Chuleta Examen - Windows Server / Active Directory#

Dominio: lalvarez.es | DC: server-ad (192.168.1.13) | Cliente: W8 (192.168.1.20) Password por defecto: P@ssw0rd | NetBIOS: LALVAREZ | DN: DC=lalvarez,DC=es

0. Antes de empezar (recordatorios de oro)#

Tilde invertida ` al final de linea = continuar comando en la siguiente linea. No pongas espacios despues.
Trabajar siempre desde el W8 con PowerShell ISE como administrador (login LALVAREZ\mindundi).
Si una comanda de UO/objeto da error al modificar/borrar, casi siempre es porque hay que usar la cadena LDAP en -Identity, no el nombre.
Para mover o borrar una UO primero hay que quitar la proteccion contra borrado accidental.
En espanol la cuenta es Administrador y el grupo es Todos (no Administrator/Everyone).
Captura SIEMPRE el script + el resultado. Comenta cada comanda con #.

1
# Permitir ejecucion de scripts (si hace falta)
2
Set-ExecutionPolicy RemoteSigned -Force
3

4
# Cargar el modulo de AD (si los cmdlets Get-ADUser no funcionan)
5
Import-Module ActiveDirectory

1. Crear usuarios (New-ADUser)#

Sintaxis basica#

1
New-ADUser -Name "Juan Perez" `
2
           -GivenName "Juan" `
3
           -Surname "Perez" `
4
           -SamAccountName "jperez" `
5
           -UserPrincipalName "jperez@lalvarez.es" `
6
           -Path "OU=Usuarios,DC=lalvarez,DC=es" `
7
           -AccountPassword (ConvertTo-SecureString "P@ssw0rd" -AsPlainText -Force) `
8
           -Enabled $true

Parametros de nombres#

Parametro	Que es
`-Name`	Nombre del objeto (la ID dentro del AD)
`-SamAccountName`	Nombre de inicio de sesion pre-Windows 2000 (NetBIOS)
`-UserPrincipalName`	Nombre formato `nom@domini.com`
`-GivenName`	Nombre de la persona (no el de login)
`-Surname`	Apellido
`-Initials`	Iniciales (ej: Pepe Pi -> PP)
`-DisplayName`	Nombre para mostrar en apps (estetico)
`-EmailAddress`	Correo electronico

Parametros de contrasena#

1
# Contrasena escrita directamente
2
-AccountPassword (ConvertTo-SecureString "P@ssw0rd" -AsPlainText -Force)
3

4
# Contrasena que te pide al ejecutar (ventana)
5
-AccountPassword (Read-Host "Introduce la contrasena" -AsSecureString)

Parametro	Funcion
`-PasswordNotRequired $true`	El usuario no necesita contrasena (saltar validacion)
`-PasswordNeverExpires $true`	La contrasena nunca caduca
`-CannotChangePassword $true`	El usuario NO puede cambiar la contrasena
`-ChangePasswordAtLogon $true`	Debe cambiar la contrasena al primer login

Otros parametros utiles#

Parametro	Funcion
`-Path "OU=unidad,DC=dominio,DC=com"`	Ubicacion del objeto
`-LogonWorkstations "t1,t2,t3"`	En que equipos puede iniciar sesion (separados por coma)
`-Enabled $true`	Activar la cuenta

Ejemplos completos#

1
# Usuario minimo
2
New-ADUser -Name user8 `
3
    -SamAccountName user8 `
4
    -UserPrincipalName user8@lalvarez.es `
5
    -Enabled $true `
6
    -PasswordNotRequired $true `
7
    -AccountPassword (ConvertTo-SecureString "pepe@123" -AsPlainText -Force)
8

9
# Usuario con datos descriptivos
10
New-ADUser -Name user9 `
11
    -SamAccountName user9 `
12
    -UserPrincipalName user9@lalvarez.es `
13
    -Enabled $true `
14
    -AccountPassword (ConvertTo-SecureString "pepe@123" -AsPlainText -Force) `
15
    -GivenName Manolo `
16
    -Surname Escobar `
17
    -DisplayName "Manolo Escobar" `
18
    -Initials ME
19

20
# Usuario en una OU con password que nunca caduca
21
New-ADUser -Name user13 `
22
    -SamAccountName user13 `
23
    -UserPrincipalName user13@lalvarez.es `
24
    -Enabled $true `
25
    -AccountPassword (ConvertTo-SecureString "pepe@123" -AsPlainText -Force) `
26
    -GivenName MALA -Surname "VAINA" -DisplayName "MALA VAINA" -Initials MV `
27
    -Path "OU=UNITAT1,DC=lalvarez,DC=es" `
28
    -PasswordNeverExpires $true
29

30
# Usuario que solo puede loguearse en ciertos equipos
31
New-ADUser -Name user15 `
32
    -SamAccountName user15 `
33
    -UserPrincipalName user15@lalvarez.es `
34
    -Enabled $true `
35
    -AccountPassword (ConvertTo-SecureString "pepe@123" -AsPlainText -Force) `
36
    -Path "OU=UNITAT1,DC=lalvarez,DC=es" `
37
    -EmailAddress perrro@pepe.lol `
38
    -LogonWorkstations "t1,t2,t3"

2. Modificar usuarios (Set-ADUser)#

Sintaxis#

1
Set-ADUser -Identity nombreSam -Parametro valor

Parametros de informacion personal#

Parametro	Que es
`-City`	Ciudad
`-PostalCode`	Codigo postal
`-Company`	Empresa
`-Department`	Departamento
`-Office`	Oficina
`-EmailAddress`	Correo
`-Country`	Pais (SOLO ISO: ES, AF, EG…)
`-State`	Provincia
`-StreetAddress`	Direccion / calle
`-MobilePhone`	Movil
`-OfficePhone`	Telefono fijo

Ejemplo#

1
Set-ADUser -Identity fpi `
2
    -City "Blanes" `
3
    -Company "T.I.A" `
4
    -Office "Central" `
5
    -OfficePhone "972350909" `
6
    -PostalCode "17300" `
7
    -EmailAddress "fpi@tia.org"

3. Anadir usuario a grupo#

1
# Desde el grupo (anadir miembros al grupo)
2
Add-ADGroupMember -Identity nombre_grupo -Members user1,user2
3

4
# Desde el usuario (anadir el usuario a grupos)
5
Add-ADPrincipalGroupMembership -Identity usuario -MemberOf "nombre_grupo"

4. Crear grupos (New-ADGroup)#

Sintaxis#

1
New-ADGroup -Name grup1 -GroupScope DomainLocal

Propiedades#

Parametro	Funcion
`-Name`	Nombre del grupo
`-GroupScope`	Ambito: `DomainLocal`, `Global`, `Universal` (o 0, 1, 2)
`-Path`	Ubicacion (DN: `OU=unidad,DC=dominio,DC=com`)
`-Description`	Descripcion (entre comillas)

Valores de ambito (constantes)#

Valor	Ambito
`0`	Domain Local
`1`	Global
`2`	Universal

Ejemplos#

1
# Grupo basico Domain Local
2
New-ADGroup -Name grup1 -GroupScope DomainLocal
3

4
# Grupo en una OU usando el valor numerico
5
New-ADGroup -Name grupops `
6
    -GroupScope 0 `
7
    -Path "OU=UNITAT1,DC=lalvarez,DC=es"
8

9
# Grupo global con descripcion
10
New-ADGroup -Name grupo `
11
    -GroupScope 1 `
12
    -Description "grupo num2"

5. Gestion de grupos (anadir, quitar, borrar)#

1
# Anadir miembros
2
Add-ADGroupMember -Identity grupops -Members user10,user11
3

4
# Borrar usuarios de un grupo
5
Remove-ADGroupMember -Identity grupops -Members user12 -Confirm:$false
6

7
# Quitar grupos de un usuario concreto
8
Remove-ADPrincipalGroupMembership -Identity user11 `
9
    -MemberOf grup1,grupops `
10
    -Confirm:$false
11

12
# Eliminar un grupo entero
13
Remove-ADGroup -Identity grup1 -Confirm:$false

Otras operaciones con grupos#

1
# Renombrar SOLO el nombre del objeto (no el del grupo)
2
Rename-ADObject -Identity "CN=grup2,OU=UNITAT1,DC=lalvarez,DC=es" `
3
    -NewName grup20 `
4
    -Confirm:$false
5

6
# Cambiar el nombre real (SamAccountName) del grupo
7
Set-ADGroup -Identity "CN=grup20,OU=UNITAT1,DC=lalvarez,DC=es" `
8
    -SamAccountName grup22
9

10
# Ver propiedades de un grupo
11
Get-ADGroup -Identity grup20
12

13
# Mostrar miembros de un grupo
14
Get-ADGroupMember -Identity grupops
15

16
# Mostrar grupos a los que pertenece un usuario
17
Get-ADPrincipalGroupMembership -Identity mindundi

6. Unidades organizativas (New-ADOrganizationalUnit)#

Crear#

1
New-ADOrganizationalUnit -Name nombre `
2
    -Path "DC=lalvarez,DC=es" `
3
    -ProtectedFromAccidentalDeletion $true

Si no pones -ProtectedFromAccidentalDeletion, por defecto la casilla NO se activa. Ponlo en $true para protegerla.

Borrar una UO (2 pasos: desproteger + borrar)#

1
# 1. Quitar la proteccion de borrado (usar cadena LDAP)
2
Set-ADOrganizationalUnit -Identity "OU=prova30,DC=lalvarez,DC=es" `
3
    -ProtectedFromAccidentalDeletion $false
4

5
# 2. Borrar
6
Remove-ADOrganizationalUnit -Identity "OU=prova30,DC=lalvarez,DC=es" `
7
    -Confirm:$false

Importante: en Set-ADOrganizationalUnit NO existen parametros como -Name, -Path ni -AccountPassword (esos son de usuarios). Para UOs usa siempre la cadena LDAP en -Identity.

7. Mover objetos (Move-ADObject)#

Move-ADObject copia el objeto, lo elimina del origen y lo pega en el destino. Hay que usar rutas LDAP.

Sintaxis#

1
Move-ADObject -Identity "ruta LDAP origen" -TargetPath "ruta LDAP destino"

Ejemplos#

1
# Mover un usuario a Users
2
Move-ADObject -Identity "CN=user11,OU=UNITAT1,DC=lalvarez,DC=es" `
3
    -TargetPath "CN=Users,DC=lalvarez,DC=es"
4

5
# Mover un grupo a otra OU
6
Move-ADObject -Identity "CN=pelut,OU=Sesamo,DC=lalvarez,DC=es" `
7
    -TargetPath "OU=Barri,OU=Sesamo,DC=lalvarez,DC=es"

Para mover UOs protegidas: primero quita la proteccion (Set-ADOrganizationalUnit ... $false), mueve, y vuelve a protegerla.

8. Caducidad de cuenta#

1
# Manera 1: con Set-ADUser
2
Set-ADUser -Identity nombreSam -AccountExpirationDate "dd-mm-yy"
3

4
# Manera 2: comanda especifica
5
Set-ADAccountExpiration -Identity nombreSam -DateTime "2026/12/31"
6

7
# Quitar la caducidad
8
Set-ADAccountExpiration -Identity bboniato -DateTime $null

ATENCION: al poner la caducidad, el entorno grafico muestra 1 dia antes. Es porque realmente es el ultimo dia valido hasta las 00:00.

Ejemplos de formatos de fecha (todos validos)#

1
Set-ADUser -Identity triki -AccountExpirationDate "2025-05-01"
2
Set-ADUser -Identity triki -AccountExpirationDate "01-12-2026"
3
Set-ADUser -Identity triki -AccountExpirationDate "2026/08/01"
4
Set-ADUser -Identity triki -AccountExpirationDate "8/8/26"

9. Cambiar contrasena#

1
# Manera 1: directa (salta directiva de contrasena anterior)
2
Set-ADAccountPassword -Identity nombre_objeto `
3
    -NewPassword (ConvertTo-SecureString "contrasena" -AsPlainText -Force)
4

5
# Manera 2: con contrasena antigua (sigue directivas)
6
Set-ADAccountPassword -Identity nombre_usuario `
7
    -OldPassword (ConvertTo-SecureString "contrasenaVieja" -AsPlainText -Force) `
8
    -NewPassword (ConvertTo-SecureString "contrasenaNueva" -AsPlainText -Force)
9

10
# Manera 3: con -Reset (salta algunas directivas) <- LA MAS UTIL
11
Set-ADAccountPassword -Identity usuario_nombre `
12
    -Reset `
13
    -NewPassword (ConvertTo-SecureString "contrasena" -AsPlainText -Force)

10. Buscar objetos (Get-ADUser y filtros)#

Comandas Get#

Comanda	Para que
`Get-ADUser`	Buscar usuarios
`Get-ADGroup`	Buscar grupos
`Get-ADGroupMember`	Miembros de un grupo
`Get-ADComputer`	Buscar equipos
`Get-ADPrincipalGroupMembership`	Grupos de un usuario
`Get-ADObject`	Buscar cualquier objeto

Parametros importantes#

Parametro	Funcion
`-Properties`	Anade propiedades que quieres mostrar (Windows oculta algunas por defecto)
`-Filter`	Busca por propiedades
`-Identity`	Busca un objeto concreto (por SAM o LDAP)
`-SearchBase`	Desde donde empieza a buscar
`-SearchScope`	Nivel de busqueda (junto a SearchBase)

SearchScope (niveles)#

Valor	Alcance
`Base` o `0`	Solo dentro del nombre indicado
`OneLevel` o `1`	Dentro de la ubicacion marcada
`Subtree` o `2`	Todos los subdirectorios

Operadores de comparacion para -Filter#

Operador	Significado
`-eq`	Igual a (equals)
`-ne`	No igual (not equals)
`-le`	Menor o igual
`-lt`	Menor que
`-ge`	Mayor o igual
`-gt`	Mayor que
`-like`	Similar a (regex con `*` en vez de `%`)
`-notlike`	No similar a
`-or`	Al menos cumple una condicion
`-and`	Cumple ambas condiciones

Sintaxis del filtro#

1
# 1a manera: por Identity (objeto conocido)
2
Get-ADUser -Identity espinete
3

4
# 2a manera: por Filter (busqueda por propiedades)
5
Get-ADUser -Filter {expresion}

Ejemplos de busqueda#

1
# Mostrar TODOS los usuarios
2
Get-ADUser -Filter *
3

4
# Ver un usuario con propiedades extra
5
Get-ADUser -Identity espinete -Properties displayname,initials
6

7
# Usuarios con apellido "pi"
8
Get-ADUser -Filter {surname -eq "pi"}
9

10
# Usuarios deshabilitados (enabled distinto de true)
11
Get-ADUser -Filter {enabled -ne $true}
12

13
# Usuarios cuyo apellido acaba en "a"
14
Get-ADUser -Filter {surname -like "*a"}
15

16
# Correos que NO acaban en .com
17
Get-ADUser -Filter {emailaddress -notlike "*.com"} -Properties emailaddress
18

19
# Codigo postal mayor que 1700 (OJO: compara alfabeticamente por ser string)
20
Get-ADUser -Filter {postalcode -gt 1700} -Properties postalcode
21

22
# Usuarios de Blanes O que la ciudad empiece por Lloret
23
Get-ADUser -Filter {city -eq "Blanes" -or city -like "Lloret*"} -Properties city

Truco postalcode: al comparar con -gt un campo string, se compara alfabeticamente. Si una letra es A y otra B, dice que A es mayor que B.

Mostrar todos los equipos del dominio (cadenas LDAP)#

1
Get-ADComputer -Filter *

11. Canalizacion (pipe) y modificaciones masivas#

El simbolo | concatena comandas: la salida de una entra en la siguiente.

1
# Poner descripcion a TODOS los grupos
2
Get-ADGroup -Filter * | Set-ADGroup -Description "GRUP DOMINI"
3

4
# Desproteger TODAS las UO de borrado accidental
5
Get-ADOrganizationalUnit -Filter * -Properties ProtectedFromAccidentalDeletion |
6
    Set-ADOrganizationalUnit -ProtectedFromAccidentalDeletion $false
7

8
# Anadir todos los usuarios de una OU a un grupo (ej. pregunta 7 examen)
9
New-ADGroup -Name Recu -GroupScope Global
10
Get-ADUser -Filter * -SearchBase "OU=PatatinaTurner,DC=lalvarez,DC=es" |
11
    ForEach-Object { Add-ADGroupMember -Identity Recu -Members $_.SamAccountName }
12

13
# Eliminar del grupo pelat los miembros que contengan "a"
14
Get-ADGroupMember -Identity pelat |
15
    Where-Object { $_.SamAccountName -like "*a*" } |
16
    ForEach-Object { Remove-ADGroupMember -Identity pelat -Members $_.SamAccountName -Confirm:$false }

12. Sufijos UPN#

El UPN es el nombre de login formato email (juan.perez@empresa.com). El sufijo es lo que va despues de @. Por defecto usa el nombre DNS del dominio, pero puedes anadir sufijos alternativos.

Por entorno grafico#

Dominios y confianzas de Active Directory -> clic derecho en la raiz -> Propiedades -> anadir en “Sufijos UPN alternativos”.

Por comando#

1
# Anadir sufijos UPN al bosque
2
Set-ADForest -Identity lalvarez.es `
3
    -UPNSuffixes @{Add="sesamo.net","carrer.cat","epihouse.local"}
4

5
# Cambiar el UPN (sufijo) a un usuario
6
Set-ADUser -Identity Epi -UserPrincipalName "Epi@epihouse.local"

13. Permisos NTFS (icacls) y crear archivos/carpetas#

Crear carpeta o archivo (New-Item)#

1
New-Item nombre [-Path, -Value, -ItemType, -Force]

Parametro	Funcion
`-Path`	Ruta especifica
`-ItemType`	`directory` o `file`
`-Value`	Texto dentro de un archivo
`-Force`	Sobreescribir si ya existe

1
# Crear carpeta en el directorio actual
2
New-Item -Path . -Name carpeta -ItemType directory
3

4
# Crear carpeta en ruta concreta
5
New-Item -Path e:\carpeta -ItemType directory
6

7
# Crear archivo con contenido
8
New-Item -Path carpeta -Name lolo.txt -Value "texto" -ItemType file -Force

Listar / mostrar (Get-ChildItem)#

1
Get-ChildItem -Path <ruta> -Force -Recurse

Parametro	Funcion
`-Path`	Ruta
`-Force`	Forzar (mostrar ocultos)
`-Recurse`	Incluir subdirectorios

Alias: dir, gci, ls

Copiar, renombrar, mover, borrar#

1
# Copiar (con -Recurse para carpetas con contenido)
2
Copy-Item -Path rutaOrigen -Destination rutaDestino -Recurse
3

4
# Renombrar
5
Rename-Item -Path nombreArchivo -NewName nuevoNombre
6

7
# Mover
8
Move-Item -Path origen -Destination destino
9

10
# Borrar
11
Remove-Item -Path <ruta> -Recurse -Force
12

13
# Cambiar de directorio
14
Set-Location -Path ruta
15

16
# Ver arbol (cmd)
17
tree /f

Comanda	Alias
`Copy-Item`	cpi, cp, copy
`Rename-Item`	ren, ri
`Move-Item`	mi, mv, move
`Remove-Item`	del, rd, rm, rmdir
`Set-Location`	cd, chdir

Permisos con icacls#

1
icacls ruta /grant "Usuario:(OI)(CI)F"

Codigo	Significado
`(OI)`	Object Inherit (heredan los archivos)
`(CI)`	Container Inherit (heredan las subcarpetas)
`F`	Full / Control total
`M`	Modify / Modificar
`RX`	Read & Execute / Lectura y ejecucion
`R`	Read / Lectura
`W`	Write / Escritura

1
# Dar control total a un usuario sobre su carpeta
2
icacls e:\personals\rosendo /grant "rosendo:(OI)(CI)F"
3

4
# Quitar la herencia (dejar solo permisos explicitos)
5
icacls "E:\PERSONALS" /inheritance:r
6

7
# Dar permisos REEMPLAZANDO (con :r se borra lo anterior de ese usuario)
8
icacls "E:\PERSONALS" /grant:r "SYSTEM:(OI)(CI)F"
9
icacls "E:\PERSONALS" /grant:r "Administradores:(OI)(CI)F"
10

11
# Ver los permisos actuales de una carpeta
12
icacls "E:\PERSONALS"

14. Compartir recursos (carpetas en red)#

Compartir = transformar un recurso local en accesible por red.

Por entorno grafico#

Propiedades de la carpeta -> Compartir -> Uso compartido avanzado -> marcar “Compartir esta carpeta” -> Permisos.

Buena practica: dar permisos a grupos, no a usuarios sueltos (salvo excepciones).

Por comando (New-SmbShare)#

1
# Compartir una carpeta
2
New-SmbShare -Name "PERSONALS" -Path "E:\PERSONALS" -FullAccess "Todos"
3

4
# Compartir como recurso oculto (con $ al final)
5
New-SmbShare -Name "Unitats$" -Path "E:\Unitats" -FullAccess "Todos"
6

7
# Ver recursos compartidos
8
Get-SmbShare
9

10
# Eliminar un recurso compartido
11
Remove-SmbShare -Name "PERSONALS" -Force

Acceder a recursos compartidos#

1
\\nombreEquipo                  --> ver todos los recursos compartidos
2
\\nombreEquipo\LETRAUNIDAD$     --> acceder a una unidad (ej: \\server-ad\e$)
3
\\ip\letraunidad$               --> tambien por IP

\\server-ad\e$ accede a la particion E: completa, pidiendo credenciales de administrador (recurso administrativo oculto).

15. Unidades personales (HomeDrive / HomeDirectory)#

Por comando#

1
# Al crear o modificar el usuario:
2
Set-ADUser -Identity abundio `
3
    -HomeDrive "X:" `
4
    -HomeDirectory "\\server-ad\personals\abundio"

Pasos completos (los 3 pasos)#

1
# A) Crear/modificar usuario con la unidad personal
2
Set-ADUser -Identity rosendo `
3
    -HomeDrive "M:" `
4
    -HomeDirectory "\\server-ad\personals\rosendo"
5

6
# B) Crear la carpeta personal
7
New-Item -Name rosendo -Path e:\personals -ItemType directory
8
# (o tambien por red:)
9
New-Item -Name rosendo -Path \\server-ad\personals -ItemType directory
10

11
# C) Dar el permiso correspondiente
12
icacls e:\personals\rosendo /grant "rosendo:(OI)(CI)F"

No hace falta tocar la herencia ni otros permisos. El usuario DEBE existir antes o da error.

Por entorno grafico#

Usuarios y equipos de AD -> usuario -> Perfil -> Carpeta particular -> Conectar M: a \\server-ad\personals\mindundi.

16. Crear particion (la E: de DADES)#

1
# Crear particion con el espacio restante y formatear como DADES
2
New-Partition -DiskNumber 0 -UseMaximumSize -DriveLetter E |
3
    Format-Volume -FileSystem NTFS -NewFileSystemLabel "DADES" -Confirm:$false
4

5
# Ver los volumenes
6
Get-Volume

17. Estructura PERSONALS para el examen (apuntes del companero)#

Estructura que pide el profe:

1
\\server-ad\PERSONALS   (compartida)
2
  E:\PERSONALS          (NTFS: solo SYSTEM + Administradores, herencia cortada)
3
    \mindundi           (+ mindundi control total)
4
    \Pilaf              (+ Pilaf control total)

Pasos por comando#

1
# 1. Crear la carpeta
2
New-Item -Path "E:\PERSONALS" -ItemType directory -Force
3

4
# 2. Permisos NTFS estrictos (cortar herencia, solo SYSTEM + Admins)
5
icacls "E:\PERSONALS" /inheritance:r
6
icacls "E:\PERSONALS" /grant:r "SYSTEM:(OI)(CI)F"
7
icacls "E:\PERSONALS" /grant:r "Administradores:(OI)(CI)F"
8

9
# 3. Compartir
10
New-SmbShare -Name "PERSONALS" -Path "E:\PERSONALS" -FullAccess "Todos"
11

12
# 4. Crear carpeta del usuario y darle permiso
13
New-Item -Path "E:\PERSONALS\mindundi" -ItemType directory -Force
14
icacls "E:\PERSONALS\mindundi" /grant "mindundi:(OI)(CI)F"
15

16
# 5. Asignar la unidad personal al usuario
17
Set-ADUser -Identity mindundi `
18
    -HomeDrive "M:" `
19
    -HomeDirectory "\\server-ad\PERSONALS\mindundi"

Permisos NTFS por entorno grafico (lo que pide el profe)#

Propiedades de PERSONALS -> Seguridad.
Quitar la herencia y dejar solo: SYSTEM y Administradores (quitar OWNER, quitar Usuarios).
Solo deben quedar SYSTEM y Administradores en “Nombres de grupos o usuarios”.
Compartir: consola como admin -> Administrador de equipos (conectado a server-ad) -> Carpetas compartidas -> Nuevo recurso compartido -> ruta PERSONALS, nombre PERSONALS, permisos personalizados (Control total, Cambiar, Leer).
En Usuarios y equipos de AD: usuario mindundi -> Perfil -> Carpeta particular -> Conectar M: a \\server-ad\personals\mindundi (captura con la ruta).

18. Promocion a DC (por si hay que rehacerla)#

1
$dsrmPwd = ConvertTo-SecureString "P@ssw0rd" -AsPlainText -Force
2
Import-Module ADDSDeployment
3
Install-ADDSForest `
4
    -CreateDnsDelegation:$false `
5
    -DatabasePath "C:\Windows\NTDS" `
6
    -DomainMode "WinThreshold" `
7
    -DomainName "lalvarez.es" `
8
    -DomainNetbiosName "LALVAREZ" `
9
    -ForestMode "WinThreshold" `
10
    -InstallDns:$true `
11
    -LogPath "C:\Windows\NTDS" `
12
    -NoRebootOnCompletion:$false `
13
    -SysvolPath "C:\Windows\SYSVOL" `
14
    -SafeModeAdministratorPassword $dsrmPwd `
15
    -Force:$true

19. Objetos predeterminados del dominio#

Contenedores#

Contenedor	Que contiene
BUILTIN	Grupos del sistema con privilegios sobre la maquina local
ForeignSecurityPrincipal	Otros controladores con relaciones de confianza
Managed Service Accounts	Cuentas asociadas a servicios de un equipo
Users	Todo lo que no esta en otras carpetas

Grupos especiales dentro de USERS#

Grupo	Funcion
Administrador de empresas/organizacion	Admin con acceso a todo el bosque
Administrador de esquema	Pueden modificar el esquema AD
Admins. del dominio	Administran el dominio

Grupos especiales BUILTIN#

Grupo	Funcion
Administradores	Acceso completo al dominio y administrar equipos
Duplicadores	Replican archivos en un dominio
Opers. de cuentas	Administran usuarios y grupos del dominio
Opers. de impresion	Administran impresoras
Opers. de servidores	Administran los servidores
Opers. de copia de seguridad	Hacen copias pero no cambian config de seguridad

20. Ambitos y tipos de grupo#

Ambitos#

Ambito	Miembros	Alcance de permisos
Dominio local	De cualquier dominio	Solo sobre el dominio en el que estan
Global	Solo del propio dominio	A nivel de bosque (segun permisos)
Universal	De cualquier dominio del bosque	A nivel de bosque

Tipos#

Tipo	Para que
Seguridad	Asignar permisos de acceso a recursos
Distribucion	Listas de correo (solo comunicacion)

Cambio de ambito#

Un grupo Universal solo se puede pasar a Dominio Local desde un GC (Catalogo Global).
No se puede cambiar directamente Dominio Local <-> Global.

21. SID (Security Identifier)#

Codigo unico que identifica cada objeto AD a nivel de bosque.

1
SID = ID de dominio + RID
2
Ejemplo: S-1-5-21-3548378443-52182257-1425571249-1003
3
Estructura: S-1-A-zz-xxxxxx-xxxxxx-xxxxxx-yyyy

Parte	Significado
S	Indica que es un SID
1	Nivel de revision
A	Autoridad (5 = NT Authority, la mas comun)
zz	Tipo de usuario (21 = usuario conectado, el mas frecuente)
xxxxxx-xxxxxx-xxxxxx	ID del dominio/maquina (lo da el Domain Name Master)
yyyy	RID (codigo del usuario dentro del dominio, lo da el RID Master)

RID predeterminados#

RID	Cuenta
500	Administrador local
501	Invitado local
512	Administrador de dominio
513	Usuarios del dominio
514	Invitado del dominio
>1000	Usuarios creados

Ver SIDs#

1
# Mi propio SID
2
whoami /user
3
whoami /all > resultado.txt
4

5
# Equipos con su SID
6
Get-ADComputer -Filter *
7

8
# Usuarios con su SID
9
Get-ADUser -Filter *

Por entorno grafico: Usuarios y equipos de AD -> Ver -> Caracteristicas avanzadas -> usuario -> Propiedades -> Editor de atributos -> atributo objectSid.

22. Comandos de red y diagnostico (utiles en el examen)#

1
# Ver configuracion de red
2
ipconfig /all
3

4
# Ver adaptadores
5
Get-NetAdapter
6

7
# Configurar IP estatica (cambia $idx por tu ifIndex)
8
$idx = (Get-NetAdapter | Where-Object {$_.Status -eq "Up"}).ifIndex
9
New-NetIPAddress -InterfaceIndex $idx -IPAddress 192.168.1.20 -PrefixLength 24
10
Set-DnsClientServerAddress -InterfaceIndex $idx -ServerAddresses 192.168.1.13
11

12
# Limpiar cache DNS
13
ipconfig /flushdns
14

15
# Comprobar resolucion del dominio
16
nslookup lalvarez.es
17

18
# Ver a que dominio pertenezco
19
systeminfo | findstr /i "dominio"
20

21
# Que DC me autentico
22
echo $env:LOGONSERVER
23

24
# Refrescar GPO
25
gpupdate /force
26

27
# Apagar/reiniciar equipo remoto
28
Stop-Computer -ComputerName server-ad -Force
29
Restart-Computer -ComputerName server-ad -Force
30

31
# Ejecutar un comando en el server remoto
32
Invoke-Command -ComputerName server-ad -ScriptBlock { hostname }

23. Consolas graficas (Win+R desde el W8 con RSAT)#

Comando	Abre
`dsa.msc`	Usuarios y equipos de AD
`dssite.msc`	Sitios y servicios de AD
`domain.msc`	Dominios y confianzas (sufijos UPN)
`dnsmgmt.msc`	DNS
`gpmc.msc`	Directivas de grupo (GPO)
`fsrm.msc`	Recursos del servidor de archivos (quotas)
`dfsmgmt.msc`	DFS
`compmgmt.msc`	Administracion de equipos
`diskmgmt.msc`	Administracion de discos
`mmc`	Consola vacia (para crear consola personalizada)
`servermanager.exe`	Administrador del servidor

24. Plantilla rapida: script completo de ejemplo#

1
# ============================================
2
# Ejemplo: crear OU, grupos y usuarios y asignar
3
# ============================================
4
Import-Module ActiveDirectory
5
$pwd = ConvertTo-SecureString "P@ssw0rd" -AsPlainText -Force
6
$dn = "DC=lalvarez,DC=es"
7

8
# Crear OU protegida
9
New-ADOrganizationalUnit -Name "Marvel" -Path $dn -ProtectedFromAccidentalDeletion $true
10

11
# Crear grupos
12
New-ADGroup -Name flames -GroupScope Global -Path "OU=Marvel,$dn"
13
New-ADGroup -Name strong -GroupScope Global -Path "OU=Marvel,$dn"
14

15
# Crear usuario completo
16
New-ADUser -Name rrichards `
17
    -SamAccountName rrichards `
18
    -UserPrincipalName "rrichards@lalvarez.es" `
19
    -GivenName "Reed" -Surname "Richards" -Initials "RR" `
20
    -DisplayName "Reed Richards" `
21
    -AccountPassword $pwd `
22
    -Enabled $true `
23
    -Path "OU=Marvel,$dn"
24

25
# Anadir a grupo
26
Add-ADGroupMember -Identity flames -Members rrichards
27

28
# Verificar
29
Get-ADUser -Filter * -SearchBase "OU=Marvel,$dn" | Format-Table Name,Enabled
30
Get-ADGroupMember -Identity flames

Recordatorio final: comenta cada comanda con #, captura el script Y el resultado, y respeta los nombres EXACTOS que pidan. Suerte!