Com administrar usuaris des de PowerShell: guia completa i pas a pas

L'administració d'usuaris a través de PowerShell s'ha convertit en una eina fonamental i versàtil tant per a entorns empresarials com per a usuaris avançats que busquen gestionar comptes de forma eficient, especialment en servidors i estacions de treball Windows. PowerShell permet automatitzar tasques, estalviar temps i obtenir un control precís d'usuaris, grups i permisos usant tant mòduls locals com per a Active Directory o serveis al núvol.

Amb aquest article aprendràs en profunditat com administrar usuaris des de PowerShell en diferents situacions, abastant des de la gestió local fins a escenaris de domini, passant per l'automatització massiva i la interacció amb plataformes com ara Microsoft 365 i SharePoint. A més, coneixeràs les millors pràctiques, ordres essencials i consells per optimitzar ladministració sense necessitat dinterfície gràfica.

Què és el PowerShell i per què és clau per a l'administració d'usuaris?

PowerShell és un entorn d'automatització i scripting, desenvolupat per Microsoft, que combina una línia d'ordres pròpia amb un potent llenguatge de scripting orientat a objectes Un dels seus avantatges més grans és estar integrat profundament al sistema operatiu Windows, permetent accedir i manipular objectes del sistema, usuaris, grups i recursos de xarxa emprant els anomenats cmdlets.

En moltes organitzacions i centres de dades, especialment aquells que prioritzen el rendiment i la seguretat, el maneig mitjançant CLI es torna imprescindible. L'absència d'interfície gràfica minimitza la càrrega al sistema y afavoreix l'automatització de tasques repetitives.

Mòduls i cmdlets de PowerShell per a l'administració d'usuaris

L'administració d'usuaris depèn en gran part dels cmdlets específics i mòduls que tinguis instal·lats al sistema. PowerShell estructura les seves funcionalitats a mòduls, entre els principals destaquen:

• Microsoft.PowerShell.LocalAccounts – Per gestionar usuaris i grups locals a l'equip.
• ActiveDirectory – Per gestionar usuaris, grups i recursos en dominis de l'Active Directory.
• AzureAD y Microsoft.Online – Pensats per a la gestió d'usuaris al núvol, com ara Microsoft 365 o Azure AD.
• SharePoint Online Management Shell – Permet administrar usuaris i grups en entorns del SharePoint online.

Cada mòdul exposa una sèrie de cmdlets amb sintaxi verb-substantiu, Per exemple, Nou usuari local o Get-ADUser. Aquestes ordres us permeten crear, consultar, modificar o eliminar usuaris i grups segons el vostre entorn.

Preparació inicial: requisits, instal·lació i actualització

Abans de començar a administrar usuaris, assegura't de complir alguns prerequisits bàsics:

• Assegureu-vos que la vostra versió de PowerShell sigui compatible, usant Get-Host o $PSVersionTable.PSVersion.
• Actualitza l'ajuda de PowerShell amb Update-Help per disposar de documentació actualitzada.
• Instal·la els mòduls necessaris segons les teves necessitats (per exemple, Install-Module -Name LocalAccount o Mòdul d'importació ActiveDirectory per a dominis).
• Executa la consola com a administrador per tenir privilegis complets.

Importar i verificar mòduls:

• Get-Module -ListAvailable -Name Microsoft.Powershell.LocalAccounts per veure si el mòdul de comptes locals està instal·lat.
• Mòdul d'importació ActiveDirectory per carregar el mòdul d'administració AD.

Administració d'usuaris locals amb PowerShell

Quan es tracta de gestionar comptes d'usuari que existeixen només al mateix equip, el mòdul LocalAccounts és el teu millor aliat. Aquí tens els procediments clau per a la gestió local:

• Llistar tots els usuaris locals: Get-LocalUser
• Consulteu un compte específic: Get-LocalUser -Name «nomUsuari»
• Crear un usuari local:

Per crear un usuari sense contrasenya:

New-LocalUser «NouUsuari»

Per associar una contrasenya de manera segura:

$Password = Read-Host -AsSecureString
New-LocalUser "Usuario2" -Password $Password -FullName "Nombre completo" -Description "Descripción del usuario"

Assignar a grups: Afegir un usuari a un grup com a administradors:

Add-LocalGroupMember -Group "Administradores" -Member "Usuario2"

• Eliminar usuari: Remove-LocalUser «Usuari2»
• Reanomenar usuari: Rename-LocalUser -Name «Usuari2» -NewName «NouNom»
• Modificar atributs: Set-LocalUser -Name «Usuari2» -Description «Nou Rol»
• Habilita/Deshabilita compte: Enable-LocalUser / Disable-LocalUser -Name «Usuari2»
• Canvia contrasenya:

$password = Read-Host -AsSecureString
Get-LocalUser -Name 'Usuario2' | Set-LocalUser -Password $password

Gestió de grups locals

PowerShell també permet la gestió de grups d'usuaris locals per atorgar permisos o segmentar usuaris:

• Llistar grups: Get-LocalGroup
• Crear grup: New-LocalGroup -Name «Empleats» -Description «Grup empleats»
• Afegir membres: Add-LocalGroupMember -GroupName Empleats -Member Usuari2
• Eliminar membres: Remove-LocalGroupMember -GroupName Empleats -Member Usuari2
• Eliminar grup: Remove-LocalGroup -Name Empleats

Administració d'usuaris a Active Directory (AD DS) amb PowerShell

La gestió d'usuaris en entorns empresarials sol requerir controlar comptes dins d'un domini, és a dir sota Active Directory Domain Services. El mòdul ActiveDirectory amplia enormement les possibilitats:

Consultes informatives i auditories

• Veure informació del bosc: Get-ADForest
• Informació del domini: Get-ADDomain
• Controladors de domini: Get-ADDomainController

Es poden filtrar camps i personalitzar la sortida usant pipes i selectors:

Get-ADDomain | Select Name, DomainMode | Format-Table

Consulteu tots els usuaris: Get-ADUser -Filter *

Consulteu detalls d'un usuari: Get-ADUser «nomusuari» -Properties *

Gestió d'usuaris al domini

• Crear usuari a AD:

$userpassword = ConvertTo-SecureString -AsPlainText -Force -String "PASSWORD"
New-ADUser -Name "Usuario" -AccountPassword $userpassword

Podeu afegir més paràmetres com ara -Description, -Enabled $true i altres atributs personalitzats.

• Eliminar usuari a AD: Remove-ADUser -Identity «CN=Usuari,CN=Users,DC=domini,DC=com»
• Habilitar/deshabilitar compte: Enable-ADAccount / Disable-ADAccount -Identity nomusuari
• Duplicar compte existent com a plantilla:

New-ADUser -Name NuevoUsuario -GivenName "Nombre" -Surname "Apellido" -Path "CN=Users,DC=dominio,DC=local" -Instance PlantillaUsuario

• Modificar atributs d'usuari: Set-ADUser -Identity nomusuari -Description «Descripció nova»
• Canvia contrasenya: Set-ADAccountPassword nomusuari (et demanarà la contrasenya, o fes servir -Reset per forçar canvi sense saber l'anterior).
• Desbloquejar comptes: Unlock-ADAccount nomusuari
• Eliminar diversos usuaris:

foreach ($i in $listaUsuarios) {
  Remove-ADUser $i.user
}

Creació i eliminació massiva d'usuaris a AD i local

Automatitzar processos és imprescindible quan es tracta de grans volums. Això es fa generalment amb fitxers .csv i scripts. L'estructura bàsica del csv inclou capçaleres com a nom, contra o user, password.

$usuarios=Import-Csv -Path c:\...\usuarios.csv
foreach ($i in $usuarios){
  $clave=ConvertTo-SecureString $i.contra -AsPlainText -Force
  New-LocalUser $i.nombre -Password $clave -AccountNeverExpires -PassNeverExpires
  Add-LocalGroupMember -Group usuarios -Member $i.nombre
}

Per eliminar usuaris en massa:

foreach ($i in $usuarios){
  Remove-LocalUser $i.nombre
}

En entorns d'Active Directory, es poden crear scripts similars per Nou-usuari ADU y Remove-ADUser després d'importar el fitxer csv amb els paràmetres necessaris.

Gestió d'usuaris i grups a Microsoft 365, Azure AD i SharePoint Online

L'administració d'usuaris al núvol ha adquirit una rellevància especial gràcies a la popularitat de serveis com Microsoft 365, Azure AD i SharePoint Online. En aquests entorns, els cmdlets i mòduls específics permeten un control avançat:

• Connexió a Microsoft 365 i Azure: Abans d'executar qualsevol operació, cal autenticar-se i connectar els mòduls de PowerShell adequats.
• Creació i gestió d'usuaris: Cmdlets com New-MsolUser, Set-MsolUser, Remove-MsolUser per a Microsoft Online.
• Gestió de llicències, rols i grups: Es pot assignar llicències (Set-MsolUserLicense), modificar rols, afegir usuaris a grups o manipular permisos des de la consola.

Per SharePoint Online:

• Llistat de llocs: Get-SPOSite
• Llistat de grups i usuaris: Get-SPOSiteGroup i Get-SPOUser
• Afegir usuari a grup: Add-SPOUser -Group «Grup» -LoginName «usuari@domini.com» -Site «https://domini.sharepoint.com/sites/lloc»
• Eliminar usuari: Remove-SPOUser -LoginName «usuari@domini.com» -Site «https://domini.sharepoint.com/sites/sitio» -Group «grup»
• Automatització amb arxius CSV: Importa usuaris i grups de forma massiva mitjançant Import-Csv combinat amb els cmdlets Add-SPOUser i New-SPOSiteGroup.

Personalització i ús avançat de cmdlets

Un dels punts forts de PowerShell és el seu caràcter orientat a objectes. Pots manipular propietats, filtrar llistats i adaptar scripts a gairebé qualsevol necessitat:

• Filtrar usuaris per nom, domini o grup:

Get-ADUser -Filter 'Name -like "jio*"' | Select Name

• Modificar múltiples atributs dusuari duna sola vegada:

Set-ADUser -Identity usuario -Company "Nombre Empresa" -Department "Soporte" -Office "Oficina Central"

• Copiar atributs d'un compte a un altre:

$origen=Get-ADUser -Identity UsuarioPlantilla -Properties Company, Office
Set-ADUser -Identity UsuarioDestino -Company $($origen.Company) -Office $($origen.Office)

Automatització d'informes i auditoria

PowerShell permet extreure tota mena d'informació i generar informes personalitzats, cosa que és ideal per a auditories i control de canvis:

• Generar informe d'usuaris del SharePoint:

Get-SPOSite | ForEach {Get-SPOUser –Site $_.Url} | Format-Table -Wrap -AutoSize | Out-File c:\UsersReport.txt -Force -Width 360 -Append

• Auditoria d'altes i baixes d'usuaris: Usa scripts que recorrin el domini o els fitxers CSV per comprovar usuaris afegits/eliminats en un període de temps.