ADren oinarrizko kudeaketa (AWS)¶
Helburua: OU, erabiltzaile eta taldeak sortu, eta lehen GPO bat aplikatzea laborategiko domeinuan.
Baldintzak¶
- DC sustapena eta DNS ondo dabiltzala egiaztatuta.
- OU diseinua eta izendapen-konbentzioak zehaztuta (ikus diseinu praktika).
1. OUak sortzea¶
GUI (ADUC):
- “Active Directory Users and Computers” ireki.
- Domeinuan eskuin botoia → New → Organizational Unit.
- Sortu
OU=Sailak,OU=Ikasgelak,OU=IT. Gehitu azpi-OUak behar denean.
PowerShell:
New-ADOrganizationalUnit -Name "Sailak" -Path "DC=corp,DC=local"
New-ADOrganizationalUnit -Name "Ikasgelak" -Path "DC=corp,DC=local"
New-ADOrganizationalUnit -Name "IT" -Path "DC=corp,DC=local"
New-ADOrganizationalUnit -Name "A1" -Path "OU=Ikasgelak,DC=corp,DC=local"
2. Taldeak eta erabiltzaileak sortzea¶
GUI (ADUC):
- Helmuga OUan → New → Group → Global, Security.
- New → User → ezarri pasahitza eta aukerak.
PowerShell (adibideak):
# A1 ikasleen talde globala
New-ADGroup -Name "GG_A1_Ikasleak" -GroupScope Global -GroupCategory Security -Path "OU=A1,OU=Ikasgelak,DC=corp,DC=local"
# Erabiltzailea
New-ADUser -Name "Maria Garcia" -GivenName Maria -Surname Garcia -SamAccountName maria.garcia `
-UserPrincipalName maria.garcia@corp.local -AccountPassword (ConvertTo-SecureString "P@ssw0rd!" -AsPlainText -Force) `
-ChangePasswordAtLogon $true -Enabled $true -Path "OU=A1,OU=Ikasgelak,DC=corp,DC=local"
# Taldera gehitu
Add-ADGroupMember -Identity GG_A1_Ikasleak -Members maria.garcia
CSV bidez inportazioa (aukerakoa):
CSV adibidea erabiltzaileak.csv:
GivenName,Surname,Sam,OU
Maria,Garcia,maria.garcia,OU=A1,OU=Ikasgelak,DC=corp,DC=local
Jon,Perez,jon.perez,OU=A1,OU=Ikasgelak,DC=corp,DC=local
Script-a:
Import-Csv .\erabiltzaileak.csv | ForEach-Object {
$upn = "$($_.Sam)@corp.local"
New-ADUser -Name "$($_.GivenName) $($_.Surname)" -GivenName $_.GivenName -Surname $_.Surname `
-SamAccountName $_.Sam -UserPrincipalName $upn -AccountPassword (ConvertTo-SecureString "P@ssw0rd!" -AsPlainText -Force) `
-ChangePasswordAtLogon $true -Enabled $true -Path $_.OU
}
3. Lehen GPOa¶
A aukera (horma-papera):
- Partekatutako karpeta bat sortu “Authenticated Users” irakurketa bakarrarekin.
wallpaper.jpgkopiatzea.- GPO editorean: User Configuration → Policies → Administrative Templates → Desktop → Desktop → "Desktop Wallpaper" → UNC bidea.
B aukera (pasahitz politika, Fine-Grained erabili ezean):
- Default Domain Policy → Password Policy: gutxieneko luzera, konplexutasuna, iraungitze.
PowerShell (GPO sortu eta estekatu OU=A1):
$gpo = New-GPO -Name "GPO_A1_Wallpaper"
New-GPLink -Name $gpo.DisplayName -Target "OU=A1,OU=Ikasgelak,DC=corp,DC=local" -Enforced:$false
# Wallpaperraren ezarpen zehatza GPO editorean egiten da.
Bezeroetan eguneratzea behartu (domeinura batu ondoren):
gpupdate /force
4. Egiaztapena¶
- ADUC: OUk, erabiltzaileak eta taldeak ikusita.
- Membership:
Get-ADGroupMember GG_A1_Ikasleak. - GPO:
Get-GPO -All | Where-Object DisplayName -like '*A1*'. - Domeinura bildutako bezero batean:
gpresult /redo RSOP.msc aplikazioa baieztatzeko.
5. Arazoak konpontzea¶
- GPO ez da aplikatzen
- Eremua (LSDOU), heredentzia/blokeoak egiaztatu.
- GPOren segurtasun baimenak berrikusi (Security Filtering).
gpupdate /forceeta gertaerak (GroupPolicy) ikuskaritu.- Ezin dut objekturik sortu
- OUren baimenak eta erabiltzen ari zaren kontuaren pribilegioak egiaztatu.
- Erabiltzaileek ezin dute saioa hasi
- Pasahitza iraungita edo ChangePasswordAtLogon.
Enabledegoera begiratu.
AWS Academy oharrak¶
- GPO probatzeko, batu gutxienez Windows bezero bat domeinura eta erabili RDP SG murriztua.
- Default Domain Policy-n aldaketa handiak saihestu, eskatzen ez bada.
Hurrengoa¶
- Praktika aurreratuak prestatzea (perfilak, birbideraketak, script-ak).