0

Añadir usuarios temporales a grupos de dominio de Active Directory en Windows Server 2016

Publicada en por Jose Ramon Ramos Gata

Hola a tod@s.

En este post vamos a ver como añadir usuarios temporales a grupos de dominio de Active Directory en Windows Server 2016, esta nueva característica sólo la vamos a poder implementar si el nivel funcional del bosque y del dominio se encuentran en Windows Server 2016, es decir, que los controladores de dominio de nuestra infraestructura sean todos 2016, si tenemos algún domain controller con 2012, 2008 o 2003 no vamos a poder implementar esta nueva característica.

Implementando esta nueva opción, nuestro Active Directory eliminará automáticamente la pertenencia de estos usuarios a los grupos dónde los hubiésemos añadido.

  • Para ello, en uno de nuestros Controladores de Dominio nos abriremos una consola de Windows PowerShell y ejecutaremos el comando Get-ADOptionalFeature –Filter * para ver las características que tenemos implementadas en nuestro Active Directory:

  • Para habilitar esta nueva característica vamos a ejecutar el comando Enable-ADOptionalFeature ‘Privileged Access Management Feature’ –Scope ForestOrConfigurationSet –Target ragasys.net y nos va a indicar que una vez habilitada ya no la vamos a poder deshabilitar, le indicamos que SI(S) la habilite:

  • Si volvemos a ver las características opcionales con el comando Get-ADOptionalFeature –Filter * podemos observar que ya la tenemos habilitada:

  • Ahora vamos a añadir temporalmente un usuario de nuestro Active Directory a uno de nuestros grupos:

  • Para ello ejecutamos el siguiente comando en la consola de Windows PowerShell Add-ADGroupMember –Identity ‘GAdmMad’ –Members ‘bill.gates’ –MemberTimeToLive (New-TimeSpan –Days 2) :

  • Si nos vamos a la consola de Usuarios y equipos de Active Directory vemos que este usuario se ha agregado correctamente como un miembro más del grupo, pero a los dos días siguientes nuestro Active Directory eliminará automáticamente la permanencia de este usuario al grupo GAdmMad:

  • Con el comando Get-ADGroupMember ‘GAdmMad’ también podemos verificar la pertenencia de este usuario al grupo correspondiente, y como ya dijimos anteriormente tendrá una fecha de caducidad de 2 días:

Para realizar este post me he ayudado del Curso Instalación y Configuración de Windows Server 2016 impartido por Jair Gómez, el cuál recomiendo a cualquier Administrador de Sistemas Windows

Saludos y espero que os sea de ayuda 😉

Jose Ramon Ramos Gata

Técnico Superior STI

More Posts

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.