Introduction to Active Directory Administrative Center Enhancements (Level 100)

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 y Windows Server 2012.

El Centro de administración de Active Directory en Windows Server incluye características de administración para lo siguiente:

Papelera de reciclaje de Active Directory

La eliminación accidental de objetos de Active Directory es algo habitual entre los usuarios de los Servicios de dominio de Active Directory (AD DS) y Active Directory Lightweight Directory Services (AD LDS). En versiones anteriores de Windows Server, antes de Windows Server 2008 R2, se podían recuperar objetos eliminados accidentalmente en Active Directory, pero las soluciones tenían sus inconvenientes.

En Windows Server 2008, podía usar la característica Copias de seguridad de Windows Server y el comando de restauración autoritativa de ntdsutil para marcar objetos como autoritativos para garantizar que los datos restablecidos se replicaban a través del dominio. El inconveniente de la solución de restauración autoritativa era que debía realizarse en modo de restauración de servicios de directorio (DSRM). Durante DSRM, el controlador de dominio que se restauraba debía permanecer sin conexión. Por consiguiente, era incapaz de atender las solicitudes de los clientes.

En Windows Server 2003 Active Directory y Windows Server 2008 AD DS, podía recuperar los objetos de Active Directory eliminados a través de la reanimación de marcadores de exclusión. No obstante, no se recuperaban ni los atributos de valores vinculados de los objetos reanimados (por ejemplo, la pertenencia a grupos de las cuentas de usuario) que se quitaron físicamente, ni los atributos de valores no vinculados que se borraron. Por lo tanto, los administradores no podían confiar en la reanimación de marcadores de exclusión como solución final ante la eliminación accidental de objetos. Para obtener más información sobre la reanimación de marcadores de exclusión, vea Reanimación de objetos de desecho de Active Directory.

La papelera de reciclaje de Active Directory, desde Windows Server 2008 R2, aprovecha la infraestructura de reanimación de marcadores de exclusión existente y mejora su capacidad para preservar y recuperar los objetos de Active Directory eliminados accidentalmente.

Cuando se habilita la papelera de reciclaje de Active Directory, se conservan todos los atributos de valores vinculados y valores no vinculados de los objetos de Active Directory eliminados y, asimismo, se restauran los objetos completamente al mismo estado lógico y coherente en el que se encontraban antes de la eliminación. Por ejemplo, las cuentas de usuario restauradas recuperan automáticamente todas las pertenencias a grupos y los derechos de acceso correspondientes que tenían justo antes de la eliminación, tanto dentro de los dominios como entre ellos. La papelera de reciclaje de Active Directory funciona en entornos tanto AD DS como AD LDS. Para obtener una descripción detallada de Active Directory papelera de reciclaje, vea Novedades de AD DS: Active Directory papelera de reciclaje.

Novedades En Windows Server 2012 y versiones más recientes, la característica Active Directory papelera de reciclaje se ha mejorado con una nueva interfaz gráfica de usuario para que los usuarios administren y restaur los objetos eliminados. Los usuarios ahora pueden ubicar visualmente una lista de objetos eliminados y restaurarlos a sus ubicaciones originales y deseadas.

Si tiene previsto habilitar Active Directory papelera de reciclaje en Windows Server, tenga en cuenta lo siguiente:

  • De manera predeterminada, la papelera de reciclaje de Active Directory está deshabilitada. Para habilitarlo, primero debe elevar el nivel funcional del bosque de su entorno AD DS o AD LDS a Windows Server 2008 R2 o superior. Esto a su vez requiere que todos los controladores de dominio del bosque o todos los servidores que hospedan instancias de conjuntos de configuración de AD LDS ejecuten Windows Server 2008 R2 o superior.

  • El proceso de habilitar la papelera de reciclaje de Active Directory es irreversible. Una vez habilitada la papelera de reciclaje de Active Directory en el entorno, no se puede deshabilitar.

  • Para administrar la papelera de reciclaje a través de una interfaz de usuario, debe instalar la versión de Centro de administración de Active Directory en Windows Server 2012.

    Nota

    Puede usar Administrador del servidor para instalar Herramientas de administración remota del servidor (RSAT) para usar la versión correcta de Centro de administración de Active Directory para administrar papelera de reciclaje a través de una interfaz de usuario.

    Para obtener información sobre cómo instalar RSAT, consulte el artículo Herramientas de administración remota del servidor.

Procedimiento paso a paso de la papelera de reciclaje de Active Directory

En los pasos siguientes, usará ADAC para realizar las siguientes tareas Active Directory papelera de reciclaje en Windows Server 2012 :

Nota

Se requiere membresía del grupo Administradores de empresa o permisos equivalentes para realizar los siguientes pasos.

Paso 1: Elevar el nivel funcional del bosque

En este paso, elevará el nivel funcional del bosque. Primero debe aumentar el nivel funcional en el bosque de destino para que se Windows Server 2008 R2 como mínimo antes de habilitar Active Directory papelera de reciclaje.

Para elevar el nivel funcional en el bosque de destino

  1. Haga clic con el botón Windows PowerShell icono, haga clic en Ejecutar como administrador y escribadsac.exe para abrir ADAC.

  2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.

  3. Haga clic en el dominio de destino en el panel de navegación izquierdo, y en el panel de tareas, haga clic en Elevar el nivel funcional del bosque. Seleccione un nivel funcional de bosque que sea al menos Windows Server 2008 R2 o superior y, a continuación, haga clic en Aceptar.

Logotipo de PowerShell: muestra los comandos equivalentes de PowerShell para elevar el nivel funcional del bosque.Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

Set-ADForestMode -Identity contoso.com -ForestMode Windows2008R2Forest -Confirm:$false

Para el argumento -Identity, especifique el nombre de dominio DNS completo.

Paso 2: Enable Recycle Bin

En este paso, permitirá que la papelera de reciclaje restaure los objetos eliminados en AD DS.

Para habilitar la papelera de reciclaje de Active Directory en ADAC en el dominio de destino

  1. Haga clic con el botón Windows PowerShell icono, haga clic en Ejecutar como administrador y escribadsac.exe para abrir ADAC.

  2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.

  3. En el panel Tareas, haga clic en Habilitar papelera de reciclaje... en el panel Tareas, haga clic en Aceptar en el cuadro de mensaje de advertencia y después en Aceptar para actualizar el mensaje de ADAC.

  4. Presione F5 para actualizar ADAC.

Logotipo de PowerShell: muestra los comandos equivalentes de PowerShell para habilitar la papelera de reciclaje.Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

Enable-ADOptionalFeature -Identity 'CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com' -Scope ForestOrConfigurationSet -Target 'contoso.com'

Paso 3: Crear unidad organizativa, grupo y usuarios de prueba

En los siguientes procedimientos, creará dos usuarios de prueba. Después creará un grupo de prueba y le agregará usuarios. Además, creará un OU.

Para crear usuarios de prueba

  1. Haga clic con el botón Windows PowerShell icono, haga clic en Ejecutar como administrador y escribadsac.exe para abrir ADAC.

  2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.

  3. En el panel de tareas, haga clic en Nuevo y, a continuación, en Usuario.

    Captura de pantalla que muestra cómo crear un nuevo usuario de prueba.

  4. Escriba la siguiente información en Cuenta y haga clic en Aceptar:

    • Nombre completo: test1
    • Inicio de sesión SamAccountName de usuario: test1
    • Contraseña: p@ssword1
    • Confirmar contraseña: p@ssword1
  5. Repita los pasos anteriores para crear un segundo usuario, test2.

Para crear un grupo de prueba y agregarle usuarios

  1. Haga clic con el botón Windows PowerShell icono, haga clic en Ejecutar como administrador y escribadsac.exe para abrir ADAC.

  2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.

  3. En el panel de tareas, haga clic en Nuevo y, a continuación, haga clic en Grupo.

  4. Escriba la siguiente información en Grupo y haga clic en Aceptar:

    • Nombre del grupo:group1
  5. Haga clic en group1 y después en el panel Tareas, haga clic en Propiedades.

  6. Haga clic en Miembros, en Agregar, escriba test1;test2 y, a continuación, haga clic en Aceptar.

Logotipo de PowerShell: muestra los comandos equivalentes de PowerShell para agregar usuarios al grupo.Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

Add-ADGroupMember -Identity group1 -Member test1

Para crear una unidad organizativa

  1. Haga clic con el botón Windows PowerShell icono, haga clic en Ejecutar como administrador y escribadsac.exe para abrir ADAC.

  2. Haga clic en Administrar, haga clic en Agregar nodos de navegación, seleccione el dominio de destino adecuado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en **Aceptar.

  3. En el panel de tareas, haga clic en Nuevo y, a continuación, haga clic en Unidad organizativa.

  4. Escriba la siguiente información en Unidad organizativa y haga clic en Aceptar:

    • NameOU1

Logotipo de PowerShell: muestra los comandos equivalentes de PowerShell para crear una unidad organizativa.Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

1..2 | ForEach-Object {New-ADUser -SamAccountName test$_ -Name "test$_" -Path "DC=fabrikam,DC=com" -AccountPassword (ConvertTo-SecureString -AsPlainText "p@ssword1" -Force) -Enabled $true}
New-ADGroup -Name "group1" -SamAccountName group1 -GroupCategory Security -GroupScope Global -DisplayName "group1"
New-ADOrganizationalUnit -Name OU1 -Path "DC=fabrikam,DC=com"

Paso 4: Restaurar objetos eliminados

En los siguientes procedimientos, restaurará los objetos eliminados del contenedor Deleted Objects a su ubicación original o a una diferente.

Para restaurar los objetos eliminados a su ubicación original

  1. Haga clic con el Windows PowerShell, haga clic en Ejecutar como administrador y escribadsac.exe para abrir ADAC.

  2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.

  3. Seleccione los usuarios test1 y test2, haga clic en Eliminar en el panel Tareas y después haga clic en para confirmar la eliminación.

    Logotipo de PowerShell: muestra los comandos equivalentes de PowerShell para quitar usuarios.Windows PowerShell comandos equivalentes

    Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

    Get-ADUser -Filter 'Name -Like "*test*"'|Remove-ADUser -Confirm:$false
    
  4. Navegue al contenedor Deleted Objects, seleccione test2 y test1, y después haga clic en Restaurar en el panel de tareas.

  5. Para confirmar que los objetos se restauraron a su ubicación original, navegue al dominio de destino y compruebe que se enumeren las cuentas de usuario.

    Nota

    Si navega a las propiedades de las cuentas de usuario test1 y test2, y después hace clic en Miembro de, verá que su pertenencia al grupo también se restauró.

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

Logotipo de PowerShell: muestra los comandos equivalentes de PowerShell para restaurar objetos en su ubicación original.Windows PowerShell comandos equivalentes

Get-ADObject -Filter 'Name -Like "*test*"' -IncludeDeletedObjects | Restore-ADObject

Para restaurar objetos eliminados a una ubicación diferente

  1. Haga clic con el Windows PowerShell, haga clic en Ejecutar como administrador y escribadsac.exe para abrir ADAC.

  2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.

  3. Seleccione los usuarios test1 y test2, haga clic en Eliminar en el panel Tareas y después haga clic en para confirmar la eliminación.

  4. Navegue al contenedor Deleted Objects, seleccione test2 y test1, y después haga clic en Restaurar en el panel de tareas.

  5. Seleccione OU1 y haga clic en Aceptar.

  6. Para confirmar que los objetos se restauraron a OU1, navegue al dominio de destino, haga doble clic en OU1 y compruebe que las cuentas de usuario estén enumeradas.

Logotipo de PowerShell: muestra los comandos equivalentes de PowerShell para restaurar objetos eliminados en una ubicación diferente.Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

Get-ADObject -Filter 'Name -Like "*test*"' -IncludeDeletedObjects | Restore-ADObject -TargetPath "OU=OU1,DC=contoso,DC=com"

Directiva de contraseña específica

El sistema operativo Windows Server 2008 proporciona a las organizaciones un modo de definir diferentes directivas de bloqueo de cuentas y contraseñas para diversos conjuntos de usuarios del dominio. En los dominios de Active Directory anteriores a Windows Server 2008, solamente una directiva de bloqueo de cuenta o directiva de contraseña puede aplicarse a todos los usuarios en el dominio. Estas directivas se especificaron en la directiva de dominio predeterminado para el dominio. Como resultado, las organizaciones que querían diferentes configuraciones de bloqueo de cuentas y contraseñas para diferentes conjuntos de usuarios tenían que crear un filtro de contraseñas o implementar múltiples dominios. Ambas son opciones costosas.

Puede usar directivas de contraseña específica para especificar múltiples directivas de contraseña dentro de un único dominio y aplicar diferentes restricciones para directivas de bloqueo de cuentas y contraseñas a diferentes conjuntos de usuarios de un dominio. Por ejemplo, puede aplicar configuraciones más estrictas a cuentas privilegiadas y configuraciones menos estrictas a las cuentas de otros usuarios. En otros casos, probablemente quieras aplicar una directiva de contraseñas especiales para las cuentas cuyas contraseñas están sincronizadas con otros orígenes de datos. Para obtener una descripción detallada de la directiva de contraseña específica, consulte AD DS: directivas de contraseña muy específicas

Novedades

En Windows Server 2012 y versiones más recientes, la administración de directivas de contraseñas más detallada se hace más fácil y visual al proporcionar una interfaz de usuario para que los administradores de AD DS las administren en ADAC. Los administradores ahora pueden ver la directiva resultante de un usuario determinado, ver y ordenar todas las directivas de contraseñas dentro de un dominio determinado y administrar visualmente directivas de contraseñas individuales.

Si tiene previsto usar directivas de contraseñas específicas en Windows Server 2012, tenga en cuenta lo siguiente:

  • Las directivas de contraseñas específicas solo se aplican a grupos de seguridad globales y objetos de usuario (o a objetos inetOrgPerson si se usan en lugar de objetos de usuario). De manera predeterminada, solamente los miembros del grupo Administradores de dominio pueden establecer directivas de contraseña específica. No obstante, también puede delegar la capacidad de establecer estas directivas a otros usuarios. El nivel funcional del dominio debe ser Windows Server 2008 o posterior.

  • Debe usar la versión Windows Server 2012 o más reciente de Centro de administración de Active Directory para administrar directivas de contraseñas específicas a través de una interfaz gráfica de usuario.

    Nota

    Puede usar Administrador del servidor para instalar Herramientas de administración remota del servidor (RSAT) para usar la versión correcta de Centro de administración de Active Directory para administrar papelera de reciclaje a través de una interfaz de usuario.

    Para obtener información sobre la instalación de RSAT, consulte el artículo Herramientas de administración remota del servidor.

Procedimiento paso a paso para las directivas de contraseña específica

En los pasos siguientes, usará el ADAC para realizar las siguientes tareas de directiva de contraseña específica:

Nota

Para realizar los siguientes pasos, es necesario pertenecer al grupo Administradores de dominio o tener permisos equivalentes.

Paso 1: Elevar el nivel funcional del dominio

En el procedimiento siguiente, elevará el nivel funcional del dominio de destino a Windows Server 2008 o superior. Se requiere un nivel funcional de dominio Windows Server 2008 o posterior para habilitar directivas de contraseñas específicas.

Para elevar el nivel funcional del dominio
  1. Haga clic con el Windows PowerShell, haga clic en Ejecutar como administrador y escribadsac.exe para abrir ADAC.

  2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.

  3. Haga clic en el dominio de destino en el panel de navegación izquierdo, y en el panel Tareas, haga clic en Elevar el nivel funcional del dominio. Seleccione un nivel funcional de bosque que sea al menos Windows Server 2008 o superior y, a continuación, haga clic en Aceptar.

Logotipo de PowerShell: muestra los comandos equivalentes de PowerShell para elevar el nivel funcional del dominio.Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

Set-ADDomainMode -Identity contoso.com -DomainMode 3

Paso 2: Crear unidad organizativa, grupo y usuarios de prueba

Para crear los usuarios de prueba y el grupo necesarios para este paso, siga los procedimientos que se encuentran aquí: Paso 3: Creación de usuarios de prueba, grupo y unidad organizativa (no es necesario crear la unidad organizativa para mostrar la directiva de contraseñas detallada).

Paso 3: Crear una directiva de contraseña específica nueva

En el siguiente procedimiento, creará una directiva de contraseña específica nueva usando la UI en el ADAC.

Para crear una directiva de contraseña específica nueva
  1. Haga clic con el Windows PowerShell, haga clic en Ejecutar como administrador y escribadsac.exe para abrir ADAC.

  2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.

  3. En el panel de navegación de ADAC, abra el contenedor System y, a continuación, haga clic en Password Settings Container.

  4. En el panel Tareas, haga clic en Nuevo y, a continuación, haga clic en Configuración de contraseña.

    Complete o edite los campos dentro de la página de propiedades para crear un nuevo objeto de Configuración de contraseña. Los campos Nombre y Precedencia son necesarios.

    Captura de pantalla que muestra cómo crear o editar la configuración de contraseñas.

  5. En Se aplica directamente a, en Agregar, escriba grupo1y, a continuación, haga clic en Aceptar.

    Así se asocia el objeto de directiva de contraseña con los miembros del grupo global que creó para el entorno de prueba.

  6. Haga clic en Aceptar para enviar la creación.

Logotipo de PowerShell: muestra los comandos equivalentes de PowerShell para crear una nueva directiva de contraseñas detallada.Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

New-ADFineGrainedPasswordPolicy TestPswd -ComplexityEnabled:$true -LockoutDuration:"00:30:00" -LockoutObservationWindow:"00:30:00" -LockoutThreshold:"0" -MaxPasswordAge:"42.00:00:00" -MinPasswordAge:"1.00:00:00" -MinPasswordLength:"7" -PasswordHistoryCount:"24" -Precedence:"1" -ReversibleEncryptionEnabled:$false -ProtectedFromAccidentalDeletion:$true
Add-ADFineGrainedPasswordPolicySubject TestPswd -Subjects group1

Paso 4: Ver un conjunto de directivas resultante para un usuario

En el siguiente procedimiento, verá la configuración de contraseña resultante para un usuario que es miembro del grupo al que le asignó una directiva de contraseña específica en el Paso 3: Crear una directiva de contraseña específica.

Para ver un conjunto de directivas resultante para un usuario
  1. Haga clic con el Windows PowerShell, haga clic en Ejecutar como administrador y escribadsac.exe para abrir ADAC.

  2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.

  3. Seleccione un usuario, test1 que pertenezca al grupo group1 con el que asoció una directiva de contraseña específica en el Paso 3: Crear una directiva de contraseña específica.

  4. Haga clic en Ver configuración de contraseña resultante en el panel Tareas.

  5. Examine la directiva de configuración de contraseñas y haga clic en Cancelar.

Logotipo de PowerShell: muestra los comandos equivalentes de PowerShell para ver un conjunto resultante de directivas para un usuario.Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

Get-ADUserResultantPasswordPolicy test1

Paso 5: Editar una directiva de contraseña específica

En el siguiente procedimiento, editará la directiva de contraseña específica que creó en el Paso 3: Crear una directiva de contraseña específica

Para editar una directiva de contraseña específica
  1. Haga clic con el botón Windows PowerShell, haga clic en Ejecutar como administrador y escribadsac.exe para abrir ADAC.

  2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.

  3. En el panel de navegación del ADAC, expanda Sistema y haga clic en Contenedor de configuraciones de contraseña.

  4. Seleccione la directiva de contraseña específica que creó en el Paso 3: Crear una directiva de contraseña específica y haga clic en Propiedades en el panel de tareas.

  5. En Exigir historial de contraseñas, cambie el valor de Número de contraseñas recordadas a 30.

  6. Haga clic en OK.

Logotipo de PowerShell: muestra los comandos equivalentes de PowerShell para editar una directiva de contraseñas detallada.Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

Set-ADFineGrainedPasswordPolicy TestPswd -PasswordHistoryCount:"30"

Paso 6: Eliminar una directiva de contraseña específica

Para eliminar una directiva de contraseña específica
  1. Haga clic con el botón Windows PowerShell, haga clic en Ejecutar como administrador y escribadsac.exe para abrir ADAC.

  2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.

  3. En el panel de navegación del ADAC, expanda Sistema y haga clic en Contenedor de configuraciones de contraseña.

  4. Seleccione la directiva de contraseña específica que creó en el Paso 3: Crear una directiva de contraseña específica y haga clic en Propiedades en el panel de tareas.

  5. Desactive la casilla Proteger contra eliminación accidental y haga clic en Aceptar.

  6. Seleccione la directiva de contraseña específica y, en el panel de tarea, haga clic en Eliminar.

  7. Haga clic en Aceptar en el cuadro de diálogo de confirmación.

Introducción al centro de administración de ADWindows PowerShell comandosequivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

Set-ADFineGrainedPasswordPolicy -Identity TestPswd -ProtectedFromAccidentalDeletion $False
Remove-ADFineGrainedPasswordPolicy TestPswd -Confirm

Visor del historial de Windows PowerShell

El ADAC es una herramienta de interfaz de usuario creada sobre Windows PowerShell. En Windows Server 2012 y versiones más recientes, los administradores de TI pueden aprovechar ADAC para aprender Windows PowerShell para los cmdlets Active Directory mediante el Visor de historial Windows PowerShell datos. A medida que las acciones se ejecutan en la interfaz de usuario, el comando de Windows PowerShell equivalente se muestra al usuario en el Visor del historial de Windows PowerShell. Esto permite que los administradores creen scripts automatizados y reduzcan las tareas repetitivas, y así aumente la productividad de TI. Además, esta característica reduce el tiempo para aprender Windows PowerShell para Active Directory y aumenta la confianza de los usuarios en la corrección de sus scripts de automatización.

Al usar el Visor Windows PowerShell historial de Windows Server 2012 o una versión más reciente, tenga en cuenta lo siguiente:

  • Para usar Windows PowerShell visor de scripts, debe usar la Windows Server 2012 o una versión más reciente de ADAC.

    Nota

    Puede usar Administrador del servidor para instalar Herramientas de administración remota del servidor (RSAT) para usar la versión correcta de Centro de administración de Active Directory para administrar papelera de reciclaje a través de una interfaz de usuario.

    Para obtener información sobre la instalación de RSAT, consulte el artículo Herramientas de administración remota del servidor.

  • Tener un conocimiento básico de Windows PowerShell. Por ejemplo, tiene que saber cómo canalizar trabajos de Windows PowerShell. Para obtener más información acerca de cómo canalizar en Windows PowerShell, vea el tema sobre la canalización en Windows PowerShell.

Procedimiento paso a paso para el Visor del historial de Windows PowerShell

En el siguiente procedimiento, usará el Visor del historial de Windows PowerShell en el ADAC para crear un script de Windows PowerShell. Antes de comenzar, quite el usuario test1 del grupo group1.

Para crear un script mediante el uso del Visor del historial de PowerShell

  1. Haga clic con el botón Windows PowerShell, haga clic en Ejecutar como administrador y escribadsac.exe para abrir ADAC.

  2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.

  3. Expanda el panel Historial de Windows PowerShell en la parte inferior de la pantalla del ADAC.

  4. Seleccione el usuario test1.

  5. Haga clic en Agregar al grupo... en el panel Tareas.

  6. Navegue a group1 y haga clic en Aceptar en el cuadro de diálogo.

  7. Navegue al panel Historial de Windows PowerShell y ubique el comando que acaba de generar.

  8. Copie el comando y péguelo en el editor deseado para crear su script.

    Por ejemplo, puede modificar el comando para agregar un usuario diferente a group1 o agregar test1 a un grupo diferente.

Consulte también

Advanced AD DS Management Using Active Directory Administrative Center (Level 200)