Cómo agregar Windows 11 a un dominio de Active Directory

W11 » Seguridad en Windows 11 » Cómo agregar Windows 11 a un dominio de Active Directory

Unir un equipo con Windows 11 a un dominio de Active Directory sigue siendo una de esas tareas clave en cualquier entorno corporativo: a partir de ese momento el ordenador deja de ser “una máquina suelta” y pasa a formar parte de la infraestructura gestionada de la empresa. Políticas centralizadas, seguridad reforzada, control de identidades y despliegue automatizado de recursos dependen de que este paso se haga bien.

Si trabajas con Windows Server (2019, 2022 o 2025) y tienes que integrar estaciones Windows 11, conviene que no te limites a “siguiente, siguiente, finalizar”. Hay requisitos previos de red, DNS, cuentas, puertos y confianza de equipo que conviene revisar, y también es importante saber cómo actuar si la relación de confianza se rompe o si necesitas volver a unir un equipo al dominio usando la GUI, la línea de comandos o PowerShell.

Requisitos previos para unir Windows 11 a un dominio

Antes de tocar nada en el cliente, hay que asegurarse de que el entorno cumple una serie de requisitos básicos para que el dominio sea detectable y la unión no falle a mitad de camino. Si esta parte se hace mal, luego aparecen errores raros que cuestan más tiempo que revisarlo desde el principio.

Lo primero es que el controlador de dominio y el equipo con Windows 11 tengan la hora sincronizada; Kerberos es muy estricto con la hora y una desviación grande entre cliente y servidor puede provocar errores de autenticación incluso aunque todo lo demás esté perfecto.

También necesitas un usuario con permisos para agregar equipos al dominio, normalmente una cuenta de administrador del dominio o una cuenta delegada con el derecho específico de unir equipos. Sin estas credenciales, Windows 11 podrá detectar el dominio pero no completará el alta de la cuenta de equipo.

Un punto crítico es el servidor DNS configurado en el cliente. El equipo con Windows 11 debe usar como DNS el propio controlador de dominio (o el clúster de DCs), no un DNS público ni el router de la oficina. Si no apuntas el DNS al dominio, el cliente no localizará el controlador de dominio, ni podrá resolver los registros SRV que usa Active Directory.

En entornos segmentados o con firewalls corporativos, hay que revisar que los puertos de comunicación entre Windows 11 y el controlador de dominio estén abiertos. Algunos de los más relevantes en redes basadas en Active Directory son:

• TCP/UDP 88 para Kerberos.
• TCP/UDP 389 para LDAP.
• TCP 636 para LDAP sobre SSL (LDAPS).
• TCP 445 para SMB.
• TCP/UDP 53 para DNS.
• TCP 135 y rango 49152-65535 para RPC dinámico.

Con estos requisitos revisados (hora correcta, credenciales adecuadas, DNS apuntando al controlador de dominio y puertos abiertos), las probabilidades de que Windows 11 se una al dominio sin sobresaltos aumentan muchísimo, tanto si usas un Windows Server 2022 como un Server 2025 más reciente.

Preparar la configuración de red en Windows 11

Para que un cliente pueda unirse a un dominio, la configuración de red de Windows 11 debe ser compatible con la del entorno de Active Directory. Aquí es donde se suele fallar por prisas: si el equipo resuelve mal los nombres o no llega al DC, el asistente de unión dará errores genéricos.

En muchos casos puedes dejar que el equipo obtenga la dirección IP de forma automática por DHCP, pero es muy recomendable asegurarse de que el servidor DNS preferido es la IP del controlador de dominio. Por ejemplo, si el DC tiene la IP 192.168.1.5, esa debería ser la dirección DNS principal configurada en el cliente.

En Windows 11, desde la configuración de red puedes editar el apartado de asignación de servidor DNS. Ahí puedes elegir asignación Manual, activar IPv4 e introducir directamente la IP del servidor Windows Server que actúa como controlador de dominio. De esta manera, todas las peticiones de resolución de nombres relacionadas con el dominio se resolverán correctamente.

Si prefieres ir por el camino clásico, se puede abrir el Panel de control, acceder a las propiedades del adaptador de red, seleccionar el Protocolo de Internet versión 4 (TCP/IPv4) y, en sus propiedades, marcar la casilla “Usar las siguientes direcciones de servidor DNS” para escribir la dirección IP del controlador de dominio como DNS preferido.

Es habitual que, en entornos corporativos, el propio servidor DHCP ya proporcione la IP del controlador de dominio como DNS. Aun así, conviene comprobarlo a mano, sobre todo si estás montando el entorno por primera vez o si trabajas con VLANs, VPN o redes híbridas más complejas.

Comprobar la conectividad con el dominio

Una vez ajustada la red, es muy recomendable hacer una prueba rápida de conectividad desde Windows 11 hacia el servidor. Así evitas intentar unir el equipo a ciegas y encontrarte errores de DNS o de routing que podían haberse detectado en un minuto.

Desde el menú Inicio, puedes abrir Windows PowerShell o la consola de comandos y lanzar un ping al nombre del servidor de dominio en vez de a su dirección IP. Por ejemplo, algo como:

ping server-2022-a

Si usas el nombre en lugar de la IP, validas dos cosas a la vez: que el equipo llega al servidor por la red y que la resolución DNS funciona correctamente. Si el ping responde sin problemas, sabrás que el cliente está en la misma red (o con el routing adecuado) y que consulta el DNS del controlador de dominio.

Si el comando no responde correctamente, toca revisar la configuración IP del cliente, la pasarela, el DNS y el firewall. Es mucho mejor corregir esto ahora que cuando estés en mitad del asistente de unión al dominio y no sepas si el fallo es de red, de credenciales o del propio Active Directory.

Cambiar el nombre del equipo y prepararlo para el dominio

Otro paso habitual antes de unir un Windows 11 a un dominio es asegurarse de que el nombre del equipo coincide con la convención de nombres de la organización. En muchas empresas, las cuentas de equipo se crean previamente en Active Directory con un identificador concreto (por ejemplo, CLIENTE-W11-01) y luego se une el ordenador usando precisamente ese nombre.

Para ello, en Windows 11 puedes hacer clic con el botón derecho en el botón Inicio y entrar en Configuración. En la sección Sistema, dentro de la información del dispositivo, tienes la opción relacionada con el dominio o grupo de trabajo que te lleva a las propiedades avanzadas del sistema.

Al abrir las Propiedades del sistema, encontrarás un botón llamado “Cambiar” que permite modificar tanto el nombre de equipo como la pertenencia a un dominio o grupo de trabajo. Desde ahí se abre la ventana donde podrás escribir el nuevo nombre del equipo y seleccionar si formará parte de un grupo de trabajo o de un dominio.

En el campo de nombre de equipo, conviene introducir la cuenta de equipo que exista en el dominio (si has creado una previamente en Active Directory) o, si el entorno lo permite, usar un nombre nuevo que se creará automáticamente en el dominio cuando completes el asistente.

En la zona “Miembro de”, deberás marcar la opción Dominio y escribir el nombre del dominio interno, por ejemplo somebooks.local, negu.local o el que tengas definido en tu entorno. Este valor debe corresponderse con el nombre DNS del dominio de Active Directory, no con el nombre público de la empresa.

Unir Windows 11 al dominio desde la interfaz gráfica

Cuando indicas el dominio en la ventana de cambios de nombre de equipo, Windows 11 intenta localizar el controlador de dominio a través del DNS. Si no lo encuentra, mostrará un mensaje avisando de que el dominio no está disponible o que el nombre no se ha podido resolver, señal de que hay algún problema previo que revisar.

Si el dominio se detecta correctamente, el sistema mostrará una ventana solicitando un nombre de usuario y contraseña con privilegios suficientes para unir el equipo. Normalmente se utiliza una cuenta de administrador del dominio, pero también puede ser una cuenta delegada para dar de alta equipos.

Tras introducir las credenciales, si todo está bien configurado, se creará o se vinculará la cuenta de equipo en Active Directory y aparecerá un mensaje confirmando que el equipo se ha unido al dominio con éxito. En ese punto, el servidor ya reconoce esa máquina como miembro del dominio.

En muchos casos, el asistente mostrará un cuadro de diálogo indicando que para aplicar los cambios es necesario reiniciar el equipo. Antes de hacerlo, conviene cerrar cualquier aplicación abierta y guardar la información para evitar pérdidas de datos.

Al cerrar la ventana de Propiedades del sistema, Windows 11 te ofrecerá la posibilidad de reiniciar en ese momento o más tarde. Lo recomendable es reiniciar cuanto antes, ya que hasta que no se reinicie el equipo, la unión al dominio no estará completamente operativa.

Unir Windows 11 a un dominio desde el Panel de control clásico

Aunque cada vez se usa más la app de Configuración, sigue siendo posible utilizar el Panel de control clásico para unir Windows 11 al dominio. Este método resulta familiar si vienes de versiones anteriores como Windows 7, 8.1 o 10.

Desde el botón Inicio puedes buscar “Control” y abrir la aplicación Panel de control. Después, entra en “Sistema y seguridad” y selecciona la opción “Sistema”. En esa pantalla verás información básica del equipo, incluido el grupo de trabajo o dominio al que pertenece.

Si el equipo aún no forma parte de un dominio, desde ese mismo panel podrás comprar su estado actual y acceder al enlace de cambio de configuración. Este botón te lleva a la misma ventana de Propiedades del sistema donde puedes pulsar en “Cambiar” para modificar el nombre y unirlo al dominio.

El proceso es idéntico al descrito antes: introduces el nombre del dominio, aceptas y escribes las credenciales de una cuenta con permiso para unir equipos. Después aceptas las ventanas emergentes y reinicias el equipo para que la unión quede consolidada.

Ten en cuenta que, si el equipo ya está unido a un dominio, la opción de cambiar a otro dominio puede aparecer deshabilitada o limitada dependiendo de las políticas que se apliquen desde Active Directory y los permisos de la cuenta con la que hayas iniciado sesión.

Iniciar sesión en Windows 11 con usuarios del dominio

Una vez que el equipo ha sido reiniciado y forma parte del dominio, el siguiente paso es iniciar sesión usando una cuenta de usuario de Active Directory. Es aquí donde se empiezan a aplicar GPO, scripts de inicio de sesión, mapeos de unidades y otras configuraciones centralizadas.

Por defecto, la pantalla de inicio de sesión tiende a mostrar el último usuario que inició sesión, que suele ser una cuenta local creada durante la instalación (por ejemplo, “usuario”). Sabemos que se trata de una cuenta local porque aparece el nombre del propio equipo antes del nombre de usuario.

Para entrar con una cuenta del dominio, en la esquina inferior izquierda encontrarás la opción “Otro usuario”. Al seleccionarla, aparecerán dos cuadros de texto para escribir el nombre de la cuenta y su contraseña, esta vez pertenecientes al dominio.

En la zona inferior de la pantalla, Windows 11 indica en qué dominio se realizará la autenticación. Suele mostrar el nombre NetBIOS del dominio, por ejemplo SOMEBOOKS en lugar del nombre DNS somebooks.local. Esto permite confirmar rápidamente que el equipo ya está alineado con el dominio correcto.

Tras introducir las credenciales válidas, se iniciará sesión y el sistema creará el perfil de usuario de dominio en el equipo. El primer inicio suele tardar algo más porque se generan carpetas, configuraciones y se aplican políticas. En sesiones posteriores, el proceso será más rápido.

Integrar Windows 11 en Active Directory 2025 paso a paso

En escenarios modernos donde utilizas Windows 11 Pro bajo virtualización (por ejemplo, en Proxmox) y controladores de dominio sobre Windows Server 2025, la base del proceso sigue siendo la misma que en entornos con Server 2016 o 2019, pero con matices en seguridad, cifrado y endurecimiento de protocolos.

Tras desplegar una imagen oficial de Windows 11 y completar la instalación, inicias sesión con el usuario local configurado durante el asistente. A partir de ahí, el primer paso práctico para unir el equipo al dominio es acceder a la sección de Sistema desde el menú de inicio, ya sea con clic derecho o a través de Configuración.

Dentro de la información del sistema, verás un enlace de “Dominio o grupo de trabajo” que abre directamente las Propiedades del sistema. En esa ventana, pulsas el botón “Cambiar” para indicar el nombre del dominio corporativo, por ejemplo “negu.local”, y confirmar con Aceptar.

A continuación, se solicita que introduzcas las credenciales de un usuario con permisos para agregar equipos en el Directorio Activo 2025. Tras validarlas, si no hay problemas de conectividad o DNS, Windows 11 mostrará un mensaje del tipo “Se unió correctamente al dominio nombre.dominio”.

En ese punto, solo queda aplicar los cambios reiniciando la estación de trabajo. Después de hacer clic en Aceptar y cerrar las ventanas, aparecerá el aviso para reiniciar el equipo de inmediato. Una vez completado el reinicio, podrás comprobar desde el servidor que el equipo figura en la consola de Usuarios y equipos de Active Directory.

Verificar la unión en Usuarios y equipos de Active Directory

Desde el controlador de dominio puedes comprobar que el equipo con Windows 11 se ha registrado correctamente en Active Directory. Para ello, en el servidor abre el menú Herramientas y entra en “Usuarios y equipos de Active Directory”.

Dentro de la consola, en el contenedor Computers o en la OU donde se creen las cuentas de equipo, deberías ver el nombre del equipo Windows 11 que acabas de unir. Si ya tenías una cuenta de equipo precreada, comprobarás que la máquina se ha asociado a esa cuenta sin crear duplicados.

Esta verificación es importante para asegurarte de que el equipo realmente está bajo control del dominio y recibirán las políticas y permisos previstos. Si por cualquier motivo no aparece, habría que revisar eventos en el visor de sucesos, conectividad, permisos y si hubo errores durante el proceso de unión.

Una vez confirmada la presencia del equipo en la consola, el siguiente paso habitual es iniciar sesión con un usuario de dominio usando el formato dominio\usuario y su contraseña correspondiente, validando que la autenticación se produce correctamente y que se puede trabajar con normalidad.

Cuando la sesión de dominio funcione sin problemas, la cuenta local creada al principio puede quedar relegada a tareas puntuales de mantenimiento, ya que a partir de aquí la gestión del equipo será responsabilidad del controlador de dominio, tanto a nivel de políticas como de permisos.

Unir Windows 11 al dominio desde la línea de comandos y PowerShell

Además del método gráfico, es posible unir un Windows 11 a un dominio utilizando la línea de comandos o PowerShell. Esto resulta muy útil para automatizar despliegues, scripts o cuando trabajas con muchas máquinas a la vez.

En el caso de PowerShell, ejecutando la consola como administrador puedes utilizar comandos como Add-Computer. Un ejemplo típico sería:

Add-Computer -DomainName dominio.com -Credential (Get-Credential)

Al ejecutar la orden, PowerShell te pedirá que introduzcas las credenciales de un usuario con permisos para unir equipos al dominio. Tras completarse el proceso sin errores, solo tendrías que reiniciar el equipo para que quede plenamente integrado en el dominio de Active Directory.

La línea de comandos tradicional (CMD) también permite realizar estas tareas mediante herramientas específicas de administración remota y comandos con parámetros adecuados. Este tipo de unión por script se usa mucho en entornos donde se despliegan imágenes mediante autounattend.xml u otras soluciones de automatización que, tras la instalación, ejecutan un conjunto de acciones predefinidas.

Volver a unir un equipo separado al dominio

En ocasiones, un cliente o servidor puede desvincularse del dominio o perder la relación de confianza. Esto puede ocurrir por cambios en la infraestructura, restauraciones de copias de seguridad, imágenes clonadas sin sysprep o problemas de sincronización de contraseñas de equipo.

Cuando esto sucede, una solución habitual consiste en quitar el equipo del dominio y volver a unirlo. El procedimiento de salida es similar a la unión inicial: desde Propiedades del sistema puedes cambiar la pertenencia de dominio a grupo de trabajo, reiniciar, y después volver a realizar el proceso para unirlo de nuevo.

Durante este proceso, es importante asegurarse de que la cuenta de equipo en Active Directory no esté dañada ni duplicada. A veces conviene eliminar la cuenta de equipo en AD y dejar que se cree de nuevo cuando el equipo se vuelva a unir, siempre y cuando la estructura de OU y las delegaciones lo permitan.

Una vez que el equipo vuelve a estar unido al dominio y se reinicia, deberían desaparecer los errores de acceso a recursos compartidos, fallos al aplicar políticas o problemas de autenticación que aparecían mientras la relación de confianza estaba rota.

Reparar la relación de confianza con el dominio

Cuando el canal seguro entre un equipo unido a un dominio y el controlador de dominio se rompe, es frecuente encontrarse con el error:

The trust relationship between this workstation and the primary domain failed.

Este mensaje suele estar relacionado con que la contraseña interna de la cuenta de equipo no está sincronizada con la base de datos del dominio. También puede producirse si la cuenta de equipo se ha eliminado por error o se ha corrompido por alguna razón.

Para resolver este problema, además del método de salir y volver a unir el equipo al dominio, se puede recurrir a la línea de comandos o PowerShell para restablecer la relación de confianza. Hay cmdlets y herramientas específicas que permiten resetear la cuenta de equipo, siempre usando credenciales con permisos adecuados.

En entornos grandes, es habitual automatizar estas tareas y registrar los eventos en sistemas de monitorización, de modo que se detecte rápidamente cuándo un equipo deja de confiar en el dominio o su cuenta queda inservible, permitiendo actuar antes de que los usuarios pierdan el acceso a sus recursos.

El punto clave es entender que la relación de confianza entre el equipo y el dominio se basa en un secreto compartido que se renueva periódicamente. Si ese secreto se desincroniza, el canal seguro se rompe y toca repararlo con alguno de estos métodos.

Unión al dominio cuando Microsoft dificulta las cuentas locales

Con las versiones recientes de Windows 11, Microsoft ha ido complicando la creación de cuentas locales durante la instalación, empujando cada vez más al uso de cuentas Microsoft y servicios en la nube. Esto genera la duda de cómo se espera que una organización se una a un dominio clásico de Active Directory en estos escenarios.

En muchos entornos se recurre a la creación de ISOs personalizadas con archivos autounattend.xml que automatizan gran parte de la instalación, incluida la creación de cuentas locales temporales o la preconfiguración de la red. Tras desplegar la imagen en equipos nuevos, el procedimiento estándar sigue siendo unir el equipo al dominio manualmente o mediante scripts.

Una vez que el equipo se ha unido con éxito, entran en juego otras herramientas de administración y despliegue que instalan el software necesario, aplican configuraciones avanzadas y preparan el puesto de trabajo para que el usuario final lo reciba prácticamente “a medida”.

Aunque Microsoft impulse escenarios híbridos con Azure AD y otras soluciones en la nube, la realidad es que en 2025 muchas organizaciones siguen dependiendo de dominios de Active Directory tradicionales, por lo que dominar estos procesos de unión, automatización y reparación sigue siendo totalmente necesario.

Después de la integración: GPO, recursos y seguridad

Una vez que el equipo con Windows 11 ya forma parte del dominio, el trabajo no termina ahí. Es ahora cuando empieza lo realmente interesante: aplicar políticas de grupo, desplegar impresoras, mapear unidades y reforzar la seguridad aprovechando que la máquina es miembro de un entorno gestionado, por ejemplo configurar exclusiones en Microsoft Defender.

Por ejemplo, puedes usar las GPO (Group Policy Objects) para desplegar una impresora compartida a todos los usuarios de un departamento. Una forma típica es ir a User Configuration → Preferences → Control Panel Settings → Printers, crear una nueva impresora y especificar la ruta del recurso de impresión, algo como \\servidor-impresion\IMPRESORA.

De la misma manera, puedes mapear recursos compartidos de archivos para que los usuarios vean automáticamente, por ejemplo, una unidad Z: que apunte a un servidor de ficheros. Esto se configura en User Configuration → Preferences → Windows Settings → Drive Maps, creando una nueva asignación que indique la ruta de red, la letra deseada y el tipo de acción (normalmente Create).

Gracias a esta integración con Active Directory, el equipo deja de ser un sistema aislado para convertirse en parte de un ecosistema con identidad centralizada, permisos basados en grupos, auditoría de accesos y cumplimiento de normativas internas.

Si al principio se dedica el tiempo necesario para que la unión al dominio sea limpia —DNS bien configurado, servidor accesible, políticas pensadas—, se evitan muchos dolores de cabeza posteriores, desde GPO que no se aplican correctamente hasta usuarios que no reciben sus permisos o recursos.

Todo el proceso de agregar Windows 11 a un dominio, desde la preparación de la red hasta la aplicación de políticas y la reparación de posibles problemas de confianza, convierte un equipo recién instalado en un activo plenamente integrado en la infraestructura corporativa, listo para ser gestionado, securizado y automatizado según las necesidades de la organización.