Centro administrativo de Active Directory

¿Qué es el Centro administrativo de Active Directory?

El Active Directory Administrative Center (ADAC) es la moderna consola gráfica de Microsoft para la administración de Active Directory (AD). Se introdujo para simplificar las tareas comunes de gestión de AD mediante una interfaz respaldada por PowerShell. A diferencia de las herramientas tradicionales de administración de AD, ADAC ofrece una experiencia orientada a tareas que permite a los administradores gestionar usuarios, grupos, equipos, dominios y directivas de contraseñas de forma más eficiente.

Cada acción realizada en ADAC se ejecuta a través de Windows PowerShell en segundo plano, lo que ofrece transparencia y consistencia para la administración de AD.

ADAC vs ADUC

Aunque ADUC (Active Directory Users and Computers) sigue siendo ampliamente utilizado, ADAC introduce varias mejoras que mejoran la administración cotidiana de AD:

• Visor del historial de Windows PowerShell integrado
• Acceso gráfico a la papelera de reciclaje de AD
• Configuración simplificada de directivas de contraseñas detalladas
• Navegación por objetos y búsqueda global mejoradas
• Ejecución más rápida de las tareas habituales de administración de AD

Esto convierte al ADAC en la consola de administración de AD preferida para los entornos Windows modernos.

Funciones introducidas por ADAC

Papelera de reciclaje de AD

La papelera de reciclaje de AD permite a los administradores restaurar objetos de AD eliminados. Aunque esta función se introdujo en Windows Server 2008 R2, inicialmente solo era accesible a través de la línea de comandos mediante PowerShell. Con Windows Server 2012, ADAC proporciona una interfaz gráfica para activar y gestionar la papelera de reciclaje, lo que facilita considerablemente la recuperación de objetos.

Nota: El bosque debe ejecutarse en el nivel funcional de Windows Server 2008 R2 o superior. Al menos un controlador de dominio debe ejecutar Windows Server 2012, y todos los demás DC deben ejecutar Windows Server 2008 R2 o posterior.

Directiva de contraseñas detallada

Las versiones anteriores de AD requerían que los administradores configurasen directivas de contraseñas detalladas exclusivamente a través de PowerShell. ADAC de Windows Server 2012 simplifica esto permitiendo a los administradores establecer políticas de contraseñas directamente desde la interfaz de ADAC.

Nota: El nivel funcional del dominio debe ser Windows Server 2008 o superior..

Visor del historial de Windows PowerShell

El visor del historial de Windows PowerShell en ADAC muestra todas las acciones administrativas realizadas a través de ADAC como comandos PowerShell. Esta pista de auditoría integrada mejora la transparencia y resulta especialmente útil para solucionar problemas y validar las tareas de administración de AD.

Control de acceso dinámico

El control de acceso dinámico (DAC) permite un control de acceso granular mediante la evaluación de las reclamaciones de los usuarios, las reclamaciones de los dispositivos y las propiedades de los recursos en el momento del acceso para los recursos compartidos de archivos NTFS. ADAC proporciona una interfaz centralizada para crear, ver y gestionar componentes del DAC sin depender totalmente de PowerShell.

Por ejemplo, los administradores pueden definir permisos basados en el atributo departamento, cuyo acceso se actualiza automáticamente cuando la cuenta de usuario cambia de departamento. Esto ayuda a las organizaciones a aplicar políticas de autorización precisas y a mantener un control de acceso consistente en todos los servidores de archivos del entorno de AD.

Nota: el DAC requiere Windows Server 2012 o posterior, y los servidores de archivos deben ser compatibles con el DAC para que se apliquen las directivas.

Búsqueda global

La búsqueda global permite a los administradores localizar rápidamente objetos de AD en varios dominios de un bosque desde una única interfaz. Las funciones de búsqueda de ADAC son más sólidas que las de ADUC, ya que ofrecen opciones de filtrado mejoradas que permiten limitar los resultados en función de atributos como el estado de la cuenta, la OU u otros criterios específicos de los objetos. Esto facilita considerablemente la gestión de entornos de AD grandes o complejos.

Los resultados de la búsqueda se muestran en una vista unificada, lo que permite a los administradores ver inmediatamente las propiedades de los objetos y realizar acciones administrativas como restablecer contraseñas, modificar atributos o eliminar objetos.

Cambios recientes en ADAC

ADAC se mantiene estable y sin cambios en la funcionalidad básica desde Windows Server 2022, continuando su rol como consola basada en PowerShell para la gestión de AD orientada a tareas. Entre los cambios introducidos recientemente en ADAC destacan los siguientes

• Mejora de la fiabilidad y el rendimiento en la gestión de entornos de AD de gran tamaño.
• Mayor compatibilidad con las liberaciones más recientes de Windows Server y el cliente Windows.
• Actualizaciones continuas del módulo PowerShell, que garantizan que las acciones de ADAC sigan coincidiendo con los cmdlets de AD compatibles.
• Actualizaciones de seguridad y refuerzo heredadas del sistema operativo Windows Server.

Aunque las funciones principales de ADAC, como la búsqueda global y la gestión de políticas de contraseñas detalladas, permanecen inalteradas, estas actualizaciones garantizan que ADAC siga funcionando de forma fiable en implementaciones de AD modernas y centradas en la seguridad.

Cómo instalar ADAC

ADAC se instala de forma predeterminada en la mayoría de las ediciones de Windows Server compatibles. En Windows 10 y Windows 11, ADAC está disponible a través de las Herramientas de administración remota de servidores (RSAT). Las versiones antiguas de Windows 10 (anteriores a 1809) requieren la descarga de RSAT desde el sitio web de Microsoft.

Limitaciones de ADAC

Aunque ADAC ofrece una experiencia más capaz y moderna que ADUC, sigue teniendo limitaciones a la hora de gestionar entornos complejos o a gran escala, como::

• No hay gestión ni automatización a gran escala
• Informes y auditorías limitados
• Sin flujos de aprobación integrados
• Delegación mínima y control de acceso basado en roles
• Depende en gran medida de las operaciones manuales

Por qué elegir ADManager Plus para la administración de AD

Aunque ADAC mejora la administración nativa de AD, las organizaciones a menudo necesitan más control, visibilidad y escalabilidad. ManageEngine ADManager Plus amplía la administración de AD ofreciendo:

• Gestión centralizada de AD, Microsoft 365 y Exchange
• Aprovisionamiento masivo de usuarios y limpieza
• Informes de AD predefinidos y personalizables
• Delegación basada en roles para equipos de la mesa de ayuda
• Flujos de trabajo de aprobación y control de tareas
• Administración móvil de AD

Solución de problemas comunes de ADAC

1. ADAC no puede conectarse a ningún dominio

Si ADAC no puede conectarse a ningún dominio, verifique lo siguiente:

• El equipo tiene conectividad de red a un controlador de dominio.
• El DNS está correctamente configurado y resolviendo el dominio
• Ha iniciado sesión con una cuenta que tiene privilegios de administrador de AD.
• La hora del sistema se sincroniza con el dominio
• Los puertos necesarios para la comunicación con AD están abiertos

Este problema es común cuando se utiliza ADAC desde sistemas Windows 10 o Windows 11 que no están correctamente conectados a un dominio.

2. Active Directory Administrative Center no se abre

Si ADAC no se abre, verifique:

• RSAT: AD DS y LDS Tools están instalados (Windows 10/Windows 11)
• Se utiliza la edición de Windows correcta (Pro, Enterprise o Education).
• Está ejecutando ADAC con dsac.exe
• Las actualizaciones de Windows se aplican completamente

La reinstalación de RSAT suele resolver los problemas con las instalaciones ADAC de Windows.

3. ADAC no puede encontrar objetos

Si ADAC se abre pero no muestra usuarios, grupos u OU:

• Garantice que el dominio correcto está seleccionado en el panel de navegación izquierdo
• Utilice la Búsqueda global para confirmar la existencia de objetos en el dominio
• Verifique los permisos para leer objetos en la OU seleccionada
• Actualice la consola o vuelva a conectarse al dominio

Este comportamiento es más notable en bosques multidominio si se selecciona el contexto de dominio incorrecto.

4. Falta la opción Papelera de reciclaje en ADAC

Si la Papelera de reciclaje de AD no está visible o no se puede activar:

• Confirme que el nivel funcional del bosque es Windows Server 2008 R2 o superior
• Compruebe que al menos un controlador de dominio ejecuta Windows Server 2012 o posterior.
• Garantice que la papelera de reciclaje no esté activada (es una operación que se realiza una sola vez)

Una vez activada, la Papelera de reciclaje no se puede desactivar.

5. No se dispone de opciones de directiva de contraseñas detalladas.

Si no puede configurar políticas de contraseñas detalladas en ADAC:

• Confirme que el nivel funcional del dominio es Windows Server 2008 o superior
• Compruebe que dispone de permisos suficientes para crear objetos de configuración de contraseñas
• Compruebe que está navegando al Contenedor de ajustes de contraseña

Estas políticas solo se aplican a usuarios o grupos, no a OU.

6. El panel Historial de PowerShell no está visible

Si no se muestra el Visor del historial de Windows PowerShell:

• Expanda manualmente el panel inferior de la ventana ADAC
• Realice una acción (como restablecer una contraseña) para rellenar el historial.
• Reinicie ADAC si el panel no se carga

El visor del historial solo muestra las acciones realizadas durante la sesión actual.

7. ADAC es lento o no responde

Pueden producirse problemas de rendimiento en ADAC debido a:

• Grandes dominios con un elevado número de objetos
• Latencia de red entre la consola y los controladores de dominio
• Recursos del sistema insuficientes en el equipo cliente

Utilizar la búsqueda global, limitar el alcance de la OU o ejecutar ADAC más cerca del controlador de dominio puede mejorar la capacidad de respuesta.

PREGUNTAS FRECUENTES

1. ¿Cuál es la diferencia entre ADUC y ADAC?

ADUC es la herramienta tradicional basada en MMC utilizada para la administración rutinaria de AD, como la gestión de usuarios, grupos y OU. Es familiar y fiable, pero ofrece un acceso limitado a funciones avanzadas.

ADAC es el moderno centro de administración de AD de Microsoft, basado en Windows PowerShell. Proporciona una interfaz más intuitiva, acceso gráfico a funciones como la papelera de reciclaje y políticas de contraseñas detalladas, y visibilidad de los comandos PowerShell ejecutados para cada tarea. Esto hace que ADAC sea más adecuado para entornos de administración de AD modernos y multidominio.

2. ¿Es ADAC compatible con la gestión masiva de usuarios?

No, ADAC no es compatible con operaciones masivas ni automatización a escala. Para el aprovisionamiento masivo, la elaboración de informes y la gestión basada en flujos de trabajo, lo mejor son herramientas de terceros como ADManager Plus.

3. ¿Puedo gestionar varios dominios simultáneamente en ADAC?

Sí. A diferencia del antiguo ADUC, que requiere cambiar manualmente el foco del dominio, ADAC permite añadir múltiples dominios del mismo o de diferentes bosques al panel de navegación. Esto proporciona una vista centralizada, y la función de Búsqueda Global puede realizar consultas en todos los dominios conectados a la vez.

4. ¿Puedo utilizar ADAC para administrar objetos de directiva de grupo (GPO)?

No, ADAC está diseñado para gestionar objetos (usuarios, grupos, equipos) y funciones específicas de AD (papelera de reciclaje, políticas de contraseñas). Para gestionar las directivas de grupo, debe seguir utilizando la consola de gestión de directivas de grupo (GPMC) o herramientas de terceros como ADManager Plus, que proporcionan funciones completas de gestión de directivas de grupo y generación de informes.

5. ¿Qué es el valor de Precedencia en las directivas de contraseña detalladas?

Un usuario puede ser miembro de varios grupos de seguridad, por lo que técnicamente podría estar sujeto a varias políticas de contraseñas. El valor de Precedencia (un número entero) actúa como criterio de desempate. La directiva con el número más bajo (por ejemplo, 1) tiene prioridad sobre los números más altos (por ejemplo, 10).

6. ¿Está activada de forma predeterminada la papelera de reciclaje de AD?

No, aunque ADAC proporciona la interfaz para gestionarla, la Papelera de reciclaje de Active Directory debe habilitarse manualmente primero. Una vez activada, no se puede desactivar. Para activarla, haga clic con el botón derecho en su dominio en ADAC y seleccione Activar Papelera de Reciclaje.

7. ¿Sustituye ADAC a la pestaña Editor de atributos de ADUC?

Sí, y lo mejora. En ADAC, cuando abre las Propiedades de un usuario, la sección Extensiones contiene muchos de los atributos sin procesar. Sin embargo, la interfaz principal de ADAC también revela muchos atributos que antes estaban ocultos en ADUC a menos que se activaran las Funciones avanzadas.