Administración básica de AD (AWS)¶

Objetivo: crear OU, usuarios y grupos, y aplicar una primera GPO en el dominio de laboratorio.

Requisitos¶

Haber completado la promoción a DC y DNS funcional.
Convenciones y diseño de OU definidos (ver práctica de diseño).

1. Crear OU¶

GUI (ADUC):

Abrir “Active Directory Users and Computers”.
Botón derecho en el dominio → New → Organizational Unit.
Crear OU=Departamentos, OU=Aulas, OU=TI. Añadir sub-OU necesarias.

PowerShell:

New-ADOrganizationalUnit -Name "Departamentos" -Path "DC=corp,DC=local"
New-ADOrganizationalUnit -Name "Aulas" -Path "DC=corp,DC=local"
New-ADOrganizationalUnit -Name "TI" -Path "DC=corp,DC=local"
New-ADOrganizationalUnit -Name "A1" -Path "OU=Aulas,DC=corp,DC=local"

2. Crear grupos y usuarios¶

GUI (ADUC):

En la OU objetivo → New → Group → Global, Security.
New → User → definir contraseña y opciones.

PowerShell (ejemplos):

# Grupo global de alumnos A1
New-ADGroup -Name "GG_A1_Alumnos" -GroupScope Global -GroupCategory Security -Path "OU=A1,OU=Aulas,DC=corp,DC=local"

# Usuario
New-ADUser -Name "Maria Garcia" -GivenName Maria -Surname Garcia -SamAccountName maria.garcia `
  -UserPrincipalName maria.garcia@corp.local -AccountPassword (ConvertTo-SecureString "P@ssw0rd!" -AsPlainText -Force) `
  -ChangePasswordAtLogon $true -Enabled $true -Path "OU=A1,OU=Aulas,DC=corp,DC=local"

# Añadir a grupo
Add-ADGroupMember -Identity GG_A1_Alumnos -Members maria.garcia

Importación por CSV (opcional): CSV ejemplo usuarios.csv:

GivenName,Surname,Sam,OU
Maria,Garcia,maria.garcia,OU=A1,OU=Aulas,DC=corp,DC=local
Juan,Perez,juan.perez,OU=A1,OU=Aulas,DC=corp,DC=local

Script:

Import-Csv .\usuarios.csv | ForEach-Object {
  $upn = "$($_.Sam)@corp.local"
  New-ADUser -Name "$($_.GivenName) $($_.Surname)" -GivenName $_.GivenName -Surname $_.Surname `
    -SamAccountName $_.Sam -UserPrincipalName $upn -AccountPassword (ConvertTo-SecureString "P@ssw0rd!" -AsPlainText -Force) `
    -ChangePasswordAtLogon $true -Enabled $true -Path $_.OU
}

3. Primera GPO¶

Opción A (fondo de pantalla):

Crear carpeta compartida accesible por “Authenticated Users” (solo lectura).
Copiar imagen wallpaper.jpg.
Editor de GPO: User Configuration → Policies → Administrative Templates → Desktop → Desktop → "Desktop Wallpaper" → Ruta UNC.

Opción B (política de contraseñas, si no se usa Fine-Grained):

Default Domain Policy → Password Policy: longitud mínima, complejidad, expiración.

PowerShell (crear y vincular GPO a OU=A1):

$gpo = New-GPO -Name "GPO_A1_Wallpaper"
New-GPLink -Name $gpo.DisplayName -Target "OU=A1,OU=Aulas,DC=corp,DC=local" -Enforced:$false
# La configuración específica del wallpaper se realiza en el editor de GPO.

Forzar actualización en clientes (cuando se unan):

gpupdate /force

4. Verificación¶

ADUC: comprobar OU, usuarios y grupos.
Membership: Get-ADGroupMember GG_A1_Alumnos.
GPO: Get-GPO -All | Where-Object DisplayName -like '*A1*'.
En un cliente unido al dominio: gpresult /r o RSOP.msc para confirmar aplicación.

5. Troubleshooting¶

GPO no aplica
Confirmar alcance (LSDOU) y herencia/bloqueos.
Verificar permisos de seguridad de la GPO (Security Filtering).
gpupdate /force y revisar eventos (GroupPolicy en Visor de eventos).
No puedo crear objetos
Revisar permisos de la OU y que usas una cuenta con privilegios.
Usuarios no pueden iniciar sesión
Contraseña expirada o ChangePasswordAtLogon. Revisar estado Enabled.

Notas AWS Academy¶

Para probar GPO, une al menos un cliente Windows al dominio y usa SG restrictivo para RDP.
Minimiza cambios en Default Domain Policy salvo que se solicite.

Siguiente¶

Preparar prácticas avanzadas (perfiles, redirecciones, scripts).