{"id":510012,"date":"2025-08-14T13:31:21","date_gmt":"2025-08-14T13:31:21","guid":{"rendered":"https:\/\/www.ninjaone.com\/?p=510012"},"modified":"2025-08-14T13:31:21","modified_gmt":"2025-08-14T13:31:21","slug":"como-limpiar-active-directory","status":"publish","type":"post","link":"https:\/\/www.ninjaone.com\/es\/blog\/como-limpiar-active-directory\/","title":{"rendered":"C\u00f3mo limpiar Active Directory: buenas pr\u00e1cticas y consejos"},"content":{"rendered":"<p><a href=\"https:\/\/www.ninjaone.com\/it-hub\/endpoint-management\/what-is-active-directory\/\">Active Directory<\/a> (AD) es uno de esos productos que tienden a saturarse. Cuantos m\u00e1s datos tengas, m\u00e1s dif\u00edcil ser\u00e1 hacer cualquier cosa, desde gestionar usuarios de AD hasta <a href=\"https:\/\/www.ninjaone.com\/es\/blog\/copia-active-directory\/\">configurar copias de seguridad de AD<\/a>. Es un producto en el que mucha gente hace cambios cada d\u00eda y al final acaba siendo como esas cosas que de alguna manera siguen funcionando.<\/p>\n<p>Incluso el departamento de TI m\u00e1s motivado parece acabar siempre con un entorno de Active Directory que tiene montones de cuentas de usuario que ya no se necesitan, GPO adjuntas a OU que la gente ni siquiera sab\u00eda que exist\u00edan y cuentas de equipo que representan equipos desaparecidos hace mucho tiempo. Un d\u00eda, alguien se sienta frente a los <a href=\"https:\/\/www.ninjaone.com\/blog\/how-to-install-active-directory-ad-users-and-computers\/\">usuarios y equipos de Active Directory (ADUC)<\/a> y tiene ese momento en el que dice: \u00ab\u00a1Vaya! Esto hay que limpiarlo\u00bb.<\/p>\n<p>Has llegado al lugar adecuado. En este art\u00edculo se explica <b>c\u00f3mo limpiar Active Directory<\/b> utilizando las mejores pr\u00e1cticas y otros consejos. Si prefieres una gu\u00eda visual, este tutorial explica c\u00f3mo <a href=\"https:\/\/www.ninjaone.com\/videos\/it-ops\/how-to-clean-up-active-directory\/\">limpiar Active Directory<\/a> paso a paso.<\/p>\n\n<h2>Se\u00f1ales de que necesitas limpiar Active Directory<\/h2>\n<p>Cuando ves que AD necesita una limpieza, te das cuenta de que probablemente ser\u00e1 una tarea abrumadora y dif\u00edcil de abordar. Puede que empieces un proyecto para \u00ablimpiar cosas\u00bb, pero pronto te dar\u00e1s cuenta de que hacer clic con el bot\u00f3n derecho y borrar no es suficiente.<\/p>\n<p>Hay muchas maneras de hacer que este proyecto sea un \u00e9xito, siendo la primera tarea definir qu\u00e9 significa exactamente \u00ablimpiar\u00bb. Para este art\u00edculo, enfocaremos la \u00ablimpieza\u00bb de AD como la mejora de estos 5 aspectos esenciales.<\/p>\n<ul>\n<li aria-level=\"1\"><b>Rendimiento. <\/b>Un AD saturado puede generar un tr\u00e1fico de replicaci\u00f3n innecesario. Uno de los signos m\u00e1s evidentes del mal funcionamiento de un AD es el <i>tiempo<\/i>: \u00bfAD tarda m\u00e1s de lo habitual en autenticar usuarios, buscar objetos de AD o descargar objetos de pol\u00edticas de grupo?<\/li>\n<li aria-level=\"1\"><b>Seguridad. <\/b>\u00a0<a href=\"https:\/\/www.ninjaone.com\/es\/it-hub\/endpoint-security\/que-es-un-actor-de-amenazas\/\">Los ciberdelincuentes<\/a> siempre est\u00e1n tratando de explotar a las organizaciones. Una de las formas en que intentan hacerlo es accediendo a las redes mediante el control de cuentas de usuario de Active Directory.<\/li>\n<li aria-level=\"1\"><b>Cumplimiento.<\/b> La limpieza peri\u00f3dica de Active Directory te ayuda a cumplir los mandatos normativos, desde <a href=\"https:\/\/www.ninjaone.com\/blog\/what-is-gdpr-compliance\/\">GDPR<\/a> hasta <a href=\"https:\/\/www.ninjaone.com\/es\/it-hub\/endpoint-security\/estandar-pa-dss\/\">PCI-DSS<\/a>.<\/li>\n<li aria-level=\"1\"><b>Operaciones de TI. <\/b>Un Active Directory desordenado dificultar\u00e1 mucho m\u00e1s la gesti\u00f3n a los administradores de TI. Esto puede conducir a la ineficacia en todos los \u00e1mbitos, ya que el equipo de TI debe dedicar m\u00e1s tiempo al uso de AD en lugar de a otros proyectos estrat\u00e9gicos.<\/li>\n<li aria-level=\"1\"><b>Agilidad empresarial. <\/b>Active Directory es fundamental para muchas tareas, y una limpieza de AD puede ayudarte a mantenerte \u00e1gil y a conservar tu ventaja competitiva.<\/li>\n<\/ul>\n<h3>Un Active Directory mal mantenido<\/h3>\n<ul>\n<li aria-level=\"1\">Tiene muchos <a href=\"https:\/\/www.ninjaone.com\/it-hub\/endpoint-security\/what-is-dirty-data\/\">datos sucios<\/a> (desde cuentas de usuario obsoletas hasta duplicadas).<\/li>\n<li aria-level=\"1\">Tiene grupos de distribuci\u00f3n vac\u00edos o duplicados.<\/li>\n<li aria-level=\"1\">Ofrece una visi\u00f3n deficiente de los permisos de acceso a los grupos de seguridad.<\/li>\n<li aria-level=\"1\">Muestra una falta de procesos establecidos para el aprovisionamiento y desaprovisionamiento.<\/li>\n<li aria-level=\"1\">No se puede determinar la propiedad de objetos y grupos.<\/li>\n<li aria-level=\"1\">Muestra atributos de objeto inexactos o incompletos.<\/li>\n<\/ul>\n<h2>3 atributos de cuentas de usuario no utilizadas<\/h2>\n<p>Centr\u00e9monos ahora en <a href=\"https:\/\/www.ninjaone.com\/es\/script-hub\/cuentas-locales-no-utilizadas-windows\/\">las cuentas de usuario no utilizadas<\/a>. M\u00e1s concretamente, vamos a hablar de los tres atributos que pueden hacer que una cuenta de usuario se pueda \u00abeliminar\u00bb. Estos atributos son: a) cuentas desactivadas, b) cuentas que no se han utilizado en X d\u00edas, y c) cuentas con contrase\u00f1as caducadas.<\/p>\n<p>Una de las formas m\u00e1s sencillas de encontrar estas cuentas probablemente no utilizadas es utilizar PowerShell. El <a href=\"https:\/\/www.ninjaone.com\/es\/blog\/modulo-active-directory-powershell\/\">PowerShell de ActiveDirectory es un m\u00f3dulo<\/a> que incluye un cmdlet extremadamente \u00fatil llamado \u00abSearch-AdAccount\u00bb que facilita la construcci\u00f3n de consultas y la devoluci\u00f3n de exactamente lo que necesitamos. Sin embargo, antes de poder utilizar este cmdlet, tienes que descargar el paquete Remote Server Administration Tools (RSAT) de Microsoft. Una vez <a href=\"https:\/\/www.ninjaone.com\/blog\/how-to-install-rsat\/\">instalado RSAT<\/a>, deber\u00edas tener el m\u00f3dulo ActiveDirectory, \u00a1y ya est\u00e1 listo! Adem\u00e1s, para que el siguiente c\u00f3digo funcione, suponemos que tienes un PC con Windows que est\u00e1 unido al mismo dominio que los usuarios que quieres encontrar.<\/p>\n<p>Dicho esto, \u00a1pong\u00e1monos manos a la obra!<\/p>\n<h2>Encontrar cuentas desactivadas en Active Directory<\/h2>\n<p>La primera tarea es encontrar cuentas deshabilitadas. Para encontrar cuentas deshabilitadas, utilizaremos el Search-ADAccount cmdlet. Este cmdlet tiene un \u00fanico par\u00e1metro llamado \u00abDeshabilitado\u00bb que hace que esta tarea sea pan comido. Simplemente ejecuta Search-AdAccount -AccountDisabled y listo, se mostrar\u00e1n todas tus cuentas deshabilitadas. Observa a continuaci\u00f3n que he utilizado el par\u00e1metro UsersOnly porque este cmdlet tambi\u00e9n puede encontrar cuentas de equipo deshabilitadas.<\/p>\n<pre class=\"EnlighterJSRAW\" data-enlighter-language=\"powershell\">C:&gt; Search-ADAccount -UsersOnly -AccountDisabled -Server dc\r\n\r\nAccountExpirationDate :\r\nDistinguishedName : CN=Guest,CN=Users,DC=mylab,DC=local\r\nActivado : Falso\r\nLastLogonDate :\r\nLockedOut : Falso\r\nNombre : Guest\r\nObjectClass : user\r\nObjectGUID : 89cfaf2b-c6d8-4ae0-a720-e2da7d201717\r\nPasswordExpired : Falso\r\nPasswordNeverExpires : Verdadero\r\nSamAccountName : Guest\r\nSID : S-1-5-21-4117810001-3432493942-696130396-501\r\nUserPrincipalName :\r\n............<\/pre>\n<h2>Encontrar cuentas de usuario inactivas en Active Directory<\/h2>\n<p>Otra candidato habitual que hay que limpiar son las cuentas de usuario inactivas, que son un poco m\u00e1s dif\u00edciles de localizar. \u00abInactivo\u00bb es un t\u00e9rmino subjetivo, as\u00ed que para nuestros prop\u00f3sitos vamos a definir \u00abinactivo\u00bb como cualquier usuario que tenga un valor de LastLogonTimeStamp superior a 30 d\u00edas. Vas a encontrar muchos art\u00edculos en internet sobre c\u00f3mo encontrar usuarios inactivos, pero algunas personas no se dan cuenta de que es mucho m\u00e1s f\u00e1cil que crear complicados filtros LDAP de AD. El soporte es nativo en Search-AdAccount.<\/p>\n<p>Podemos utilizar \u00a0<code class=\"EnlighterJSRAW\" data-enlighter-language=\"powershell\">Search-AdAccount -AccountInactive -UsersOnly -Timespan 30.00:00:00<\/code>\u00a0para encontrar inmediatamente todas las cuentas de usuario AD que no se han utilizado en 30 d\u00edas.<\/p>\n<p>Sin embargo, hay una advertencia. Microsoft solo actualiza el atributo LastLogonTimestamp, que es el mismo que LastLogonDate, una vez cada 14 d\u00edas para evitar problemas de replicaci\u00f3n. Debido a esta caracter\u00edstica de AD, utilizar este m\u00e9todo (o incluso Get-AdUser o Get-AdComputer con el filtro avanzado) no ser\u00e1 100% preciso si est\u00e1s intentando obtener cuentas con inactividad superior a 14 d\u00edas. As\u00ed que estate atento.<\/p>\n<p>Por \u00faltimo, tenemos que encontrar todos los usuarios de AD que tienen una contrase\u00f1a caducada que ya no son necesarios. Esto es complicado porque las cuentas de usuario \u00abactivas\u00bb pueden tener una contrase\u00f1a caducada si ha caducado recientemente. No solo tengo que encontrar contrase\u00f1as caducadas, sino tambi\u00e9n cu\u00e1nto tiempo hace que caducaron. Si caducaron, digamos, hace 30 d\u00edas o m\u00e1s, puedo asumir que estas cuentas de usuario est\u00e1n, efectivamente, inactivas.<\/p>\n<p>Para averiguar cu\u00e1nto tiempo hace que caduc\u00f3 una contrase\u00f1a, primero tengo que averiguar la <a href=\"https:\/\/www.ninjaone.com\/blog\/configure-password-age-for-local-accounts\/\">antig\u00fcedad m\u00e1xima de la contrase\u00f1a<\/a> seg\u00fan la pol\u00edtica de contrase\u00f1as del dominio. Puedo hacerlo con el cmdlet Get-AdDefaultDomainPasswordPolicy.<\/p>\n<pre class=\"EnlighterJSRAW\" data-enlighter-language=\"generic\">$MaxPasswordAge = (Get-ADDefaultDomainPasswordPolicy).MaxPasswordAge.Days<\/pre>\n<p>A continuaci\u00f3n, puedo encontrar todas las cuentas de usuario que tienen una contrase\u00f1a caducada y luego filtrar las cuentas de esos usuarios viendo la \u00faltima vez que se estableci\u00f3 su contrase\u00f1a y asegur\u00e1ndome de que fue antes del tiempo m\u00e1ximo que pod\u00eda tener la contrase\u00f1a m\u00e1s 30 (la antig\u00fcedad que estoy definiendo para la cuenta).<\/p>\n<p>El c\u00f3digo ser\u00e1 algo parecido a esto:<\/p>\n<pre class=\"EnlighterJSRAW\" data-enlighter-language=\"generic\">Search-AdAccount -PasswordExpired -UsersOnly | Where-Object {((Get-Date) - (Get-AdUser -Filter \"samAccountName -eq $_.SamAccountName\").PasswordLastSet) -lt ($MaxPasswordAge + 30)}<\/pre>\n<p>La pr\u00f3xima vez que busques registros inactivos en AD, aseg\u00farate de echar un vistazo a Search-AdAccount para ver si ya hace lo que est\u00e1s intentando hacer. \u00a1Puede que te ahorre mucho tiempo!<\/p>\n<h2>Ventajas de una limpieza de AD<\/h2>\n<p>Active Directory es el servicio de directorio propietario de Windows, que se calcula que utilizan el 90% de las organizaciones de todo el mundo, seg\u00fan <a href=\"https:\/\/www.techradar.com\/pro\/why-now-is-the-time-to-prioritize-active-directory-modernization\" target=\"_blank\" rel=\"noopener\">TechRadar<\/a>.<\/p>\n<p>Su popularidad est\u00e1 bien merecida: AD es fundamental para nuestra vida laboral diaria, ya que permite a las empresas definir qui\u00e9n puede hacer qu\u00e9 en su red, al tiempo que gestiona diversos recursos, <a href=\"https:\/\/www.ninjaone.com\/es\/blog\/que-es-un-endpoint-para-profesionales\/\">dispositivos endpoint<\/a> y sistemas.<\/p>\n<p>Al limpiar tu base de datos, te aseguras de que tu empresa mantiene la <a href=\"https:\/\/www.ninjaone.com\/es\/it-hub\/endpoint-security\/eficiencia-operativa\/\">eficiencia operativa<\/a>, aumenta la integridad de los datos y practica un mejor <a href=\"https:\/\/www.ninjaone.com\/es\/it-hub\/endpoint-security\/gobernanza-de-datos\/\">gobierno de datos<\/a>. Se trata de un proceso esencial que todos los <a href=\"https:\/\/www.ninjaone.com\/es\/que-es-un-msp\/\">MSP<\/a>, MSSP y empresas de TI deben incluir en sus estrategias de mantenimiento para seguir prestando servicios de alta calidad a sus usuarios finales.<\/p>\n\n<h2>Pr\u00e1cticas m\u00e1s recomendadas para la limpieza de Active Directory<\/h2>\n<p>Aparte de lo que he mencionado antes (<i>como la b\u00fasqueda de cuentas desactivadas e inactivas en Active Directory y todo eso<\/i>), ser\u00eda prudente hablar de otras pr\u00e1cticas recomendadas para la limpieza de Active Directory, de modo que tu red de TI siga siendo eficiente, segura y conforme a la normativa.<\/p>\n<h3>Limpiar las pol\u00edticas de grupo obsoletas<\/h3>\n<p>Los <a href=\"https:\/\/www.ninjaone.com\/es\/blog\/directiva-de-grupo-en-active-directory\/\">objetos de pol\u00edtica de grupo<\/a> (GPO) innecesarios pueden ralentizar tu AD. Es aconsejable revisar y desconectar regularmente estos GPO mediante <a href=\"https:\/\/www.ninjaone.com\/es\/it-hub\/endpoint-management\/powershell\/\">PowerShell<\/a> o la <a href=\"https:\/\/www.ninjaone.com\/blog\/group-policy-management-console\/\">Consola de administraci\u00f3n de directivas de grupo<\/a>.<\/p>\n<h3>Optimizar los scripts de inicio de sesi\u00f3n de los usuarios<\/h3>\n<p>Los scripts de inicio de sesi\u00f3n incorrectos pueden afectar significativamente al rendimiento. Para ver el impacto completo de estos scripts, prueba a utilizar PowerShell, en particular el <i>Get-GPResultantSetOfPolicy<\/i>. Si lo consideras necesario, tambi\u00e9n puedes <a href=\"https:\/\/www.ninjaone.com\/blog\/gpupdate-how-to-force-a-group-policy-update\/\">forzar una actualizaci\u00f3n de la directiva de grupo de forma remota<\/a>.<\/p>\n<h3>Auditor\u00eda de grupos de seguridad<\/h3>\n<p>Como con cualquier otra cosa que administras, es una buena idea comprobar regularmente tus grupos de seguridad utilizando comandos PowerShell como <i>Get-ADGroupMember.<\/i> Para un script completo sobre la modificaci\u00f3n de la membres\u00eda de usuario, echa un vistazo a este <a href=\"https:\/\/www.ninjaone.com\/es\/script-hub\/agregar-o-quitar-usuarios-de-active-directory\/\">script de NinjaOne<\/a>. Recuerda: lo m\u00e1s probable es que los grupos vac\u00edos, inactivos o de un solo usuario no sirvan para nada a tu organizaci\u00f3n.<\/p>\n<h3>Gestionar la replicaci\u00f3n de Active Directory<\/h3>\n<p>Aseg\u00farate de ajustar los intervalos de replicaci\u00f3n y optimizar las topolog\u00edas para aumentar el rendimiento de AD. Vuelvo a insistir en que \u00ablimpiar Active Directory\u00bb es mucho m\u00e1s que eliminar cuentas creyendo que es lo mejor. Se trata m\u00e1s bien de un proceso de varios pasos que tambi\u00e9n requiere que los administradores de TI reorganicen las cuentas de usuario y los grupos de Active Directory. Recomiendo usar este <a href=\"https:\/\/www.ninjaone.com\/script-hub\/ad-replication-health-report-guide\/\">script de NinjaOne<\/a> para ver tu informe de estado de la replicaci\u00f3n de Active Directory.<\/p>\n<h2>Gestionar usuarios de Active Directory con NinjaOne<\/h2>\n<p>NinjaOne proporciona una <a href=\"https:\/\/www.ninjaone.com\/es\/rmm\/gestion-de-active-directory\/\">herramienta de gesti\u00f3n de Active Directory<\/a> integrada directamente en su plataforma de gesti\u00f3n de endpoints de confianza. Con NinjaOne, puedes desactivar cuentas f\u00e1cilmente, desbloquear usuarios, restablecer contrase\u00f1as y mucho m\u00e1s, \u00a1todo desde un <a href=\"https:\/\/www.ninjaone.com\/es\/blog\/explicacion-del-software-de-panel-unico\/\">solo panel<\/a>!<\/p>\n<p>Si est\u00e1s listo, solicita un <a href=\"https:\/\/www.ninjaone.com\/es\/precios\/\">presupuesto gratuito<\/a> o <a href=\"https:\/\/www.ninjaone.com\/es\/free-demo\/\">mira una demostraci\u00f3n<\/a>.<\/p>\n<p><em>Adam Bertram es MVP de Microsoft Windows Cloud y Datacenter Management, autor de varios cursos de formaci\u00f3n, colaborador habitual de numerosas publicaciones impresas y en l\u00ednea y ponente en diversos grupos de usuarios y conferencias. Puedes encontrar a Adam en <a href=\"https:\/\/adamtheautomator.com\/\" target=\"_blank\" rel=\"noopener\">adamtheautomator.com<\/a>.<\/em><\/p>\n<p><img fetchpriority=\"high\" decoding=\"async\" class=\"alignnone wp-image-13004 size-medium\" title=\"Adam Bertram es MVP de Microsoft Windows Cloud and Datacenter Management\" src=\"https:\/\/www.ninjaone.com\/wp-content\/uploads\/2024\/10\/jd.jpg\" alt=\"Foto de Adam Bertram\" width=\"300\" height=\"228\" \/><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Active Directory (AD) es uno de esos productos que tienden a saturarse. Cuantos m\u00e1s datos tengas, m\u00e1s dif\u00edcil ser\u00e1 hacer cualquier cosa, desde gestionar usuarios de AD hasta configurar copias de seguridad de AD. Es un producto en el que mucha gente hace cambios cada d\u00eda y al final acaba siendo como esas cosas que [&hellip;]<\/p>\n","protected":false},"author":9,"featured_media":362317,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_relevanssi_hide_post":"","_relevanssi_hide_content":"","_relevanssi_pin_for_all":"","_relevanssi_pin_keywords":"","_relevanssi_unpin_keywords":"","_relevanssi_related_keywords":"","_relevanssi_related_include_ids":"","_relevanssi_related_exclude_ids":"","_relevanssi_related_no_append":"","_relevanssi_related_not_related":"","_relevanssi_related_posts":"","_relevanssi_noindex_reason":"","_lmt_disableupdate":"no","_lmt_disable":"","footnotes":""},"categories":[4357],"tags":[],"class_list":["post-510012","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-operaciones-de-ti"],"acf":[],"modified_by":"David HerreraRivero","_links":{"self":[{"href":"https:\/\/www.ninjaone.com\/es\/wp-json\/wp\/v2\/posts\/510012","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ninjaone.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ninjaone.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/es\/wp-json\/wp\/v2\/users\/9"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/es\/wp-json\/wp\/v2\/comments?post=510012"}],"version-history":[{"count":0,"href":"https:\/\/www.ninjaone.com\/es\/wp-json\/wp\/v2\/posts\/510012\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/es\/wp-json\/wp\/v2\/media\/362317"}],"wp:attachment":[{"href":"https:\/\/www.ninjaone.com\/es\/wp-json\/wp\/v2\/media?parent=510012"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ninjaone.com\/es\/wp-json\/wp\/v2\/categories?post=510012"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ninjaone.com\/es\/wp-json\/wp\/v2\/tags?post=510012"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}