Introduction to Active Directory Administrative Center Enhancements (Level 100)

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 y Windows Server 2012.

El Centro de administración de Active Directory de Windows Server incluye características de administración para lo siguiente:

Papelera de reciclaje de Active Directory

La eliminación accidental de objetos de Active Directory es algo habitual entre los usuarios de los Servicios de dominio de Active Directory (AD DS) y Active Directory Lightweight Directory Services (AD LDS). En versiones anteriores de Windows Server, antes de Windows Server 2008 R2, se podían recuperar objetos eliminados accidentalmente en Active Directory, pero las soluciones tenían sus inconvenientes.

En Windows Server 2008, podía usar la característica Copias de seguridad de Windows Server y el comando de restauración autoritativa de ntdsutil para marcar objetos como autoritativos para garantizar que los datos restablecidos se replicaban a través del dominio. El inconveniente de la solución de restauración autoritativa era que debía realizarse en modo de restauración de servicios de directorio (DSRM). Durante DSRM, el controlador de dominio que se restauraba debía permanecer sin conexión. Por consiguiente, era incapaz de atender las solicitudes de los clientes.

En Windows Server 2003 Active Directory y Windows Server 2008 AD DS, podía recuperar los objetos de Active Directory eliminados a través de la reanimación de marcadores de exclusión. No obstante, no se recuperaban ni los atributos de valores vinculados de los objetos reanimados (por ejemplo, la pertenencia a grupos de las cuentas de usuario) que se quitaron físicamente, ni los atributos de valores no vinculados que se borraron. Por lo tanto, los administradores no podían confiar en la reanimación de marcadores de exclusión como solución final ante la eliminación accidental de objetos. Para obtener más información sobre la reanimación de marcadores de exclusión, vea Reanimación de objetos de desecho de Active Directory.

La papelera de reciclaje de Active Directory, desde Windows Server 2008 R2, aprovecha la infraestructura de reanimación de marcadores de exclusión existente y mejora su capacidad para preservar y recuperar los objetos de Active Directory eliminados accidentalmente.

Cuando se habilita la papelera de reciclaje de Active Directory, se conservan todos los atributos de valores vinculados y valores no vinculados de los objetos de Active Directory eliminados y, asimismo, se restauran los objetos completamente al mismo estado lógico y coherente en el que se encontraban antes de la eliminación. Por ejemplo, las cuentas de usuario restauradas recuperan automáticamente todas las pertenencias a grupos y los derechos de acceso correspondientes que tenían justo antes de la eliminación, tanto dentro de los dominios como entre ellos. La papelera de reciclaje de Active Directory funciona en entornos tanto AD DS como AD LDS. Para obtener una descripción detallada de la Papelera de reciclaje de Active Directory, consulte Novedades de AD DS: Papelera de reciclaje de Active Directory.

Novedades En Windows Server 2012 y versiones más recientes, la característica Papelera de reciclaje de Active Directory se ha mejorado con una nueva interfaz gráfica de usuario para que los usuarios administren y restaure los objetos eliminados. Los usuarios ahora pueden ubicar visualmente una lista de objetos eliminados y restaurarlos a sus ubicaciones originales y deseadas.

Si tiene previsto habilitar la Papelera de reciclaje de Active Directory en Windows Server, tenga en cuenta lo siguiente:

  • De manera predeterminada, la papelera de reciclaje de Active Directory está deshabilitada. Para habilitarlo, primero debe elevar el nivel funcional del bosque del entorno de AD DS o AD LDS para Windows Server 2008 R2 o superior. Esto a su vez requiere que todos los controladores de dominio del bosque o todos los servidores que hospedan instancias de los conjuntos de configuración de AD LDS se ejecuten Windows Server 2008 R2 o superior.

  • El proceso de habilitar la papelera de reciclaje de Active Directory es irreversible. Una vez habilitada la papelera de reciclaje de Active Directory en el entorno, no se puede deshabilitar.

  • Para administrar la característica Papelera de reciclaje a través de una interfaz de usuario, debe instalar la versión del Centro de administración de Active Directory en Windows Server 2012.

    Nota

    Puede usar Administrador del servidor para instalar Herramientas de administración remota del servidor (RSAT) para usar la versión correcta del Centro de administración de Active Directory para administrar la Papelera de reciclaje a través de una interfaz de usuario.

    Para obtener información sobre cómo instalar RSAT, consulte el artículo Herramientas de administración remota del servidor.

Procedimiento paso a paso de la papelera de reciclaje de Active Directory

En los pasos siguientes, usará ADAC para realizar las siguientes tareas de papelera de reciclaje de Active Directory en Windows Server 2012 :

Nota

Se requiere membresía del grupo Administradores de empresa o permisos equivalentes para realizar los siguientes pasos.

Paso 1: Elevar el nivel funcional del bosque

En este paso, elevará el nivel funcional del bosque. Primero debe elevar el nivel funcional en el bosque de destino para que sea Windows Server 2008 R2 como mínimo antes de habilitar la Papelera de reciclaje de Active Directory.

Para elevar el nivel funcional en el bosque de destino

  1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en Ejecutar como administrador y escriba dsac.exe para abrir ADAC.

  2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.

  3. Haga clic en el dominio de destino en el panel de navegación izquierdo, y en el panel de tareas, haga clic en Elevar el nivel funcional del bosque. Seleccione un nivel funcional de bosque que sea al menos Windows Server 2008 R2 o superior y, a continuación, haga clic en Aceptar.

PowerShell logo, Shows the PowerShell equivalent commands for raising the forest functional level.Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

Set-ADForestMode -Identity contoso.com -ForestMode Windows2008R2Forest -Confirm:$false

Para el argumento -Identity , especifique el nombre de dominio DNS completo.

Paso 2: Enable Recycle Bin

En este paso, permitirá que la papelera de reciclaje restaure los objetos eliminados en AD DS.

Para habilitar la papelera de reciclaje de Active Directory en ADAC en el dominio de destino

  1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en Ejecutar como administrador y escriba dsac.exe para abrir ADAC.

  2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.

  3. En el panel Tareas, haga clic en Habilitar papelera de reciclaje... en el panel Tareas, haga clic en Aceptar en el cuadro de mensaje de advertencia y después en Aceptar para actualizar el mensaje de ADAC.

  4. Presione F5 para actualizar ADAC.

PowerShell logo, Shows the PowerShell equivalent commands for enabling the recycle bin.Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

Enable-ADOptionalFeature -Identity 'CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com' -Scope ForestOrConfigurationSet -Target 'contoso.com'

Paso 3: Crear unidad organizativa, grupo y usuarios de prueba

En los siguientes procedimientos, creará dos usuarios de prueba. Después creará un grupo de prueba y le agregará usuarios. Además, creará un OU.

Para crear usuarios de prueba

  1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en Ejecutar como administrador y escriba dsac.exe para abrir ADAC.

  2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.

  3. En el panel de tareas, haga clic en Nuevo y, a continuación, en Usuario.

    Screenshot that shows how to create a new test user.

  4. Escriba la siguiente información en Cuenta y haga clic en Aceptar:

    • Nombre completo: test1
    • Inicio de sesión SamAccountName de usuario: test1
    • Contraseña: p@ssword1
    • Confirmar contraseña: p@ssword1
  5. Repita los pasos anteriores para crear un segundo usuario, test2.

Para crear un grupo de prueba y agregarle usuarios

  1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en Ejecutar como administrador y escriba dsac.exe para abrir ADAC.

  2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.

  3. En el panel de tareas, haga clic en Nuevo y, a continuación, haga clic en Grupo.

  4. Escriba la siguiente información en Grupo y haga clic en Aceptar:

    • Nombre del grupo:group1
  5. Haga clic en group1 y después en el panel Tareas, haga clic en Propiedades.

  6. Haga clic en Miembros, en Agregar, escriba test1;test2 y, a continuación, haga clic en Aceptar.

PowerShell logo, Shows the PowerShell equivalent commands for adding users to the group.Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

Add-ADGroupMember -Identity group1 -Member test1

Para crear una unidad organizativa

  1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en Ejecutar como administrador y escriba dsac.exe para abrir ADAC.

  2. Haga clic en Administrar, haga clic en Agregar nodos de navegación y seleccione el dominio de destino adecuado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en **Aceptar.

  3. En el panel de tareas, haga clic en Nuevo y, a continuación, haga clic en Unidad organizativa.

  4. Escriba la siguiente información en Unidad organizativa y haga clic en Aceptar:

    • NameOU1

PowerShell logo, Shows the PowerShell equivalent commands for creating an organizational unit.Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

1..2 | ForEach-Object {New-ADUser -SamAccountName test$_ -Name "test$_" -Path "DC=fabrikam,DC=com" -AccountPassword (ConvertTo-SecureString -AsPlainText "p@ssword1" -Force) -Enabled $true}
New-ADGroup -Name "group1" -SamAccountName group1 -GroupCategory Security -GroupScope Global -DisplayName "group1"
New-ADOrganizationalUnit -Name OU1 -Path "DC=fabrikam,DC=com"

Paso 4: Restaurar objetos eliminados

En los siguientes procedimientos, restaurará los objetos eliminados del contenedor Deleted Objects a su ubicación original o a una diferente.

Para restaurar los objetos eliminados a su ubicación original

  1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en Ejecutar como administrador y escriba dsac.exe para abrir ADAC.

  2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.

  3. Seleccione los usuarios test1 y test2, haga clic en Eliminar en el panel Tareas y después haga clic en para confirmar la eliminación.

    PowerShell logo, Shows the PowerShell equivalent commands for removing users.Windows PowerShell comandos equivalentes

    Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

    Get-ADUser -Filter 'Name -Like "*test*"'|Remove-ADUser -Confirm:$false
    
  4. Navegue al contenedor Deleted Objects, seleccione test2 y test1, y después haga clic en Restaurar en el panel de tareas.

  5. Para confirmar que los objetos se restauraron a su ubicación original, navegue al dominio de destino y compruebe que se enumeren las cuentas de usuario.

    Nota

    Si navega a las propiedades de las cuentas de usuario test1 y test2, y después hace clic en Miembro de, verá que su pertenencia al grupo también se restauró.

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

PowerShell logo, Shows the PowerShell equivalent commands for restoring objects to their original location.Windows PowerShell comandos equivalentes

Get-ADObject -Filter 'Name -Like "*test*"' -IncludeDeletedObjects | Restore-ADObject

Para restaurar objetos eliminados a una ubicación diferente

  1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en Ejecutar como administrador y escriba dsac.exe para abrir ADAC.

  2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.

  3. Seleccione los usuarios test1 y test2, haga clic en Eliminar en el panel Tareas y después haga clic en para confirmar la eliminación.

  4. Navegue al contenedor Deleted Objects, seleccione test2 y test1, y después haga clic en Restaurar en el panel de tareas.

  5. Seleccione OU1 y haga clic en Aceptar.

  6. Para confirmar que los objetos se restauraron a OU1, navegue al dominio de destino, haga doble clic en OU1 y compruebe que las cuentas de usuario estén enumeradas.

PowerShell logo, Shows the PowerShell equivalent commands for restoring deleted objects to a different location.Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

Get-ADObject -Filter 'Name -Like "*test*"' -IncludeDeletedObjects | Restore-ADObject -TargetPath "OU=OU1,DC=contoso,DC=com"

Directiva de contraseña específica

El sistema operativo Windows Server 2008 proporciona a las organizaciones un modo de definir diferentes directivas de bloqueo de cuentas y contraseñas para diversos conjuntos de usuarios del dominio. En los dominios de Active Directory anteriores a Windows Server 2008, solamente una directiva de bloqueo de cuenta o directiva de contraseña puede aplicarse a todos los usuarios en el dominio. Estas directivas se especificaron en la directiva de dominio predeterminado para el dominio. Como resultado, las organizaciones que querían diferentes configuraciones de bloqueo de cuentas y contraseñas para diferentes conjuntos de usuarios tenían que crear un filtro de contraseñas o implementar múltiples dominios. Ambas son opciones costosas.

Puede usar directivas de contraseña específica para especificar múltiples directivas de contraseña dentro de un único dominio y aplicar diferentes restricciones para directivas de bloqueo de cuentas y contraseñas a diferentes conjuntos de usuarios de un dominio. Por ejemplo, puede aplicar configuraciones más estrictas a cuentas privilegiadas y configuraciones menos estrictas a las cuentas de otros usuarios. En otros casos, probablemente quieras aplicar una directiva de contraseñas especiales para las cuentas cuyas contraseñas están sincronizadas con otros orígenes de datos. Para obtener una descripción detallada de la directiva de contraseña específica, consulte AD DS: directivas de contraseña muy específicas

Novedades

En Windows Server 2012 y versiones más recientes, la administración de directivas de contraseñas específica se hace más fácil y visual al proporcionar una interfaz de usuario para que los administradores de AD DS los administren en ADAC. Los administradores ahora pueden ver la directiva resultante de un usuario determinado, ver y ordenar todas las directivas de contraseña dentro de un dominio determinado y administrar visualmente directivas de contraseña individuales.

Si tiene previsto usar directivas de contraseña específicas en Windows Server 2012, tenga en cuenta lo siguiente:

  • Las directivas de contraseña específicas solo se aplican a grupos de seguridad globales y objetos de usuario (o objetos inetOrgPerson si se usan en lugar de objetos de usuario). De manera predeterminada, solamente los miembros del grupo Administradores de dominio pueden establecer directivas de contraseña específica. No obstante, también puede delegar la capacidad de establecer estas directivas a otros usuarios. El nivel funcional del dominio debe ser Windows Server 2008 o posterior.

  • Debe usar el Windows Server 2012 o la versión más reciente del Centro de administración de Active Directory para administrar directivas de contraseña específicas a través de una interfaz gráfica de usuario.

    Nota

    Puede usar Administrador del servidor para instalar herramientas de administración remota del servidor (RSAT) para usar la versión correcta del Centro de administración de Active Directory para administrar la Papelera de reciclaje a través de una interfaz de usuario.

    Para obtener información sobre cómo instalar RSAT, consulte el artículo Herramientas de administración remota del servidor.

Procedimiento paso a paso para las directivas de contraseña específica

En los pasos siguientes, usará el ADAC para realizar las siguientes tareas de directiva de contraseña específica:

Nota

Para realizar los siguientes pasos, es necesario pertenecer al grupo Administradores de dominio o tener permisos equivalentes.

Paso 1: Elevar el nivel funcional del dominio

En el procedimiento siguiente, elevará el nivel funcional de dominio del dominio de destino a Windows Server 2008 o superior. Se requiere un nivel funcional de dominio de Windows Server 2008 o superior para habilitar directivas de contraseña específicas.

Para elevar el nivel funcional del dominio
  1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en Ejecutar como administrador y escriba dsac.exe para abrir ADAC.

  2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.

  3. Haga clic en el dominio de destino en el panel de navegación izquierdo, y en el panel Tareas, haga clic en Elevar el nivel funcional del dominio. Seleccione un nivel funcional de bosque que sea al menos Windows Server 2008 o superior y, a continuación, haga clic en Aceptar.

PowerShell logo, Shows the PowerShell equivalent commands for raising the domain functional level.Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

Set-ADDomainMode -Identity contoso.com -DomainMode 3

Paso 2: Crear unidad organizativa, grupo y usuarios de prueba

Para crear los usuarios de prueba y el grupo necesarios para este paso, siga los procedimientos que se encuentran aquí: Paso 3: Crear usuarios de prueba, grupo y unidad organizativa (no es necesario crear la unidad organizativa para demostrar la directiva de contraseña específica).

Paso 3: Crear una directiva de contraseña específica nueva

En el siguiente procedimiento, creará una directiva de contraseña específica nueva usando la UI en el ADAC.

Para crear una directiva de contraseña específica nueva
  1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en Ejecutar como administrador y escriba dsac.exe para abrir ADAC.

  2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.

  3. En el panel de navegación de ADAC, abra el contenedor System y, a continuación, haga clic en Password Settings Container.

  4. En el panel Tareas, haga clic en Nuevo y, a continuación, haga clic en Configuración de contraseña.

    Complete o edite los campos dentro de la página de propiedades para crear un nuevo objeto de Configuración de contraseña. Los campos Nombre y Precedencia son necesarios.

    Screenshot that shows how to create or edit password settings.

  5. En Se aplica directamente a, en Agregar, escriba grupo1y, a continuación, haga clic en Aceptar.

    Así se asocia el objeto de directiva de contraseña con los miembros del grupo global que creó para el entorno de prueba.

  6. Haga clic en Aceptar para enviar la creación.

PowerShell logo, Shows the PowerShell equivalent commands for creating a new fine grained password policy.Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

New-ADFineGrainedPasswordPolicy TestPswd -ComplexityEnabled:$true -LockoutDuration:"00:30:00" -LockoutObservationWindow:"00:30:00" -LockoutThreshold:"0" -MaxPasswordAge:"42.00:00:00" -MinPasswordAge:"1.00:00:00" -MinPasswordLength:"7" -PasswordHistoryCount:"24" -Precedence:"1" -ReversibleEncryptionEnabled:$false -ProtectedFromAccidentalDeletion:$true
Add-ADFineGrainedPasswordPolicySubject TestPswd -Subjects group1

Paso 4: Ver un conjunto de directivas resultante para un usuario

En el siguiente procedimiento, verá la configuración de contraseña resultante para un usuario que es miembro del grupo al que le asignó una directiva de contraseña específica en el Paso 3: Crear una directiva de contraseña específica.

Para ver un conjunto de directivas resultante para un usuario
  1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en Ejecutar como administrador y escriba dsac.exe para abrir ADAC.

  2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.

  3. Seleccione un usuario, test1 que pertenezca al grupo group1 con el que asoció una directiva de contraseña específica en el Paso 3: Crear una directiva de contraseña específica.

  4. Haga clic en Ver configuración de contraseña resultante en el panel Tareas.

  5. Examine la directiva de configuración de contraseñas y haga clic en Cancelar.

PowerShell logo, Shows the PowerShell equivalent commands for viewing a resultant set of policies for a user.Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

Get-ADUserResultantPasswordPolicy test1

Paso 5: Editar una directiva de contraseña específica

En el siguiente procedimiento, editará la directiva de contraseña específica que creó en el Paso 3: Crear una directiva de contraseña específica

Para editar una directiva de contraseña específica
  1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en Ejecutar como administrador y escriba dsac.exe para abrir ADAC.

  2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.

  3. En el panel de navegación del ADAC, expanda Sistema y haga clic en Contenedor de configuraciones de contraseña.

  4. Seleccione la directiva de contraseña específica que creó en el Paso 3: Crear una directiva de contraseña específica y haga clic en Propiedades en el panel de tareas.

  5. En Exigir historial de contraseñas, cambie el valor de Número de contraseñas recordadas a 30.

  6. Haga clic en OK.

PowerShell logo, Shows the PowerShell equivalent commands for editing a fine-grained password policy.Windows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

Set-ADFineGrainedPasswordPolicy TestPswd -PasswordHistoryCount:"30"

Paso 6: Eliminar una directiva de contraseña específica

Para eliminar una directiva de contraseña específica
  1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en Ejecutar como administrador y escriba dsac.exe para abrir ADAC.

  2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.

  3. En el panel de navegación del ADAC, expanda Sistema y haga clic en Contenedor de configuraciones de contraseña.

  4. Seleccione la directiva de contraseña específica que creó en el Paso 3: Crear una directiva de contraseña específica y haga clic en Propiedades en el panel de tareas.

  5. Desactive la casilla Proteger contra eliminación accidental y haga clic en Aceptar.

  6. Seleccione la directiva de contraseña específica y, en el panel de tarea, haga clic en Eliminar.

  7. Haga clic en Aceptar en el cuadro de diálogo de confirmación.

Intro to AD Admin centerWindows PowerShell comandos equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

Set-ADFineGrainedPasswordPolicy -Identity TestPswd -ProtectedFromAccidentalDeletion $False
Remove-ADFineGrainedPasswordPolicy TestPswd -Confirm

Visor del historial de Windows PowerShell

El ADAC es una herramienta de interfaz de usuario creada sobre Windows PowerShell. En Windows Server 2012 y versiones más recientes, los administradores de TI pueden aprovechar ADAC para aprender Windows PowerShell para los cmdlets de Active Directory mediante el Visor de historial de Windows PowerShell. A medida que las acciones se ejecutan en la interfaz de usuario, el comando de Windows PowerShell equivalente se muestra al usuario en el Visor del historial de Windows PowerShell. Esto permite que los administradores creen scripts automatizados y reduzcan las tareas repetitivas, y así aumente la productividad de TI. Además, esta característica reduce el tiempo para aprender Windows PowerShell para Active Directory y aumenta la confianza de los usuarios en la corrección de sus scripts de automatización.

Al usar el Visor de historial de Windows PowerShell en Windows Server 2012 o versiones posteriores, tenga en cuenta lo siguiente:

  • Para usar Windows PowerShell Visor de scripts, debe usar el Windows Server 2012 o la versión más reciente de ADAC.

    Nota

    Puede usar Administrador del servidor para instalar Herramientas de administración remota del servidor (RSAT) para usar la versión correcta del Centro de administración de Active Directory para administrar la Papelera de reciclaje a través de una interfaz de usuario.

    Para obtener información sobre cómo instalar RSAT, consulte el artículo Herramientas de administración remota del servidor.

  • Tener un conocimiento básico de Windows PowerShell. Por ejemplo, tiene que saber cómo canalizar trabajos de Windows PowerShell. Para obtener más información acerca de cómo canalizar en Windows PowerShell, vea el tema sobre la canalización en Windows PowerShell.

Procedimiento paso a paso para el Visor del historial de Windows PowerShell

En el siguiente procedimiento, usará el Visor del historial de Windows PowerShell en el ADAC para crear un script de Windows PowerShell. Antes de comenzar, quite el usuario test1 del grupo group1.

Para crear un script mediante el uso del Visor del historial de PowerShell

  1. Haga clic con el botón derecho en el icono de Windows PowerShell, haga clic en Ejecutar como administrador y escriba dsac.exe para abrir ADAC.

  2. Haga clic en Administrar, en Agregar nodos de navegación y seleccione el dominio de destino apropiado en el cuadro de diálogo Agregar nodos de navegación y, a continuación, haga clic en Aceptar.

  3. Expanda el panel Historial de Windows PowerShell en la parte inferior de la pantalla del ADAC.

  4. Seleccione el usuario test1.

  5. Haga clic en Agregar para agrupar... en el panel Tareas .

  6. Navegue a group1 y haga clic en Aceptar en el cuadro de diálogo.

  7. Navegue al panel Historial de Windows PowerShell y ubique el comando que acaba de generar.

  8. Copie el comando y péguelo en el editor deseado para crear su script.

    Por ejemplo, puede modificar el comando para agregar un usuario diferente a group1 o agregar test1 a un grupo diferente.

Consulte también

Advanced AD DS Management Using Active Directory Administrative Center (Level 200)