Cómo crear nuevos usuarios de Active Directory con PowerShell

Herramientas como ADUC y ADAC permiten a los Sysadmins crear un nuevo usuario en un Active Directory con facilidad, pero tienen ciertas limitaciones cuando se trata de la creación de usuarios en masa. PowerShell es una herramienta potente y flexible para crear cuentas de Active Directory, y mucho más a gran escala.

Este blog revisa el proceso para crear un nuevo usuario de Active Directory con el cmdlet de PowerShell New-ADUser. Cubriremos los principales casos de uso para este cmdlet y proporcionaremos su sintaxis completa para que puedas explorarlo más a fondo.

Creando usuarios de Active Directory con PowerShell

Usando ADUC y ADAC, es sencillo agregar un solo usuario, pero ambos carecen de la funcionalidad para crear usuarios en masa. PowerShell ofrece múltiples maneras de no solo crear un solo usuario sino de crear objetos de usuario de Active Directory en masa. Comencemos revisando la sintaxis y los parámetros del cmdlet que utilizaremos: New-ADUser.

Puede usar ciertos parámetros con el comando New-ADUser para completar las propiedades de usuario más comunes.

• Usando el parámetro OtherAttributes, puede cambiar los valores de las propiedades que no están relacionados con los parámetros del cmdlet. Asegúrese de encerrar el nombre del atributo entre comillas simples al usar este parámetro.
• Para crear un usuario, debe proporcionar el parámetro SamAccountName.
• The container or organizational unit (OU) for the new user is specified by the Path parameter. When the Path option is not used, the cmdlet creates a user object in the domain’s default user object container.

Las siguientes técnicas describen varias formas de construir un objeto utilizando este cmdlet:

• Con el comando New-ADUser, proporcione los parámetros y valores comúnmente utilizados y establezca cualquier valor adicional mediante el parámetro OtherAttributes.
• También puede crear un nuevo usuario a partir de una plantilla. Utilice el parámetro Instance para crear un nuevo usuario o copiar uno existente al nuevo objeto. El objeto utilizado en el parámetro Instance se usa como plantilla.
• Para crear objetos de usuario de Active Directory en masa, combine el cmdlet Import-Csv con el cmdlet New-ADUser.
  1. Importe un archivo CSV con una lista de propiedades de objetos para construir objetos personalizados utilizando el cmdlet Import-Csv.
  2. El cmdlet New-ADUser puede utilizarse para construir objetos de usuario pasándolos a través de su pipeline.

Antes de comenzar, necesitamos habilitar el módulo de PowerShell de Active Directory incorporado en Microsoft Windows Server 2008R2/2012 y superior ejecutando este comando:

Cmdlet New-ADUser: Sintaxis

Ahora revisemos la sintaxis del cmdlet New-ADUser:

      Get-Command New-ADUser –Syntax
      

Aquí tiene la misma información en un formato que puede copiar y modificar según sus necesidades:

      New-ADUser   [-WhatIf]   [-Confirm]   [-AccountExpirationDate <DateTime>]   [-AccountNotDelegated <Boolean>]   [-AccountPassword <SecureString>]   [-AllowReversiblePasswordEncryption <Boolean>]   [-AuthenticationPolicy <ADAuthenticationPolicy>]   [-AuthenticationPolicySilo <ADAuthenticationPolicySilo>]   [-AuthType <ADAuthType>]   [-CannotChangePassword <Boolean>]
   [-Certificates <X509Certificate[]>]   [-ChangePasswordAtLogon <Boolean>]   [-City <String>]
   [-Company <String>]   [-CompoundIdentitySupported <Boolean>]   [-Country <String>]
   [-Credential <PSCredential>]   [-Department <String>]   [-Description <String>]   [-DisplayName <String>]   [-Division <String>]   [-EmailAddress <String>]   [-EmployeeID <String>]   [-EmployeeNumber <String>]   [-Enabled <Boolean>]   [-Fax <String>]   [-GivenName <String>]
   [-HomeDirectory <String>]   [-HomeDrive <String>]   [-HomePage <String>]   [-HomePhone <String>]
   [-Initials <String>]   [-Instance <ADUser>]   [-KerberosEncryptionType <ADKerberosEncryptionType>]   [-LogonWorkstations <String>]   [-Manager <ADUser>]   [-MobilePhone <String>]   [-Name] <String>   [-Office <String>]   [-OfficePhone <String>]
   [-Organization <String>]   [-OtherAttributes <Hashtable>]   [-OtherName <String>]   [-PassThru]
   [-PasswordNeverExpires <Boolean>]   [-PasswordNotRequired <Boolean>]   [-Path <String>]
   [-POBox <String>]   [-PostalCode <String>]   [-PrincipalsAllowedToDelegateToAccount <ADPrincipal[]>]   [-ProfilePath <String>]   [-SamAccountName <String>]   [-ScriptPath <String>]
   [-Server <String>]   [-ServicePrincipalNames <String[]>]   [-SmartcardLogonRequired <Boolean>]
   [-State <String>]   [-StreetAddress <String>]   [-Surname <String>]   [-Title <String>]   [-TrustedForDelegation <Boolean>]   [-Type <String>]   [-UserPrincipalName <String>]
      

New-ADUser: Parámetros

El cmdlet New-ADUser ofrece más de 60 parámetros, pero no necesitas conocerlos todos de inmediato. Aquí están los más comúnmente utilizados para crear cuentas de usuario de AD:

Escenarios comunes para crear usuarios con PowerShell

Ahora veamos algunas de las principales formas en que podría usar PowerShell para aprovisionar cuentas de usuario:

• Cree una nueva cuenta de usuario.
• Cree una cuenta de usuario en una OU específica.
• Cree un usuario y establezca atributos que no están cubiertos por los parámetros del cmdlet.
• Cree un usuario inetOrgPerson.
• Cree un nuevo usuario basado en un usuario de AD existente.
• Cree usuarios en masa utilizando un script de PowerShell.
• Cree usuarios en masa importando sus atributos desde un archivo CSV.
• Cree múltiples cuentas de usuario utilizando un archivo CSV.

Crear una nueva cuenta de usuario

Ejemplo 1: Especifique solo el nombre de la cuenta

Comencemos con el caso más simple: crear una nueva cuenta de usuario especificando solo su atributo de nombre. Por ejemplo:

      New-ADUser B.Johnson
      

Ejecutar esto creará el usuario pero no mostrará ninguna salida. Para verificar si el usuario se agregó con éxito, podemos listar todos los usuarios de Active Directory utilizando el siguiente script:

      Get-ADUser -Filter * -Properties samAccountName | select samAccountName
      

¡Ahí está, el último de la lista!

Sin embargo, tenga en cuenta que el usuario que acabamos de crear tiene más atributos que solo un nombre; los siguientes atributos se establecen por defecto:

• La cuenta se crea en el contenedor “Users”.
• La cuenta está deshabilitada.
• La cuenta es miembro del grupo Domain Users.
• El usuario debe restablecer la contraseña en el primer inicio de sesión.

Muchos atributos deseados no están poblados. En particular, no se ha establecido ninguna contraseña.

Ejemplo 2: Especifique atributos adicionales

Por lo tanto, creemos una nueva cuenta que sea realmente utilizable especificando más atributos:

      New-ADUser -Name "Jack Robinson" -GivenName "Jack" -Surname "Robinson" -SamAccountName "J.Robinson" -UserPrincipalName "J.Robinson@enterprise.com" -Path "OU=Managers,DC=enterprise,DC=com" -AccountPassword(Read-Host -AsSecureString "Input Password") -Enabled $true
      

El parámetro Read-Host le pedirá que ingrese una nueva contraseña. Tenga en cuenta que la contraseña debe cumplir con los requisitos de longitud, complejidad e historial de la security policy de su dominio.

Ahora echemos un vistazo a los resultados ejecutando el siguiente cmdlet:

      Get-ADUser J.Robinson -Properties CanonicalName, Enabled, GivenName, Surname, Name, UserPrincipalName, samAccountName, whenCreated, PasswordLastSet  | Select CanonicalName, Enabled, GivenName, Surname, Name, UserPrincipalName, samAccountName, whenCreated, PasswordLastSet
      

Ejemplo 3: Especifique aún más atributos

Para crear una cuenta de usuario completa con aún más atributos, utilice el siguiente comando.

      New-ADUser -Name "Jason Bourne" -GivenName "Jason" -Surname "Bourne" -SamAccountName "Jason-Bourne" -AccountPassword (ConvertTo-SecureString -AsPlainText “webdir123R” -Force) -ChangePasswordAtLogon $True -Company "Versacorp" -Title "CEO" -State "California" -City "San Francisco" -Description "Test Account Creation" -EmployeeNumber "45" -Department "Engineering" -DisplayName "Jason Bourne" -Country "US" -PostalCode "94001" -Enabled $True
      

Veamos solo algunos de los atributos del nuevo usuario:

      Get-ADUser -Identity Jason-bourne -Properties * | select name,samaccountname,company,title,department,city,state,country,description,employeenumber,postalcode
      

Crear una cuenta de usuario en una OU específica

Como se mencionó anteriormente, de forma predeterminada, el cmdlet New-ADUser crea el nuevo usuario en el contenedor “Usuarios” del dominio. Para crear el usuario en una OU diferente, use el parámetro -Path con el nombre distinguido de la OU deseada:

      New-ADUser -Name "Jason Bourne" -Path "OU=NBC,DC=milkyway,DC=local" -GivenName "Jason" -Surname "Bourne" -SamAccountName "Jason-Bourne" -AccountPassword (ConvertTo-SecureString -AsPlainText “webdir123R” -Force ) -ChangePasswordAtLogon $True -DisplayName "Jason Bourne" -Enabled $True<
      

Crear usuario y establecer atributos más allá de los parámetros de New-ADUser

El cmdlet New-ADUser con más de 60 parámetros cubre los atributos comunes de un nuevo usuario, pero todavía hay muchos atributos menos comunes. Puedes completarlos utilizando el parámetro -OtherAttributes. En este ejemplo, poblamos extensionattribute1 y el atributo personalizado carlicense:

      New-ADUser -Name "Jason Bourne" -Path "OU=NBC,DC=milkyway,DC=local" -GivenName "Jason" -Surname "Bourne" -SamAccountName "Jason-Bourne" -AccountPassword (ConvertTo-SecureString -AsPlainText “webdir123R” -Force ) -ChangePasswordAtLogon $True -DisplayName "Jason Bourne" -Enabled $True -OtherAttributes @{'extensionattribute1'="director";'carlicense'="LWG3852"}
      

Verifiquemos los resultados utilizando el comando Get-ADUser, como se muestra a continuación.

      Get-ADUser -Identity Jason-bourne -Properties * | select name,extensionattribute1,carlicense
      

Crear un usuario inetOrgPerson

La mayoría de los objetos de usuario en Active Directory tienen la clase user. Pero también puedes crear objetos de usuario con la clase inetOrgPerson, que tiene user como clase padre. La clase inetOrgPerson facilita la integración con ciertas aplicaciones y simplifica la migración de ciertos objetos de usuario a Active Directory.

Para crear una cuenta de usuario inetOrgPerson, simplemente incluya el parámetro -Type y especifique inetOrgPerson como su valor:

      New-ADUser -Name "Benedict Cumberbatch" -Path "OU=NBC,DC=milkyway,DC=local" -GivenName "Benedict" -Surname "Cumberbatch" -SamAccountName "Benedict.Cumberbatch" -AccountPassword (ConvertTo-SecureString -AsPlainText “webdir123R” -Force ) -ChangePasswordAtLogon $True -DisplayName "Benedict Cumberbatch" -Enabled $True -Type iNetOrgPerson<
      

En la siguiente captura de pantalla, observe el tipo del nuevo usuario Benedict Cumberbatch y el tipo del usuario Jason Bourne que creamos anteriormente:

Crear una nueva cuenta de usuario de Active Directory con contraseña

Las cuentas se crean con las siguientes propiedades predeterminadas:

• La cuenta se crea en el contenedor “Users”.
• La cuenta está deshabilitada.
• La cuenta es miembro del grupo Domain Users.
• No se ha establecido ninguna contraseña.
• El usuario debe restablecer la contraseña en el primer inicio de sesión.

Por lo tanto, para crear una nueva cuenta que sea realmente utilizable, necesitamos habilitarla usando el cmdlet Enable-ADAccount y asignarle una contraseña usando el cmdlet Set-ADAccountPassword.

Así que vamos a crear una nueva cuenta con los siguientes atributos:

Nombre – Jack Robinson

Nombre de pila – Jack

Apellido – Robinson

Nombre de la cuenta – J.Robinson

Nombre Principal del Usuario – J.Robinson@enterprise.com

Dirección de ruta – “OU=Managers,DC=enterprise,DC=com”

Entrada de contraseña

Estado – Habilitado

Aquí está el guion que usaremos:

      New-ADUser -Name "Jack Robinson" -GivenName "Jack" -Surname "Robinson" -SamAccountName "J.Robinson" -UserPrincipalName "J.Robinson@enterprise.com" -Path "OU=Managers,DC=enterprise,DC=com" -AccountPassword(Read-Host -AsSecureString "Input Password") -Enabled $true
      

El parámetro Read-Host le solicitará que ingrese una nueva contraseña. Tenga en cuenta que la contraseña debe cumplir con los requisitos de longitud, complejidad e historial de la política de seguridad de su dominio.

Ahora echemos un vistazo a los resultados ejecutando el siguiente cmdlet:

      Get-ADUser J.Robinson -Properties CanonicalName, Enabled, GivenName, Surname, Name, UserPrincipalName, samAccountName, whenCreated, PasswordLastSet  | Select CanonicalName, Enabled, GivenName, Surname, Name, UserPrincipalName, samAccountName, whenCreated, PasswordLastSet
      

Crear un nuevo usuario basado en un usuario existente

A veces, quieres crear un nuevo usuario que tenga casi todas las mismas propiedades de un usuario existente. Primero, necesitamos crear una plantilla basada en el usuario existente. Aquí, creamos una plantilla con 5 propiedades del usuario Benedict Cumberbatch. La segunda línea establece el valor de userPrincipalName en nulo porque ese atributo es único en todo el bosque. La plantilla se almacena en la variable $temp_UserAccount.

      $temp_UserAccount = Get-ADUser -Identity Benedict.Cumberbatch -Properties State,Department,Country,City,title
$temp_UserAccount.UserPrincipalName = $null
      

Ahora podemos crear un nuevo usuario que tendrá los 5 atributos de nuestra plantilla (especificando el parámetro Instance con el valor $temp_UserAccount), además de varios otros atributos que especificamos:

      New-ADUser -Instance $temp_UserAccount -Name 'Nelson Mendela' -SamAccountName 'Nelson.Mendela' -AccountPassword (Read-Host -AsSecureString "Input User Password") -Enabled $True
      

Podemos usar el comando Get-ADUser para ver el nuevo usuario:

      Get-ADUser -Identity Nelson.Mendela -Properties * | select `name,department,city,country,title,state
      

Tenga en cuenta que las propiedades que enumeramos son las mismas para el nuevo usuario y Benedict Cumberbatch:

Crear usuarios en masa con un script de PowerShell

Ahora, vamos a utilizar un script de PowerShell para crear diez cuentas de Active Directory similares en masa. Todas tendrán casi el mismo nombre de usuario, excepto por un número al final que se incrementa para cada usuario. Estableceremos la misma contraseña predeterminada (P@ssw0rd) para cada una de ellas, enviándola en un estado protegido utilizando el parámetro ConvertTo-SecureString. Aquí está el script a utilizar y los primeros dos usuarios que crea:

      $path="OU=IT,DC=enterprise,DC=com"
$username="ITclassuser"
$count=1..10
foreach ($i in $count)
{ New-AdUser -Name $username$i -Path $path -Enabled $True -ChangePasswordAtLogon $true  `
-AccountPassword (ConvertTo-SecureString "P@ssw0rd" -AsPlainText -force) -passThru }
      

Ahora hagamos nuestro script más flexible agregando el parámetro Read-Host, que nos solicitará el nombre de usuario base a utilizar y el número de usuarios a crear:

      $path="OU=IT,DC=enterprise,DC=com"
$username=Read-Host "Enter name"
$n=Read-Host "Enter Number"
$count=1..$n
foreach ($i in $count)
{ New-AdUser -Name $username$i -Path $path -Enabled $True -ChangePasswordAtLogon $true  `
-AccountPassword (ConvertTo-SecureString "P@ssw0rd" -AsPlainText -force) -passThru }
      

Crear usuarios en masa con una importación CSV usando PowerShell

Otra opción para crear usuarios en masa es importar sus atributos desde un archivo CSV. Esta opción es excelente cuando se tiene una lista de usuarios con detalles personales predefinidos como su nombre, departamento y OU.

El archivo CSV debe estar codificado en UTF8 y verse así:

El siguiente script creará objetos de usuario habilitados para cualquier usuario en el CSV que no tenga ya cuentas en Active Directory. La opción “Restablecer contraseña en el próximo inicio de sesión” estará habilitada para las nuevas cuentas, así que podrás usar tu contraseña predeterminada:

      #Define path to your import CSV file location in a variable as shown in below line.
$AD_Users = Import-csv C:\scripts\newusers.csv
foreach ($User in $AD_Users)
{
       $User_name    = $User.username
       $User_Password    = $User.password
       $First_name   = $User.firstname
       $Last_name    = $User.lastname
    $User_Department = $User.department
       $User_OU           = $User.ou
       #Below if-else condition will check if the user already exists in Active Directory.
       if (Get-ADUser -F {SamAccountName -eq $User_name})
       {
               #Will output a warning message if user exist.
               Write-Warning "A user $User_name has already existed in Active Directory."
       }
       else
       {
              #Will create a new user, if user is not available in Active Directory.
          
        #User account will be created in the OU listed in the $User_OU variable in the CSV file; it is necessary to change the domain name in the"-UserPrincipalName" variable in the script below.
              New-ADUser `
            -SamAccountName $User_name `
            -UserPrincipalName "$Username@example.com"
            -Name "$First_name $Last_name"
            -GivenName $First_name `
            -Surname $Last_name `
            -Enabled $True `
            -ChangePasswordAtLogon $True `
            -DisplayName "$Last_name, $First_name" `
            -Department $User_Department `
            -Path $User_OU `
            -AccountPassword (convertto-securestring $User_Password -AsPlainText -Force)
       }
}
      

Después de ejecutar el script, tenemos dos nuevos usuarios, Edward Franklin y Bill Jackson, en nuestro dominio de Active Directory:

Crear cuentas de usuario en masa con un archivo CSV

A menudo, es necesario crear usuarios diaria o semanalmente. Supongamos que el departamento de RRHH te proporciona los detalles de cada usuario en un archivo CSV que luce así:

Para crear usuarios a partir de este archivo, primero importamos el archivo CSV en la variable $import_users, con cada registro como una línea separada:

      $import_users = Import-Csv -Path c:\bulkuser.csv
      

Luego creamos los usuarios utilizando el script que se muestra a continuación. Tenga en cuenta que toma la contraseña de cada usuario del archivo de origen, la convierte en una cadena segura y la encripta.

      $import_users | ForEach-Object {New-ADUser -Name $($_.First + " " + $_.Last) -GivenName $_.First -Surname $_.Last -Department $_.Department -State $_.State -EmployeeID $_.EmployeeID -DisplayName $($_.First + " " + $_.Last) -Office $_.OfficeName -UserPrincipalName $_.UserPrincipalName -SamAccountName $_.samAccountName -AccountPassword $(ConvertTo-SecureString $_.Password -AsPlainText -Force) -City $_.City -StreetAddress $_.Address -Title $_.Title -Company $_.Company -EMailAddress $_.Email -Path $_.OU -Enabled $True}
      

Podemos usar el siguiente comando para revisar los nuevos usuarios y sus propiedades:

      Get-ADUser -Filter 'Name -like "*"' -SearchBase "OU=BaseOU,DC=milkyway,DC=local" -Properties * | select name,samaccountname,title,department,city,state,employeeid,userprincipalname,mail,streetaddress
      

Cómo Netwrix puede ayudar con la creación de usuarios en Active Directory

La provisión de usuarios es una tarea interminable. Todos los días, las organizaciones necesitan:

• Provisionar nuevas cuentas de usuario en Active Directory.
• Actualice las cuentas de usuario a medida que los usuarios cambian sus nombres, cambian de departamento y así sucesivamente.
• Agregue usuarios y elimine usuarios de grupos de seguridad para asegurarse de que tengan los permisos adecuados.
• Desaprovisione y deshabilite cuentas cuando los usuarios abandonen la organización.

Además, para garantizar una seguridad sólida y la productividad del usuario, todas estas tareas deben completarse de manera precisa, confiable y rápida.

Netwrix Directory Manager simplifica la gestión de grupos y usuarios para Active Directory, Azure AD y Microsoft 365. En particular, puede aprovisionar y desaprovisionar usuarios de AD mediante una sincronización de datos automática y bidireccional con sus sistemas de RRHH, como bases de datos SQL o Oracle. Veamos algunas capturas de pantalla que muestran la interfaz gráfica de Synchronize.

• La siguiente captura de pantalla muestra los proveedores que se pueden utilizar como fuente de datos en un trabajo de Sincronización.

• La siguiente captura de pantalla muestra que Active Directory está seleccionado como el proveedor de destino para la creación de objetos de usuario, contacto, buzón y usuario externo habilitado para correo. Como proveedor de origen, podemos utilizar almacenes de datos simples (por ejemplo, texto o CSV) hasta complejos (por ejemplo, Microsoft SQL Server o Oracle Server).

• La siguiente captura de pantalla muestra que puede elegir crear diferentes objetos (como usuarios con buzón habilitado, usuarios habilitados para correo y contactos) en el destino. También puede actualizar estos objetos en el destino cuando hay un cambio en el proveedor de origen.

• El botón de opción Crear le permite crear los objetos respectivos en el destino.
• El botón de opción Skip te permite actualizar los objetos respectivos en el destino.

Conclusión

Ahora que ha visto cómo crear usuarios en Active Directory usando PowerShell, pruebe los comandos y scripts mostrados aquí en su propio entorno y explore los muchos otros parámetros del cmdlet New-ADUser.

Asegúrese de echar un vistazo a Netwrix Directory Manager. Combina las ventajas de ADAC y PowerShell al ofrecer una interfaz gráfica de usuario amigable para realizar y automatizar sus tareas de aprovisionamiento y desaprovisionamiento de usuarios.

Preguntas frecuentes

Q: ¿Qué es new-ADUser en Active Directory?

A: New-ADUser es un comando de PowerShell para crear un usuario de Active Directory.

Q: ¿Cómo utilizo el cmdlet de PowerShell new-ADUser?

A: Para usar New-ADUser, especifique tantos parámetros como necesite, como en este comando de ejemplo:

      New-ADUser -Name "Jason Bourne" -GivenName "Jason" -Surname "Bourne" -SamAccountName "Jason-Bourne" -AccountPassword (ConvertTo-SecureString -AsPlainText “webdir123R” -Force) -ChangePasswordAtLogon $True -Company "Versacorp" -Title "CEO" -State "California" -City "San Francisco" -Description "Test Account Creation" -EmployeeNumber "45" -Department "Engineering" -DisplayName "Jason Bourne" -Country "US" -PostalCode "94001" -Enabled $True
      

Q: ¿Cómo creo un nuevo usuario en Active Directory?

A: Puede crear un nuevo usuario fácilmente utilizando Active Directory Users and Computers, pero es posible que no pueda completar todas las propiedades del usuario que necesita y no puede crear cuentas de usuario en masa. Una alternativa más potente y flexible es PowerShell. Aquí tiene un ejemplo de cómo puede usar el cmdlet New-ADUser para crear un usuario en Active Directory y completar muchos atributos comunes:

      New-ADUser -Name "Mike Hussey" -GivenName "Mike" -Surname "Hussey" -SamAccountName "Mike-Hussey" -AccountPassword (ConvertTo-SecureString -AsPlainText “Sas123R” -Force) -ChangePasswordAtLogon $True -Company "DeltaCorp" -Title "COO" -State "California" -City "San Jose" -Description "Test Account Creation-2" -EmployeeNumber "46" -Department "Operations" -DisplayName "Mike Hussey" -Country "US" -PostalCode "94089" -Enabled $True
      

P: ¿Cómo puedo crear 1,000 usuarios en Active Directory?

A: Puede utilizar el cmdlet de PowerShell New-ADUser para crear varias cuentas de usuario basadas en un archivo CSV que contiene los detalles de cada usuario. Una opción aún más sencilla es utilizar Netwrix Directory Manager, que ofrece un asistente fácil de usar y acepta entradas no solo de archivos CSV sino también de bases de datos SQL Server y Oracle.