GCPW Configuration Lab

Google Credential Provider for Windows (GCPW) reemplaza la pantalla de inicio de sesión de Windows, permitiendo autenticación SSO segura directamente con Google Workspace.

> Auth_Flow_Topology

Windows PC

Lock Screen

Intercept Auth

GCPW

Provider.dll

Verify Token

Google

Identity

STEP 01

Descarga e Instalación

📍 Admin Console > Devices > Mobile & endpoints > Windows settings > GCPW setup

El instalador de GCPW se genera específicamente para el dominio ad.fergava.es e incluye un token de inscripción embebido.

Opción de Descarga "Download GCPW 64-bit"
Permitted Domains ad.fergava.es (CRÍTICO: Debes añadir el dominio aquí, o el login fallará)
Enrollment Token Embedded (Automático) (No es necesario introducirlo manualmente si se usa el instalador correcto)

STEP 02

Configuración del Registro (Vital)

📍 Windows Registry (Regedit)

Por seguridad, GCPW no permite iniciar sesión a nadie por defecto. Debemos "abrir la puerta" explícitamente para nuestro dominio.

Windows PowerShell (Admin)

New-ItemProperty -Path "HKLM:\Software\Google\GCPW" -Name "domains_allowed_to_login" -Value "ad.fergava.es" -PropertyType String -Force

Key Path HKEY_LOCAL_MACHINE\Software\Google\GCPW
Value Name domains_allowed_to_login
Value Data ad.fergava.es
Esto impide que usuarios con cuentas personales (@gmail.com) inicien sesión en los equipos corporativos.

STEP 03

El Primer Inicio de Sesión

📍 Windows Logon Screen

Al reiniciar el equipo, aparece la nueva opción de inicio de sesión.

Acción Clic en "Add Work Account" (Añadir cuenta de trabajo)
Resultado
Aparece la ventana flotante de Google. El usuario introduce sus credenciales de Google Workspace (incluyendo 2FA/MFA).
La Magia (Vinculación)
Si el usuario local de Windows (AD) tiene el mismo email en su atributo mail, GCPW vincula automáticamente ambas cuentas. A partir de ahora, la contraseña de Google abre Windows.

STEP 04

Ciclo de Vida de la Contraseña

📍 Conceptual

⚠ Regla de Oro: Sincronización

En un entorno híbrido (con AD local), los usuarios deben cambiar su contraseña SIEMPRE EN WINDOWS (Ctrl+Alt+Supr).
GSPS enviará el cambio a Google. Si lo hacen al revés (cambiar en la web de Google), el AD local no se enterará y las contraseñas se desincronizarán.

¿Qué contraseña se usa? La de Active Directory (Sincronizada)
GCPW autentica contra Google, pero como la fuente es el AD (sincronizada via GSPS), es efectivamente la contraseña del dominio. Windows actualiza su caché local tras la validación exitosa en nube.
¿Y la primera vez?
Si el usuario ya existía en el PC (AD), Windows pedirá la contraseña antigua de Windows una única vez para verificar la identidad y vincular el perfil a Google.
¿Si olvido mi contraseña?
⚠ NO RECOMENDADO. Si se usa "¿Olvidaste tu contraseña?" en la pantalla de bloqueo, se cambia en Google y en este PC, pero el AD local NO se actualiza. Esto romperá el acceso a recursos de red (carpetas, impresoras) hasta que se resincronice manualmente.