martes, 30 de noviembre de 2010

Boot desde VHD

Windows 7 en sus ediciones Enterprise y Ultimate incluye la opción de poder iniciar el sistema desde una VHD. Windows Server 2008R2 también tiene esta característica.
Esto es interesante si necesitamos ejecutar un sistema operativo en nuestro equipo de manera diferente, especialmente si queremos utilizarlo para realizar pruebas, porque un VHD puede ser recuperado fácilmente.

Las mismas herramientas con las que se configuran los discos rígidos standard (Disk Management y Diskpart), se utilizan para trabajar con VHD. Podemos crear y conectar de unidad a un VHD desde Disk Mangement.


Desde Diskpart podemos crear la partición, formatearlo, asignar la letra de unidad y marcar la partición como activa.


Pueden usarse Disk Management o Diskpart; yo realicé algunas tareas con una herramienta y otras con la otra, para mostrar ambas en funcionamiento. No podemos instalar un sistema operativo en un VHD desde una unidad óptica o una imagen ISO, hay que hacerlo desde una imagen WIM, el nuevo formato de imágenes desde Windows Vista y Windows 2008. Por ese motivo la instalación debe realizarse utilizando imagex.exe, que es parte de MDT 2010 o desde un servidor WDS si lo tenemos instalado y configurado en nuestra red. En este caso utilizaremos imagex por ser la unica forma de hacerlo con solo un equipo.

Para realizar este test utilizamos un DVD de Windows Server 2008R2. La sintaxis de imagex es muy simple.


"/apply" indica que se aplicará una imagen a un HD o VHD

"z:\sources\install.wim" es la ubicación de la imagen de Windows 2008 R2 que está en el DVD

"1" indica que es la primera imagen dentro de todas las que están en el archivo wim, en nuestro caso Windows Server 2008 R2 Standard (Full Instalation).

"w:\" es la letra de unidad del VHD en donde instalamos el sistema operativo.

Después de instalar el sistema operativo, es necesario modificar el sector de inicio de Windows 7 para que pueda seleccionar entre cargar desde el HD o desde el VHD. La forma más simple es utilizar una herramienta gráfica y gratuita llamada EasyBCD 2.0.


Ventajas:
1. Utilizamos todos los recursos de hardware para el sistema de nuestro VHD.
2. Accedemos directamente a los dispositivos del hardware real, por lo que es una manera óptima de probar hardware en un sistema operativo diferente o nuevos drivers.
3. Cuando se copia el VHD, tenemos una copia completa de nuestro laboratorio.

Desventajas:
1. Si estamos probando otro sistema operativo diferente del de nuestro HD, debemos buscar los drivers.
2. Sólo podemos ejecutar un sistema operativo para que realice un boot desde un VHD a la vez, aunque podemos configurar varios VHD a la vez e iniciar alternadamente de uno u otro.
3. El VHD no es fácilmente portable a otro equipo, salvo que tenga el mismo hardware.
4. La instalación es un poco más compleja que si se utilizan equipos virtuales o físicos.

Como introducción éste es el punto de partida para poder armar un laboratorio en nuestro equipo sin modificar el Windows 7 que ya tenemos instalado.

Para aprender más…
http://www.microsoft.com/virtualization

martes, 12 de octubre de 2010

Todos los equipos Windows tienen usuarios locales

Todos los equipos Windows tienen usuarios locales. Muchos administradores creen que los Domain Controllers (DC) no los tienen, pero la realidad es que eso es un error. Los DC tienen una base SAM para guardar el password del usuario Administrator. Cuando se instala un DC con DCpromo, durante el proceso de promoción se solicita el password de este usuario. Aunque es raro que sea utilizado, algunas veces necesitamos iniciar un DC con este usuario, por ejemplo cuando se va a realizar un defrag off line de la base de datos de AD. El principal inconveniente es que muchos olvidan la password de este usuario, la cual no puede ser reseteada como la password de los demás usuarios locales de los equipos que no son DC, y tampoco se puede usar ADUC porque no es un usuario del dominio.

La única forma de hacerlo es mediante una utilidad de línea de comando llamada “ntdsutil”. Los pasos a seguir son:
1-Abrir una consola CMD
2-Ejecutar “ntdsutil”
3-Ingresar “set DSRM password” para indicar que se desea cambiar el password de DSRM (Directory Service Restore Mode)
4-Indicar que estamos ejecutando el comando con “reset password on server null” en el usuario del server. Reemplazando “server null” con el nombre de otro DC, podemos resetear el password en un DC remoto.
5-Tipear la nueva password y su confirmación
6-Salir de la utilidad con “Quit”



El procedimiento es muy similar desde Windows 2000 hasta Windows 2008 R2

jueves, 30 de septiembre de 2010

Hacer Backup es solo la mitad

Tener un backup es solamente la mitad de lo que se necesita para estar tranquilo de que nuestra información está respaldada. La otra mitad es poder hacer el restore.

Si tenemos un archivo de respaldo .BKF hecho con NTBackup en nuestro Windows Server 2003, Windows Server 2003 R2 o Windows XP, no vamos a poder hacer un restore en un sistema operativo más nuevo. A diferencia de los sistemas más viejos, Windows Vista, Windows 7, Windows Server 2008 y Windows Server 2008 R2 no tienen NTBackup incluido. Por lo cual nos podemos encontrar con un problema durante la migración a un sistema operativo más nuevo.

Para salvar este inconveniente existe NTBackup-Restore, un utilitario que debemos bajar desde la Web de Microsoft y tiene un look and feel muy similar al clásico NTBackup, pero sólo con opciones para realizar restore.

Para instalarlo, hace falta instalar (en Windows Server 2008) o activar (en Windows Vista) la característica “Removable Storage”. En Windows Server 2008 R2 y Windows 7 no existe la característica “Removable Storage”, por lo que la versión de NTBackup-Restore para 2008/Vista no funciona en 2008R2/7, pero de todos modos existe una versión diferente para estos sistemas.

Los links para poder descargar las distintas versiones son:

NTBackup-Restore para Windows 2008 y Windows Vista (x86 y x64)
NTBackup-Restore para Windows 7 (x86)
NTBackup-Restore para Windows 7 (x64)
NTBackup-Restore para Windows 2008 R2 (x64)

martes, 31 de agosto de 2010

Usuarios inactivos

Constantemente entran nuevos usuarios en la organización, y otros son dados de baja. Si los procedimientos están bien realizados, quien maneja el Active Directory tiene acceso a esa información en tiempo y forma, lo que permite deshabilitar cuentas de usuarios que ya no se utilizan.
La realidad es que existen muchos casos en donde esto no sucede, y muchas cuentas de usuario están habilitadas aunque no se hayan estado utilizando durante algún tiempo. Las causas pueden ser las siguientes:

a) Recursos Humanos no avisa de las renuncias o despidos.
b) Los usuarios se ausentan por largos períodos (Licencias por vacaciones, accidentes de trabajo, maternidad).
c) Cuentas de servicio que no se utilizan más.

Hay una forma simple de ver qué cuentas no se han estado utilizando desde hace algún tiempo.

dsquery user -inactive 2 -limit 0

Ejecutando ese comando, podemos ver qué usuarios no han registrado actividad las últimas dos semanas, el limite indica la cantidad de resultados que queremos ver, donde cero significa "sin límite".
Podemos ejecutar este comando utilizando pipes para combinarlo con otros y realizar alguna acción. O enviarlo a un archivo de texto con >

Para pasar la información a un archivo de texto:
dsquery user -inactive 2 -limit 0 > c:\Users\edeleo\Desktop\Users.txt

Para mover los usuarios inactivos a otra OU:
dsquery user -inactive 2 -limit 0 dsmove -newparent "OU=Para borrar,DC=Labemd,DC= NET"

Para deshabilitar a los usuarios inactivos:
dsquery user -inactive 2 -limit 0 dsmod user -disabled yes

Para borrar usuarios de cierta OU:
dsquery user "OU=Para borrar,DC=Labemd,DC= NET" dsrm

Las combinaciones son muchas y no están limitadas a estos ejemplos. También es muy útil utilizar "dsquery computer" para buscar equipos inactivos que no cambiaron su password o que tienen cuentas deshabilitadas, como se muestra en el ejemplo:

dsquery computer -disabled

En otro artículo de este blog, se muestra cómo buscar PCs deshabilitadas, utilizando "Active Directory user and Computers". La ventaja de utilizar herramientas de línea de comando en lugar de interface gráfica es la posibilidad de automatizar la tarea. De esta manera podemos crear una tarea para todos los viernes a las 18:30 en donde se muevan equipos de OU, se deshabiliten usuarios o cualquier otra cosa que necesitemos.

Para aprender más...
Dsquery en Techenet

viernes, 23 de julio de 2010

FSMO FAQ

En los últimos años me preguntaron en varias ocasiones sobres los roles FSMO. Aquí trato de hacer un listado de las preguntas que más se repitieron.

¿Qué son los FSMO?
Son roles especiales que cumple algún DC en el dominio o forest. Aunque el modelo de replicación de AD es multi-master y los cambios se pueden hacer en cualquier DC, algunos cambios específicos o controles no. El ejemplo más simple es que no puede haber dos DC con passwords diferentes de un mismo usuario, porque un atacante podría utilizar un password viejo para ganar acceso a un recurso.

¿Cuántos FSMO hay?
Son cinco roles diferentes. El Domain Master y el Schema Master son únicos en el Forest, por lo cual no importa cuántos dominios tenemos, siempre hay uno de cada uno. El PDC Emulator, Infrastructure Master y el RID son únicos en el dominio, por lo que si tenemos dos dominios tendremos dos de cada uno de estos tres.

¿Cuántos DC necesito para ejecutar estos roles?
Todos pueden convivir en el mismo DC, pero según el tamaño de la implementación de AD, podemos ponerlos en diferentes DC.

Ni sabía que existían, ¿cómo hago para instalarlos ahora que ya tengo mi AD en producción?
Cuando se instala el primer DC los 5 roles se instalan en forma automática en ese DC. De igual manera, cuando se instala el primer DC de un nuevo dominio, los 3 roles propios del dominio se instalan en ese DC.

¿Qué pasa si apagué mi primer DC, perdí los roles?
No necesariamente, si la decomisión del equipo se hizo en forma correcta, cuando se ejecuta DCpromo.exe para sacar la función de DC de un equipo, los roles son transferidos a otro DC que pueda ocupar ese rol.

¿Cómo puedo pasar el rol a otro equipo?
Los roles PDC Emulator, Infrastructure Master y RID, desde la herramienta "Active Directory User and Computers", el Domain Master desde "Active Directory Domain a Trusts" y el Schema Master desde "Active Directory Schema"

¿Dónde está el "Active Directory Schema"?
El Schema de AD es algo que normalmente no se debería modificar, por lo que antes de poder ver la herramienta "Active Direcroty Schema" se debe registrar una dll ejecutando desde un CMD:
"regsvr32 schmmgmt.dll"

Si apagué mal mi DC, se me rompió, me lo robaron... ¿Perdí los roles?
Si tu DC tenía algún rol, es probable que esa función no la esté cumpliendo ningún equipo. Puede pasar algún tiempo hasta que la falta de esa función afecte la operatoria de la empresa.

Si apagué mal mi DC, se me rompió, me lo robaron... ¿Cómo paso un rol a otro equipo?
En este caso hay que forzar el paso del rol utilizando la herramienta "ntdsutil", como lo indica el link:
http://technet.microsoft.com/en-us/library/cc757500(WS.10).aspx

¿Cualquier DC puede tener cualquier rol?
No, los RODC no pueden tener ninguno de estos roles. Tampoco se puede ejecutar el rol de Infrastructure Master en un DC que es Global Catalog, exceptuando que todos los DC sean Global Catalog.

¿Y si tengo un solo DC?, entonces mi DC es Global Catalog, ¿verdad?
Si, pero también entonces todos tus DC son Global Catalog.

¿Qué función cumple y qué pasa si no se ejecuta el rol del Domain Master?
El Domain Master guarda la información de dominios dentro del forest, si no se está ejecutando, no se puede agregar nuevos dominios al forest.

¿Qué función cumple y qué pasa si no se ejecuta el rol del Schema Master?
El Schema Master guarda la información del esquema de AD, si no se está ejecutando, no se puede modificar el esquema de AD.

¿Qué función cumple y qué pasa si no se ejecuta el rol del PDC Emulator?
El PDC Emulator sirve para que equipos con NT 4.0 (espero que nadie los siga usando) pueden autenticarse en la red como si fuese un PDC NT 4.0 y es el DC encargado de mantener actualizados los passwords de los usuarios y equipos en AD. Si no se está ejecutando, un equipo con NT 4.0 no va a poder autenticarse y los usuarios o equipos no van a poder cambiar su contraseña.

¿Qué función cumple y qué pasa si no se ejecuta el rol del RID?
El RID reparte los números de SID dentro del dominio. Si el RID no se está ejecutando y un DC quiere crear un objeto nuevo dentro de AD pero no tiene numero de SID para asignarle, no se podrá crear el objeto en ese DC. (Nota: el SID es el identificador de seguridad, un número único que tiene cada objeto de AD)

¿ Qué función cumple y qué pasa si no se ejecuta el rol del Insfrastructure Master ?
El Infrastructure Master se encarga de mantener las referencia de pertenencia de grupo de los usuarios en los diferentes dominios. Si el rol no está disponible, no se podrán mover usuarios entre diferentes dominios.

¿Cómo puedo ver dónde están ejecutándose los roles?
Utilizando las mismas herramientas gráficas que se utilizan para moverlos o ejecutando desde un CMD:
netdom query fsmo

martes, 13 de julio de 2010

Se Terminó el 2000

Hoy martes 13 de Julio de 2010 se termina el soporte de Windows 2000 en todas sus versiones por parte de Microsoft. No hay más parches de seguridad, parches de funcionalidad, actualizaciones de artículos en la web de Microsoft ni asistencia de soporte. Aunque creo que poca gente aún tiene Windows 2000 como sistema operativo de PC para esta fecha, seguramente hay varios servers instalados prestando servicio.

Lo que va a preocupar a más gente, es que tampoco hay más soporte para Windows XP SP2 o versiones previas.

¡Espero que todos tengan actualizados sus equipos!

viernes, 4 de junio de 2010

Server Core

Aquí les comparto la información del evento de Server Core del 2 de Junio en el MUG.

Primero una lista de los comandos que yo utilizo habitualmente para configurar los equipos con Server Core. Recuerden que para R2 algunas cosas funcionan de una manera diferente.

Configuración inicial


Listar placas de Red
netsh interface ipv4 show interfaces

Mostrar información de IPv4
netsh interface ipv4 show address

Configurar IP estática
netsh interface ipv4 set address name=ID source=static address=ipadress mask=ipmask gateway=ipdefaultgateway

Configurar DNS Server
netsh interface ipv4 set dnsservers "Local Area Connection" static 10.0.0.1 primary

Renombrar el equipo
netdom renamecomputer %ComputerName% /NewName:NewComputerName

Unir equipo al dominio
netdom join %ComputerName% /domain:Domain
/userd:DomainUser /passwordd:*

Deshabilitar Firewall
netsh firewall set opmode disable (En Windows 2008)
netsh advfirewall set currentprofile state off (En Windows 2008 R2)

Configuración Básica


Instalar Rol (DHCP en Windows Server 2008)

start /w ocsetup DHCPServerCore
sc config dhcpserver start= auto
net start dhcpserver

Instalar Rol (DHCP en Windows Server 2008 R2)

Dism /online /enable-feature /featurename:DHCPServerCore
sc config dhcpserver start= auto
net start dhcpserver


Para configurar set de credenciales alternativas en un equipo para conectarse a un equipo que no está en el mismo dominio.
cmdkey /add: /user: /pass:


Comandos para administración

Control desk.cpl - Ver o configurar display settings.
Control intl.cpl - Ver o configurar regional and language options
Control sysdm.cpl - Ver o configurar system properties.
Control timedate.cpl - Ver o configurar date, time, y time zone.
Cscript slmgr.vbs –ato - Activar el sistema operativo.
DiskRaid.exe - Ver o configurar software RAID.
ipconfig /all - Muestra informacion de IP
PNPUtil.exe - Instala o actualiza hardware device drivers.
Sc query type=driver - Lista device drivers.
ServerWerOptin.exe - Configura Error Reporting.
SystemInfo - Lista detalles de configuration.
WEVUtil.exe - Manejo de Event View
Wmic datafile where name=“FullFilePath” get version - Muestra la versión de un archivo.
Wmic nicconfig index=9 call enabledhcp - Configura el uso de DHCP.
Wmic nicconfig index=9 call enablestatic(“IPAddress”), (“SubnetMask”) - Configura IP fija.
Wmic nicconfig index=9 call setgateways(“GatewayIPAddress”) - Configura el Default Gateway.
Wmic product get name /value “ - Lista MSI instalados ordenados por nombre.
Wmic product where name=“Name” call uninstall - Uninstall an MSI application.
Wmic qfe list - Lista updates y hotfixes instalados
Wusa.exe PatchName.msu /quiet - Aplica un update o hotfix al sistema operativo.

Aquí el link descargar el Core Configurator.

Para aprender mas...

martes, 18 de mayo de 2010

Evento en el MUG

A partir de Windows Server 2008 existe la opción de instalar el sistema operativo sin la interface gráfica. Esta forma de instalación es conocida como Server Core, en donde el sistema operativo queda recortado de su funcionalidad total pero se optimiza para la tarea específica que deseamos que cumpla.

El día Miércoles 2 de Junio de 18:30 a 21:30, en el MUG (Microsoft User Group) de Argentina hay un evento gratuito donde voy a presentar una introducción del tema.

Entre otras cosas vamos a ver:
-¿Qué es Server Core?
-Ventajas y desventajas
-Cuándo utilizar Server Core
-Configuración inicial
-Novedades en R2

Los espero!

Click aquí para anotarse

miércoles, 12 de mayo de 2010

El primer DC Windows Server 2008 R2

Para utilizar el primer Windows Server 2008 R2 en una red, no hay requerimientos previos. El sistema operativo puede convivir sin problemas con versiones más antiguas. Pero cuando la función que va a cumplir es de Domain Controler, hay algunos requisitos previos a cumplir.

a) No puede haber Windows NT 4.0 como BDC en la red.Deben ser removidos todos los DC anteriores a Windows 2000 Server, ya que la versión mínima requerida de nivel de funcionalidad de Dominio y Forest para poder tener Windows Server 2008 o Windows Server 2008 R2 es de Windows 2000 Native.

b) Hay que preparar el Forest y el Dominio para soportar la inclusión de la nueva versión de S.O.Incluso si el Forest fue preparado para Windows Server 2008, para Windows Server 2008 R2 el schema es diferente.

Windows 2000--> Versión 13
Windows 2003--> Versión 30
Windows 2003R2--> Versión 31
Windows 2008--> Versión 44
Windows 2008R2--> Versión 47

Windows Server 2008 R2 sólo tiene versiones de 64 bits, pero incluye una versión de adprep que funciona en 32 bits (llamada adprerp32) por si la estructura de la red en donde se desea ejecutar tiene solo DC de 32 bits.

Para preparar el Forest, en el Schema Master hay que ejecutar:
adprep /forestprep
Para preparar el Dominio, en el Infraestructure Master hay que ejecutar:
adprep /domainprep
Para consultar cual equipo cumple las funciones de Schema Master y de Infraestructure Master hay que ejecutar:
netdom query fsmo
La versión de 32 bits de "adprep" se utiliza de igual forma, simplemente hay que recordar que se llama "adprep32", ambas estan en el mismo directorio en el DVD de Windows Server 2008 R2.

c) El nivel de Dominio debe ser como mínimo Windows 2000 Nativo.Preparar el Forest o el Dominio no eleva el nivel de funcionalidad por sí solo, hay que elevarlo manualmente.

Para elevar el dominio:
1.Abrir "Active Directory Users and Computers".
2.En la consola, pulsar botón secundario en el dominio que se desea elevar, y hacer click en "Raise Domain Functional Level".
3.Seleccionar un nivel disponible dentro de la lista, y hacer click en "Raise".

Para elevar el forest:
1.Abrir "Active Directory Domains and Trusts".
2.En la consola, pulsar botón secundario en "Active Directory Domains and Trusts", y hacer click en "Raise Forest Functional Level".
3.Seleccionar un nivel disponible dentro de la lista, y hacer click en "Raise".

Después de cumplir con estos pasos previos, podemos instalar Windows Server 2008 R2 como DC en la red.

Para aprender más...
Active Directory Functional Levels Technical Reference

lunes, 3 de mayo de 2010

R2

La idea de esta nota no es describir todas las características nuevas de R2, sino simplemente mencionar algunos pequeños cambios introducidos, que justifican actualizar los Windows Server 2008 instalados.

1) Look and Feel: Puede parecer algo simple, pero realmente me parece muy útil tener disponibles las mejoras de visualización de Windows 7 en un sistema operativo de servidor. No me refiero a la interface Aero, sino a la posibilidad de anclar las ventanas a los costados o poder sacudir una ventana para minimizar el resto.

2) Wbadmin: Ahora en R2 podemos realizar un backup con granularidad de archivo. Para quienes no utilizaron Windows Server 2008 esto puede no ser una novedad, porque con versiones anteriores ya se podía hacer. Pero Windows Server 2008 toma backups en archivos de imagen, lo que hace simple las operaciones de respaldo y restauración, inclusive en otro hardware. El problema era que había que tomar backup de todo el disco rígido. Ahora con R2 podemos tener ambos beneficios: tomar backup en archivo de imágenes y con granularidad de archivo.

3) Server Core: Con server core ahora podemos utilizar Power Shell y .Net (al menos un sub-set). Esto nos permite ampliar mucho la utilidad de una instalación server core y nos da la posibilidad de utilizar nuestros scripts en Power Shell.

4) Hyper-V: Se pueden utilizar equipos virtuales con hasta 64 CPU lógicos. Aunque esto es importante sólo si tenemos un hardware capaz de ofrecer esta cantidad a nuestros equipos virtuales, cuando se presenta la ocasión es genial poder acceder a esta característica.

5) AD Recycle Bin: Cualquier administrador que necesite recuperar un usuario o un OU borrados, sabe que no es una operación simple. AD Recycle Bin cambia por completo la forma de recuperar objetos que fueron borrados (y aún están en el papelera). Aclaro que el Forest debe tener nivel de funcionalidad Windows Server 2008 R2 antes de usar esta característica.

6) BitLocker to Go: Especialmente útil si ya estamos utilizando Windows 7, nos permite utilizar BitLocker en dispositivos móviles como pendrives encriptados.

No está de más recordar que R2 sólo está disponible en plataforma de 64 bits (x64), por lo que no hay versión de 32 bits (x86).

viernes, 9 de abril de 2010

La pregunta del millón

Más de una vez alguien se preguntó: ¿ Están replicando los DC correctamente ?

Hay muchas formas de verificar la replicación, pero una muy simple es utilizar repadmin.exe. Antes de Windows Server 2008, esta herramienta estaba incluida en las support tools que debían instalarse por separado. A partir de Windows Server 2008, viene incluida con la instalación de AD DS o AD LDS, y también puede ser utilizada en un cliente de Windows 7 donde se instalaron las herramientas de administración RSAT. Para evitar problemas, hay que utilizar la versión correcta según el SO de nuestros DC.
Como ejemplo se pueden utilizar estos parámetros para verificar la replicación con los DC de nuestro dominio y ordenarlos por delta de replicación.

repadmin /replsummary /bysrc /bydest /sort:delta


Cada punto “.” representa un DC detectado, excepto los primeros tres, que son para indicar el inicio del proceso. En el gráfico puede verse 6 puntos, 3 del inicio y 3 más de cada DC.
Hay información sobre:

a-Las conexiones entrantes y saliente para cada DC.
b-El delta que indica la última vez que se replicó.
c-El total de réplica link y las fallas,

Existen muchos otros parámetros que se pueden utilizar para obtener información más detallada o específica; es una buena práctica familiarizarse con esta herramienta para evitar problemas de replicación.

Para los que utilizan Repmon.exe como herramienta de control, es necesario aclarar que Repmon.exe no está presente como herramienta para Windows Server 2008 o Windows Server 2008 R2.

martes, 9 de marzo de 2010

Evento en el MUG

En Julio de 2008 se termina el soporte extendido de Windows 2000 Server y el soporte estándar de Windows Server 2003.

Los días jueves 25 de marzo y martes 30 de marzo de 18:30 a 21:30, en el MUG (Microsoft User Group) de Argentina hay un evento gratuito donde voy a mostrar como migrar una plataforma de AD basada en Windows 2000/2003 a Windows 2008.

Los espero!

Click aquí para anotarse

lunes, 8 de febrero de 2010

Borrar Multiples Objetos Computer Deshabilitados

No siempre existe la posibilidad de instalar un AD desde cero y realizar su administración en forma exclusiva. Lo más común es administrar algún AD en forma compartida, donde varias personas realizan modificaciones. También es habitual formar parte de la administración de un AD que ya estaba funcionando hace algún tiempo, o Incluso tener que realizar la administración de varios entornos a la vez.


Es posible que muchas cuentas de PC sean deshabilitadas con el tiempo (Fig 1), pero es poco común el borrarlas, ya que hasta hace poco tiempo (con Windows 2008 R2 es muy diferente) cuando un objeto se borraba era muy difícil su recuperación.

Fig 1

Aunque la selección múltiple de objetos para borrarlos parece la forma más simple, se debería buscar por cada OU en donde hay objetos “Computer” deshabilitadas para borrar. En la figura 1 se observa que hay dos contenedores dentro de “Computes”: OldPC y StandardPC.

Para esto se puede acudir a las Queries que se pueden hacer desde ADUC.

En otro artículo explicamos cómo acceder y crear una Query.

Saved Queries--> New--> Query

Fig 2

También se observa en la figura 2 que la selección se realiza desde el contenedor “Objetos Labemd” para no buscar PC en otro lado.
En la figura 3 se ve el resultado: sólo se muestran los objetos “Computer” deshabilitados. Ahora podríamos seleccionarlos todos y borrarlos.



Fig 3

Preferentemente yo los movería a una OU que se llame “Computers a borrar DD/MM/AAAA”, donde DD/MM/AAAA seria una fecha dentro de 30 días para borrarlas una vez pasado ese tiempo.


Gracias a Alan que me hizo volver a escribir