Centro_Experiencia_Digital/policies
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases 1 Wiki Activity
Page: Sin usuarios finales
Pages
Administrar Salas Instalación de un servidor SAMBA Just-In-Time (JIT) user provisioning into Active Directory Sin usuarios finales
Clone
1
Sin usuarios finales
Alejandro Rosales edited this page 2026-01-27 02:30:07 +00:00
Unescape Escape
Table of Contents
This file contains invisible Unicode characters
This file contains invisible Unicode characters that are indistinguishable to humans but may be processed differently by a computer. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

Perfecto. Lo que planteas sí es viable, pero requiere separar explícitamente autenticación ≠ identidad ≠ autorización ≠ gestión. Active Directory no obliga a autenticar usuarios si lo usas correctamente.

Voy a darte el modelo correcto, luego cómo implementarlo, y finalmente límites y riesgos.

🎯 OBJETIVO REDEFINIDO (técnicamente correcto)

Quieres:

GPO Gestión centralizada de PCs Distribución de software Auditoría y logs Control por “grupos” NO usar AD para autenticar usuarios Usar tu propio servicio HTTP POST como autoridad de autenticación

Eso se logra usando AD solo como directory + policy engine.

🧠 PRINCIPIO CLAVE

Active Directory puede administrar COMPUTADORAS sin autenticar USUARIOS

La mayoría de la gente no separa esto, pero Windows sí.

🏗️ ARQUITECTURA RECOMENDADA

┌────────────┐
│ Windows DC │  ← AD DS (solo equipos, grupos, GPO)
└─────┬──────┘
      │
┌─────▼──────┐
│ PCs dominio│  ← NO usan login AD
└─────┬──────┘
      │
┌─────▼──────────────────────────────┐
│ Servicio HTTP Auth (TU sistema)     │
│ POST {user, pass} → roles/grupos    │
└─────────────────────────────────────┘

1 Active Directory SIN usuarios humanos

En AD:

  • No creas usuarios finales

  • ✔ Solo:

    • Computadoras
    • Grupos lógicos (no para login)
    • GPO
    • Cuentas de servicio

Las PCs:

  • Se unen al dominio
  • No se usa login AD

2 Inicio de sesión local controlado

En cada PC:

  • Usuarios locales genéricos:

    • Alumno
    • Invitado
    • Kiosko

GPO:

  • Forzar login automático (opcional)
  • Ocultar selector de usuario
  • Bloquear cambio de contraseña local
  • Bloquear Other user

👉 El usuario nunca introduce credenciales de AD.

3 Autenticación: TU servicio HTTP (clave)

Tu flujo correcto sería:

Usuario → App / Portal / Launcher
        → POST /auth
        → {isSuccessful, username, mail, group}

Implementación práctica

  • Login no-Windows:

    • App WinForms / WPF
    • Portal web local
    • Kiosk browser

  • Al autenticar:

    • Guardas sesión
    • Aplicas perfil lógico
    • Montas recursos

4 Autorización usando AD (sin autenticar)

Aquí está el truco elegante 👇

Mapea tus group → Grupos AD (NO login)

Ejemplo:

HTTP group:  alumnos
AD group:    G_SALA_ALUMNOS

HTTP group:  profesores
AD group:    G_SALA_PROFESORES

Uso real

  • GPO por grupo

  • Scripts de inicio:

    • Verifican grupo HTTP
    • Añaden/quitan equipo a grupo AD
    • Aplican políticas en el próximo refresh

💡 El usuario no pertenece al grupo AD 👉 La computadora actúa en nombre del perfil

5 Aplicación dinámica de políticas

Técnica común

  1. Usuario se autentica vía HTTP

  2. Tu agente local:

    • Recibe {group}

    • Ejecuta script (SYSTEM)

    • Ajusta estado local:

      • Registro
      • ACLs
      • Firewall
      • Software habilitado

  3. gpupdate /force

Esto simula perfiles de usuario sin AD login.

6 Distribución de software (100% AD)

Funciona igual porque es por computadora:

  • GPO MSI
  • SCCM
  • Scripts PowerShell
  • Scheduled Tasks

No depende del usuario autenticado.

7 Auditoría y logs (independiente de auth)

Qué puedes auditar

  • Encendido/apagado
  • Login local
  • Ejecución de procesos
  • USB
  • Cambios de red
  • Violaciones de políticas

Integración

  • Event Forwarding
  • Wazuh / SIEM
  • Logs correlados con username HTTP (tag)

8 ¿Por qué NO usar LDAP auth directo?

Podrías usar AD solo como LDAP, pero:

  • Reintroduce dependencia de AD
  • Rompe tu modelo HTTP central
  • Duplica usuarios

Tu enfoque es más limpio si: 👉 AD = infraestructura 👉 HTTP = identidad

⚠️ LIMITACIONES IMPORTANTES

Debes aceptar que:

No tendrás:

  • Roaming profiles
  • NTFS ACL por usuario
  • Kerberos
  • Single Sign-On nativo Windows

✔ Pero ganas:

  • Control total
  • Independencia
  • Integración multiplataforma
  • Autenticación moderna (API, MFA, tokens)

🧩 PATRÓN RECOMENDADO (nombre real)

Esto se llama:

External Identity Provider + AD as Policy & Device Authority

Es un patrón usado en:

  • Laboratorios
  • Kioskos
  • Aulas públicas
  • Entornos Zero Trust

🚀 SIGUIENTE PASO (si quieres)

Puedo ayudarte a:

  • Diseñar el agente local
  • Scripts PowerShell exactos
  • GPO mínimas necesarias
  • Modelo de seguridad
  • Hardening (para que no rompan el sistema)

Dime:

  1. ¿Cuántas PCs?
  2. ¿Windows Pro o Enterprise?
  3. ¿Login automático o manual?
  4. ¿Necesitas persistencia por usuario o sesión temporal?

Y te doy el blueprint completo.