10 Comandos de PowerShell para tener controlados los objetos de tu AD DS Server

Descubre los diez comandos de PowerShell que pueden serte realmente útiles para mantener controlado tu AD DS Server y los objetos que contiene (usuarios, equipos, grupos), ahorrando tiempo en su mantenimiento, pero sin perder ni un ápice de control ni alcance.

La configuración y control de una infraestructura de TI es una tarea ardua en la que el equipo técnico tiene que invertir un gran esfuerzo, con cientos de horas dedicadas a la correcta planificación y configuración, y cientos, sino miles de horas de mantenimiento, incluyendo tareas de diversa índole.

Dentro de todas estas tareas, la gestión de la infraestructura de Active Directory Domain Services (AD DS) debería ser siempre una de nuestras prioridades, ya que es uno de los puntos más sensibles dentro de nuestras instalaciones.

Una mala gestión de la seguridad de este servicio troncal de nuestro departamento puede comprometer la seguridad de toda la empresa, y por eso debemos tener un ojo siempre puesto en el estado de AD DS.

En este artículo vamos a hablar de algunos comandos de PowerShell que nos van a servir para comprobar el estado de distintos elementos de nuestro directorio activo para realizar esta monitorización de manera rápida y eficiente.

Hemos de decir que no son todos los comandos necesarios para un control exhaustivo de la infraestructura, pero nos permiten empezar con esta tarea, pudiendo añadir comandos adicionales poco a poco o preparando incluso scripts que nos permitan hacer estas comprobaciones de manera automatizada.

Por otro lado, también debemos tener claro que, en este artículo, se está hablando de monitorización, auditoría o una simple comprobación, que las configuraciones, las comentamos, al menos a modo introductorio, en otro artículo sobre AD DS.

NOTA:  Los comandos y scripts que se exponen a continuación, han sido testeados sobre Windows Server 2022 y pueden no funcionar de igual manera en caso de ejecutarse en otras versiones de Windows. Esto sucede porque existen distintas versiones de PowerShell. Para identificar la que ejecuta su sistema, puede ejecutar alguno de los siguientes comandos en una ventana de Windows powerShell: “Get-Host” o “$PSVersionTable” o “$PSVersionTable.PSVersion”.

 

Comandos de PowerShell para auditar la seguridad de tu AD DS Server:

Lo primero que hemos de decir es que vamos a hablar de comprobar distintos objetos dentro de nuestra infraestructura de AD DS:

• Usuarios.
• Equipos.

A pesar de que vamos a tratar estos elementos de AD DS, posiblemente vamos a tratar en mayor profundidad los usuarios, ya que suelen ser los más proclives a comprometer la seguridad de nuestra empresa.

NOTA: Antes de poder trabajar con PowerShell en la gestión de Active Directory Domain Services (AD DS), debemos importar el módulo. Para ello se debe ejecutar el siguiente comando desde una consola de PowerShell con permisos de administrador “Import-Module ActiveDirectory”.

Las consultas que vamos a realizar son las siguientes:

1. Listar usuarios de una OU concreta.
2. Listar cuentas de usuario expiradas.
3. Listar cuentas de usuario deshabilitadas.
4. Listar cuentas de usuario bloqueadas.
5. Listar usuarios inactivos.
6. Listar usuarios cuya contraseña nunca expira.
7. Listar usuarios con contraseñas débiles.
8. Listar nuevos usuarios.
9. Lista de equipos inactivos del dominio.
10. Listar equipos deshabilitados.

 

1. Listar usuarios de una OU concreta:

En este caso, mostramos la forma de hacer un listado de usuarios pertenecientes a una Unidad Organizativa (OU, Organizative Unit) en concreto, para así tener claros que usuarios están en dicha OU y se benefician de las GPO que se apliquen sobre la misma.

Podemos ejecutarlo de varias maneras, la forma más cómoda, para permitir hacer distintas consultas de manera rápida es mediante el uso de una variable en la que pasamos la Unidad Organizativa.

En este caso, por ejemplo, supongamos que estamos trabajando con el dominio “pruebasnacho.com” y queremos saber los usuarios de la Unidad Organizativa de “Zaragoza” dentro de “Delegaciones”, la forma de declarar la variable sería:

$OU = ‘ou=Zaragoza,ou =Delegaciones,dc=pruebasnacho,dc=com’
 

Pudiendo ejecutar a continuación el siguiente comando:

Get-ADUser -Filter * -SearchBase $OU | Select-object Name,DistinguishedName,UserPrincipalName,Enabled,SID | Export-CSV “C:\Temp\UsuariosOU1.CSV” –NoTypeInformation

Listado de usuarios de una OU en concreto de nuestro AD DS Server mediante PowerShell

La segunda forma, un poco menos “limpia” es poner directamente los datos de la OU dentro del comando, quedando de esta manera:

Get-ADUser -Filter * -SearchBase ‘ou=Zaragoza,ou =Delegaciones,dc=pruebasnacho,dc=com’ | Select-object Name,DistinguishedName,UserPrincipalName,Enabled,SID | Export-CSV “C:\Temp\UsuariosOU1.CSV” –NoTypeInformation

A continuación, comento las distintas opciones que estamos usando aquí:

• Get-ADUser: Hace una consulta sobre los usuarios de AD DS.
• SearchBase: permite cambiar el alcance de la consulta para mostrar solo los usuarios que nos interesan, en este caso, los de una OU en concreto.
• Select-object: Permite seleccionar que campos queremos que se muestren en la consulta que estamos haciendo. Para saber los campos, se recomienda lanzar el comando original sin modificadores para ver que información podemos obtener “Get-ADUser -Filter *”.
• Export-CSV: Nos permite extraer la información a un fichero en formato CSV separado con comas (,) que permitirá ser usado por scripts posteriores o ser abierto con un Excel para su visualización.
• NoTypeInformation: Este modificador, elimina la primera línea del fichero CSV, esta línea es informacional sobre la ejecución del comando y puede entorpecer el uso del fichero en caso de necesitarlo para la ejecución de otro script.

Ejemplo de fichero CSV de salida tras la ejecución del comando de PowerShell en nuestro AD DS Server

De la misma manera, podríamos obtener todos los usuarios de todas las OU, o lo que es lo mismo, de todo el dominio eliminando “SearchBase”, y quedando similar a lo que se muestra a continuación:

Get-ADUser -Filter * | Select-object Name,DistinguishedName,UserPrincipalName,Enabled,SID | Export-CSV “C:\Temp\UsuariosOU1.CSV” –NoTypeInformation

2. Listar cuentas de usuario expiradas:

Otra cosa que debemos mirar es que usuarios tenemos en el directorio que tengan sus cuentas expiradas. O sea, las que ya no deberían existir porque se les ha pasado el tiempo para el que fueron creadas.

Para lanzar esta consulta, vamos a utilizar el comando “Search-ADAccount” ya que este comando, a diferencia de “Get-ADUser” si que nos permite hacer la consulta de la fecha de expiración de los accesos.

El comando queda de la siguiente manera:

Search-ADAccount -AccountExpired | Select-Object Name,DistinguishedName,UserPrincipalName,Enabled,SID,AccountExpirationDate

Este caso es bastante más sencillo ya que tenemos menos modificadores y parámetros a tener en cuenta:

• Search-ADAccount: Muestra las cuentas de Active Directory que cumplan con una serie de condiciones.
• AccountExpired: La condición de que la cuenta esté expirada. Este campo, lo podemos ver también de manera manual si accedemos a las propiedades de un usuario y dentro de la pestaña “Cuenta” comprobamos el campo “La cuenta expira”.
• Select-Object: Permite seleccionar que campos queremos que se muestren en la consulta que estamos haciendo. Para saber los campos, se recomienda lanzar el comando original sin modificadores para ver qué información podemos obtener. En este caso, podemos incluir el nombre, la cuenta, SID, etc., siendo recomendable incluir también “AccountExpirationDate” para ver la fecha en que ha caducado la cuenta.

El campo “La cuenta expira” dentro de la pestaña “Cuenta” de nuestro AD DS Server

También podemos añadir el modificador “UsersOnly” tras la expiración para que no liste más que los usuarios.

 
Normalmente, en mi caso, seguiría usando el “Export-CSV” para sacarlo a un fichero, ya que me gusta guardar las consultas para poder revisar cambios, errores, etc. En este caso, igual que en algunos de los siguientes, no lo voy a usar, para poder hacer las demostraciones más rápidas y poder ver la ejecución directamente en las capturas.

Listado de cuentas de usuario expiradas en nuestro AD DS Server con PowerShell

3. Listar cuentas de usuario deshabilitadas:

Otro de los puntos que deben auditarse son las cuentas que se han deshabilitado. Estas cuentas suelen ser cuentas de usuarios que han dejado la empresa, han sido despedidos, ya no se usan, etc. En principio, no deberían ser peligrosas porque no permiten que el usuario se valide en el directorio, pero deberían eliminarse para mayor seguridad.

Las cuentas deshabilitadas se listan mediante el comando “Get-ADUser” y consultando que la propiedad “Enabled” está como un falso booleano, no requiriendo más parámetros, tal como se ve en la siguiente línea:

Get-ADUser -Filter {(Enabled -eq $False)} | Select-Object  Name,DistinguishedName,UserPrincipalName,Enabled,SID,LastLogon

En este caso, solo tenemos que usar “Select-Object” para seleccionar que campos queremos que se muestren en la consulta que estamos haciendo. Una vez más, para saber los campos, se recomienda lanzar el comando original sin modificadores para ver qué información podemos obtener. En este caso, podemos incluir el nombre, la cuenta, SID, etc. En adición, puede ser interesante listar también el “LastLogon” para ver cuando se valido por última vez en el sistema.

Listado de cuentas de usuario deshabilitadas en nuestro AD DS Server con PowerShell

También lo podríamos consultar de manera manual para un usuario concreto usando el comandoGet-ADUser:

Get-ADUser <nombre_de_usuario> | select Name,DistinguishedName,UserPrincipalName,Enabled,SID,LastLogon
 

Donde <nombre_de_usuario> es el usuario sobre el que se quiere consultar.

 
En el caso de querer consultar por el usuario “Sandra” se debería escribir lo siguiente:

Get-ADUser Sandra | select Name,DistinguishedName,UserPrincipalName,Enabled,SID,LastLogon

Comprobando si una cuenta de usuario de nuestro AD DS Server está deshabilitadas

4. Listar cuentas de usuario bloqueadas:

Otro punto para revisar son las cuentas bloqueadas por haber superado un número concreto de intentos de acceso fallidos. Este puede ser un indicativo de que una cuenta tiene usuarios malintencionados que intentan acceder probando contraseñas, aunque posiblemente no se más que debido a usuarios que comenten varios errores al acceder o no recuerdan su contraseña.

 El comando a ejecutar es bastante sencillo, y nuevamente, se basa en “Search-ADAccount”.

Search-ADAccount -LockedOut | Select-Object Name,DistinguishedName,UserPrincipalName,Enabled,SID,LastLogon

Donde usuraríamos los modificadores siguientes:

• LockedOut: para seleccionar solo aquellas cuentas que están bloqueadas.
• Export-CSV: para reenviarlo a un archivo para su tratamiento posterior.
• UsersOnly: para mostrar solo usuarios bloqueados.

Listado de cuentas de usuario bloqueadas en nuestro AD DS Server con PowerShell

5. Listar usuarios inactivos:

En este caso se va a buscar aquellos usuarios que no han abierto sesión en un tiempo, como por ejemplo 90 días, lo que se consideran usuarios inactivos en el dominio.

La búsqueda se realiza en base al comando “Search-ADAccount”:

Search-ADAccount –AccountInActive –TimeSpan 90:00:00:00 | Select-Object Name,DistinguishedName,SID,LastLogon

Donde tenemos lo siguiente:

• AccountInActive: Se listan las cuentas activas.
• TimeSpan: Tiempo a partir del cual se considera que el usuario es inactivo. En este caso es de 90 días “90:00:00:00”.
• Select-Object: Filtramos las propiedades que queremos que se muestren en la búsqueda. En este caso se han seleccionado Name,DistinguishedName,SID,LastLogon.

Ejecutamos el comando para buscar usuarios inactivos en nuestro AD DS Server

6. Listar usuarios cuya contraseña nunca expira:

Otro de los puntos que debemos vigilar dentro de nuestra infraestructura son los usuarios cuya contraseña nunca expira. El mecanismo de caducidad de las contraseñas permite que las contraseñas se mantengan seguras mediante una rotación que imposibilita que los usuarios se acomoden y usen, por ejemplo, las mismas contraseñas para todos los sistemas, las webs, los bancos, etc.

Las únicas cuentas que deberían permanecer con una contraseña perenne son las asociadas a servicios, ya que su caducidad podría detener los servicios con los que se ejecutan dichos servicios.

Para localizar el resto de los usuarios podremos usar el comando “get-aduser” con una serie de parámetros y haciendo una selección en base a los usuarios cuya contraseña no expira . El comando quedaría de la siguiente manera:

get-aduser -filter * -properties PasswordNeverExpires | where {a través de la opción “PasswordNeverExpires”
$_.passwordNeverExpires -eq «true» } |  Select-Object Name,DistinguishedName,UserPrincipalName,Enabled,SID

Como en los casos anteriores, para estos ejemplos mostramos las propiedades “Name,DistinguishedName,UserPrincipalName,Enabled,SID” pero se puede mostrar cualquier otro. Para ver las opciones disponibles, se puede ejecutar el comando “get-aduser -filter *”.

Listando cuentas de usuario de nuestro AD DS Server que nunca caducan

7. Listar usuarios con contraseñas débiles:

Uno de los fallos más grandes que podemos tener cuando estamos gestionando usuarios, es permitir usuarios con contraseñas débiles, ya que estarán expuestos a ataques de fuerza bruta, en base a diccionarios, etc.

Esto se soluciona con políticas de contraseñas fuertes, y en el caso de las nuevas versiones de Windows Server estas políticas suelen estar activas de manera predeterminada. Para aprender más sobre las políticas de contraseñas de Microsoft puedes consultar el siguiente enlace.

Pero, si tenemos políticas de contraseñas que fuerzan a los usuarios ¿Por qué podemos encontrar usuarios con contraseñas débiles? Esto puede deberse a cuando tenemos directivos u otros usuarios privilegiados a los que hay que crearles contraseñas en circunstancias especiales y termina creándose una política especial de contraseña para permitirles contraseñas ridículamente fáciles, siendo esta es una práctica que deberíamos intentar erradicar.

 
Para realizar esta búsqueda se debe importar el módulo “DSInternals” ejecutando el siguiente comando:

Install-Module DSInternals

Importamos el módulo DSInternals de PowerShell aceptando las opciones

En este caso, se utiliza primero un archivo para cargar un diccionario de contraseñas. Se puede utilizar uno de los muchos que hay disponibles en internet o crear el nuestro propio. En caso de descargar uno de internet, sería recomendable incluir por ejemplo el nombre de la empresa, la ciudad, etc.  

$Passwords = «C:\Users\Administrador\Desktop\passwords.txt»

Una vez se cargue el dicccionario se puede ejecutar el comando de consulta, que tiene la siguiente forma: 

Get-ADReplAccount -All -Server ‘<SERVIDOR_CON_FQDN>’ | Test-PasswordQuality -WeakPasswordsFile $Passwords -IncludeDisabledAccounts

Donde tenemos lo siguiente:

• <SERVIDOR_CON_FQDN>: Debe cambiarse por el nombre del servidor de AD DS (un DC) con su FQDN, con un formato como el siguiente: “’WIN-Q28KD6B1DN2.pruebasnacho.com”.
• Test-PasswordQuality: para testear la calidad de las contraseñas.
• WeakPasswordsFile: Se buscan las contraseñas debiles en base a un fichero de texto que se pasa como parámetro y que viene dado por la variable “$Passwords” que hemos cargado previamente.
• IncludeDisabledAccounts: Se incluyen las cuentas deshabilitadas para hacer el test más completo.

En nuestro ejemplo, sería de la siguiente manera:

Get-ADReplAccount -All -Server ‘WIN-Q28KD6B1DN2.pruebasnacho.com’ | Test-PasswordQuality -WeakPasswordsFile $Passwords -IncludeDisabledAccounts

Ejecutamos la consulta de PowerShell para encontrar las contraseñas débiles en AD DS Server

Como este caso es bastante complejo, se ha optado por usar el script creado por Adam Bertram.

8. Comandos de PowerShell para listar nuevos usuarios:

A la hora de auditar nuestro directorio activo, también deberíamos tener un ojo puesto en todos los usuarios nuevos creados, y si todo está organizado como debe, deberíamos tener conciencia de cuando se crea un usuario nuevo.

Listando, por ejemplo, de manera semanal los usuarios nuevos de nuestro AD DS y confrontando la lista obtenida con los listados que se tienen en el departamento de TI de nuevos usuarios, podremos detectar usuarios creados sin autorización.

Para hacer esta búsqueda, se puede crear previamente una variable en la que se pase el tiempo de antigüedad de los usuarios. Si, por ejemplo, queremos que se muestren los creados en los últimos 7 días, deberemos usar un valor de “7” para “AddDays”, ya que dicha variable, lo que hace es calcular la fecha actual y restarle el valor que hayamos metido en “AddDays”.

Una vez declarada dicha variable, se usará el comando “Get-ADUser” para hacer una consulta en base al parámetro de creación de la cuenta “whenCreated” en el cual se confronta la fecha frente a la fecha que hemos declarado anteriormente en esa variable. Si al hacer la comparación, encuentra que el valor obtenido es más grande (-ge) muestra la cuenta, pasando únicamente las propiedades que se han marcado para filtrar.

El comando sería como se muestra a continuación, aunque en este ejemplo está para un día de antigüedad.

$Fecha = ((Get-Date).AddDays(-1)).Date

Get-ADUser -Filter {whenCreated -ge $Fecha} -Properties *| Select-Object  Name,DistinguishedName,SID,Enabled,whenCreated

Listar nuevos usuarios en nuestro AD DS Server mediante PowerShell

9. Lista de Equipos inactivos del Dominio:

En lo que respecta a los equipos dados de alta en el dominio, podemos hacer una consulta para extraer sus datos y poder listarlos para inventariarlos o para poder tratarlos posteriormente.

La consulta es bastante simple y básicamente consiste en lanzar el comando “Get-ADComputer” que lista los equipos y servidores (todos los elementos dados de alta como “computer”) filtrando sus propiedades y sacando los elementos que nos parezcan relevantes.

El comando quedaría conformado de la siguiente manera:

Get-ADComputer -Filter * -Property * | Select-Object Name,DNSHostName,OperatingSystem,ipv4Address

Y en este caso, nosotros hemos decidido extraer las siguientes propiedades o campos:

• Name: Nombre del equipo. Sería el que podemos observar en “Mi PC” dentro de nombre de equipo.
• DNSHostName: Es el nombre completo por el que se referencia como elemento del directorio. Es lo que se conoce como FQDN (Fully Qualified Domain Name o Nombre de Dominio Completamente Cualificado).
• OperatingSystem: Sistema operativo que ejecuta el equipo y que se completa en base al campo “Nombre” de la pestaña “Sistema operativo” de las propiedades del objeto del dominio.
• ipv4Address: Dirección IPv4 que tiene asignado el equipo.

Listando las máquinas dadas de alta dentro de nuestro AD DS Server mediante PowerShell

También nos deberíamos preocupar de eliminar del dominio aquellos equipos que lleven mucho tiempo inactivos. Estos equipos suelen ser antiguos PC que nadie informó de que se habían amortizado y se habían retirado del parque informático.

Muchas veces, esos equipos, terminan siendo regalados a empleados, entidades no gubernamentales o centros educativos, como forma de potenciar su marca, mostrar su compromiso con la sociedad, etc., y siendo una política alineada con la RSC.

El problema, es que muchos de estos equipos, cuando salen de la empresa, lo hacen sin haber pasado por un proceso de limpieza, o lo que es lo mismo, sin haberlos formateado y haberles pasado un proceso de destrucción de datos.

Detectar los equipos, por tanto, debería ser una prioridad para nuestro departamento, para retirarlos lo antes posible y para asegurarnos de que no puedan usarlos para conectarlos de manera fraudulenta.

Para detectar estos equipos usaremos el comando “Get-ADComputer”, pero pasando previamente una variable en la que se calcule el tiempo, de manera similar a como calculábamos los nuevos usuarios del dominio.

Si se cumple con la condición, lo que se hace es filtrar y mostrar los campos que se quiera ver, que en nuestro ejemplo serán únicamente el nombre de máquina y la última vez que se validó.

$time = (Get-Date).Adddays(-(180))

Get-ADComputer -Filter {LastLogonTimeStamp -lt $time} -Properties Name ,LastLogonDate

Para hacer esta búsqueda, igual que pasaba en el caso de los usuarios inactivos, se puede crear previamente una variable en la que se pase el tiempo que pasa desde el día de hoy hasta el margen marcado. Por ejemplo los 180 días (6 meses) que queremos usar como filtro, y que marcamos en este ejemplo deberemos usar un valor de “180” para “AddDays”, ya que dicha variable, lo que hace es calcular la fecha actual y restarle el valor que hayamos metido en “AddDays”.

Listando las máquinas inactivas dentro de nuestro AD DS Server mediante PowerShell

10. Comandos de PowerShell para listar equipos deshabilitados.

Otro punto que deberíamos tener controlado, son los equipos que se han deshabilitado dentro del dominio, ya que son equipos que en teoría se deberían haber retirado.

Para localizarlos basta con hacer una consulta con “Get-ADComputer” filtrando aquellos que tengan la propiedad “Enabled” como falsa.

El comando podría ser algo similar a este que se muestra a continuación:

Get-ADComputer -Filter {(Enabled -eq $False)} | Select-Object  Name

Como siempre, mediante “Select-Object” podemos decir que propiedades queremos que se nos muestren. En este caso, hemos seleccionado solo el nombre de la máquina, pero recomendamos revisar cuales son las que más información útil nos aportan.

Listando las máquinas deshabilitas dentro de nuestro AD DS Server mediante PowerShell

NOTA: El establecimiento de los días que tienen que pasar para que una máquina se considere inactiva es un tema que debería pensarse tranquilamente, ya que depende de la idiosincrasia de cada empresa.

 

Conclusiones a los 10 comandos de PowerShell para tener controlados los objetos de tu AD DS Server

Por supuesto, como ya habrá observado el lector, este no es un listado definitivo, ya que podríamos dar muchos más comandos, pero hemos elegido los 10 primeros que se pueden usar para extraer información relevante para la seguridad de los usuarios y equipos.

Nos quedaría repasar muchas cosas como el estado de salud de los servidores Domain Controller (Controladores de Dominio), revisar los eventos del sistema relacionados con AD DS, la sincronización entre los DC, la sincronización del servicio de hora, y tantas otras cosas, pero no queremos extender demasiado los artículos, para poder extraerle el jugo lo más rápidamente posible, motivo por el que estos temas se tratan en otros artículos de nuestro blog.

Con lo que aquí se ha expuesto podemos empezar a tomar el control de los elementos de los objetos (usuarios y equipos) que tenemos en nuestro AD DS Server, y podemos introducirlos como una tarea programada que ejecutemos en nuestras tareas de mantenimiento, siendo una buena práctica el ejecutarlos al menos una vez al mes para ver los cambios que se han producido y si hay algo que ha escapado de nuestro radar.

Como siempre, os recomendamos revisar PowerShell ya que su potencial es ilimitado y se puede utilizar para gestionar de manera eficiente toda la infraestructura de Microsoft, tanto clientes, como servidores y servicios, y ciertos elementos GNU/Linux.