Introduction to Active Directory Administrative Center Enhancements (Level 100)Introduction to Active Directory Administrative Center Enhancements (Level 100)

Se aplica a: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

El Centro de administración de Active Directory en Windows Server incluye características de administración para lo siguiente:The Active Directory Administrative Center in Windows Server includes management features for the following:

Papelera de reciclaje de Active DirectoryActive Directory Recycle Bin

La eliminación accidental de objetos de Active Directory es algo habitual entre los usuarios de los Servicios de dominio de Active Directory (AD DS) y Active Directory Lightweight Directory Services (AD LDS).Accidental deletion of Active Directory objects is a common occurrence for users of Active Directory Domain Services (AD DS) and Active Directory Lightweight Directory Services (AD LDS). En las versiones anteriores de Windows Server, antes de Windows Server 2008 R2, se podían recuperar objetos eliminados accidentalmente en Active Directory, pero las soluciones tenían sus desventajas.In past versions of Windows Server, prior to Windows Server 2008 R2 , one could recover accidentally deleted objects in Active Directory, but the solutions had their drawbacks.

En Windows Server 2008, podía usar la característica Copias de seguridad de Windows Server y el comando de restauración autoritativa de ntdsutil para marcar objetos como autoritativos para garantizar que los datos restablecidos se replicaban a través del dominio.In Windows Server 2008, you could use the Windows Server Backup feature and ntdsutil authoritative restore command to mark objects as authoritative to ensure that the restored data was replicated throughout the domain. El inconveniente de la solución de restauración autoritativa era que debía realizarse en modo de restauración de servicios de directorio (DSRM).The drawback to the authoritative restore solution was that it had to be performed in Directory Services Restore Mode (DSRM). Durante DSRM, el controlador de dominio que se restauraba debía permanecer sin conexión.During DSRM, the domain controller being restored had to remain offline. Por consiguiente, era incapaz de atender las solicitudes de los clientes.Therefore, it was not able to service client requests.

En Windows Server 2003 Active Directory y Windows Server 2008 AD DS, podía recuperar los objetos de Active Directory eliminados a través de la reanimación de marcadores de exclusión.In Windows Server 2003 Active Directory and Windows Server 2008 AD DS, you could recover deleted Active Directory objects through tombstone reanimation. No obstante, no se recuperaban ni los atributos de valores vinculados de los objetos reanimados (por ejemplo, la pertenencia a grupos de las cuentas de usuario) que se quitaron físicamente, ni los atributos de valores no vinculados que se borraron.However, reanimated objects' link-valued attributes (for example, group memberships of user accounts) that were physically removed and non-link-valued attributes that were cleared were not recovered. Por lo tanto, los administradores no podían confiar en la reanimación de marcadores de exclusión como solución final ante la eliminación accidental de objetos.Therefore, administrators could not rely on tombstone reanimation as the ultimate solution to accidental deletion of objects. Para obtener más información sobre la reanimación de marcadores de exclusión, vea Reanimación de objetos de desecho de Active Directory.For more information about tombstone reanimation, see Reanimating Active Directory Tombstone Objects.

La papelera de reciclaje de Active Directory, desde Windows Server 2008 R2, aprovecha la infraestructura de reanimación de marcadores de exclusión existente y mejora su capacidad para preservar y recuperar los objetos de Active Directory eliminados accidentalmente.Active Directory Recycle Bin, starting in Windows Server 2008 R2, builds on the existing tombstone reanimation infrastructure and enhances your ability to preserve and recover accidentally deleted Active Directory objects.

Cuando se habilita la papelera de reciclaje de Active Directory, se conservan todos los atributos de valores vinculados y valores no vinculados de los objetos de Active Directory eliminados y, asimismo, se restauran los objetos completamente al mismo estado lógico y coherente en el que se encontraban antes de la eliminación.When you enable Active Directory Recycle Bin, all link-valued and non-link-valued attributes of the deleted Active Directory objects are preserved and the objects are restored in their entirety to the same consistent logical state that they were in immediately before deletion. Por ejemplo, las cuentas de usuario restauradas recuperan automáticamente todas las pertenencias a grupos y los derechos de acceso correspondientes que tenían justo antes de la eliminación, tanto dentro de los dominios como entre ellos.For example, restored user accounts automatically regain all group memberships and corresponding access rights that they had immediately before deletion, within and across domains. La papelera de reciclaje de Active Directory funciona en entornos tanto AD DS como AD LDS.Active Directory Recycle Bin works for both AD DS and AD LDS environments. Para obtener una descripción detallada de Active Directory papelera de reciclaje, consulte novedades de AD DS: Active Directory papelera de reciclaje.For a detailed description of Active Directory Recycle Bin, see What's New in AD DS: Active Directory Recycle Bin.

NovedadesWhat's new? En Windows Server 2012 y versiones más recientes, la característica de papelera de reciclaje de Active Directory se ha mejorado con una nueva interfaz gráfica de usuario para que los usuarios puedan administrar y restaurar objetos eliminados.In Windows Server 2012 and newer, the Active Directory Recycle Bin feature is enhanced with a new graphical user interface for users to manage and restore deleted objects. Los usuarios ahora pueden ubicar visualmente una lista de objetos eliminados y restaurarlos a sus ubicaciones originales y deseadas.Users can now visually locate a list of deleted objects and restore them to their original or desired locations.

Si planea habilitar Active Directory papelera de reciclaje en Windows Server, tenga en cuenta lo siguiente:If you plan to enable Active Directory Recycle Bin in Windows Server, consider the following:

  • De manera predeterminada, la papelera de reciclaje de Active Directory está deshabilitada.By default, Active Directory Recycle Bin is disabled. Para habilitarla, primero debe elevar el nivel funcional del bosque de su AD DS o AD LDS entorno a Windows Server 2008 R2 o posterior.To enable it, you must first raise the forest functional level of your AD DS or AD LDS environment to Windows Server 2008 R2 or higher. Esto a su vez requiere que todos los controladores de dominio del bosque o todos los servidores que hospedan instancias de AD LDS conjuntos de configuración ejecuten Windows Server 2008 R2 o posterior.This in turn requires that all domain controllers in the forest or all servers that host instances of AD LDS configuration sets be running Windows Server 2008 R2 or higher.

  • El proceso de habilitar la papelera de reciclaje de Active Directory es irreversible.The process of enabling Active Directory Recycle Bin is irreversible. Una vez habilitada la papelera de reciclaje de Active Directory en el entorno, no se puede deshabilitar.After you enable Active Directory Recycle Bin in your environment, you cannot disable it.

  • Para administrar la característica de la papelera de reciclaje a través de una interfaz de usuario, debe instalar la versión de Centro de administración de Active Directory en Windows Server 2012.To manage the Recycle Bin feature through a user interface, you must install the version of Active Directory Administrative Center in Windows Server 2012.

    Nota

    Puede usar Administrador del servidor para instalar herramientas de administración remota del servidor (RSAT) para usar la versión correcta de centro de administración de Active Directory para administrar la papelera de reciclaje a través de una interfaz de usuario.You can use Server Manager to install Remote Server Administration Tools (RSAT) to use the correct version of Active Directory Administrative Center to manage Recycle Bin through a user interface.

    Para obtener información sobre cómo instalar RSAT, consulte el artículo herramientas de administración remota del servidor.For information about installing RSAT, see the article Remote Server Administration Tools.

Procedimiento paso a paso de la papelera de reciclaje de Active DirectoryActive Directory Recycle Bin step-by-step

En los pasos siguientes, usará ADAC para realizar las siguientes tareas Active Directory de la papelera de reciclaje en Windows Server 2012:In the following steps, you will use ADAC to perform the following Active Directory Recycle Bin tasks in Windows Server 2012 :

Nota

Se requiere membresía del grupo Administradores de empresa o permisos equivalentes para realizar los siguientes pasos.Membership in the Enterprise Admins group or equivalent permissions is required to perform the following steps.

Paso 1: Elevar el nivel funcional del bosqueStep 1: Raise the forest functional level

En este paso, elevará el nivel funcional del bosque.In this step, you will raise the forest functional level. Primero debe elevar el nivel funcional en el bosque de destino para que sea Windows Server 2008 R2 como mínimo antes de habilitar la papelera de reciclaje de Active Directory.You must first raise the functional level on the target forest to be Windows Server 2008 R2 at a minimum before you enable Active Directory Recycle Bin.

Para elevar el nivel funcional en el bosque de destinoTo raise the functional level on the target forest

  1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en Ejecutar como administrador y escriba dsac.exe para abrir ADAC.Right click the Windows PowerShell icon, click Run as Administrator and type dsac.exe to open ADAC.

  2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.Click Manage, click Add Navigation Nodes and select the appropriate target domain in the Add Navigation Nodes dialog box and then click OK.

  3. Haga clic en el dominio de destino en el panel de navegación izquierdo, y en el panel de tareas, haga clic en Elevar el nivel funcional del bosque.Click the target domain in the left navigation pane and in the Tasks pane, click Raise the forest functional level. Seleccione un nivel funcional del bosque que sea como mínimo Windows Server 2008 R2 o posterior y, a continuación, haga clic en Aceptar.Select a forest functional level that is at least Windows Server 2008 R2 or higher and then click OK.

Introducción a loscomandos equivalentes de Windows PowerShell del centro de administración de adIntro to AD Admin centerWindows PowerShell equivalent commands

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior.The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.

Set-ADForestMode -Identity contoso.com -ForestMode Windows2008R2Forest -Confirm:$false

En el argumento -Identity , especifique el nombre de dominio DNS completo.For the -Identity argument, specify the fully qualified DNS domain name.

Paso 2: Enable Recycle BinStep 2: Enable Recycle Bin

En este paso, permitirá que la papelera de reciclaje restaure los objetos eliminados en AD DS.In this step, you will enable the Recycle Bin to restore deleted objects in AD DS.

Para habilitar la papelera de reciclaje de Active Directory en ADAC en el dominio de destinoTo enable Active Directory Recycle Bin in ADAC on the target domain

  1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en Ejecutar como administrador y escriba dsac.exe para abrir ADAC.Right click the Windows PowerShell icon, click Run as Administrator and type dsac.exe to open ADAC.

  2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.Click Manage, click Add Navigation Nodes and select the appropriate target domain in the Add Navigation Nodes dialog box and then click OK.

  3. En el panel Tareas, haga clic en Habilitar papelera de reciclaje... en el panel Tareas, haga clic en Aceptar en el cuadro de mensaje de advertencia y después en Aceptar para actualizar el mensaje de ADAC.In the Tasks pane, click Enable Recycle Bin ... in the Tasks pane, click OK on the warning message box, and then click OK to the refresh ADAC message.

  4. Presione F5 para actualizar ADAC.Press F5 to refresh ADAC.

Introducción a loscomandos equivalentes de Windows PowerShell del centro de administración de adIntro to AD Admin centerWindows PowerShell equivalent commands

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior.The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.

Enable-ADOptionalFeature -Identity 'CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com' -Scope ForestOrConfigurationSet -Target 'contoso.com'

Paso 3: Crear unidad organizativa, grupo y usuarios de pruebaStep 3: Create test users, group and organizational unit

En los siguientes procedimientos, creará dos usuarios de prueba.In the following procedures, you will create two test users. Después creará un grupo de prueba y le agregará usuarios.You will then create a test group and add the test users to the group. Además, creará un OU.In addition, you will create an OU.

Para crear usuarios de pruebaTo create test users

  1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en Ejecutar como administrador y escriba dsac.exe para abrir ADAC.Right click the Windows PowerShell icon, click Run as Administrator and type dsac.exe to open ADAC.

  2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.Click Manage, click Add Navigation Nodes and select the appropriate target domain in the Add Navigation Nodes dialog box and then click OK.

  3. En el panel de tareas, haga clic en Nuevo y, a continuación, en Usuario.In the Tasks pane, click New and then click User.

    Introducción al centro de administración de AD

  4. Escriba la siguiente información en Cuenta y haga clic en Aceptar:Enter the following information under Account and then click OK:

    • Nombre completo: test1Full name: test1
    • Inicio de sesión SamAccountName de usuario: test1User SamAccountName logon: test1
    • Contraseña: p@ssword1Password: p@ssword1
    • Confirmar contraseña: p@ssword1Confirm password: p@ssword1
  5. Repita los pasos anteriores para crear un segundo usuario, test2.Repeat the previous steps to create a second user, test2.

Para crear un grupo de prueba y agregarle usuariosTo create a test group and add users to the group

  1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en Ejecutar como administrador y escriba dsac.exe para abrir ADAC.Right click the Windows PowerShell icon, click Run as Administrator and type dsac.exe to open ADAC.

  2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.Click Manage, click Add Navigation Nodes and select the appropriate target domain in the Add Navigation Nodes dialog box and then click OK.

  3. En el panel de tareas, haga clic en Nuevo y, a continuación, haga clic en Grupo.In the Tasks pane, click New and then click Group.

  4. Escriba la siguiente información en Grupo y haga clic en Aceptar:Enter the following information under Group and then click OK:

    • Nombre de Grupo: Grupo1Group name:group1
  5. Haga clic en group1 y después en el panel Tareas, haga clic en Propiedades.Click group1, and then under the Tasks pane, click Properties.

  6. Haga clic en Miembros, en Agregar, escriba test1;test2 y, a continuación, haga clic en Aceptar.Click Members, click Add, type test1;test2, and then click OK.

Introducción a loscomandos equivalentes de Windows PowerShell del centro de administración de adIntro to AD Admin centerWindows PowerShell equivalent commands

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior.The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.

Add-ADGroupMember -Identity group1 -Member test1

Para crear una unidad organizativaTo create an organizational unit

  1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en Ejecutar como administrador y escriba dsac.exe para abrir ADAC.Right click the Windows PowerShell icon, click Run as Administrator and type dsac.exe to open ADAC.

  2. Haga clic en administrar, en agregar nodos de navegación y seleccione el dominio de destino adecuado en el cuadro de diálogo agregar nodos de navegación y, a continuación, haga clic en * * Aceptar.Click Manage, click Add Navigation Nodes and select the appropriate target domain in the Add Navigation Nodes dialog box and then click **OK

  3. En el panel de tareas, haga clic en Nuevo y, a continuación, haga clic en Unidad organizativa.In the Tasks pane, click New and then click Organizational Unit.

  4. Escriba la siguiente información en Unidad organizativa y haga clic en Aceptar:Enter the following information under Organizational Unit and then click OK:

    • NameOU1NameOU1

Introducción a loscomandos equivalentes de Windows PowerShell del centro de administración de adIntro to AD Admin centerWindows PowerShell equivalent commands

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior.The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.

1..2 | ForEach-Object {New-ADUser -SamAccountName test$_ -Name "test$_" -Path "DC=fabrikam,DC=com" -AccountPassword (ConvertTo-SecureString -AsPlainText "p@ssword1" -Force) -Enabled $true}
New-ADGroup -Name "group1" -SamAccountName group1 -GroupCategory Security -GroupScope Global -DisplayName "group1"
New-ADOrganizationalUnit -Name OU1 -Path "DC=fabrikam,DC=com"

Paso 4: Restaurar objetos eliminadosStep 4: Restore deleted objects

En los siguientes procedimientos, restaurará los objetos eliminados del contenedor Deleted Objects a su ubicación original o a una diferente.In the following procedures, you will restore deleted objects from the Deleted Objects container to their original location and to a different location.

Para restaurar los objetos eliminados a su ubicación originalTo restore deleted objects to their original location

  1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en Ejecutar como administrador y escriba dsac.exe para abrir ADAC.Right click the Windows PowerShell icon, click Run as Administrator and type dsac.exe to open ADAC.

  2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.Click Manage, click Add Navigation Nodes and select the appropriate target domain in the Add Navigation Nodes dialog box and then click OK.

  3. Seleccione los usuarios test1 y test2, haga clic en Eliminar en el panel Tareas y después haga clic en para confirmar la eliminación.Select users test1 and test2, click Delete in the Tasks pane and then click Yes to confirm the deletion.

    Introducción a loscomandos equivalentes de Windows PowerShell del centro de administración de adIntro to AD Admin centerWindows PowerShell equivalent commands

    Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior.The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.

    Get-ADUser -Filter 'Name -Like "*test*"'|Remove-ADUser -Confirm:$false
    
  4. Navegue al contenedor Deleted Objects, seleccione test2 y test1, y después haga clic en Restaurar en el panel de tareas.Navigate to the Deleted Objects container, select test2 and test1 and then click Restore in the Tasks pane.

  5. Para confirmar que los objetos se restauraron a su ubicación original, navegue al dominio de destino y compruebe que se enumeren las cuentas de usuario.To confirm the objects were restored to their original location, navigate to the target domain and verify the user accounts are listed.

    Nota

    Si navega a las propiedades de las cuentas de usuario test1 y test2, y después hace clic en Miembro de, verá que su pertenencia al grupo también se restauró.If you navigate to the Properties of the user accounts test1 and test2 and then click Member Of, you will see that their group membership was also restored.

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior.The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.

Introducción a loscomandos equivalentes de Windows PowerShell del centro de administración de adIntro to AD Admin centerWindows PowerShell equivalent commands

Get-ADObject -Filter 'Name -Like "*test*"' -IncludeDeletedObjects | Restore-ADObject

Para restaurar objetos eliminados a una ubicación diferenteTo restore deleted objects to a different location

  1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en Ejecutar como administrador y escriba dsac.exe para abrir ADAC.Right click the Windows PowerShell icon, click Run as Administrator and type dsac.exe to open ADAC.

  2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.Click Manage, click Add Navigation Nodes and select the appropriate target domain in the Add Navigation Nodes dialog box and then click OK.

  3. Seleccione los usuarios test1 y test2, haga clic en Eliminar en el panel Tareas y después haga clic en para confirmar la eliminación.Select users test1 and test2, click Delete in the Tasks pane and then click Yes to confirm the deletion.

  4. Navegue al contenedor Deleted Objects, seleccione test2 y test1, y después haga clic en Restaurar en el panel de tareas.Navigate to the Deleted Objects container, select test2 and test1 and then click Restore To in the Tasks pane.

  5. Seleccione OU1 y haga clic en Aceptar.Select OU1 and then click OK.

  6. Para confirmar que los objetos se restauraron a OU1, navegue al dominio de destino, haga doble clic en OU1 y compruebe que las cuentas de usuario estén enumeradas.To confirm the objects were restored to OU1, navigate to the target domain, double click OU1 and verify the user accounts are listed.

Introducción a loscomandos equivalentes de Windows PowerShell del centro de administración de adIntro to AD Admin centerWindows PowerShell equivalent commands

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior.The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.

Get-ADObject -Filter 'Name -Like "*test*"' -IncludeDeletedObjects | Restore-ADObject -TargetPath "OU=OU1,DC=contoso,DC=com"

Directiva de contraseña específicaFine-Grained Password Policy

El sistema operativo Windows Server 2008 proporciona a las organizaciones un modo de definir diferentes directivas de bloqueo de cuentas y contraseñas para diversos conjuntos de usuarios del dominio.The Windows Server 2008 operating system provides organizations with a way to define different password and account lockout policies for different sets of users in a domain. En los dominios de Active Directory anteriores a Windows Server 2008, solamente una directiva de bloqueo de cuenta o directiva de contraseña puede aplicarse a todos los usuarios en el dominio.In Active Directory domains prior to Windows Server 2008, only one password policy and account lockout policy could be applied to all users in the domain. Estas directivas se especificaron en la directiva de dominio predeterminado para el dominio.These policies were specified in the Default Domain Policy for the domain. Como resultado, las organizaciones que querían diferentes configuraciones de bloqueo de cuentas y contraseñas para diferentes conjuntos de usuarios tenían que crear un filtro de contraseñas o implementar múltiples dominios.As a result, organizations that wanted different password and account lockout settings for different sets of users had to either create a password filter or deploy multiple domains. Ambas son opciones costosas.Both are costly options.

Puede usar directivas de contraseña específica para especificar múltiples directivas de contraseña dentro de un único dominio y aplicar diferentes restricciones para directivas de bloqueo de cuentas y contraseñas a diferentes conjuntos de usuarios de un dominio.You can use fine-grained password policies to specify multiple password policies within a single domain and apply different restrictions for password and account lockout policies to different sets of users in a domain. Por ejemplo, puede aplicar configuraciones más estrictas a cuentas privilegiadas y configuraciones menos estrictas a las cuentas de otros usuarios.For example, you can apply stricter settings to privileged accounts and less strict settings to the accounts of other users. En otros casos, probablemente quieras aplicar una directiva de contraseñas especiales para las cuentas cuyas contraseñas están sincronizadas con otros orígenes de datos.In other cases, you might want to apply a special password policy for accounts whose passwords are synchronized with other data sources. Para obtener una descripción detallada de la directiva de contraseña específica, consulte AD DS: directivas de contraseña muy específicasFor a detailed description of Fine-Grained Password Policy, see AD DS: Fine-Grained Password Policies

NovedadesWhat's new?

En Windows Server 2012 y la administración de directivas de contraseña específica más reciente se hace más fácil y visual proporcionando una interfaz de usuario para que los administradores de AD DS puedan administrarlos en ADAC.In Windows Server 2012 and newer, fine-grained password policy management is made easier and more visual by providing a user interface for AD DS administrators to manage them in ADAC. Los administradores ahora pueden ver una directiva resultante de un usuario determinado, ver y ordenar todas las directivas de contraseña dentro de un dominio determinado y administrar visualmente las directivas de contraseña individuales.Administrators can now view a given user's resultant policy, view and sort all password policies within a given domain, and manage individual password policies visually.

Si planea usar directivas de contraseña específica en Windows Server 2012, tenga en cuenta lo siguiente:If you plan to use fine-grained password policies in Windows Server 2012, consider the following:

  • Las directivas de contraseña específica se aplican solo a los grupos de seguridad globales y los objetos de usuario (o los objetos inetOrgPerson si se usan en lugar de los objetos de usuario).Fine-grained password policies apply only to global security groups and user objects (or inetOrgPerson objects if they are used instead of user objects). De manera predeterminada, solamente los miembros del grupo Administradores de dominio pueden establecer directivas de contraseña específica.By default, only members of the Domain Admins group can set fine-grained password policies. No obstante, también puede delegar la capacidad de establecer estas directivas a otros usuarios.However, you can also delegate the ability to set these policies to other users. El nivel funcional del dominio debe ser Windows Server 2008 o posterior.The domain functional level must be Windows Server 2008 or higher.

  • Debe usar Windows Server 2012 o una versión más reciente de Centro de administración de Active Directory para administrar directivas de contraseña específica a través de una interfaz gráfica de usuario.You must use the Windows Server 2012 or newer version of Active Directory Administrative Center to administer fine-grained password policies through a graphical user interface.

    Nota

    Puede usar Administrador del servidor para instalar herramientas de administración remota del servidor (RSAT) para usar la versión correcta de centro de administración de Active Directory para administrar la papelera de reciclaje a través de una interfaz de usuario.You can use Server Manager to install Remote Server Administration Tools (RSAT) to use the correct version of Active Directory Administrative Center to manage Recycle Bin through a user interface.

    Para obtener información sobre cómo instalar RSAT, consulte el artículo herramientas de administración remota del servidor.For information about installing RSAT, see the article Remote Server Administration Tools.

Procedimiento paso a paso para las directivas de contraseña específicaFine-Grained Password Policy step-by-step

En los pasos siguientes, usará el ADAC para realizar las siguientes tareas de directiva de contraseña específica:In the following steps, you will use ADAC to perform the following fine-grained password policy tasks:

Nota

Para realizar los siguientes pasos, es necesario pertenecer al grupo Administradores de dominio o tener permisos equivalentes.Membership in the Domain Admins group or equivalent permissions is required to perform the following steps.

Paso 1: Elevar el nivel funcional del dominioStep 1: Raise the domain functional level

En el siguiente procedimiento, elevará el nivel funcional del dominio de destino a Windows Server 2008 o posterior.In the following procedure, you will raise the domain functional level of the target domain to Windows Server 2008 or higher. Se requiere un nivel funcional de dominio de Windows Server 2008 o posterior para habilitar directivas de contraseña específica.A domain functional level of Windows Server 2008 or higher is required to enable fine-grained password policies.

Para elevar el nivel funcional del dominioTo raise the domain functional level
  1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en Ejecutar como administrador y escriba dsac.exe para abrir ADAC.Right click the Windows PowerShell icon, click Run as Administrator and type dsac.exe to open ADAC.

  2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.Click Manage, click Add Navigation Nodes and select the appropriate target domain in the Add Navigation Nodes dialog box and then click OK.

  3. Haga clic en el dominio de destino en el panel de navegación izquierdo, y en el panel Tareas, haga clic en Elevar el nivel funcional del dominio.Click the target domain in the left navigation pane and in the Tasks pane, click Raise the domain functional level. Seleccione un nivel funcional del bosque que sea como mínimo Windows Server 2008 o posterior y, a continuación, haga clic en Aceptar.Select a forest functional level that is at least Windows Server 2008 or higher and then click OK.

Introducción a loscomandos equivalentes de Windows PowerShell del centro de administración de adIntro to AD Admin centerWindows PowerShell equivalent commands

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior.The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.

Set-ADDomainMode -Identity contoso.com -DomainMode 3

Paso 2: Crear unidad organizativa, grupo y usuarios de pruebaStep 2: Create test users, group, and organizational unit

Para crear los usuarios y el grupo de prueba necesarios para este paso, siga los procedimientos que se encuentran aquí: paso 3: creación de usuarios de prueba, grupo y unidad organizativa (no necesita crear la unidad organizativa para demostrar la Directiva de contraseña específica).To create the test users and group needed for this step, follow the procedures located here: Step 3: Create test users, group and organizational unit (you do not need to create the OU to demonstrate fine-grained password policy).

Paso 3: Crear una directiva de contraseña específica nuevaStep 3: Create a new fine-grained password policy

En el siguiente procedimiento, creará una directiva de contraseña específica nueva usando la UI en el ADAC.In the following procedure you will create a new fine-grained password policy using the UI in ADAC.

Para crear una directiva de contraseña específica nuevaTo create a new fine grained password policy
  1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en Ejecutar como administrador y escriba dsac.exe para abrir ADAC.Right click the Windows PowerShell icon, click Run as Administrator and type dsac.exe to open ADAC.

  2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.Click Manage, click Add Navigation Nodes and select the appropriate target domain in the Add Navigation Nodes dialog box and then click OK.

  3. En el panel de navegación de ADAC, abra el contenedor System y, a continuación, haga clic en Password Settings Container.In the ADAC navigation pane, open the System container and then click Password Settings Container.

  4. En el panel Tareas, haga clic en Nuevo y, a continuación, haga clic en Configuración de contraseña.In the Tasks pane, click New, and then click Password Settings.

    Complete o edite los campos dentro de la página de propiedades para crear un nuevo objeto de Configuración de contraseña.Fill in or edit fields inside the property page to create a new Password Settings object. Los campos Nombre y Precedencia son necesarios.The Name and Precedence fields are required.

    Introducción al centro de administración de AD

  5. En Se aplica directamente a, en Agregar, escriba grupo1y, a continuación, haga clic en Aceptar.Under Directly Applies To, click Add, type group1, and then click OK.

    Así se asocia el objeto de directiva de contraseña con los miembros del grupo global que creó para el entorno de prueba.This associates the Password Policy object with the members of the global group you created for the test environment.

  6. Haga clic en Aceptar para enviar la creación.Click OK to submit the creation.

Introducción a loscomandos equivalentes de Windows PowerShell del centro de administración de adIntro to AD Admin centerWindows PowerShell equivalent commands

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior.The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.

New-ADFineGrainedPasswordPolicy TestPswd -ComplexityEnabled:$true -LockoutDuration:"00:30:00" -LockoutObservationWindow:"00:30:00" -LockoutThreshold:"0" -MaxPasswordAge:"42.00:00:00" -MinPasswordAge:"1.00:00:00" -MinPasswordLength:"7" -PasswordHistoryCount:"24" -Precedence:"1" -ReversibleEncryptionEnabled:$false -ProtectedFromAccidentalDeletion:$true
Add-ADFineGrainedPasswordPolicySubject TestPswd -Subjects group1

Paso 4: Ver un conjunto de directivas resultante para un usuarioStep 4: View a resultant set of policies for a user

En el siguiente procedimiento, verá la configuración de contraseña resultante para un usuario que es miembro del grupo al que le asignó una directiva de contraseña específica en el Paso 3: Crear una directiva de contraseña específica.In the following procedure, you will view the resultant password settings for a user that is a member of the group to which you assigned a fine grained password policy in Step 3: Create a new fine-grained password policy.

Para ver un conjunto de directivas resultante para un usuarioTo view a resultant set of policies for a user
  1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en Ejecutar como administrador y escriba dsac.exe para abrir ADAC.Right click the Windows PowerShell icon, click Run as Administrator and type dsac.exe to open ADAC.

  2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.Click Manage, click Add Navigation Nodes and select the appropriate target domain in the Add Navigation Nodes dialog box and then click OK.

  3. Seleccione un usuario, test1 que pertenezca al grupo group1 con el que asoció una directiva de contraseña específica en el Paso 3: Crear una directiva de contraseña específica.Select a user, test1 that belongs to the group, group1 that you associated a fine-grained password policy with in Step 3: Create a new fine-grained password policy.

  4. Haga clic en Ver configuración de contraseña resultante en el panel Tareas.Click View Resultant Password Settings in the Tasks pane.

  5. Examine la directiva de configuración de contraseñas y haga clic en Cancelar.Examine the password setting policy and then click Cancel.

Introducción a loscomandos equivalentes de Windows PowerShell del centro de administración de adIntro to AD Admin centerWindows PowerShell equivalent commands

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior.The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.

Get-ADUserResultantPasswordPolicy test1

Paso 5: Editar una directiva de contraseña específicaStep 5: Edit a fine-grained password policy

En el siguiente procedimiento, editará la directiva de contraseña específica que creó en el Paso 3: Crear una directiva de contraseña específicaIn the following procedure, you will edit the fine grained password policy you created in Step 3: Create a new fine-grained password policy

Para editar una directiva de contraseña específicaTo edit a fine-grained password policy
  1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en Ejecutar como administrador y escriba dsac.exe para abrir ADAC.Right click the Windows PowerShell icon, click Run as Administrator and type dsac.exe to open ADAC.

  2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.Click Manage, click Add Navigation Nodes and select the appropriate target domain in the Add Navigation Nodes dialog box and then click OK.

  3. En el panel de navegación del ADAC, expanda Sistema y haga clic en Contenedor de configuraciones de contraseña.In the ADAC Navigation Pane, expand System and then click Password Settings Container.

  4. Seleccione la directiva de contraseña específica que creó en el Paso 3: Crear una directiva de contraseña específica y haga clic en Propiedades en el panel de tareas.Select the fine grained password policy you created in Step 3: Create a new fine-grained password policy and click Properties in the Tasks pane.

  5. En Exigir historial de contraseñas, cambie el valor de Número de contraseñas recordadas a 30.Under Enforce password history, change the value of Number of passwords remembered to 30.

  6. Haga clic en OK.Click OK.

Introducción a loscomandos equivalentes de Windows PowerShell del centro de administración de adIntro to AD Admin centerWindows PowerShell equivalent commands

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior.The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.

Set-ADFineGrainedPasswordPolicy TestPswd -PasswordHistoryCount:"30"

Paso 6: Eliminar una directiva de contraseña específicaStep 6: Delete a fine-grained password policy

Para eliminar una directiva de contraseña específicaTo delete a fine-grained password policy
  1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en Ejecutar como administrador y escriba dsac.exe para abrir ADAC.Right click the Windows PowerShell icon, click Run as Administrator and type dsac.exe to open ADAC.

  2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.Click Manage, click Add Navigation Nodes and select the appropriate target domain in the Add Navigation Nodes dialog box and then click OK.

  3. En el panel de navegación del ADAC, expanda Sistema y haga clic en Contenedor de configuraciones de contraseña.In the ADAC Navigation Pane, expand System and then click Password Settings Container.

  4. Seleccione la directiva de contraseña específica que creó en el Paso 3: Crear una directiva de contraseña específica y haga clic en Propiedades en el panel de tareas.Select the fine grained password policy you created in Step 3: Create a new fine-grained password policy and in the Tasks pane click Properties.

  5. Desactive la casilla Proteger contra eliminación accidental y haga clic en Aceptar.Clear the Protect from accidental deletion checkbox and click OK.

  6. Seleccione la directiva de contraseña específica y, en el panel de tarea, haga clic en Eliminar.Select the fine grained password policy, and in the Tasks pane click Delete.

  7. Haga clic en Aceptar en el cuadro de diálogo de confirmación.Click OK in the confirmation dialog.

Introducción a loscomandos equivalentes de Windows PowerShell del centro de administración de adIntro to AD Admin centerWindows PowerShell equivalent commands

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior.The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.

Set-ADFineGrainedPasswordPolicy -Identity TestPswd -ProtectedFromAccidentalDeletion $False
Remove-ADFineGrainedPasswordPolicy TestPswd -Confirm

Visor del historial de Windows PowerShellWindows PowerShell History Viewer

El ADAC es una herramienta de interfaz de usuario creada sobre Windows PowerShell.ADAC is a user interface tool built on top of Windows PowerShell. En Windows Server 2012 y versiones más recientes, los administradores de TI pueden aprovechar ADAC para obtener información sobre los cmdlets de Windows PowerShell para Active Directory mediante el uso del visor del historial de Windows PowerShell.In Windows Server 2012 and newer, IT administrators can leverage ADAC to learn Windows PowerShell for Active Directory cmdlets by using the Windows PowerShell History Viewer. A medida que las acciones se ejecutan en la interfaz de usuario, el comando de Windows PowerShell equivalente se muestra al usuario en el Visor del historial de Windows PowerShell.As actions are executed in the user interface, the equivalent Windows PowerShell command is shown to the user in Windows PowerShell History Viewer. Esto permite que los administradores creen scripts automatizados y reduzcan las tareas repetitivas, y así aumente la productividad de TI.This allows administrators to create automated scripts and reduce repetitive tasks, thus increasing IT productivity. Además, esta característica reduce el tiempo de aprendizaje de Windows PowerShell para Active Directory y aumenta la confianza de los usuarios en la corrección de sus scripts de automatización.Also, this feature reduces the time to learn Windows PowerShell for Active Directory and increases the users' confidence in the correctness of their automation scripts.

Cuando use el visor del historial de Windows PowerShell en Windows Server 2012 o una versión más reciente, tenga en cuenta lo siguiente:When using the Windows PowerShell History Viewer in Windows Server 2012 or newer consider the following:

  • Para usar el visor de scripts de Windows PowerShell, debe usar Windows Server 2012 o una versión más reciente de ADACTo use Windows PowerShell Script Viewer, you must use the Windows Server 2012 or newer version of ADAC

    Nota

    Puede usar Administrador del servidor para instalar herramientas de administración remota del servidor (RSAT) para usar la versión correcta de centro de administración de Active Directory para administrar la papelera de reciclaje a través de una interfaz de usuario.You can use Server Manager to install Remote Server Administration Tools (RSAT) to use the correct version of Active Directory Administrative Center to manage Recycle Bin through a user interface.

    Para obtener información sobre cómo instalar RSAT, consulte el artículo herramientas de administración remota del servidor.For information about installing RSAT, see the article Remote Server Administration Tools.

  • Tenga conocimientos básicos de Windows PowerShell.Have a basic understanding of Windows PowerShell. Por ejemplo, tiene que saber cómo canalizar trabajos de Windows PowerShell.For example, you need to know how piping in Windows PowerShell works. Para obtener más información acerca de cómo canalizar en Windows PowerShell, vea el tema sobre la canalización en Windows PowerShell.For more information about piping in Windows PowerShell, see Piping and the Pipeline in Windows PowerShell.

Procedimiento paso a paso para el Visor del historial de Windows PowerShellWindows PowerShell History Viewer step-by-step

En el siguiente procedimiento, usará el Visor del historial de Windows PowerShell en el ADAC para crear un script de Windows PowerShell.In the following procedure, you will use the Windows PowerShell History Viewer in ADAC to construct a Windows PowerShell script. Antes de comenzar, quite el usuario test1 del grupo group1.Before you begin this procedure, remove user, test1 from the group, group1.

Para crear un script mediante el uso del Visor del historial de PowerShellTo construct a script using PowerShell History Viewer

  1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en Ejecutar como administrador y escriba dsac.exe para abrir ADAC.Right click the Windows PowerShell icon, click Run as Administrator and type dsac.exe to open ADAC.

  2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.Click Manage, click Add Navigation Nodes and select the appropriate target domain in the Add Navigation Nodes dialog box and then click OK.

  3. Expanda el panel Historial de Windows PowerShell en la parte inferior de la pantalla del ADAC.Expand the Windows PowerShell History pane at the bottom of the ADAC screen.

  4. Seleccione el usuario test1.Select user, test1.

  5. Haga clic en Agregar al grupo... en el panel tareas .Click Add to group... in the Tasks pane.

  6. Navegue a group1 y haga clic en Aceptar en el cuadro de diálogo.Navigate to group1 and click OK in the dialog box.

  7. Navegue al panel Historial de Windows PowerShell y ubique el comando que acaba de generar.Navigate to the Windows PowerShell History pane and locate the command just generated.

  8. Copie el comando y péguelo en el editor deseado para crear su script.Copy the command and paste it into your desired editor to construct your script.

    Por ejemplo, puede modificar el comando para agregar un usuario diferente a group1 o agregar test1 a un grupo diferente.For example, you can modify the command to add a different user to group1, or add test1 to a different group.

Consulte tambiénSee Also

Administración avanzada de AD DS con Centro de administración de Active Directory (nivel 200)Advanced AD DS Management Using Active Directory Administrative Center (Level 200)