11 herramientas esenciales para administrar

Active Directory
Por townel
Si ha recibido alguna vez una hoja de cálculo de Excel con una lista de 200 empleados
nuevos que empiezan la semana próxima, o si sus cuentas de usuario se han configurado
incorrectamente porque el personal de soporte técnico hizo clic en algo
en lo que debía haber hecho clic, o si simplemente desea facilitar la administración de
Active Directory® sin tener que abrir usuarios y equipos cada vez, existen varias
herramientas de administración gratuitas que pueden ayudarle con todo esto. Algunas se
han creado directamente en el sistema operativo Windows®, otras proceden de un kit de
recursos o de las herramientas de soporte de Windows y algunas otras son herramientas
de terceros gratuitas. ¿Cuáles son estas herramientas tan prácticas y dónde pueden
obtenerse? Averigüémoslo.
Empezaré con las herramientas de la línea de comandos integradas en Windows Server®
2003 que permiten crear, eliminar, modificar y buscar objetos en Active Directory.

CSVDE

La herramienta Comma-Separated Values Data Exchange, conocida como CSVDE,

permite importar objetos nuevos a Active Directory mediante un archivo de código de
origen CSV; también proporciona la capacidad de exportar objetos existentes a un
archivo CSV. CSVDE no puede usarse para modificar objetos existentes; cuando se usa
esta herramienta en el modo de importación, es sólo para crear objetos nuevos.
Exportar una lista de objetos existentes con CSVDE es bastante sencillo. Aquí se
muestra cómo se exportan objetos de Active Directory a un archivo llamado ad.csv:
csvde –f ad.csv
El modificador de comandos –f indica que sigue el nombre del archivo de salida. Pero
debe ser consciente de que, en función del entorno, esta sintaxis básica podría tener
como resultado un archivo de salida muy grande y difícil de manejar. Para restringir la
herramienta de forma que sólo se exporten objetos dentro de una unidad organizativa
concreta, se pueden modificar las instrucciones de la siguiente manera:
csvde –f UsersOU.csv –d ou=Users,dc=contoso,dc=com
Digamos además que sólo está interesado en exportar objetos de usuario al archivo
CSV. En ese caso, se puede agregar el modificador de comandos –r, el cual permite
especificar un filtro del Protocolo ligero de acceso a directorios (LDAP) para la
búsqueda, y el modificador de comandos –l, el cual restringe el número de atributos que
se van a exportar (observe que lo que sigue está todo en una línea):
csvde –f UsersOnly.csv –d ou=Users,dc=contoso,dc=com –r
“(&(objectcategory=person)(objectclass=user))” –l
DN,objectClass,description
El modificador de comandos -i permite importar objetos a Active Directory desde un
archivo de origen CSV. Sin embargo, crear objetos de usuario con CSVDE tiene una
limitación importante: no se pueden establecer contraseñas de usuario. A causa de esto,
se recomienda evitar el uso de CSVDE para crear objetos de usuario.
LDIFDE

Active Directory ofrece una segunda herramienta integrada para operaciones masivas
del usuario llamada LDIFDE y que es más eficaz y flexible que CSVDE. Además de
crear objetos nuevos, LDIFDE también puede modificar y eliminar objetos existentes e
incluso ampliar el esquema de Active Directory. El equilibrio para la flexibilidad de
LDIFDE es que el archivo de entrada necesario, que se llama archivo LDIF con la
extensión .ldf, usa un formato más complejo que el archivo sencillo de CSV. (Con un
poco de trabajo también se podrán configurar contraseñas de usuario, pero llegaremos a
este punto dentro de un momento).
Empecemos con un ejemplo sencillo: exportar usuarios desde una unidad organizativa a
un archivo de LDF (observe que lo que sigue está todo en una línea):
ldifde -f users.ldf -s DC1.contoso.com -d “ou=UsersOU,dc=contoso,dc=com”
–r “(&(objectcategory=person)(objectclass=user))”
Al igual que con la mayoría de las herramientas de la línea de comandos, se puede
encontrar una explicación completa de los modificadores de comandos LDIFDE
ejecutando el comando LDIFDE /?. La figura 1 describe los que se han usado aquí.
(Observe que los modificadores de comandos son de hecho lo mismo para los comandos
CSVDE y LDIFDE).
Modificador de
Descripción
comandos
-d Permite especificar la ruta de acceso del LDAP al que LDIFDE debe
conectarse para la operación.
-f Permite indicar el nombre del archivo que va a usarse, en este caso para
ofrecer los resultados de la exportación.
-r Permite especificar el filtro LDAP que se usará para una exportación.
-s Permite especificar el controlador de dominio (DC) al que debe
conectarse para realizar la operación. Si se excluye este comando,
LDIFDE se conectará al controlador de dominio local (o el que
autenticó al ejecutar la herramienta desde una estación de trabajo).

La verdadera eficacia de LDIFDE está en la capacidad de creación y manipulación de

los objetos. Sin embargo, antes de hacer esto, se deberá crear un archivo de entrada. Lo
siguiente crea dos cuentas de usuario nuevas llamadas afuller y rking; para crear el
archivo de entrada, escriba el texto en el Bloc de notas (o en su editor favorito de texto
sin formato) y guárdelo como NewUsers.ldf:
dn: CN=afuller, OU=UsersOU, DC=contoso, DC=com
changetype: add
cn: afuller
objectClass: user
samAccountName: afuller

dn: CN=rking, OU=UsersOU, DC=contoso, DC=com

changetype: add
cn: rking
objectClass: user
samAccountName: rking

Tras haber creado el archivo, ejecute el comando siguiente:

difde –i –f NewUsers.ldf –s DC1.contoso.com
El único modificador de comandos nuevo aquí es -i, que, como puede adivinarse, indica
que se trata de una operación de importación en vez de una de exportación.
Al modificar o eliminar objetos existentes, la sintaxis para el comando de LDIFDE no
cambia; en vez de eso, se modifica el contenido del archivo LDF. Para cambiar el
campo de descripción de las cuentas de usuario, cree un archivo de texto llamado
ModifyUsers.ldf, tal como el que se muestra en la figura 2.

Los cambios se importan al ejecutar la misma sintaxis del comando de LDIFDE como
antes, especificando el nombre nuevo de archivo LDF después del modificador de
comandos -f. El formato LDF para eliminar objetos es aún más sencillo; para eliminar
los usuarios con los que ha estado trabajando, cree un archivo llamado DeleteUsers.ldf y
escriba lo siguiente:
dn: CN=afuller OU=UsersOU, DC=contoso, DC=com
changetype: delete

dn: CN=rking, OU=UsersOU, DC=contoso, DC=com

changetype: delete

Tenga en cuenta que a diferencia de CSVDE, LDIFDE sí puede configurar contraseñas

de usuario. Sin embargo, antes de poder configurar el atributo unicodePWD para una
cuenta de usuario, debe configurarse el cifrado de nivel de sockets seguros o la
seguridad del nivel de transporte (SSL/TLS) en los controladores de dominio.
Además, LDIFDE puede crear y modificar cualquier tipo de objeto de Active Directory,
no sólo las cuentas de usuario. El archivo LDF siguiente, por ejemplo, creará una
extensión de esquema personalizada llamada EmployeeID-example en el esquema del
bosque contoso.com:
dn: cn=EmployeeID-example,cn=Schema,
cn=Configuration,dc=contoso,dc=com
changetype: add
adminDisplayName: EmployeeID-Example
attributeID: 1.2.3.4.5.6.6.6.7
attributeSyntax: 2.5.5.6
cn: Employee-ID
instanceType: 4
isSingleValued: True
lDAPDisplayName: employeeID-example
Dado que los archivos de LDIFDE usan el formato de archivo estándar del sector
LDAP, las aplicaciones de terceros que necesitan modificar el esquema de Active
Directory a menudo suministrarán archivos LDF que pueden usarse para examinar y
aprobar los cambios antes de aplicarlos al entorno de producción.
Además de herramientas para las operaciones de importación y exportación masivas,
Windows Server 2003 incluye también un conjunto de herramientas integrado que
permite crear, eliminar y modificar distintos objetos de Active Directory, así como
realizar consultas para objetos que cumplen ciertos criterios. (Tenga en cuenta que estas
herramientas, dsadd, dsrm, dsget y dsquery, no son compatibles con Active Directory
para Windows 2000).

Dsadd

Dsadd se usa para crear una copia de una clase de objeto de Active Directory en una
partición de directorios concreta. Estas clases incluyen usuarios, equipos, contactos,
grupos, unidades organizativas y cuotas. Dsadd tiene una sintaxis genérica que consiste
en lo siguiente:
dsadd <ObjectType> <ObjectDistinguishedName> attributes
Tenga en cuenta que cada tipo de objeto que se crea toma un conjunto específico de
modificadores de comandos correspondiente a los atributos disponibles para ese tipo de
objeto. Este comando crea un solo objeto de usuario con distintos atributos rellenados
(observe que lo que sigue está todo en una línea):
dsadd user cn=afuller,ou=IT,dc=contoso,dc=com
–samID afuller –fn Andrew –ln Fuller –pwd *
-memberOf cn=IT,ou=Groups,dc=contoso,dc=com “cn=Help Desk,ou=Groups,
dc=contoso,dc=com”
–desc “Marketing Director”
El modificador de comandos –memberOf requiere el nombre distintivo (DN) de cada
grupo al que debería agregarse el usuario; si se desea agregar el usuario a varios grupos,
se pueden agregar varios DN delimitados por espacios.
Si hay algún elemento que contenga espacios, tal como el nombre completo del grupo
del departamento de soporte técnico, deberá incluirse en comillas dobles. Si un
elemento contiene una barra diagonal inversa, como por ejemplo una unidad
organizativa llamada TI\EMEA, la barra diagonal inversa debe especificarse dos veces:
TI\\EMEA. (Estos requisitos se aplican a todas las herramientas ds*).
Al usar el modificador de comandos -pwd *se le pedirá que escriba una contraseña para
el usuario en la línea de comandos. Esta contraseña puede especificarse dentro del
propio comando (-pwd P@ssword1), pero esto mostrará la contraseña en texto sin
formato en la pantalla o en cualquier texto o archivo de script en el que incrustó el
comando.
De una forma similar, puede crear un objeto de grupo y una unidad organizativa con los
dos comandos siguientes:
dsadd computer cn=WKS1,ou=Workstations,dc=contoso,dc=com
dsadd ou “ou=Training OU,dc=contoso,dc=com”
Dsmod
Dsmod se usa para modificar un objeto existente y se puede usar de manera muy similar
a la de dsadd, con submenús y sintaxis diferentes en función del tipo de objeto que se
está modificando. La instrucción siguiente de dsmod cambia una contraseña de usuario
y modifica la cuenta de éste de forma que se le pedirá que cambie a una contraseña
nueva en el inicio de sesión siguiente:
dsmod user “cn=afuller,ou=IT,dc=contoso,dc=com” –pwd P@ssw0rd1
–mustchpwd yes
Para ver las semejanzas entre estos modificadores de comandos, observe la sintaxis de
dsadd que se usaría para crear este usuario con los mismos atributos configurados:
dsadd user “cn=afuller,ou=IT,dc=contoso,dc=com” –pwd P@ssw0rd1
–mustchpwd yes
Como puede verse claramente, si se conocen los modificadores de comandos para crear
objetos en dsadd, se pueden usar estos mismos modificadores de comandos para
modificar usuarios con dsmod.

Dsrm

Lo contrario de dsadd es dsrm; como quizás se puede imaginar, esta herramienta

permite eliminar un objeto de la línea de comandos. La sintaxis básica de dsrm es
bastante sencilla: simplemente escriba dsrm seguido del nombre distintivo del objeto
que desea eliminar. Del modo siguiente:
dsrm cn=WKS1,ou=Workstations,dc=contoso,dc=com
De forma predeterminada, dsrm le preguntará si está seguro de que desea eliminar este
objeto. Escriba Y y, a continuación, presione Entrar. Este mensaje se puede suprimir
con el modificador de comandos -noprompt, pero, obviamente, entonces no tendrá
ocasión de confirmar que seleccionó el objeto correcto antes de eliminarlo. Dos
modificadores de comandos adicionales pueden ser de utilidad si se está eliminando un
objeto del contenedor; es decir, una unidad organizativa que podría contener otros
objetos.
El comando siguiente elimina la unidad organizativa TrainingOU y todos los objetos
que contiene:
dsrm ou=TrainingOU,dc=contoso,dc=com –subtree
Éste elimina todos los objetos secundarios incluidos dentro de TrainingOU, pero deja el
objeto de la unidad organizativa en su lugar:
dsrm ou=TrainingOU,dc=contoso,dc=com –subtree
–exclude

Dsmove
Para mover un objeto o cambiarle el nombre en Active Directory, se usa la herramienta
dsmove, pero observe que debería usarla para mover un objeto sólo dentro de un único
dominio. Para migrar objetos entre dominios o bosques, use la herramienta de
migración Active Directory (ADMT), que se descarga gratuitamente desde el sitio web
de Microsoft. Dsmove depende de dos modificadores de comandos que pueden usarse
por separado o combinados. Este comando proporciona un apellido nuevo a la cuenta de
Steve Conn:
dsmove “cn=Conn, Steve,ou=IT,dc=contoso,dc=com”
–newname “Steve Conn”
Este comando mueve la cuenta de Steve de la unidad organizativa IT a la unidad
organizativa Training OU:
dsmove “cn=Conn, Steve,ou=IT,dc=contoso,dc=com” –newparent
ou=Training,dc=contoso,dc=com
Se puede combinar un cambio de nombre y un desplazamiento en una sola operación si
se especifican ambos modificadores de comandos a la vez. Del modo siguiente:
dsmove “cn=Conn, Steve,ou=IT,dc=contoso,dc=com” –newname
“Steve Conn” –newparent ou=Training,dc=contoso,dc=com

Dsget y dsquery

El conjunto de herramientas de la línea de comandos ds* contiene dos herramientas que

se usan para hacer consultas en Active Directory y obtener información antes de crear o
modificar objetos.
Dsget toma el nombre completo de un objeto como si se tratara de un entrada y
devuelve el valor del atributo o atributos especificados. Dsget usa los mismos submenús
que dsadd y dsmod: user, computer, contact, group, ou y quota.
Para obtener el nombre de cuenta SAM y el identificador de seguridad (SID) de una
cuenta de usuario, escriba el comando siguiente (observe que lo que sigue está todo en
una línea):
dsget user cn=afuller,ou=IT,dc=contoso,dc=com
–samAccountName –sid
Obtendrá un resultado como el que se muestra en la figura 3.

Dsquery devuelve una lista de objetos de Active Directory que cumplen los criterios
especificados. Se pueden especificar los parámetros siguientes independientemente del
submenú se está usando:
dsquery <ObjectType> <StartNode> -s <Search Scope> -o <OutputFormat>
Para ObjectType, dsquery puede usar los submenús siguientes, cada uno de los cuales
tiene su propia sintaxis: computer, contact, subnet, group, ou, site, server (observe que
el submenú server recupera la información acerca de los controladores de dominio, no
de cualquier servidor que sea miembro del entorno), user, quota y partition. Y si uno de
estos tipos de consulta no cumple con los requisitos, se puede usar el submenú *, lo que
permite escribir una consulta LDAP de forma libre.
StartNode especifica la ubicación en el árbol de Active Directory en la que se iniciará la
búsqueda. Se puede usar un nombre completo específico como
ou=IT,dc=contoso,dc=com o uno de los especificadores de acceso directo siguientes:
domainroot, que empieza en la raíz de un dominio en particular; o forestroot, que
empieza en la raíz del dominio raíz del bosque con un servidor de catálogo global para
realizar la búsqueda.
Por último, la opción del ámbito de búsqueda especifica cómo dsquery debe buscar en
el árbol de Active Directory. La opción Subtree (predeterminada) consulta el StartNode
especificado y todos sus objetos secundarios, la opción onelevel sólo consulta los
elementos secundarios inmediatos de StartNode y la opción base consulta sólo el objeto
StartNode.
Para entender mejor los ámbitos de búsqueda, imagine una unidad organizativa que
contenga objetos de usuario y una unidad organizativa secundaria que contenga objetos
adicionales. Con el ámbito subtree se consultará la unidad organizativa, todos los
objetos de usuario que ésta contiene, la unidad organizativa secundaria y su contenido.
El ámbito onelevel consultará sólo los usuarios que contiene la unidad organizativa y no
se consultará la unidad organizativa secundaria ni su contenido. Una consulta base
buscará sólo la unidad organizativa sin consultar ninguno de los objetos que ésta
contiene.
Por último, se puede usar el formato de salida para controlar cómo se formatean los
resultados de dsquery. De forma predeterminada, dsquery devuelve los nombres
completos de cualquier objeto que coincide con la consulta. Del modo siguiente:

“cn=afuller,ou=Training,dc=contoso,dc=com”
“cn=rking,ou=ITTraining,ou=Training,dc=contoso,dc=com”
Para realizar consultas para todos los objetos de usuario que contiene la unidad
organizativa de IT y de cualquier unidad organizativa secundaria, use lo siguiente:
dsquery user ou=IT,dc=contoso,dc=com
Se puede perfeccionar aún más esta consulta si se agregan modificadores de comandos
adicionales como por ejemplo: -disabled (devuelve sólo cuentas de usuario
desactivadas), -inactive x, (devuelve sólo usuarios que no han iniciado sesión en las
últimas semanas o más) o -stalepwd x (devuelve sólo usuarios que no han cambiado sus
contraseñas en x días o más).
Según el número de objetos del directorio, es posible que sea necesario especificar el
modificador de comandos -limit x al ejecutar la consulta. De forma predeterminada,
dsquery devolverá hasta 100 objetos que coinciden con las especificaciones de la
consulta; se puede especificar un número más grande, tal como -limit 500, o usar -limit
0 para dar instrucciones de que dsquery devuelva todos los objetos que coincidan.
Se pueden usar los otros submenús para realizar consultas útiles también para otros
tipos de objeto. Considere la consulta siguiente que devuelve cada subred definida en
los sitios y servicios de Active Directory que está en el espacio de direcciones 10.1.x.x:
dsquery subnet –name 10.1.*
O bien, use lo siguiente para devolver cada subred ubicada en el sitio de la corporación:
dsquery subnet –site Corp
Con otro submenú, se puede determinar rápidamente cuántos controladores de dominio
están configurados en el bosque como servidores de catálogo global:
dsquery server –forest –isgc
Esta sintaxis también se puede usar para ayudar a determinar qué controlador de
dominio hospeda en el dominio la función Emulator Flexible Single Master Operations
(FSMO) del controlador de dominio principal (PDC):
dsquery server –hasfsmo pdc
Al igual que con los otros comandos ds* que incluyen submenús, se pueden ver todos
los modificadores de comandos disponibles dentro de un submenú de dsquery particular
si se va al mensaje del comando y se escribe dsquery user /?, dsquery computer /?,
dsquery subnet /?, etcétera.
Otro truco fácil de usar es canalizar el resultado de la consulta dsquery a otra
herramienta, tal como dsmod, que use el carácter | (teclas Mayús+barra diagonal inversa
en teclados de EE. UU.). Por ejemplo, supongamos que su compañía cambia el nombre
de un departamento desde Aprendizaje a Desarrollo interno y ahora debe actualizar el
campo de la descripción de cada usuario desde el nombre anterior de departamento al
nuevo. En una única línea de comandos, se pueden consultar objetos de usuario que
tienen un campo de descripción Aprendizaje y luego modificar masivamente el campo
de la descripción de la siguiente manera:
dsquery user –description “Training” | dsmod
-description “Internal Development”
Algunas perlas de terceros
Dado que Active Directory se basa en estándares LDAP, se puede consultar y modificar
con cualquier herramienta compatible con LDAP. Muchos otros proveedores han
lanzado al mercado herramientas de pago para facilitar la administración de Active
Directory, pero a veces se pueden encontrar con tesoros que se han puesto a disposición
de la comunidad de forma gratuita. Es el caso de una recopilación creada por el MVP de
Servicios de directorio Joe Richards, que está disponible para descarga desde
joeware.net/freetools. En este sitio pueden encontrarse muchas herramientas que son
útiles para muchas funciones diferentes. Tres a las que recurro una y otra vez son
adfind, admod y oldcmp.

Adfind y admod

Adfind y admod son similares a dsquery y dsmod; adfind es una herramienta de

consulta de línea de comandos para Active Directory y admod puede crear, eliminar o
modificar uno o más objetos de Active Directory.
A diferencia de las herramientas ds* que tienen varios submenús y modificadores de
comandos diferentes en función del tipo de objeto, adfind y admod tienen una sintaxis
constante independientemente del tipo de consulta o de la modificación que se está
intentando realizar. La sintaxis básica para adfind es:
adfind –b <Search Base> -s <Search Scope> -f <Search Filter>
attributesDesired
Por lo tanto, una consulta para el nombre completo y la descripción de todos los objetos
del equipo dentro de su dominio sería:
adfind –b dc=contoso,dc=com –s subtree –f (objectclass=computer) dn
description
Una consulta para todos los objetos de usuario tendría el aspecto siguiente:
adfind –b dc=contoso,dc=com –s subtree –f “(&(objectcategory=person)
(objectclass=user))” dn description
Observe que, salvo en el caso del contenido de la consulta LDAP, la sintaxis no cambió.
Cuando se trabaja con adfind, encontrará con que varios operadores de acceso directo
pueden ahorrarle mucha escritura. Por ejemplo, el modificador de comandos -default
puede reemplazar -b dc=contoso, dc=com en el ejemplo anterior y buscar en el dominio
entero; -gc busca en un recopilación de elementos no usados y devuelve todos los
usuarios del bosque de Active Directory. También puede usar el modificador de
comandos -rb para establecer una base relativa para la búsqueda; si desea buscar la
unidad organizativa de aprendizaje en el dominio phl.east.us.contoso.com, podrá
ahorrar bastante esfuerzo si simplemente especifica –default –rb ou=Training en vez de
–b ou=Training, dc=phl,dc=east,dc=us,dc=contoso,dc=com.
Adfind también puede realizar varias funciones de búsqueda avanzadas que, de otro
modo, no pueden administrarse fácilmente en la línea de comandos, incluidas las que se
muestran en la figura 4.
Modificador de
Descripción
comandos
-showdel Permite consultar el contenedor de objetos eliminados para objetos de
desecho.
-bit Permite consultar en operadores de bit a bit como, por ejemplo, el
atributo userAccountControl.
-asq Permite realizar una consulta del ámbito de atributos. Esta función (que
no puede replicarse en dsquery) puede recuperar un atributo de un
 objeto en particular y luego realizar una consulta en él.
-dsq Permite canalizar los resultados de una consulta adfind en dsmod o en
otras herramientas ds*.

Un ejemplo con el modificador de comandos -asq sería “Show me the group

memberships of the members of the HelpDesk”. Del modo siguiente:
adfind –default –rb cn=HelpDesk,ou=IT –asq member memberOf
Admod, como su nombre sugiere, se usa para modificar objetos dentro de Active
Directory. Al igual que con adfind, no hay submenús especializados con sintaxis
específicos para recordar; admod usa la misma sintaxis independientemente del tipo de
objeto con el que se está trabajando. También se puede usar admod para agregar, mover,
cambiar el nombre e incluso recuperar objetos mediante la adición del modificador de
comandos apropiado, como por ejemplo: -add, -rm, -move, -undel. Y, al igual que con
dsquery y dsmod, se puede usar también el carácter | para canalizar los resultados de
una consulta de adfind a admod.
Tenga en cuenta que si se realiza una recuperación con admod, se llevará a cabo
simplemente una operación de reanimación de desecho, en la que la mayor parte de los
atributos de objetos se eliminaron. Para restaurar completamente un objeto y todos sus
atributos, todavía será necesario realizar una restauración autoritativa del objeto.

Oldcmp

Hay una herramienta adicional de joeware que pienso que es imprescindible para mi kit
de herramientas de automatización: oldcmp, que examina la base de datos de Active
Directory en búsqueda de cuentas de equipo que no se han usado durante un número
determinado de semanas. Puede realizar las siguientes acciones:

• Crear un informe de cuentas sin necesidad de emprender ninguna acción contra

ellas
• Desactivar las cuentas de equipo sin usar
• Mover las cuentas de equipo a una unidad organizativa diferente asignada por el
usuario
• Eliminar las cuentas del equipo

Tenga en cuenta que dado que oldcmp tiene la capacidad de sembrar un caos grave en el
directorio, tiene varias características de seguridad integradas. No eliminará ninguna
cuenta que no esté desactivada (y sin haberse especificado manualmente un modificador
de línea de comandos tipo “En serio, ¡es así!”). No modificará más de 10 objetos a la
vez sin disponer de un modificador de comandos tipo “En serio, ¡es así!”, y
definitivamente no realizará ninguna acción sobre la cuenta del equipo para un
controlador de dominio.
A pesar del nombre engañoso de la herramienta, Joe ha actualizado oldcmp para que
también realice funciones semejantes para cuentas de usuario que no se han usado
durante cierto tiempo.
Para un entorno pequeño de Active Directory o para uno donde sólo se trabaja con una
o dos adiciones o modificaciones a la vez, las herramientas GUI, tal como Usuarios y
equipos de Active Directory, podrían ser suficientes para llevar una administración
diaria. Pero si se agregan y se modifican muchos objetos diariamente o simplemente
desea una solución más simplificada para las tareas administrativas, moverse a la línea
de comandos puede acelerar mucho el proceso de creación, modificación y eliminación
de objetos dentro de Active Directory. Como ha visto, hay varias flexibles y eficaces
herramientas disponibles y gratuitas, tanto herramientas integradas en Windows y como
herramientas que se pueden descargar de los miembros de la comunidad de Active
Directory. Cualquiera de estas herramientas tiene la capacidad de mejorar mucho su
productividad como administrador de Active Directory, y todas juntas se convierten aún
más en algo esencial para el trabajo diario.