Joan zuzenean edukira

3.3. Administración básica de Active Directory

Objetivo: realizar operaciones básicas de administración en AD.

Contenidos

  • Estructura de OU y buenas prácticas
  • Usuarios y grupos: creación, plantillas y delegación
  • Herramientas RSAT y PowerShell para AD
  • Introducción a GPO: alcance (LSDOU) y herencia

Actividades sugeridas

  • Crear OU para Departamentos y Aulas
  • Crear usuarios de prueba y grupos globales
  • Crear y vincular una GPO básica (p. ej., fondo de pantalla o políticas de contraseña)

Conceptos clave (teoría)

  • Estructura lógica de AD

    • Bosque (Forest): conjunto máximo de confianza que agrupa uno o más dominios que comparten un esquema común. Piensa en “la empresa entera”.
    • Árbol (Tree): conjunto de dominios relacionados jerárquicamente que comparten un espacio de nombres (ej.: corp.local y eu.corp.local).
    • Dominio (Domain): límite administrativo y de seguridad principal (usuarios, grupos, GPO). Suele mapear con una organización o unidad grande.
    • Sitios (Sites): representan ubicaciones físicas/redes IP para optimizar replicación y autenticación.
    • Objetos típicos: OUs (carpetas lógicas), usuarios, grupos, equipos, GPO (políticas).

  • OU vs contenedores predeterminados

    • OU (Organizational Unit): carpeta lógica donde aplicar GPO y delegar permisos. Ideal para organizar y administrar.
    • Contenedores por defecto (Users, Computers): no admiten GPO directamente y limitan la delegación. Mejor mover objetos a OUs propias.

  • Cómo diseñar OUs (enfoques)

    • Por función (p.ej., Servidores, Usuarios, Aplicaciones), por ubicación (Bilbao, Madrid), o por administración (quién lo gestiona).
    • Reglas prácticas: estructura simple, nombres claros, documentar, proteger contra eliminación accidental.

  • Grupos de AD: tipos y ámbitos

    • Tipo Seguridad: se usa para permisos en recursos (ACL). Tipo Distribución: solo para listas de correo.
    • Ámbitos: Global (miembros del mismo dominio), Dominio Local (permite permisos en el dominio local), Universal (ideal en bosques con varios dominios).
    • Patrón AGDLP/AGUDLP: Usuarios → Grupos Globales → (Grupos Universales) → Grupos de Dominio Local → Permisos en recursos. Facilita administración y escalabilidad.

  • Delegación de control

    • Asignar tareas concretas a personas/equipos sin darles permisos de administrador del dominio (mínimo privilegio).
    • Ejemplos: permitir a soporte “restablecer contraseñas” en la OU de Aulas sin tocar el resto.

  • Directivas de grupo (GPO)

    • Procesamiento LSDOU: las políticas se aplican en este orden: Local → Sitio → Dominio → OU. La última en aplicarse suele prevalecer.
    • Herencia: las GPO de niveles superiores afectan a niveles inferiores salvo bloqueo. “Enforced” hace que una GPO tenga prioridad.
    • Filtrado: por seguridad (qué grupos reciben la GPO) o por WMI (condiciones técnicas, p.ej. versión de Windows).
    • Loopback: aplica configuraciones de usuario según el equipo en el que inicia sesión (útil en aulas/kioskos).

  • Políticas de contraseña granulares (FGPP/PSO)

    • Permiten tener requisitos distintos (complejidad, longitud, expiración) para diferentes grupos de usuarios dentro del mismo dominio.

  • Herramientas RSAT más usadas

    • ADUC (Usuarios y equipos), GPMC (Gestión de GPO), ADAC (Centro de administración), DNS, Sites and Services.

  • Copias de seguridad y roles FSMO

    • Copia “Estado del sistema” para recuperar AD (incluye base de datos, SYSVOL, etc.).
    • PDC Emulator: referencia principal de hora y contraseñas; crítico para sincronización y políticas.

Ejemplo práctico GUI (opcional)

1) Estructura de OU recomendada - Abrir: Herramientas administrativas → Usuarios y equipos de Active Directory. - Crear en la raíz del dominio: OU CORP (proteger contra eliminación accidental). - Dentro de CORP, crear OU: Departamentos, Aulas, Grupos, Servicios. - Dentro de Departamentos, crear OUs hijas según tu caso (p. ej. IT, Ventas).

2) Usuarios y plantillas - En CORP/Departamentos/IT, crear usuario plantilla TPL.Usuario con propiedades comunes (Departamento, Empresa, Teléfono, etc.). Deshabilitar la cuenta. - Duplicar la plantilla para crear Nombre Apellido de prueba. Habilitar la cuenta y asignar contraseña segura.

3) Grupos y membresías - En CORP/Grupos, crear grupos globales de seguridad (p. ej. GG_TI, GG_VENTAS). - Agregar usuarios de prueba a los grupos correspondientes.

4) Delegación básica - En CORP/Aulas, botón derecho → Delegar control… → Agregar grupo de profesores/TA. - Elegir tareas comunes: Crear/eliminar cuentas de usuario, restablecer contraseñas, leer toda la información del usuario.

5) GPO inicial: ejemplo de bloqueo de pantalla - Abrir: Group Policy Management (GPMC). - Crear GPO GPO-Baseline-Usuarios y vincularla a CORP (o a la OU objetivo). - Editar GPO → User Config → Policies → Admin Templates → Control Panel/Personalization: - Enable screen saver = Enabled - Screen saver timeout = 600 - Password protect the screen saver = Enabled - Forzar actualización en una VM cliente unida al dominio: gpupdate /force.

Ejemplo PowerShell (opcional)

  • Crear OUs
New-ADOrganizationalUnit -Name "CORP" -Path "DC=corp,DC=local" -ProtectedFromAccidentalDeletion $true
New-ADOrganizationalUnit -Name "Departamentos" -Path "OU=CORP,DC=corp,DC=local"
New-ADOrganizationalUnit -Name "Aulas" -Path "OU=CORP,DC=corp,DC=local"
New-ADOrganizationalUnit -Name "Grupos" -Path "OU=CORP,DC=corp,DC=local"
  • Usuario plantilla y usuario de prueba
New-ADUser -Name "TPL.Usuario" -SamAccountName tpl.usuario -Path "OU=Departamentos,OU=CORP,DC=corp,DC=local" -Enabled:$false -Department "IT"
$pw = ConvertTo-SecureString "P@ssw0rd123!" -AsPlainText -Force
New-ADUser -Name "Juan Perez" -GivenName Juan -Surname Perez -SamAccountName jperez -UserPrincipalName jperez@corp.local -Path "OU=Departamentos,OU=CORP,DC=corp,DC=local" -AccountPassword $pw -Enabled $true
  • Grupos y membresía
New-ADGroup -Name "GG_TI" -GroupScope Global -GroupCategory Security -Path "OU=Grupos,OU=CORP,DC=corp,DC=local"
Add-ADGroupMember -Identity "GG_TI" -Members jperez
  • GPO y enlace
New-GPO -Name "GPO-Baseline-Usuarios" | New-GPLink -Target "OU=CORP,DC=corp,DC=local"
Set-GPRegistryValue -Name "GPO-Baseline-Usuarios" -Key "HKCU\Software\Policies\Microsoft\Windows\Control Panel\Desktop" -ValueName ScreenSaveActive -Type String -Value 1
Set-GPRegistryValue -Name "GPO-Baseline-Usuarios" -Key "HKCU\Software\Policies\Microsoft\Windows\Control Panel\Desktop" -ValueName ScreenSaveTimeOut -Type String -Value 600
Set-GPRegistryValue -Name "GPO-Baseline-Usuarios" -Key "HKCU\Software\Policies\Microsoft\Windows\Control Panel\Desktop" -ValueName ScreenSaverIsSecure -Type String -Value 1

Importación de usuarios desde CSV (opcional)

CSV usuarios.csv:

GivenName,Surname,SamAccountName,OU,Department
Ana,Gomez,agomez,OU=Departamentos,OU=CORP,DC=corp,DC=local,IT
Luis,Ruiz,lruiz,OU=Departamentos,OU=CORP,DC=corp,DC=local,Ventas

Script:

$pw = ConvertTo-SecureString "P@ssw0rd123!" -AsPlainText -Force
Import-Csv .\usuarios.csv | ForEach-Object {
  New-ADUser -Name ("{0} {1}" -f $_.GivenName,$_.Surname) `
    -GivenName $_.GivenName -Surname $_.Surname `
    -SamAccountName $_.SamAccountName -UserPrincipalName ("{0}@corp.local" -f $_.SamAccountName) `
    -Path $_.OU -Department $_.Department -AccountPassword $pw -Enabled $true
}

Verificación y pruebas (conceptos)

  • Usuarios/grupos: Get-ADUser jperez -Properties *, Get-ADGroup GG_TI -Properties *, Get-ADGroupMember GG_TI.
  • GPO: en cliente unido al dominio, gpresult /r o gpresult /h gp.html y abrir el informe.
  • RSOP: rsop.msc en el equipo cliente para ver políticas aplicadas.
  • Informe de GPO en el DC: Get-GPOReport -All -ReportType Html -Path Report.html.

Solución de problemas

  • Error al crear usuarios: comprobar OU de destino y permisos de delegación.
  • Contraseña no cumple la directiva: revisa complejidad/longitud del dominio.
  • GPO no aplica: valida ámbito (LSDOU), herencia/bloqueos, y que el objeto esté en la OU vinculada. Ejecuta gpupdate /force y revisa gpresult.
  • Reloj desincronizado: la aplicación de GPO/Kerberos puede fallar; sincroniza con un origen NTP fiable (PDC Emulator, NTP corporativo o público).

Checklist final

  • OU creadas y protegidas contra eliminación.
  • Al menos 2 usuarios y 2 grupos globales creados; membresías correctas.
  • GPO de baseline creada, vinculada y verificada en un cliente.
  • Capturas o informe gpresult /h guardados.

Práctica AWS relacionada

Aplica OU, usuarios, grupos y una primera GPO en AWS con la guía: Administración básica de AD (AWS)