Cómo gestionar usuarios y grupos en Active Directory: Guía completa

Última actualización: 15/04/2025
Autor: Isaac
  • Active Directory permite gestionar centralmente usuarios, grupos y equipos
  • Existen distintos tipos y ámbitos de grupos para fines específicos
  • Las cuentas pueden administrarse desde la GUI, línea de comandos o PowerShell
  • El uso adecuado de UO y delegación mejora la organización y la seguridad

gestionar usuarios y grupos en Active Directory

Active Directory (AD) es una de las herramientas esenciales para la administración de entornos empresariales en sistemas Windows. Este servicio permite controlar de manera centralizada a los usuarios, grupos, computadoras y demás recursos de red.

Entender cómo gestionar usuarios y grupos en AD es fundamental para cualquier administrador de sistemas. Desde tareas básicas como crear cuentas de usuario, hasta la configuración avanzada con comandos de PowerShell o la línea de comandos, esta guía cubre todo lo que necesitas saber para una gestión segura y eficiente.

Estructura organizativa en Active Directory

Antes de comenzar a manipular usuarios o grupos, es necesario establecer una estructura de Unidades Organizativas (UO). Estas unidades actúan como contenedores lógicos que ayudan a ordenar y administrar los objetos del dominio, como cuentas de usuario, equipos o grupos de forma jerárquica.

Las UO reflejan la organización real de la empresa, ya sea por departamentos, sedes geográficas o funciones específicas. Gracias a ellas, también se pueden aplicar directivas de grupo más específicas. Además, es posible delegar la administración de una UO a un usuario o grupo, de modo que solo determinados administradores puedan gestionar ese subconjunto de recursos. Para más información sobre la gestión de GPO, puedes consultar cómo gestionar GPO en PowerShell.

Tipos y ámbitos de grupos en Active Directory

En AD existen varios tipos de grupos y definiciones de ámbito que determinan cómo pueden utilizarse:

  • Grupos Globales: Normalmente se utilizan para agrupar usuarios que cumplen una función similar dentro de una organización (como un departamento).
  • Grupos Locales de Dominio: Se usan para asignar permisos a los recursos dentro del dominio.
  • Grupos Universales: Pueden agrupar usuarios y grupos de cualquier dominio dentro del bosque, ideales para entornos multicontrolador o multiforestal.

Aparte del ámbito, también debemos distinguir entre:

  • Grupos de seguridad: Permiten asignar permisos a recursos, contienen un SID (Identificador de Seguridad).
  • Grupos de distribución: No tienen SID y están orientados a la distribución de correos electrónicos, normalmente en entornos con Exchange.
  Ethernet No Tiene Una Configuración IP Valida En Windows 8.1

Creación y administración de cuentas de usuarioç

windows active directory

La gestión de cuentas de usuario es una de las tareas más comunes y críticas en AD. Pueden realizarse a través de las herramientas gráficas como Usuarios y Equipos de Active Directory (ADUC) o el Centro de Administración de AD (ADAC), así como mediante línea de comandos o PowerShell. Para profundizar en la instalación de estas herramientas, puedes seguir esta guía sobre instalar Usuarios y Equipos de Active Directory en Windows 10.

Para crear una cuenta de usuario desde la interfaz gráfica:

  1. Abrir la herramienta ADUC.
  2. Seleccionar la UO adecuada.
  3. Botón derecho > Nuevo > Usuario.
  4. Completar los campos requeridos como nombre, contraseña y configuración de cuenta.

También se pueden establecer restricciones de inicio de sesión, definir horarios permitidos, equipos específicos donde puede iniciar sesión e incluso establecer perfiles móviles.

Una función útil es la posibilidad de copiar una cuenta existente, lo cual acelera la creación de múltiples cuentas con configuraciones similares (miembros de grupo, políticas, horarios, etc.).

Modificar cuentas de usuario

Modificar una cuenta existente es sencillo a través de la interfaz gráfica:

  • Cambiar nombre o contraseña.
  • Asignar o eliminar grupos.
  • Establecer permisos especiales.
  • Activar o desactivar cuentas según sea necesario.

Desde la línea de comandos, se pueden usar herramientas como dsmod para modificar contraseñas, forzar el cambio en el siguiente inicio de sesión (dsmod user <user_dn> -mustchpwd yes) o desactivar una cuenta temporalmente. Para más detalles sobre cómo gestionar discos y otros objetos desde la línea de comandos, consulta esta guía completa sobre gestión de discos en CMD.

Para eliminar una cuenta, se puede usar dsrm <user_dn>, siendo importante saber que al eliminar una cuenta se pierden los permisos asociados ya que el nuevo usuario, aunque tenga el mismo nombre, tendrá un SID diferente.

Unir equipos al dominio

Para que un equipo forme parte de un dominio, se debe:

  1. Configurar el adaptador de red para que use el DNS del controlador de dominio.
  2. Establecer conexión con el servidor DNS del dominio.
  3. Verificar la conectividad mediante ping al FQDN del controlador.
  Aquí tienes 15 de los mejores libros de educación financiera para mujeres

Una vez hecho esto, basta con ir a la configuración del sistema (Win + Pause), cambiar las propiedades de nombre de equipo e incluirlo en el dominio. Nos pedirá credenciales de una cuenta con permisos, típicamente el administrador del dominio.

Gestión de cuentas de equipo en AD

Los equipos son también objetos dentro de AD y se pueden crear manualmente o automáticamente al unir un PC al dominio. Al igual que las cuentas de usuario, pueden agregarse a grupos.

Desde línea de comandos se pueden utilizar:

  • dsadd computer <computer_dn> para añadir un equipo.
  • dsmod computer <computer_dn> -disabled yes/no para habilitar o deshabilitar.
  • dsmod computer <computer_dn> -reset para restablecer una cuenta de equipo.

Creación y administración de grupos

Los grupos son fundamentales para la administración de permisos y políticas. Crearlos correctamente mejora la seguridad y reduce la complejidad.

Desde ADUC o ADAC la creación es sencilla: se elige nombre, ámbito (global, local de dominio o universal) y tipo (seguridad o distribución). Para más detalles sobre cómo integrar grupos de seguridad y distribución, puedes leer la razón por la que los grupos locales no están incluidos en Windows 10.

Herramientas como dsadd group, dsmod group y PowerShell con New-ADGroup permiten automatizar estas tareas en entornos más grandes.

Después de creado, se pueden:

  • Añadir o quitar miembros: usuarios, equipos o incluso otros grupos.
  • Modificar su tipo o ámbito, aunque con limitaciones en dominios mixtos.
  • Asignar permisos a recursos compartidos, políticas de GPO, etc.

Administrar pertenencias de grupo

Desde la pestaña Miembro de se pueden ver todos los grupos a los que un usuario pertenece. Esta opción es útil para auditar o verificar accesos.

Además, desde un grupo, puedes ir a la sección Miembros y agregar varios usuarios, equipos o subgrupos usando el botón derecho y la opción correspondiente. Por ejemplo, puedes utilizar dsmod group -addmbr para añadir miembros de forma masiva.

De forma masiva, PowerShell y comandos como dsmod group -addmbr permiten agregar múltiples miembros de forma automatizada.

Administrar múltiples objetos de forma simultánea

En ADUC, puedes seleccionar múltiples usuarios y aplicar cambios comunes a todos ellos (por ejemplo, cambiar una descripción o añadirlos a un grupo). Esto reduce tiempos en la creación y mantenimiento de usuarios en empresas con alta rotación o contratación estacional.

  Find out how to Set up Google Play Retailer On Xiaomi Telephones

Uso de línea de comandos y PowerShell

Para administradores avanzados o en entornos con cientos de objetos, PowerShell y las herramientas de línea de comandos son fundamentales. Algunas acciones comunes incluyen:

  • dsquery: Buscar objetos (usuarios, grupos, equipos, UO, etc.).
  • dsadd: Crear objetos.
  • dsmod: Modificar objetos existentes.
  • dsrm: Eliminar objetos de AD.

PowerShell, por su parte, ofrece cmdlets como:

  • New-ADUser, Set-ADUser, Remove-ADUser
  • Get-ADGroupMember, Add-ADGroupMember

Una ventaja de PowerShell es que permite registrar scripts reutilizables y ver el historial de comandos al utilizar la consola ADAC. También permite gestión remota utilizando RSAT desde un equipo cliente sin necesidad de acceder directamente al controlador de dominio.

Buenas prácticas y recomendaciones

Al gestionar usuarios y grupos en AD, es recomendable:

  • No crear más grupos de los necesarios, para evitar sobrecarga en el sistema de autorizaciones.
  • Utilizar grupos como método primario de asignación de permisos, en lugar de conceder permisos directamente a usuarios individuales.
  • Crear cuentas plantilla para nuevas incorporaciones con configuraciones estándar.
  • Utilizar nombres descriptivos y consistentes en cuentas, grupos y unidades organizativas.

Una gestión ordenada y sistemática evita errores de seguridad, mejora el rendimiento y reduce la carga administrativa. En este sentido, vale la pena explorar los archivos SYS en Windows, que pueden ofrecer más información sobre la administración de sistemas.

La administración de usuarios y grupos en Active Directory no solo es una tarea fundamental, sino que también es la base de una infraestructura segura y bien organizada. Desde la creación y eliminación de cuentas hasta la automatización con comandos o scripts, disponer de un plan claro y seguir buenas prácticas garantiza un entorno de TI más eficiente y robusto.

Artículo relacionado:
Cinco de los mejores programas de gestión de archivos del iPad para ordenadores Windows

Deja un comentario