Introduction to Active Directory Administrative Center Enhancements (Level 100)

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 y Windows Server 2012.

El Centro de administración de Active Directory en Windows Server incluye características de administración para lo siguiente:

• Papelera de reciclaje de Active Directory
• Directiva de contraseña específica
• Visor del historial de Windows PowerShell

Papelera de reciclaje de Active Directory

La eliminación accidental de objetos de Active Directory es algo habitual entre los usuarios de los Servicios de dominio de Active Directory (AD DS) y Active Directory Lightweight Directory Services (AD LDS). En las versiones anteriores de Windows Server, antes de Windows Server 2008 R2, podían recuperarse los objetos eliminados accidentalmente en Active Directory, pero las soluciones tenían sus desventajas.

En Windows Server 2008, podía usar la característica Copias de seguridad de Windows Server y el comando de restauración autoritativa de ntdsutil para marcar objetos como autoritativos para garantizar que los datos restablecidos se replicaban a través del dominio. El inconveniente de la solución de restauración autoritativa era que debía realizarse en modo de restauración de servicios de directorio (DSRM). Durante DSRM, el controlador de dominio que se restauraba debía permanecer sin conexión. Por consiguiente, era incapaz de atender las solicitudes de los clientes.

En Windows Server 2003 Active Directory y Windows Server 2008 AD DS, podía recuperar los objetos de Active Directory eliminados a través de la reanimación de marcadores de exclusión. No obstante, no se recuperaban ni los atributos de valores vinculados de los objetos reanimados (por ejemplo, la pertenencia a grupos de las cuentas de usuario) que se quitaron físicamente, ni los atributos de valores no vinculados que se borraron. Por lo tanto, los administradores no podían confiar en la reanimación de marcadores de exclusión como solución final ante la eliminación accidental de objetos. Para obtener más información sobre la reanimación de marcadores de exclusión, vea Reanimación de objetos de desecho de Active Directory.

La papelera de reciclaje de Active Directory, desde Windows Server 2008 R2, aprovecha la infraestructura de reanimación de marcadores de exclusión existente y mejora su capacidad para preservar y recuperar los objetos de Active Directory eliminados accidentalmente.

Cuando se habilita la papelera de reciclaje de Active Directory, se conservan todos los atributos de valores vinculados y valores no vinculados de los objetos de Active Directory eliminados y, asimismo, se restauran los objetos completamente al mismo estado lógico y coherente en el que se encontraban antes de la eliminación. Por ejemplo, las cuentas de usuario restauradas recuperan automáticamente todas las pertenencias a grupos y los derechos de acceso correspondientes que tenían justo antes de la eliminación, tanto dentro de los dominios como entre ellos. La papelera de reciclaje de Active Directory funciona en entornos tanto AD DS como AD LDS. Para obtener una descripción detallada de la papelera de reciclaje de Active Directory, consulte Novedades de AD DS: Papelera de reciclaje de Active Directory.

Novedades En Windows Server 2012 y versiones posteriores, la característica de papelera de reciclaje de Active Directory se ha mejorado con una nueva interfaz de usuario gráfica para administrar y restaurar objetos eliminados. Los usuarios ahora pueden ubicar visualmente una lista de objetos eliminados y restaurarlos a sus ubicaciones originales y deseadas.

Si planea habilitar la papelera de reciclaje de Active Directory en Windows Server, tenga en cuenta lo siguiente:

• De manera predeterminada, la papelera de reciclaje de Active Directory está deshabilitada. Para habilitarla, primero debe elevar el nivel funcional del bosque de su entorno de AD DS o AD LDS a Windows Server 2008 R2 o superior. Esto a su vez requiere que todos los controladores de dominio del bosque o todos los servidores que hospedan instancias de conjuntos de configuración de AD LDS ejecuten Windows Server 2008 R2 o superior.

• El proceso de habilitar la papelera de reciclaje de Active Directory es irreversible. Una vez habilitada la papelera de reciclaje de Active Directory en el entorno, no se puede deshabilitar.

• Para administrar la característica de papelera de reciclaje a través de una interfaz de usuario, debe instalar la versión del Centro de administración de Active Directory en Windows Server 2012.

  Nota

  Puede usar el Administrador del servidor para instalar Herramientas de administración remota del servidor (RSAT) para usar la versión correcta del Centro de administración de Active Directory con el fin de administrar la papelera de reciclaje a través de una interfaz de usuario.

  Para obtener información sobre cómo instalar RSAT, consulte el artículo Herramientas de administración remota del servidor.

Procedimiento paso a paso de la papelera de reciclaje de Active Directory

En los pasos siguientes, usará el Centro de administración de Active Directory (ADAC) para realizar las siguientes tareas de la papelera de reciclaje de Active Directory en Windows Server 2012:

• Paso 1: Elevar el nivel funcional del bosque
• Paso 2: Enable Recycle Bin
• Paso 3: Crear unidad organizativa, grupo y usuarios de prueba
• Paso 4: Restaurar objetos eliminados

Nota

Se requiere membresía del grupo Administradores de empresa o permisos equivalentes para realizar los siguientes pasos.

Paso 1: Elevar el nivel funcional del bosque

En este paso, elevará el nivel funcional del bosque. Primero debe elevar el nivel funcional del bosque de destino para que sea Windows Server 2008 R2 como mínimo antes de habilitar la papelera de reciclaje de Active Directory.

Para elevar el nivel funcional en el bosque de destino

1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en Ejecutar como administrador y escriba dsac.exe para abrir el ADAC.

2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.

3. Haga clic en el dominio de destino en el panel de navegación izquierdo, y en el panel de tareas, haga clic en Elevar el nivel funcional del bosque. Seleccione un nivel funcional del bosque que sea de al menos Windows Server 2008 R2 o superior y haga clic en Aceptar.

Comandos de Windows PowerShell equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

Set-ADForestMode -Identity contoso.com -ForestMode Windows2008R2Forest -Confirm:$false

Para el argumento -Identity, especifique el nombre de dominio DNS completo.

Paso 2: Enable Recycle Bin

En este paso, permitirá que la papelera de reciclaje restaure los objetos eliminados en AD DS.

Para habilitar la papelera de reciclaje de Active Directory en ADAC en el dominio de destino

1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en Ejecutar como administrador y escriba dsac.exe para abrir el ADAC.

2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.

3. En el panel Tareas, haga clic en Habilitar papelera de reciclaje... en el panel Tareas, haga clic en Aceptar en el cuadro de mensaje de advertencia y después en Aceptar para actualizar el mensaje de ADAC.

4. Presione F5 para actualizar ADAC.

Comandos de Windows PowerShell equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

Si se produce un error, puede intentar mover el maestro de esquema y los roles maestros de nomenclatura de dominio al mismo controlador de dominio del dominio raíz. Después, ejecute el cmdlet desde ese controlador de dominio.

Enable-ADOptionalFeature -Identity 'CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com' -Scope ForestOrConfigurationSet -Target 'contoso.com'

Paso 3: Crear unidad organizativa, grupo y usuarios de prueba

En los siguientes procedimientos, creará dos usuarios de prueba. Después creará un grupo de prueba y le agregará usuarios. Además, creará un OU.

Para crear usuarios de prueba

1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en Ejecutar como administrador y escriba dsac.exe para abrir el ADAC.

2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.

3. En el panel de tareas, haga clic en Nuevo y, a continuación, en Usuario.

   

4. Escriba la siguiente información en Cuenta y haga clic en Aceptar:

   • Nombre completo: test1
   • Inicio de sesión SamAccountName de usuario: test1
   • Contraseña: p@ssword1
   • Confirmar contraseña: p@ssword1

5. Repita los pasos anteriores para crear un segundo usuario, test2.

Para crear un grupo de prueba y agregarle usuarios

1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en Ejecutar como administrador y escriba dsac.exe para abrir el ADAC.

2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.

3. En el panel de tareas, haga clic en Nuevo y, a continuación, haga clic en Grupo.

4. Escriba la siguiente información en Grupo y haga clic en Aceptar:

   • Nombre de grupo: group1

5. Haga clic en group1 y después en el panel Tareas, haga clic en Propiedades.

6. Haga clic en Miembros, en Agregar, escriba test1;test2 y, a continuación, haga clic en Aceptar.

Comandos de Windows PowerShell equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

Add-ADGroupMember -Identity group1 -Member test1

Para crear una unidad organizativa

1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en Ejecutar como administrador y escriba dsac.exe para abrir el ADAC.

2. Haga clic en Administrar y en Agregar nodos de navegación, seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y haga clic en **Aceptar.

3. En el panel de tareas, haga clic en Nuevo y, a continuación, haga clic en Unidad organizativa.

4. Escriba la siguiente información en Unidad organizativa y haga clic en Aceptar:

   • NameOU1

Comandos de Windows PowerShell equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

1..2 | ForEach-Object {New-ADUser -SamAccountName test$_ -Name "test$_" -Path "DC=fabrikam,DC=com" -AccountPassword (ConvertTo-SecureString -AsPlainText "p@ssword1" -Force) -Enabled $true}
New-ADGroup -Name "group1" -SamAccountName group1 -GroupCategory Security -GroupScope Global -DisplayName "group1"
New-ADOrganizationalUnit -Name OU1 -Path "DC=fabrikam,DC=com"

Paso 4: Restaurar objetos eliminados

En los siguientes procedimientos, restaurará los objetos eliminados del contenedor Deleted Objects a su ubicación original o a una diferente.

Para restaurar los objetos eliminados a su ubicación original

1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en Ejecutar como administrador y escriba dsac.exe para abrir el ADAC.

2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.

3. Seleccione los usuarios test1 y test2, haga clic en Eliminar en el panel Tareas y después haga clic en Sí para confirmar la eliminación.

   Comandos de Windows PowerShell equivalentes

   Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

   Get-ADUser -Filter 'Name -Like "*test*"'|Remove-ADUser -Confirm:$false
   

4. Navegue al contenedor Deleted Objects, seleccione test2 y test1, y después haga clic en Restaurar en el panel de tareas.

5. Para confirmar que los objetos se restauraron a su ubicación original, navegue al dominio de destino y compruebe que se enumeren las cuentas de usuario.

   Nota

   Si navega a las propiedades de las cuentas de usuario test1 y test2, y después hace clic en Miembro de, verá que su pertenencia al grupo también se restauró.

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

Comandos equivalentes de Windows PowerShell

Get-ADObject -Filter 'Name -Like "*test*"' -IncludeDeletedObjects | Restore-ADObject

Para restaurar objetos eliminados a una ubicación diferente

1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en Ejecutar como administrador y escriba dsac.exe para abrir el ADAC.

2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.

3. Seleccione los usuarios test1 y test2, haga clic en Eliminar en el panel Tareas y después haga clic en Sí para confirmar la eliminación.

4. Navegue al contenedor Deleted Objects, seleccione test2 y test1, y después haga clic en Restaurar en el panel de tareas.

5. Seleccione OU1 y haga clic en Aceptar.

6. Para confirmar que los objetos se restauraron a OU1, navegue al dominio de destino, haga doble clic en OU1 y compruebe que las cuentas de usuario estén enumeradas.

Comandos de Windows PowerShell equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

Get-ADObject -Filter 'Name -Like "*test*"' -IncludeDeletedObjects | Restore-ADObject -TargetPath "OU=OU1,DC=contoso,DC=com"

Directiva de contraseña específica

El sistema operativo Windows Server 2008 proporciona a las organizaciones un modo de definir diferentes directivas de bloqueo de cuentas y contraseñas para diversos conjuntos de usuarios del dominio. En los dominios de Active Directory anteriores a Windows Server 2008, solamente una directiva de bloqueo de cuenta o directiva de contraseña puede aplicarse a todos los usuarios en el dominio. Estas directivas se especificaron en la directiva de dominio predeterminado para el dominio. Como resultado, las organizaciones que querían diferentes configuraciones de bloqueo de cuentas y contraseñas para diferentes conjuntos de usuarios tenían que crear un filtro de contraseñas o implementar múltiples dominios. Ambas son opciones costosas.

Puede usar directivas de contraseña específica para especificar múltiples directivas de contraseña dentro de un único dominio y aplicar diferentes restricciones para directivas de bloqueo de cuentas y contraseñas a diferentes conjuntos de usuarios de un dominio. Por ejemplo, puede aplicar configuraciones más estrictas a cuentas privilegiadas y configuraciones menos estrictas a las cuentas de otros usuarios. En otros casos, probablemente quieras aplicar una directiva de contraseñas especiales para las cuentas cuyas contraseñas están sincronizadas con otros orígenes de datos. Para obtener una descripción detallada de la directiva de contraseña específica, consulte AD DS: directivas de contraseña muy específicas

Novedades

En Windows Server 2012 y versiones posteriores, la administración de las directivas de contraseña específica se realiza de manera más sencilla y visual, ya que se proporciona una interfaz de usuario para que los administradores de AD DS las administren en el ADAC. Los administradores ahora pueden visualizar una directiva resultante de un usuario determinado, ver y ordenar todas las directivas de contraseña dentro de un dominio dado y administrar las directivas de contraseña individuales de manera visual.

Si planea usar directivas de contraseña específica en Windows Server 2012, tenga en cuenta lo siguiente:

• Las directivas de contraseña específica se aplican solamente a objetos de usuario y grupos de seguridad globales (u objetos inetOrgPerson si se usan en lugar de los objetos de usuario). De manera predeterminada, solamente los miembros del grupo Administradores de dominio pueden establecer directivas de contraseña específica. No obstante, también puede delegar la capacidad de establecer estas directivas a otros usuarios. El nivel funcional del dominio debe ser Windows Server 2008 o posterior.

• Debe usar la versión de Windows Server 2012 o superior del Centro de administración de Active Directory para administrar directivas de contraseña específica a través de una interfaz de usuario gráfica.

  Nota

  Puede usar el Administrador del servidor para instalar Herramientas de administración remota del servidor (RSAT) para usar la versión correcta del Centro de administración de Active Directory con el fin de administrar la papelera de reciclaje a través de una interfaz de usuario.

  Para obtener información sobre cómo instalar RSAT, consulte el artículo Herramientas de administración remota del servidor.

Procedimiento paso a paso para las directivas de contraseña específica

En los pasos siguientes, usará el ADAC para realizar las siguientes tareas de directiva de contraseña específica:

• Paso 1: Elevar el nivel funcional del dominio
• Paso 2: Crear unidad organizativa, grupo y usuarios de prueba
• Paso 3: Crear una directiva de contraseña específica nueva
• Paso 4: Ver un conjunto de directivas resultante para un usuario
• Paso 5: Editar una directiva de contraseña específica
• Paso 6: Eliminar una directiva de contraseña específica

Nota

Para realizar los siguientes pasos, es necesario pertenecer al grupo Administradores de dominio o tener permisos equivalentes.

Paso 1: Elevar el nivel funcional del dominio

En el procedimiento siguiente, elevará el nivel funcional del dominio de destino a Windows Server 2008 o superior. Se requiere un nivel funcional del dominio de Windows Server 2008 o superior para habilitar directivas de contraseña específica.

Para elevar el nivel funcional del dominio

1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en Ejecutar como administrador y escriba dsac.exe para abrir el ADAC.

2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.

3. Haga clic en el dominio de destino en el panel de navegación izquierdo, y en el panel Tareas, haga clic en Elevar el nivel funcional del dominio. Seleccione un nivel funcional del bosque que sea de al menos Windows Server 2008 o superior y haga clic en Aceptar.

Comandos de Windows PowerShell equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

Set-ADDomainMode -Identity contoso.com -DomainMode 3

Paso 2: Crear unidad organizativa, grupo y usuarios de prueba

Para crear el grupo y los usuarios de prueba necesarios para este paso, siga los procedimientos que se indican en el Paso 3: Crear unidad organizativa, grupo y usuarios de prueba (no necesita crear la unidad organizativa para demostrar la directiva de contraseña específica).

Paso 3: Crear una directiva de contraseña específica nueva

En el siguiente procedimiento, creará una directiva de contraseña específica nueva usando la UI en el ADAC.

Para crear una directiva de contraseña específica nueva

1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en Ejecutar como administrador y escriba dsac.exe para abrir el ADAC.

2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.

3. En el panel de navegación de ADAC, abra el contenedor System y, a continuación, haga clic en Password Settings Container.

4. En el panel Tareas, haga clic en Nuevo y, a continuación, haga clic en Configuración de contraseña.

   Complete o edite los campos dentro de la página de propiedades para crear un nuevo objeto de Configuración de contraseña. Los campos Nombre y Precedencia son necesarios.

   

5. En Se aplica directamente a, en Agregar, escriba grupo1y, a continuación, haga clic en Aceptar.

   Así se asocia el objeto de directiva de contraseña con los miembros del grupo global que creó para el entorno de prueba.

6. Haga clic en Aceptar para enviar la creación.

Comandos de Windows PowerShell equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

New-ADFineGrainedPasswordPolicy TestPswd -ComplexityEnabled:$true -LockoutDuration:"00:30:00" -LockoutObservationWindow:"00:30:00" -LockoutThreshold:"0" -MaxPasswordAge:"42.00:00:00" -MinPasswordAge:"1.00:00:00" -MinPasswordLength:"7" -PasswordHistoryCount:"24" -Precedence:"1" -ReversibleEncryptionEnabled:$false -ProtectedFromAccidentalDeletion:$true
Add-ADFineGrainedPasswordPolicySubject TestPswd -Subjects group1

Paso 4: Ver un conjunto de directivas resultante para un usuario

En el siguiente procedimiento, verá la configuración de contraseña resultante para un usuario que es miembro del grupo al que le asignó una directiva de contraseña específica en el Paso 3: Crear una directiva de contraseña específica.

Para ver un conjunto de directivas resultante para un usuario

1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en Ejecutar como administrador y escriba dsac.exe para abrir el ADAC.

2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.

3. Seleccione un usuario, test1 que pertenezca al grupo group1 con el que asoció una directiva de contraseña específica en el Paso 3: Crear una directiva de contraseña específica.

4. Haga clic en Ver configuración de contraseña resultante en el panel Tareas.

5. Examine la directiva de configuración de contraseñas y haga clic en Cancelar.

Comandos de Windows PowerShell equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

Get-ADUserResultantPasswordPolicy test1

Paso 5: Editar una directiva de contraseña específica

En el siguiente procedimiento, editará la directiva de contraseña específica que creó en el Paso 3: Crear una directiva de contraseña específica

Para editar una directiva de contraseña específica

1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en Ejecutar como administrador y escriba dsac.exe para abrir el ADAC.

2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.

3. En el panel de navegación del ADAC, expanda Sistema y haga clic en Contenedor de configuraciones de contraseña.

4. Seleccione la directiva de contraseña específica que creó en el Paso 3: Crear una directiva de contraseña específica y haga clic en Propiedades en el panel de tareas.

5. En Exigir historial de contraseñas, cambie el valor de Número de contraseñas recordadas a 30.

6. Haga clic en OK.

Comandos de Windows PowerShell equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

Set-ADFineGrainedPasswordPolicy TestPswd -PasswordHistoryCount:"30"

Paso 6: Eliminar una directiva de contraseña específica

Para eliminar una directiva de contraseña específica

1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en Ejecutar como administrador y escriba dsac.exe para abrir el ADAC.

2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.

3. En el panel de navegación del ADAC, expanda Sistema y haga clic en Contenedor de configuraciones de contraseña.

4. Seleccione la directiva de contraseña específica que creó en el Paso 3: Crear una directiva de contraseña específica y haga clic en Propiedades en el panel de tareas.

5. Desactive la casilla Proteger contra eliminación accidental y haga clic en Aceptar.

6. Seleccione la directiva de contraseña específica y, en el panel de tarea, haga clic en Eliminar.

7. Haga clic en Aceptar en el cuadro de diálogo de confirmación.

Comandos de Windows PowerShell equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

Set-ADFineGrainedPasswordPolicy -Identity TestPswd -ProtectedFromAccidentalDeletion $False
Remove-ADFineGrainedPasswordPolicy TestPswd -Confirm

Visor del historial de Windows PowerShell

El ADAC es una herramienta de interfaz de usuario creada sobre Windows PowerShell. En Windows Server 2012 y versiones posteriores, los administradores de TI pueden usar el ADAC para obtener información sobre los cmdlets de Windows PowerShell para Active Directory mediante el uso del Visor del historial de Windows PowerShell. A medida que las acciones se ejecutan en la interfaz de usuario, el comando de Windows PowerShell equivalente se muestra al usuario en el Visor del historial de Windows PowerShell. Esto permite que los administradores creen scripts automatizados y reduzcan las tareas repetitivas, y así aumente la productividad de TI. Además, esta característica reduce el tiempo necesario para aprender a usar Windows PowerShell para Active Directory y aumenta la confianza de los usuarios en la precisión de sus scripts de automatización.

Cuando use el Visor del historial de Windows PowerShell en Windows Server 2012, tenga en cuenta lo siguiente:

• Para usar el Visor del historial de Windows PowerShell, debe usar la versión de Windows Server 2012 o posterior del ADAC.

  Nota

  Puede usar el Administrador del servidor para instalar Herramientas de administración remota del servidor (RSAT) para usar la versión correcta del Centro de administración de Active Directory con el fin de administrar la papelera de reciclaje a través de una interfaz de usuario.

  Para obtener información sobre cómo instalar RSAT, consulte el artículo Herramientas de administración remota del servidor.

• Es necesario tener un conocimiento básico de Windows PowerShell. Por ejemplo, tiene que saber cómo canalizar trabajos de Windows PowerShell. Para obtener más información acerca de cómo canalizar en Windows PowerShell, vea el tema sobre la canalización en Windows PowerShell.

Procedimiento paso a paso para el Visor del historial de Windows PowerShell

En el siguiente procedimiento, usará el Visor del historial de Windows PowerShell en el ADAC para crear un script de Windows PowerShell. Antes de comenzar, quite el usuario test1 del grupo group1.

Para crear un script mediante el uso del Visor del historial de PowerShell

1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en Ejecutar como administrador y escriba dsac.exe para abrir el ADAC.

2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.

3. Expanda el panel Historial de Windows PowerShell en la parte inferior de la pantalla del ADAC.

4. Seleccione el usuario test1.

5. Haga clic en Agregar al grupo… en el panel Tareas.

6. Navegue a group1 y haga clic en Aceptar en el cuadro de diálogo.

7. Navegue al panel Historial de Windows PowerShell y ubique el comando que acaba de generar.

8. Copie el comando y péguelo en el editor deseado para crear su script.

   Por ejemplo, puede modificar el comando para agregar un usuario diferente a group1 o agregar test1 a un grupo diferente.

Consulte también

Advanced AD DS Management Using Active Directory Administrative Center (Level 200)