8. AWS: Despliegue de configuración con GPP

Objetivo

Desplegar, en un entorno AWS con AD, configuración de usuario/equipo mediante Group Policy Preferences (GPP): mapeo de unidades, impresoras y accesos; además, practicar scripts con GPO y tareas programadas gestionadas por GPP, en línea con el apartado 4.5.

Prerrequisitos

• Laboratorio con un DC y un cliente Windows unido al dominio.
• Permisos para crear/editar GPOs (GPMC) y recursos compartidos accesibles por clientes.

Pasos

1) Crear GPO para preferencias (GPP) - Crea y vincula una GPO a la OU objetivo (equipos/usuarios de prueba). - Usuario/Equipo → Preferencias → Configuración de Windows.

2) Mapear unidades (Drives) - Preferencias → Drives → Nuevo → Mapped Drive. - Acción: Crear/Actualizar. Ruta UNC (p.ej., \\SRV\Datos), letra de unidad. - Common → Habilitar ILT para aplicar por grupo/OU si es necesario.

3) Impresoras (Printers) - Preferencias → Printers → Nuevo → Shared Printer. - Ruta UNC de la impresora compartida. Acción Crear/Actualizar. ILT opcional.

4) Accesos directos (Shortcuts) - Preferencias → Shortcuts → Nuevo → Shortcut. - Objetivo (ruta a app/UNC), ubicación (Escritorio, Menú Inicio), icono opcional. ILT si procede.

5) Scripts con GPO (relacionado con 4.5) - Equipo/Usuario → Configuración de Windows → Scripts (Startup/Shutdown, Logon/Logoff). - Publica el script en un recurso UNC y añádelo con los parámetros necesarios.

6) Tareas programadas con GPP (relacionado con 4.5) - Preferencias → Scheduled Tasks → Nueva tarea (Windows 10/11). - General: Ejecutar con privilegios más altos. Cuenta: SYSTEM (para tareas de equipo) u otra adecuada. - Acciones: Iniciar un programa (p.ej., powershell.exe -ExecutionPolicy Bypass -File \\SRV\Scripts\tarea.ps1). - Triggers: Al iniciar / Por horario / Al iniciar sesión, según el caso. - Common → ILT para segmentar por grupo/OU/SO.

Ejemplo: tarea de limpieza de temporales

• Objetivo: eliminar archivos temporales antiguos del directorio C:\Windows\Temp y del perfil del sistema.
• Script de ejemplo (guardar como \\SRV\Scripts\limpieza-temp.ps1 y dar lectura a Domain Computers):

$targets = @("C:\\Windows\\Temp", "C:\\Windows\\SoftwareDistribution\\Download")
$dias = 7
foreach ($p in $targets) {
  if (Test-Path $p) {
    Get-ChildItem -Path $p -Recurse -Force -ErrorAction SilentlyContinue |
      Where-Object { $_.LastWriteTime -lt (Get-Date).AddDays(-$dias) } |
      Remove-Item -Force -Recurse -ErrorAction SilentlyContinue
  }
}

• Configuración GPP de la tarea:
• Preferencias → Scheduled Tasks → Nueva tarea (Windows 10/11).
• General: Nombre "Limpieza temporales", Ejecutar con privilegios más altos, Cuenta: SYSTEM.
• Trigger: Diario a las 03:00 (o al iniciar si es un equipo de aula).
• Acción: Programa powershell.exe con argumentos: -ExecutionPolicy Bypass -File \\SRV\Scripts\limpieza-temp.ps1.
• Common: habilitar ILT para aplicarlo solo a OU/grupo deseado.

Verificación

• gpupdate /force en clientes y revisión en gpresult /r o rsop.msc.
• Comprobar unidad mapeada, impresora y accesos creados.
• taskschd.msc para confirmar la tarea creada/ejecutada; visor de eventos (TaskScheduler, GroupPolicy).

Ver también

• 4.3 Plantillas administrativas y Preferencias
• 4.5 Scripts y tareas programadas