,
ahora solo nos queda decirle que en vez de mostrar los nombres cree las cuentas de
cada uno de los usuarios en el sistema.

Esto se lo decimo con el do( dsadd user…y aquí la sintaxis del dsadd)
Si ahora nos vamos a usuarios, tendremos los usuarios creados

ESTRATEGIAS PARA NOMBRAR CUENTAS.

Crear nombres de cuentas de usuario parece una tarea trivial, y efectivamente lo es

cuando tenemos que crear un par de usuarios, pero se transforma en una tarea
mucho más complicada cuando queremos crear cientos, o incluso miles de cuentas
de usuario.

Pongamos por ejemplo que queremos crear una cuenta de usuario para cada alumno
del instituto

Francisco Romero Vargas, que cuenta con unos 900 alumnos. Evidentemente no
podemos usar el nombre (sin apellidos) como nombre de cuenta, o acabaremos con
cuentas como Jennifer32, dado que habrá muchos usuarios con el mismo nombre.

Es importante crear una estrategia de denominación de cuentas para nuestros

bosques y dominios, creando unas convenciones para nombrar cuentas. Ejemplos
validos de estrategias podrían ser, por ejemplo:
 • Usar los 2 pfor /?rimeros caracteres del nombre, los 2 caracteres primeros del
1º apellido y los 2 caracteres primeros del 2º apellido.

• Usar 3 caracteres para indicar el curso del alumno, los 3 caracteres primeros
del nombre y los 2 caracteres primeros del 1º apellido.

• Usar los 4 caracteres primeros del nombre del alumno, la inicial del 1º apellido,
la inicial del 2º apellido y los 2 últimos números del DNI del alumno.

Fijaros como la 2ª estrategia tiene la ventaja de que la simple cuenta de usuario nos
da información sobre el curso del alumno, por lo que tenemos más control que en los
otros dos casos.

Aparte de facilitar la creación de las cuentas de usuario, estas estrategias tienen la

gran ventaja de que nos permiten crear programas para crear automáticamente
cuentas de usuario. Así, podemos llegar a una empresa que cuenta con 200
empleados a los que tenemos que crear una cuenta de usuario.

Podemos crear un script o programa que leyendo una lista de los nombres de los
usuarios nos cree directamente las cuentas, usando nuestra estrategia definida para
nombrar las cuentas.
6. RESTO DE COMANDOS

Ya vimos anteriormente como mediante el comando dsadd podíamos crear cuentas

de usuario. Pues conjuntamente con este comando, también podemos usar los
siguientes comandos para la administración de usuarios:

• Dsadd. Añade usuarios.

• Dsrm. Elimina usuarios.

• Dsmod. Modifica usuarios.

• Dsmove. Mueve usuarios.

• Dsquery. Busca equipos en el directorio que coincidan con los criterios de

búsqueda

• Dsget. Muestra información sobre los usuarios.

6.1 ELIMINAR OBJETOS

 Si escribimos dsrm user /? desde la línea de comandos nos aparecerá una ayuda
sobre las opciones de dsrm. De igual modo podemos hacerlo con las restantes
órdenes.

• Eliminar una cuenta de usuario.

dsrm “nombre distintivo del usuario”

Eliminamos la cuenta del usuario.

Dsrm “Nombre distintivo de la unidad organizativa a borrar”

Ahora si nos da error puede ser porque esa unidad organizativa está protegida contra
eliminación accidental.

Como eliminar la protección contra eliminación accidental: Nos vamos a la unidad

organizativa y le quitamos la eliminación accidental y después nos dejara eliminarla.
6.2 MODIFICAR OBJETOS

• Modificar cuentas de usuarios.

• Restablecer la contraseña de un usuario. El formato de la orden sería:

dsmod user “nombre distintivo del usuario” –pwd “nueva contraseña”

• Para restablecer(modificar) la contraseña y obligarle a cambiar su contraseña

cuando a continuación inicie sesión en la red escriba.

Dsmod user “nombre distintivo “ –pwd P@ssword –mustchpwd yes

--Para que esto afecte a varios usuarios.

Dsmod user “nombre distintivo “ “nombre distintivo” –pwd P@ssword –

mustchpwd yes

• Para que el usuario no pueda cambiar su contraseña.

Dsmod user “nombre distintivo “ -canchpwd (no/yes) -canchpwd no

• Para que la contraseña del usuario nunca expire.

Dsmod user “nombre distintivo “ -pwdneverexpires (yes/no) yes

• Para que la cuenta del usuario expire en un número de días a partir de hoy.

0--> expira hoy

+1--> expira dentro de un día

-1 --> expiro en el pasado

never--> no expira nunca

Dsmod user “nombre distintivo “ -acctexpires 0 /+1/-1 never.

• Deshabilitar una cuenta de usuario.

dsmod user “nombre distintivo del usuario” –disabled yes

--Deshabilitar varias cuentas al mismo tiempo.

dsmod user “nombre distintivo del usuario” “nombre distintivo del usuario” –
disabled yes

Para cambiar la descripción de varias unidades organizativas al mismo tiempo -.

Dsmod Ou “OU=…” “OU=……” “OU=…” -desc “esto es una prueba de una unidad
organizativa”

6.3 DSQUERY

Consulta al AD mediante el uso de criterios de búsqueda. Cada uno de los comandos

dsquery encuentra objetos de un tipo de objeto especifico, con la excepción de
dsquery * que puede consultar cualquier tipo de objeto.

Dsquery ou Consulta ou nos retorna todas las unidades organizativas.

Dsquery computer Consulta pc. Busca equipos en el directorio que coincidan con los
criterios de búsqueda

Dsquery computer –name DC-200* Busca los equipos cuyo nombre comience por
DC-200

DSQUERY computer “ou=Aulas,dc=ana,dc=local” nos retorna los ordenador que

tengamos en esa unidad organizativa.
Dsquery server

Dsquery user Localiza los usuarios.

Dsquery user –name “Sara_*” Localiza los usuarios cuyo nombre sea Sara_ y
después cualquier cosa.

Dsquery user –name “Sara *” Localiza los usuarios cuyo nombre sea Sara luego un
espacio en blanco y a partir de ahí cualquier caracter.

• Dsquery user “OU=USUARIOS,dc=inclan,dc=local” Nos visualiza a todos los

usuarios que hay en esta unidad organizativa.

• Dsquery user “OU=USUARIOS,dc=inclan,dc=local” | dsget user –desc

Con dsget obtenemos las propiedades en este caso desc.

 • Dsquery user “OU=USUARIOS,dc=inclan,dc=local” | dsget user – mustchpwd

Dsquery user -name “pepe” |dsmod user -office “SANTANDER”

Dsquery user –name “Sacra *” | dsmod user –office “Alicante” –disabled yes.
Utilizamos el dsmod para modificar los atributos office y disabled de los usuarios que
nos devuelve el dsquery.

Modifica la Password para todos los usuarios de una Unidad Organizativa.

Dsquery user “OU=USUARIOS,dc=inclan,dc=local” |dsmod user -pwd Password1 –

mustchpwd yes.
6.4 DSGET /? Consultas al LADP desde línea de comando

Dsget es un comando que nos permitirá obtener información de los objetos del
Directorio Activo.

• Dsget OU /? Muestra las diversas propiedades de una U.O

Pod
emos ver los atributos de -dn y -desc de las unidades organizativas.

• Dsget server Muestra las propiedades de un controlador de dominio.

 • Dsget user Muestra las propiedades de un usuario

Ejemplo segundo de creación de usuarios.

Vamos a crear un fichero distinto llamado [Link] y vamos a poner comentarios

dentro del fichero y que luego el script no tenga en cuenta los comentarios que se
establece con #.
# alumnos nuevos

# formato

# [Link]; 2. Apellido; 3. Nombre upn;

# separador;
Nombre 1º Apellido 2º Apellido UPN Contraseña

Carlos;Alcazar;[Link]

Miguel;Bautista;[Link]

Juan Carlos;Bohoyo;[Link]

Ahora creamos el fichero [Link]

For /f “eol=# tokens=1,2,3 delims=; skip=1 usebackq” %%a in (`type [Link]`) do

(

Dsadd user “cn=%%a %%b,ou=alumnos,dc=inclan,dc=local” –pwd P@ssw0rd –upn %

%c@[Link])

Nombre upn Nombre principal único en todo el bosque

[Link]@[Link].

Eol=# con esto le decimos que desde que aparezca este carácter hasta final de línea
son comentarios.

Tokens=1,2,3 que hay tres campos

Skip=numero, siendo el numero de fila que no queremos que no ejecute.

CREACIÓN DE USUARIOS

ORGANIZACIÓN CON UNIDADES ORGANIZATIVAS.

En un centro educativo podríamos trabajar con UO profesores y alumnos, y equipos.

Administrar los equipos organizándolos por Aulas. No existe una solución ideal para
todos los casos, sino según cada caso.
Cuando veamos que a una U.O le podemos asociar una directiva de seguridad, pues
dependiendo de nuestras necesidades de seguridad nos llevara a crear unas U.O y
ordenar los objetos dentro de esas U.O para facilitarnos luego aplicar las directivas
de grupo.

Estas directivas que se aplican a una U.O pues entonces todas las U.O que hay debajo
heredan esas directivas.

Depende un poco de como vayamos a aplicar luego la seguridad si para mí los

profesores independientemente del departamento donde se encuentre va a tener las
mismas necesidades, lo lógico va a ser complicarnos lo menos posible y tenemos una
sola U.O donde se encuentran todos los usuarios profesores. Si los Alumnos si todos
van a tener las mismas necesidades, misma seguridad las mismas características los
ponemos en la misma U.O

Que queremos separar por ciclos formaticos por departamentos pues crearemos esas
U.O colgando de Alumnos
6.5 POWERSHELL

Desde un primer momento, Microsoft ha incluido una línea de comandos que ha

evolucionado a lo largo de los diferentes sistemas operativos que ha ido
desarrollando. Actualmente, está incluido en todos los sistemas operativos de
Microsoft.

Las órdenes en PowerShell (PS) son muchas, ya que su entorno ha crecido de tal
forma que se puede administrar casi cualquier característica de windows y de otras
aplicaciones sobre él.

PS tiene todas las características de [Link], pero, además, realiza otras tareas que
permiten el acceso a elementos internos más profundos de Windows. Otra
particularidad que lo diferencia de la línea de comandos y los sistemas de tipo Unix
es que está basado en objetos, de manera que se obtiene la información en forma de
objetos en lugar de texto.

PS no se define como una línea de comandos exclusivamente, sino que también

actúa como entorno basado en scripts, donde se pueden desarrollar comandos
propios o combinar varios para facilitar la gestión del sistema.
Existen dos opciones a la hora de ejecutar PS:

• Con entorno gráfico llamado PowerShell ISE (Integrated Scripting Enviroment)

• Con una consola de texto que se parece a la línea de comandos tradicional.

Windows PowerShell y el entorno de scripting integrado (ISE) de windows PowerShell

es una interfaz de consola diseñada para su uso por parte de administradores de
sistemas con el propósito de automatizar tareas o realizarlas de forma más
controlada. No requiere una inerfaz gráfica de usuario, por lo tanto, es idónea para
equipos que no tienen pantallas, monitores ni interfaz de usuario.

Powershell comenzó denominándose Monad durante su periodo de desarrollo, pero

termino llamándose PowerShell en el momento de su lanzamiento.

Todos los comandos reciben el nombre de cmdlets (de command-let) Para conocer
todos los cmdlets que hay disponibles en el sistema, basta.

Getget

Get-Command

Get-Command -Commandtype cmdlet | Measure-object

El Get-ChildItem cmdlet obtiene los elementos en una o más ubicaciones
especificadas

Set-location establece la ubicación actual en la unidad c:\

h---ocultos
s – archivo de sistema
d- directorio
a—archivo
r-- Lectura
Bootmgr --- gestor de arranque de windows.
niFcd