Asigne una unidad de red mediante una GPO o un script en Active Directory

Al configurar un entorno Active Directory, una de las necesidades más comunes es facilitar el acceso de los usuarios a los recursos compartidos. En lugar de configurar manualmente cada estación de trabajo, es posible automatizar la asignación de unidades de red al iniciar sesión.

Esta automatización permite estandarizar las estaciones de trabajo, reducir los errores de configuración y simplificar la gestión del acceso a los archivos.

En este tutorial, veremos dos métodos para mapear una unidad de red:

• utilizando la estrategia de grupo (GPO), que es el método recomendado.
• utilizando un script que se ejecuta al iniciar sesión.

También veremos cómo limitar el acceso a una unidad de red en función de los grupos de usuarios para adaptar dinámicamente los recursos disponibles.

Requisitos previos:

• Estar en un entorno Active Directory.
• tener un carpeta compartida accesible para los usuarios a quienes se les asignará.

¿Por qué automatizar la asignación de unidades de red?

En un entorno profesional, la automatización del mapeo de unidades de red garantiza la coherencia entre las estaciones de trabajo de los usuarios y simplifica considerablemente la administración. Los usuarios encuentran automáticamente sus unidades sin necesidad de configuración manual, lo que reduce las solicitudes de soporte.

Este enfoque también permite adaptar las unidades de red según los servicios o los grupos de seguridad, lo que resulta especialmente útil en entornos estructurados (recursos humanos, contabilidad, informática, etc.).

Asignación de unidades de red mediante GPO (Directiva de grupo)

El uso de objetos de directiva de grupo (GPO) es actualmente el método más recomendado para asignar unidades de red en un entorno Active Directory. Permite la administración centralizada, la aplicación automática de la configuración y una gran flexibilidad gracias a las opciones de segmentación.

A diferencia de los scripts, este método no depende de la ejecución de código y se integra directamente en los mecanismos nativos de Windows.

1. Abra el Editor de políticas de grupo en un controlador de dominio.

2. Cree una nueva estrategia, haga clic con el botón derecho en el nombre del dominio 1 o en una unidad organizativa y haga clic en Crear un objeto GPO en este dominio y vincularlo aquí 2.

3. Asígnele un nombre con una estrategia y haga clic en Aceptar 1.

4. Haga clic con el botón derecho en la estrategia 1 y haga clic en Editar 2 para abrir el editor.

5. Vaya a Configuración de usuario / Preferencias / Configuración de Windows y haga doble clic en Asignación de unidades 1.

6. Haga clic con el botón derecho en Nuevo 1 / Unidad asignada 2.

7. Rellene el formulario:

• 1 Introduzca la ruta UNC del recurso compartido de red (por ejemplo: \\servidor\recurso compartido). Esta ruta debe ser accesible para los usuarios y los permisos deben estar configurados correctamente en el servidor.
• 2 Indique la letra utilizada
• 3 Aplicar
• 4 OK
• A y B para etiquetar la unidad de red

8. La unidad 1 debe ser visible en Asignaciones de unidades.

9. Resumen de GPO: por defecto, la unidad está asignada a todos los usuarios.

Limitar la asignación de unidades de red a un grupo mediante la segmentación a nivel de elemento.

La segmentación a nivel de elemento permite controlar qué usuarios verán la unidad de red, pero no sustituye la gestión de permisos.

Es fundamental configurar correctamente los permisos NTFS y los permisos de uso compartido en la carpeta en cuestión. La directiva de grupo solo afecta a la visualización y asignación de la unidad, no a la seguridad real de los datos.

Para una gestión limpia y escalable, se recomienda utilizar grupos de seguridad en lugar de asignar usuarios directamente.

1. Edita tu jugador haciendo clic derecho sobre él 1 y seleccionando Propiedades.

2. Vaya a la pestaña Común 1, marque «Segmentación a nivel de elemento» 2 y haga clic en Segmentación 3.

3. Haga clic en Nuevo elemento 1 y seleccione Grupo de seguridad 2.

4. Añade tu grupo 1 y haz clic en Aceptar 2.

5. Eso es todo, la unidad P ahora solo se asignará a los usuarios del grupo Grp_Partage_RW. Si regresa a la descripción general de la configuración de la directiva, podrá ver los elementos de segmentación 1.

Script de PowerShell para mapear una unidad de red

El guion que se presenta en este tutorial está escrito en VBS.

En futuras versiones de Windows 11, el lenguaje VBS se convertirá en una característica opcional, ya que actualmente está obsoleto.

En el siguiente artículo encontrará lo siguiente:Script de inicio de sesión de PowerShell, un ejemplo de un script escrito en PowerShell.

Fuente :Recursos para funciones obsoletas

1. Crea un nuevo archivo PowerShell .ps1

2. Edita el archivo y añade los siguientes códigos:

$Drive = "P:"
$Path  = "\\LAB-AD1\partage"

# Vérifie si le lecteur P: est déjà utilisé
if (!(Get-PSDrive -Name $Drive.Replace(":", "") -ErrorAction SilentlyContinue)) {
    New-PSDrive -Name $Drive.Replace(":", "") -PSProvider FileSystem -Root $Path -Persist
} else {
    Write-Host "Le lecteur $Drive est déjà connecté."
}

3. Agregue el script a lainiciar sesión a través de la política de grupo para realizar la asignación de unidades de red.

Limitar la asignación de lectores a un grupo por script.

Al igual que con el GPO, ahora modificaremos el script para limitar la asignación de la unidad de red al grupo Grp_share_RW.

1. Edita el archivo:

# 1. Gestion des erreurs (On Error Resume Next)
$ErrorActionPreference = "SilentlyContinue"

# 2. Définition des variables
$Drive     = "P"
$Path      = "\\LAB-AD1\partage"
$GroupName = "Grp_Partage_RW"

# 3. Récupération des jetons de groupe de l'utilisateur (Méthode rapide sans module AD)
$Identity  = [Security.Principal.WindowsIdentity]::GetCurrent()
$Principal = New-Object Security.Principal.WindowsPrincipal($Identity)

# 4. Vérification du groupe et mappage
if ($Principal.IsInRole($GroupName)) {
    
    # On vérifie si le lecteur P: existe déjà pour éviter l'erreur de collision
    if (!(Get-PSDrive -Name $Drive)) {
        
        # New-PSDrive avec -Persist pour l'affichage dans l'Explorateur Windows
        New-PSDrive -Name $Drive -PSProvider FileSystem -Root $Path -Persist
        
    }
}

Como puede ver, hemos añadido dos funciones al final del código que nos permiten comprobar la pertenencia a grupos del usuario que ha iniciado sesión. La asignación del lector ahora es condicional (if).

Solución de problemas: Problemas comunes de asignación de unidades de red

Aunque la configuración de la asignación de unidades de red es relativamente sencilla, con frecuencia no funciona como se espera. Estos son los puntos principales que debe revisar si encuentra algún problema.

Si no se muestra la unidad de red, lo primero que debe comprobar es la aplicación de la Directiva de grupo. Es posible que la GPO no esté correctamente vinculada a la unidad organizativa o que el usuario no se vea afectado por ella. Para verificarlo, puede usar el comando gpresult /r o rsop.msc para ver qué directivas se aplican realmente al equipo.

Otro punto crucial se refiere a los derechos de acceso. Aunque la unidad esté correctamente asignada, puede resultar inaccesible si los permisos NTFS o de recurso compartido no están configurados adecuadamente. Por lo tanto, es importante verificar que el usuario o su grupo tenga los permisos necesarios en la carpeta compartida.

La ruta de red también suele ser una fuente frecuente de errores. Un error en la ruta UNC (por ejemplo, \\servidor\recurso compartido) impedirá que se asigne la unidad. Se recomienda probar esta ruta directamente desde el Explorador de Windows para verificar su accesibilidad.

En el caso de la segmentación de grupos, es fundamental asegurarse de que el usuario pertenezca al grupo de seguridad utilizado en la GPO. También deben tenerse en cuenta los retrasos de replicación en Active Directory, ya que pueden demorar la implementación de los cambios.

El Visor de eventos de Windows es una herramienta muy útil para diagnosticar problemas de asignación. Al revisar los registros en Registros de aplicaciones y servicios > Microsoft > Windows > Directiva de grupo > OperacionalEs posible identificar con precisión los errores relacionados con la aplicación de las GPO. Estos eventos ayudan a comprender por qué no se ha asignado una unidad de red, especialmente en casos de problemas de destino, permisos o configuración.

Si utiliza un script de inicio de sesión, tenga en cuenta que solo se ejecutará cuando el usuario inicie sesión. A diferencia de los objetos de directiva de grupo (GPO), el comando gpupdate no puede volver a ejecutar un script que ya se haya ejecutado. Por lo tanto, el usuario debe cerrar sesión y volver a iniciarla para aplicar los cambios.

Finalmente, en las versiones recientes de Windows, algunos problemas pueden estar relacionados con restricciones de seguridad o la evolución de las tecnologías utilizadas. Dado que el lenguaje VBS está quedando obsoleto, se recomienda optar por soluciones basadas en objetos de directiva de grupo (GPO) o PowerShell para garantizar una mejor compatibilidad a largo plazo.

Para un análisis más profundo, es posible habilitar el modo de registro avanzado de la Política de grupo o utilizar herramientas como gpresult /h para generar un informe HTML detallado. Esto permite tener una visión completa de los parámetros aplicados y facilitar el diagnóstico en entornos complejos.

Conclusión

La asignación de unidades de red es una configuración esencial en un entorno Active Directory. Si bien existen varios métodos, el uso de la Directiva de grupo sigue siendo la solución más sencilla, fiable y fácil de mantener en la actualidad.

Los scripts de inicio de sesión aún pueden utilizarse en ciertos contextos específicos, pero tienden a ser reemplazados por soluciones más modernas, en particular las basadas en PowerShell o en las preferencias de la Directiva de grupo.

Para lograr una infraestructura limpia y escalable, se recomienda priorizar las GPO con segmentación basada en grupos de seguridad.

Preguntas frecuentes