PowerShell on Mexicali IT

Zero-Trust Endpoint Isolation: Contención vía SIDs Offline

Mon, 30 Mar 2026 16:20:00 -0700

Cuando un usuario es dado de baja en Active Directory, la primera línea de defensa se activa instantáneamente: la denegación de acceso corporativo, lo cual desconecta sus sesiones VPN y bloquea los inicios de sesión interactivos a través del Controlador de Dominio (DC).

Sin embargo, existe un vector crítico de riesgo. Si el empleado (o en su defecto, un atacante malicioso) tiene su computadora portátil corporativa, las credenciales cacheadas locales de Windows (Cached Credentials) seguirán operando. Esto le permite ingresar en la máquina de manera “offline” (del dominio) y extraer archivos sensibles localmente en una memoria USB sin estar conectado a la VPN corporativa ni a la red interna.

Powershell: Como pasar grupos de seguridad de un usuario a otro

Thu, 14 Oct 2021 22:39:01 -0800

Introducción

Hace un par de días me pidieron ayuda para copiar los grupos de seguridad de un usuario a un nuevo usuario, si bien es cierto que podemos realizar esta tarea de forma manual, aveces una simple línea de código nos puede ahorrar este trabajo, esto viene a ayudar cuando el nuevo usuario pertenece al mismo departamento del usuario que tiene los grupos que queremos copiar.

Hay algo que se debe de tomar en cuenta antes de realizar esto, deben de estar cocientes de que el usuario con los grupos que pertenecen al departamento puede que tenga accesos adicionales los cuales fueron previamente autorizados, digamos que tiene acceso a archivos compartidos por que es parte de algún proyecto, etc etc… esto es por lo que deben de tener cuidado al copiar los grupos en su totalidad, si este no es el caso, entonces el siguiente script puede ser de mucha ayuda.

PowerShell: Enviar correo a usuarios cuando password expirará pronto.

Fri, 08 Oct 2021 22:39:01 -0800

Introducción

En este post veremos como poder alertar a los usuarios cuando su password de dominio expirará pronto, para ello crearemos un script en PowerShell.

Este script lo he divido en 3 funciones de las cuales explicaré cada una de ellas.

Send-Email

Send-Email Esta función básicamente recibe 3 paramentros, los cuales son: Nombre de usuario, correo de usuario y días restantes cuando el password expirará. En este caso estoy usando correo sin autenticar, deben de tomar en cuenta que usar correos sin autenticar (No SSL y no password con puerto 25), quiere decir que solo se podrán enviar correos internos, si desean enviar correos fuera de su organización deben de usar el puerto 587, SSL activo e ingresar usuario y password, esto dependerá de sus requerimientos.

PowerShell: Crear grupos de seguridad para cada servidor, remover administradores locales y agregarlos al nuevo grupo.

Mon, 13 Sep 2021 22:39:01 -0800

Procedimiento de Seguridad: Control de Administradores Locales

Hace tiempo me solicitaron buscar un método para realizar ciertas medidas de seguridad y control con los usuarios que son administradores locales en cada uno de los servidores. Dichas medidas requerían lo siguiente:

Creación de Grupos en AD: Crear un grupo de seguridad en Active Directory para cada servidor.

Asignación de Permisos: Agregar el grupo creado al servidor correspondiente con el rol de administrador local.

Migración de Usuarios: Buscar todos los administradores locales actuales del servidor y agregarlos al nuevo grupo de AD.

Depuración de Cuentas: Una vez que los usuarios estén agregados al grupo de AD, eliminarlos del grupo de administradores locales del servidor.

Registro de Auditoría: Guardar en un log los usuarios que son administradores en cada servidor.

Notificación: Enviar un correo electrónico con el reporte de los cambios realizados.

La idea de todo esto es poder tener el control y saber que usuarios son administradores locales en los servidores, estamos hablando de más de 500 servidores y del cual hacer la administración uno por uno podría ser una labor bastante complicada.

Powershell: Como crear nuevos usuarios en AD.

Tue, 31 Aug 2021 22:39:01 -0800

Introducción

La forma más fácil de crear usuarios en AD es sin duda usando Active Directory Users and Computers, claro, siempre y cuando sea uno o dos usuarios los que se desean crear, pero que pasa si deseamos crear multiples usuarios, en ese caso no creo que este método sea el más adecuado. Para ello utilizaremos PowerShell con el cmdlet New-ADUser.

Existen multiples parametros que podemos usar con el cmdlet New-ADUser, si comprobamos la sintaxis obtendremos los siguiente: