La guía definitiva de WDS con Windows Server: nuestra entrada más ambiciosa

La guía definitiva de WDS con Windows Server

¡Bienvenidos una vez más, valientes administradores y amantes del despliegue automático! En esta ocasión nos metemos de lleno en un proyecto que llevaba un tiempo rondando por mi cabeza, levantar un entorno WDS (Windows Deployment Services) en un Windows Server, añadirle una ISO de Windows 11 e incluir drivers para múltiples equipos.

Esta entrada nace con un objetivo muy claro: hacer una guía funcional, moderna y adaptada a los despliegues actuales, sin que necesites perder horas buscando cada paso disperso por la red. Aquí lo tienes todo, desde cero, bien explicadito, o al menos eso intentaré.

---

1. Entorno inicial: lo justo y necesario

No nos vamos a enrollar con la instalación completa de Windows Server, ya sea en una máquina o en una VM. Nosotros partimos de un servidor Windows Server 2019 virtualizado en Proxmox, limpio, actualizado y unido a un dominio, que le vamos a llamar Badabit, ¿Por qué? porque me gusta el nombre.

Solo necesitaremos tener instalados dos roles, el WDS y el DHCP, vamos a configurarlos:

• En la pantalla  de administración del servidor, pinchamos en "agregar roles y características"

• Y vamos añadiendo los dos que nos faltan, el rol DHCP y el rol de implementación de Windows.

• Red funcional con DHCP.

• Vale, una vez configurados los 2 roles, seguimos con los demás requisitos:

• Una ISO de Windows 11.

• Drivers de tus equipos (HP, Lenovo, Dell... ya sabes hay todo un zoo de hardware).
  
  

---

2. Configuración inicial de WDS

Tras instalar los roles que nos hacen  faltan, desde Server Manager o PowerShell, ahora abrimos la consola de Windows Deployment Services y configuramos lo básico:

• Seleccionamos el servidor, en nuestro caso, es w2019ad.badabit.com

• Botón derecho → Configure Server.

• Marcamos Integrated with Active Directory

• Seleccionamos una carpeta de trabajo (recomendado un disco distinto al C:, pero como no tengo  otro disco, lo dejamos así).

• y Pinchamos en responder a todos los equipos cliente, que estén en nuestro DHCP.
    

Una vez configurado, el servicio se pone en marcha y ya queda listo para la magia.

---

3. Montar la ISO de Windows 11

Aquí empieza lo bueno, el asunto que nos interesa.

3.1 Extraemos los WIM que necesitamos

Dentro de la ISO buscamos los dos ficheros:

• sources/install.wim

• sources/boot.wim

• Yo los he copiado en la carpeta c:\temp\

 - Si salen como .esd, ya sabes: convertimos a WIM para que WDS los soporte.

3.2 Agregar BOOT.WIM

Ahora vamos a WDS y configuramos los ficheros que hemos copiado en el temp, en las carpetas correspondientes:

• Botón derecho en Imágenes de arranque.

• y luego en el submenú, Agregar imagen de arranque.

• Y aquí buscamos el boot.wim que hemos sacado de la imagen de W11.

• Aquí  buscamos la imagen  que hemos sacado de la ISO de Windows 11.

• Ahora pinchamos en siguiente y procedemos a su configuración, gracias a esto nos permitirá arrancar los equipos por PXE dentro de la red del DHCP.

3.3 Agregar INSTALL.WIM

Ahora volvemos hacer lo mismo que el paso anterior, pero esta vez en "Imágenes de Instalación".

Aquí es recomendable hacer un grupo de imágenes si es que vamos a tener diferentes, pero en nuestro caso lo vamos a dejar por defecto.

• Botón derecho en Imágenes de instalación.

• y luego en el submenú, .

• Y aquí buscamos el install.wim que hemos sacado de la imagen de W11.

• Ahora nos pide que hagamos un grupo de imagenes, si queremos tener diferentes grupos, ya sea producción, oficina, RRHH, diseñadores.... y cada una separada, pero no es que sea muy recomendable tener muchas ramas en este árbol.... 
  
  Así que nosotros solo haremos 1, y la vamos a llamar Badabit, me encanta. 

• Y ponemos la aquí el fichero que hemos buscado antes en la ISO de W11, install.wim.
  
  
  
  
  A nosotros nos aparecen todos los sabores que tiene Windows, pero en este lab, vamos a pillarnos la PRO, que tras muchos años usándola, es la que más recomiendo.

Y añadimos la imagen al WDS.

Y ya tenemos todo configurado. Ahora podemos ir a por los detalles

---

4. Integrar drivers según fabricante

Los drivers son clave si quieres que el despliegue sea viable en hardware variado.

4.1 Estructura recomendada

Crea carpetas por fabricante y modelo:

Drivers
 ├─ Lenovo
 │   ├─ M720
 │   ├─ M920
 ├─ HP
 │   ├─ 430 G3
 │   ├─ 430 G5
 ├─ Dell

Así que vamos a crear las carpetas:

4.2 Importación en WDS

• En WDS → Controladores → botón derecho → Agregar paquete de controladores.
  
  

  

Seleccionas la carpeta donde hemos guardado los drivers, en nuestra prueba: C:\RemoteInstall\Drivers\Lenovo\TP_T440p_W1064_1803_201807

• En nuestro caso, hemos descargado los drivers para un Lenovo T440p, me encanta Lenovo, ya que tienen un paquete para el SCCM, otra utilidad que espero hablar más adelante, en el que incluyen todos los drivers en un pack. Y nos queda así:
  
  
• 
  
  

  Una vez acabado la configuración, empezará agregar los drivers a nuestro sistema.

  
  

  

• Añadimos un filtro ahora, le indicamos que si el hardware es idéntico al modelo que hemos puesto, estos se añadirán por defecto. 
  
  

  

• Puedes asociar drivers tanto a imágenes de BOOT como de INSTALL, pero por recomendación: No mezcles drivers innecesarios, o la imagen tardará mil años en arrancar.
  
  

---

6. Probar el PXE

Conectar un equipo → arrancar por red → debería aparecer la imagen BOOT.

Si no te funciona correctamente:

• Revisa el DHCP, casi siempre es un error de suyo.

• Comprueba que WDS esté levantado.

• Si usas VMware/Hyper-V, activa la opción PXE en la VM.

---

7. Conclusiones

Montar un entorno WDS moderno en Windows Server, con Windows 11 con drivers variados es más fácil de lo que parece… si tienes una guía como esta.

Esta ha sido la entrada más larga, completa y ambiciosa que hemos hecho en mucho tiempo. Y aún así, seguimos dejando margen para ampliarla con MDT, sysprep avanzado o despliegues híbridos.

Si quieres que sigamos con la siguiente parte, solo tienes que pedirlo.

¡Nos vemos en la próxima! 💪🚀

Centro de control de Active Directory: el nuevo aliado en la gestión de usuarios

Durante años, la consola clásica de Active Directory Users and Computers (ADUC) ha sido la herramienta por excelencia para administrar usuarios, grupos y equipos en entornos Windows. Sin embargo, Microsoft ha ido evolucionando su ecosistema y, poco a poco, el Centro de Control de Active Directory (Active Directory Administrative Center o ADAC) se ha convertido en una alternativa mucho más potente, moderna y cómoda para los administradores.

Hoy vamos a ver por qué gestionar usuarios desde el Centro de Control de AD es una experiencia muy superior a hacerlo desde la vieja consola AD, y qué ventajas concretas te ofrece en el día a día.

---

🧠 Una interfaz moderna y más intuitiva

El cambio más evidente es visual, el Centro de Control de AD utiliza una interfaz basada en tareas y paneles, con una navegación mucho más limpia y organizada.
Mientras que ADUC sigue mostrando un árbol jerárquico clásico (que, seamos sinceros, no ha cambiado desde Windows 2000), ADAC te permite:

• Ver toda la información relevante de un usuario en una sola ventana.

• Editar múltiples atributos sin perderte entre pestañas.

• Personalizar las vistas para mostrar solo lo que realmente necesitas.

👉 En otras palabras: menos clics, menos confusión y más productividad.

Plantilla para crear un usuario

---

⚙️ Gestión avanzada de contraseñas y cuentas

Una de las joyas del ADAC es la gestión avanzada de contraseñas.
Desde el Centro de Control puedes:

• Restablecer contraseñas con un solo clic y forzar el cambio en el próximo inicio

Restableciendo la contraseña

• Desbloquear cuentas directamente, sin tener que buscar entre menús.

• Ver rápidamente el estado de una cuenta (bloqueada, deshabilitada, caducada, etc.).

Además, el historial de acciones queda mucho más claro, lo que facilita las tareas de auditoría o soporte técnico.

---

🧩 Integración con PowerShell

Aquí viene la parte que más encanta a los administradores avanzados.
Cada acción que realizas en el Centro de Control de AD genera automáticamente el comando de PowerShell equivalente.

Esto significa que puedes aprender, copiar o automatizar procesos fácilmente.
Por ejemplo, si creas un nuevo usuario desde la interfaz gráfica, ADAC te mostrará el comando New-ADUser con todos los parámetros que se han usado.

➡️ Ideal para quienes están empezando a trabajar con PowerShell o quieren convertir tareas repetitivas en scripts automáticos.

---

🔐 Control de políticas y directivas más claro

Otra ventaja es la gestión centralizada de políticas de contraseñas y de bloqueo de cuentas.
ADAC permite visualizar y editar las Fine-Grained Password Policies (FGPP) de manera visual, sin tener que recurrir a la consola ADSI Edit o a comandos complejos.

Esto facilita enormemente el control de la seguridad y las políticas de acceso dentro de la organización.

---

👥 Vista unificada y administración delegada

Con el Centro de Control puedes trabajar con múltiples dominios y unidades organizativas (OUs) sin tener que cambiar de consola o sesión.

Además, incluye un sistema de delegación de tareas mucho más fino y visual, ideal para entornos con varios técnicos o niveles de administración.
Puedes otorgar permisos de gestión de usuarios o grupos a personal de soporte sin darles acceso completo al dominio.

---

💡 En resumen

El Centro de Control de Active Directory (ADAC) no solo moderniza la experiencia de administración, sino que mejora la seguridad, acelera el trabajo y fomenta la automatización.

Característica	Consola AD (ADUC)	Centro de Control (ADAC)
Interfaz moderna	❌ No	✅ Sí
Integración con PowerShell	❌ No	✅ Sí
Gestión avanzada de contraseñas	🔸 Limitada	✅ Completa
Políticas granulares de contraseñas	❌ No	✅ Sí
Administración delegada visual	❌ No	✅ Sí
Soporte multi-dominio	🔸 Parcial	✅ Total

---

🧩 Prueba práctica: alta y baja de un usuario en ADAC

1️⃣ Abrir el Centro de Control de Active Directory

1. En el servidor o equipo con las herramientas RSAT instaladas, abre el menú Inicio.

2. Escribe “Centro de control de Active Directory” o ejecuta:

   adac.msc
   

3. Se abrirá la consola moderna de AD, con una vista tipo panel y el dominio cargado.

---

2️⃣ Crear un nuevo usuario (alta)

1. En el panel izquierdo, selecciona la Unidad Organizativa (OU) donde quieres crear el usuario (por ejemplo, Usuarios o Empleados).

2. En el panel derecho, haz clic en Nuevo → Usuario.

3. Completa los campos principales:

   • Nombre completo: Juan Pérez

   • Nombre de inicio de sesión (sAMAccountName): jperez

   • Contraseña inicial: (introduce una temporal o definitiva según la política)

   • Marca la opción El usuario debe cambiar la contraseña en el siguiente inicio de sesión si lo prefieres.

4. Haz clic en Aceptar para crear el usuario.

👉 En la parte inferior de la consola verás la línea de PowerShell equivalente, algo como:

New-ADUser -Name "Juan Pérez" -GivenName "Juan" -Surname "Pérez" -SamAccountName "jperez" -UserPrincipalName "jperez@tudominio.local" -Path "OU=Usuarios,DC=tudominio,DC=local" -AccountPassword (Read-Host -AsSecureString "Contraseña") -Enabled $true

💡 Puedes copiar este comando y guardarlo, ideal para automatizar futuras altas.

---

3️⃣ Verificar que el usuario se ha creado

En el panel central o usando la búsqueda del ADAC, escribe “jperez” y comprueba que aparece con estado Habilitado.

Haz doble clic sobre él para ver todos los atributos del usuario.

Propiedades del usuario

---

4️⃣ Eliminar el usuario (baja)

1. Localiza al usuario que acabas de crear.

2. Haz clic derecho sobre él y selecciona Eliminar.

3. Confirma la eliminación.

💡 El comando PowerShell correspondiente sería:

Remove-ADUser -Identity "jperez"

⚙️La forma correcta de borrar un usuario:
    Verificación con PowerShell
Si quieres confirmar los grupos antes de eliminarlo, ejecuta en PowerShell con permisos de administrador:
Get-ADUser jperez -Property MemberOf | Select-Object -ExpandProperty MemberOf
Esto te mostrará todos los DN (Distinguished Names) de los grupos donde está incluido.
Para eliminarlo automáticamente de todos los grupos (excepto el principal), puedes usar:
$User = Get-ADUser jperez -Properties MemberOf
foreach ($group in $User.MemberOf) {
    Remove-ADGroupMember -Identity $group -Members $User -Confirm:$false
}

💡 Este script hace una limpieza completa de grupos antes de la baja del usuario.

📴 5️⃣ Deshabilitar o eliminar la cuenta
Ahora que el usuario ya no pertenece a grupos sensibles, puedes proceder a su baja.
🔹 Deshabilitar (recomendado antes de eliminar):
Disable-ADAccount -Identity jperez
O desde ADAC:

Clic derecho sobre el usuario → Deshabilitar cuenta.

El icono del usuario aparecerá con una flecha negra indicando que está desactivado.
🔹 Eliminar definitivamente:
Remove-ADUser -Identity jperez
O desde ADAC:
Clic derecho → Eliminar → Confirmar.



✅ Resultado final
Usuario retirado de todos los grupos.
Cuenta deshabilitada o eliminada según tu política interna.
Sin residuos de permisos ni asociaciones en el dominio.
🚀 Conclusión
Si todavía gestionas tus usuarios desde la vieja consola de Active Directory, ha llegado el momento de dar el salto. El Centro de Control de AD no solo te hará trabajar más rápido, sino que te ofrecerá una visión más clara, potente y segura del entorno.
Y lo mejor de todo: no necesitas instalar nada nuevo, solo abre el Centro de Control de Active Directory (adac.msc) y empieza a disfrutar de un control mucho más moderno y eficiente de tu dominio.
Te dejo en el primer comentario del post, un script para tramitar la baja del usuario.