Active Directory Users and Computers (ADUC) es el complemento principal de la Microsoft Management Console (MMC) que los administradores de sistemas utilizan para gestionar las tareas rutinarias de Active Directory. Ya sea restableciendo una contraseña, organizando usuarios en unidades organizativas (OU) o gestionando políticas de grupo, ADUC es su punto de partida.
Aunque ADUC es la herramienta más reconocida, forma parte de un conjunto más amplio conocido como Herramientas de Administración de Servidores Remotos (RSAT), y comprender ADUC requiere entender el ecosistema de herramientas con el que interactúa.
ADUC vs. otras herramientas de Active Directory
Para ser un administrador efectivo, debe saber cuándo usar ADUC y cuándo utilizar sus herramientas complementarias:
- Centro de Administración de Active Directory: este es el sucesor moderno de ADUC e incluye funciones que ADUC no tiene, como la papelera de reciclaje de Active Directory y políticas de contraseñas más detalladas.
- Consola de Administración de Políticas de Grupo (GPMC): ADUC gestiona objetos, pero GPMC gestiona los GPO vinculados a esos objetos.
- Dominios y confianzas de Active Directory: esta es una consola separada utilizada para gestionar los niveles funcionales del bosque y las relaciones de confianza entre dominios diferentes.
- Sitios y servicios de Active Directory: se utiliza para gestionar la topología de replicación y las subredes IP.
- Editor de ADSI: permite editar atributos sin procesar que no se exponen en la interfaz de ADUC y se utiliza comúnmente cuando ADUC no es suficiente.
- Herramienta de migración de Active Directory: se utiliza para migrar usuarios, grupos y equipos de Active Directory de un dominio a otro.
Funciones clave de ADUC
Las funciones comunes de ADUC incluyen:
- Gestión de Active Directory: ADUC se utiliza principalmente para crear, eliminar y modificar objetos de Active Directory, como usuarios, equipos, grupos y contactos.
- Gestión de roles de FSMO: ADUC se utiliza para transferir estos roles de FSMO:
- Maestro de RID
- Emulador de PDC
- Maestro de infraestructura
- Delegación de control: ADUC incluye el Asistente de Delegación de Control, lo que permite a los administradores otorgar permisos específicos al personal de la mesa de ayuda sin concederles derechos de administrador de dominio.
Cómo instalar ADUC
Microsoft ha convertido RSAT en un conjunto de funciones bajo demanda.
Instalación de ADUC en Windows 11 y 10
- Presione Win + I o navegue a Inicio > Configuración.
- Navegue a Características Opcionales:
- Windows 11: Vaya a Sistema > Características opcionales.
- Windows 10: Vaya a Aplicaciones > Aplicaciones y características > Características opcionales.
Instalación de ADUC utilizando PowerShell
Instalación de ADUC en Windows Server
Instalación de ADUC en versiones anteriores de Windows
Cómo abrir ADUC
Una vez instalado, los usuarios a menudo tienen dificultades para encontrarlo. Aquí hay algunas formas de abrir ADUC:
Abrir ADUC usando el comando Ejecutar
- Presione la tecla de Windows + R en su teclado.
- Escriba dsa.msc.
- Presione Intro.
Abrir ADUC usando la búsqueda de Windows
Abrir ADUC desde el administrador de servidores
Gestionando objetos de Active Directory con ADUC
Cómo agregar un usuario a Active Directory
- Haga clic derecho en la OU donde desea crear un usuario.
- Pase el mouse sobre Nuevo y seleccione Usuario.
- Ingrese el primer nombre, apellido y usuario de inicio de sesión.
- Establezca una contraseña temporal seleccionando la opción El usuario debe cambiar la contraseña en el próximo inicio de sesión.
- Haga clic en Finalizar.
También puede agregar un usuario a Active Directory mediante PowerShell.
Cómo restablecer la contraseña de un usuario
Cómo crear un grupo en Active Directory
Cómo usar consultas guardadas en ADUC
Cómo limpiar usuarios inactivos en Active Directory
Cómo habilitar el editor de atributos en ADUC
Cómo desbloquear una cuenta de usuario en Active Directory
Cómo crear una unidad organizativa (OU) en Active Directory
Cómo crear un equipo en Active Directory
Cómo delegar el control utilizando ADUC
Troubleshooting common errors
- Error: no se puede localizar la información de nombre.
Solución: asegúrese de que el DNS de su computadora apunte a la IP del DC, no a un DNS público como 8.8.8.8.
- Error: el dominio especificado no existe.
Solución: verifique si está conectado a la VPN corporativa o a la red física.
- Error: código de error 0x800f0954.
Solución: su política WSUS corporativa podría estar bloqueando la descarga. Elimine WSUS para descargar directamente desde Microsoft Update.
- Error: no se pudo inicializar el complemento.
Solución: intente reinstalar la función RSAT o vuelva a habilitar ADUC.
- Error: acceso denegado.
Solución: esto generalmente indica permisos insuficientes. Asegúrese de que su cuenta sea miembro del grupo apropiado y, si está intentando eliminar o mover un objeto, verifique si la opción Proteger objeto frente a la eliminación accidental está habilitada en la pestaña del objeto.
- Error: el servidor no está operativo.
Solución: este error sugiere que el cliente no puede contactar al DC. Verifique que el DC esté encendido y conectado a la red. También, asegúrese de que su equipo pueda hacer ping al DC y que no haya firewalls bloqueando los puertos necesarios para la comunicación de Active Directory.
- Error: no se puede encontrar el objeto.
Solución: esto suele ocurrir debido a la latencia de replicación. Si un objeto fue creado en un DC pero usted está viendo otro, el cambio puede no haberse replicado aún. Puede cambiar el DC o esperar a que la replicación se complete.
Mejores prácticas de ADUC
Para mantener un entorno seguro y eficiente de Active Directory, los administradores deben seguir estas mejores prácticas estándar de la industria al utilizar ADUC:
- Implementar un diseño estructurado de OU: una estructura de OU bien planificada es la base de una gestión efectiva de Active Directory. En lugar de dejar los objetos en los contenedores predeterminados donde no se pueden vincular los GPO, se debe crear OU específicas para aplicar políticas más detalladas. Es mejor diseñar su jerarquía basada en cómo usted gestiona los recursos, como por departamento o ubicación, en lugar de seguir estrictamente el organigrama de recursos humanos de la empresa.
- Aplicar el principio de privilegio mínimo: para mejorar la seguridad, los administradores deben evitar usar cuentas de administrador de dominio para tareas diarias. En su lugar, use el asistente de delegación de control en ADUC para otorgar permisos específicos a los técnicos de la mesa de ayuda, como los de restablecer contraseñas o modificar membresías de grupo, sin otorgarles acceso completo al dominio.
- Gestionar permisos con grupos: asignar permisos directamente a las cuentas de usuario individuales es ineficiente y propenso a errores. Un enfoque mejor es crear grupos de seguridad para roles específicos y delegar permisos a esos grupos. Esto le permite gestionar el acceso simplemente agregando o quitando miembros del grupo en lugar de buscar listas de control de acceso individuales en varios objetos cuando cambia el rol de un usuario.
- Realizar una limpieza periódica: un Active Directory desordenado puede generar riesgos de seguridad y problemas de rendimiento. Es importante revisar y eliminar periódicamente los usuarios y equipos que han estado inactivos durante un cierto período de tiempo.
- Proteger los objetos frente a la eliminación accidental: la eliminación accidental de OU críticas puede causar tiempos de inactividad significativos. Para las OU críticas y objetos importantes, asegúrese de que la opción Proteger objeto frente a la eliminación accidental esté habilitada. Esta función evita que los administradores eliminen inadvertidamente toda una estructura de usuarios o servidores durante el mantenimiento rutinario.
ADUC vs. ADManager Plus: ¿por qué la TI moderna necesita más?
Aunque ADUC es esencial, es una herramienta manual, de uso aparte, diseñada hace más de 20 años. Para las empresas modernas, le falta funciones de automatización, auditoría y manejo masivo.
ADManager Plus es una solución de gestión y generación de informes de Active Directory que simplifica la administración de Active Directory para los técnicos de la mesa de ayuda. Con ADManager Plus, los administradores pueden:
- Agregar usuarios a Active Directory de forma masiva mediante plantillas inteligentes e importación de CSV.
- Generar informes completos, obtener visibilidad de su entorno de Active Directory y exportar informes en los formatos deseados.
- Automatizar tareas de Active Directory como el aprovisionamiento y desaprovisionamiento de usuarios y gestión de membresías de grupos, reduciendo el esfuerzo manual y los posibles errores.
- Limpiar automáticamente su Active Directory con flujos de trabajo personalizados.
- Delegar tareas de Active Directory a los técnicos de la mesa de ayuda sin afectar los permisos nativos de Active Directory.
- Certificar los derechos de acceso de los usuarios a los recursos de Active Directory periódicamente para mejorar la seguridad.
- Identificar objetos riesgosos y mitigarlos instantáneamente para asegurar el entorno de Active Directory.
Preguntas Frecuentes
1. ¿Cómo habilito ADUC?
En Windows 11 y 10, vaya a Configuración > Características opcionales > Agregar una característica. Busque RSAT e instale Herramientas AD DS.
2. ¿Cuál es la diferencia entre ADUC y ADAC?
ADAC es una interfaz más moderna introducida en Windows Server 2008 R2. Ofrece mejor usabilidad, integración con PowerShell, gestión de políticas de contraseñas y acceso a la papelera de reciclaje de Active Directory. ADUC es la herramienta tradicional, más utilizada, con una funcionalidad extensa. Muchos administradores utilizan ambas herramientas según la tarea.
3. ¿Por qué no puedo ver la pestaña Editor de atributos en ADUC?
La pestaña Editor de atributos está oculta por defecto. Para habilitarla, haga clic en Ver en la barra de menú de ADUC y seleccione Características avanzadas. Esto mostrará la pestaña de Editor de atributos, los contenedores ocultos y las configuraciones de seguridad para los objetos de Active Directory.
4. ¿Qué es dsa.msc?
dsa.msc es el acceso directo de línea de comando utilizado para iniciar el complemento ADUC en su Windows Server. Cuando ejecute dsa.msc desde el cuadro de ejecución o el símbolo del sistema en un Windows Server o un equipo con RSAT instalada, abrirá directamente la consola de ADUC.
5. ¿Cómo puedo ver quién creó o eliminó una cuenta de usuario en Active Directory?
ADUC no muestra los logs de auditoría directamente. Para identificar quién creó o eliminó un usuario, debe revisar los logs de eventos de seguridad en su DC y buscar los ID de evento correspondientes, tales como 4720 para la creación y 4726 para la eliminación.
6. ¿Cómo muevo un usuario a una OU diferente?
En ADUC, haga clic con el botón derecho en el objeto de usuario que desea mover y seleccione Mover. En el cuadro de diálogo que aparece, seleccione la OU de destino y haga clic en Aceptar. También puede arrastrar y soltar el objeto de usuario en la nueva OU si la vista de la consola lo permite. No obstante, con ADManager Plus puede mover múltiples usuarios simultáneamente en tan solo unos clics.
7. ¿Cómo puedo ver la última hora de inicio de sesión en Active Directory?
Para visualizar el último inicio de sesión de un usuario específico, habilite las Características avanzadas, acceda a las Propiedades del usuario y revise los atributos lastLogon o lastLogonTimestamp en la pestaña Editor de atributos. Para identificar usuarios inactivos (por ejemplo, que no hayan iniciado sesión en 30 días), puede utilizar la función de Consultas guardadas en ADUC. Con ADManager Plus, puede generar fácilmente el informe real de último inicio de sesión, identificar el ultimo inicio de sesión de un usuario según su inactividad y administrarlo de inmediato, todo desde un único panel..