1
ACTIVIDAD 8:
DIRECTIVAS DE GRUPOS LOCALES (GPO)
Santiago Cadavid Gómez
Jorge Andrés Ocampo Suarez
Alejandro Mesa Ramírez
Ficha: 455596
Instructor: Andrés Mauricio Ortiz
Tecnología en administración de redes de datos
SENA
(Servicio Nacional De Aprendizaje)
Medellín 2013
2
Contenido
Pág.
Introducción………………………………………………………………………..3
Creación de grupos y usuarios………………………………………………4-13
Directivas de configuración de equipo……………………………………..14-37
Directivas de configuración de usuario…………………………………….38-55
Conclusiones……………………………………………………………………..56
Web-grafía………………………………………………………………………..57
3
Introducción
El siguiente trabajo tiene como objetivo demostrar la manera de configurar las
directivas de grupos locales en Windows server 2008 r2 utilizando, dando a
conocer las reglas o políticas del sistema tanto para los usuarios como para el
equipo.
4
Directivas de Grupos Locales (GPO)
1. Cree los siguientes usuarios y grupos en Windows Server 2008 (También
aplica para sistemas operativos Windows XP, Windows Server 2003, Windows Vista y Windows 7), en nuestro caso Windows Server 2008 r2.
Grupo Killers:
Carlos
Manuel
Grupo Timers:
Bruno
Benji
Para comenzar nos dirigiremos a “Computer Management”:
5
Creamos un nuevo usuario:
Seleccionamos nombre, contraseña y la opción para que tenga que cambiar
contraseña la próxima vez que acceda a su cuenta:
6
7
Verificamos que los usuarios se hayan creado correctamente:
8
Creamos un nuevo grupo:
Seleccionamos el nombre, una descripción y le damos “Add” para añadir usuarios:
9
En esta ventana seleccionaremos “Advanced”:
En esta ventana seleccionamos “Find Now” y seleccionamos el usuario a añadir:
10
Le damos a ok Para añadir el usuario:
Hacemos lo mismo para el otro usuario y al final deberán quedar los dos usuarios
registrados:
11
Ahora realizamos los mismos pasos para el grupo “Timers”:
12
13
Verificamos que los grupos se hayan creado correctamente:
14
2. Implemente las siguientes políticas o directivas locales: Directivas de configuración de equipo: La vigencia máxima de la contraseña para todos los usuarios de la máquina será de 15 días: Para esto usaremos ejecutar:
Ejecutamos el siguiente comando:
Una vez dentro nos dirigiremos a la siguiente ruta y editaremos el siguiente archivo:
15
Lo abrimos y lo cambiamos por 15:
Verificamos el resultado:
16
Las contraseñas deben cumplir con los requisitos de complejidad por defecto de Windows server ¿Cuáles son estos requerimientos?:
Traducción:
No contener el nombre de cuenta del usuario o partes o partes del nombre completo del usuario en más de dos caracteres consecutivos
Tener una longitud mínima de 6 caracteres
Incluir caracteres de las siguientes tres categorías: Mayúsculas, Minúsculas, Dígitos
Caracteres no alfanuméricos
17
Nos aseguramos de que los requerimientos mínimos de contraseña estén activados:
Verificamos:
18
Los usuarios que requieran cambiar su contraseña no podrán usar un password que se haya usado antes por lo menos desde los 2 últimos cambios: Para esto editaremos el archivo “Enforce Password history Properties” en la misma ruta de los archivos anteriores:
Verificamos:
19
Los usuarios del grupo Killers pueden apagar la máquina una vez hayan iniciado sesión, pero los usuarios del grupo ventas no podrán apagar el equipo (Desde el sistema operativo): Nos dirigimos a la siguiente ruta y editamos el siguiente archivo:
Lo abrimos y le damos añadir:
20
Seleccionamos la opción “Objet Types” para incluir los grupos:
21
Seleccionamos el grupo a añadir:
Verificamos y aplicamos:
22
Los usuarios del grupo Timers podrán cambiar la hora de la máquina local: Vamos a la siguiente ruta y abrimos el siguiente archivo:
23
Le damos a añadir usuario o grupo:
Seleccionamos la opción “Objet Types” para incluir los grupos:
24
Seleccionamos el grupo “Timers”:
Le damos a añadir:
25
Verificamos y le damos aceptar:
26
Todos los usuarios tendrán las siguientes restricciones al usar el navegador Internet Explorer: No podrán eliminar el historial de navegación, No se permitirá el cambio de proxy ya que todos los usuarios usarán el mismo proxy (172.20.49.51:80), Configuración del historial deshabilitada, no permitir el cambio de las directivas de seguridad del navegador: Nos dirigimos a la siguiente ruta y nos dirigimos a la siguiente carpeta:
Ingresamos a Internet Explorer:
27
Entramos a borrar el historial de búsqueda:
28
Editamos el siguiente archivo:
Lo activamos “enable”:
29
Verificamos que se haya activado correctamente:
Para la configuración del proxy nos dirigimos a la siguiente ruta y abrimos el siguiente archivo:
Escribimos el proxy y marcamos a opción para que sea usado para todas las
direcciones:
30
Para deshabilitar el cambio de proxy iremos a la siguiente ruta y editaremos el
siguiente archivo habilitando la prohibición del cambio de proxy:
31
Verificamos:
Para deshabilitar la posibilidad de configurar historial de configuración iremos a la
siguiente ruta y editaremos el siguiente archivo:
Lo deshabilitamos:
Verificamos:
32
Para denegar el cambio de las directivas en el navegador, vamos a la siguiente
ruta y editamos el siguiente archivo:
Activamos “enable”:
33
Verificamos:
Desactivar la ventana emergente de reproducción automática: Para esto nos dirigiremos a la siguiente ruta y editaremos el siguiente archivo:
Activamos la configuración “enable” y seleccionamos el tipo de dispositivo:
34
Verificamos:
No permitir el apagado remoto de la máquina:
En computer Configuration, Administrative Templates, Windows Components,
Shutdown Options:
Se habilita la primera opción:
35
Aplicar cuotas de 50MB para todos los usuarios locales y remotos (Esta es una
cuota muy baja y es usada solo para fines académicos):
En computer configuration, Administrative templates, system. Disk quotas:
36
Se habilita la primera opción:
37
Se habilita la opción de límite y se especifica 50Mb:
38
Directivas de configuración de usuario:
La página principal que se cargará para cada usuario cuando abra su navegador será: http://www.sudominio.com (Página institucional de su empresa): En User configuration, Windows settings:
Se ingresa a URLs:
39
Se ingresa a Important URLs:
40
Se especifica la URL:
El servidor proxy para todos los usuarios locales será 172.20.49.51:80: En user configuration, Windows settings, internet explorer, connection, proxy
settings:
41
Restringir desde el navegador el acceso a los siguientes sitios: www.facebook.com
y www.youtube.com por URL, para todos los usuarios. El administrador será el único
con la contraseña de supervisor para el Asesor de Contenidos:
En User configuration, Windows settings. Internet explorer, security:
42
43
En Content ratings, modify settings:
En la pestaña Approve Sites, se especifica el sitio y never:
44
Se crea la contraseña y se pone una pista para recordarla:
Ocultar la unidad C:\ (NOTA: Esto no restringirá el acceso a dicha unidad):
En user configurations, windows components, windows explorer:
45
Se habilita la primera opción, y se especifica la unidad a ocultar:
46
Ocultar el menú opciones de carpeta del menú de herramientas. Esto con el fin de que los usuarios no puedan ver archivos ocultos o cambiar algunas configuraciones de las carpetas: En user configuration, administrative template, Windows settings, windows explorer,
opción marcada:
Restringir el acceso a la unidad E:\ desde mi PC: Para restringir el acceso a una unidad “E, A, C…” desde la ventana Mi PC solo
debemos ingresar al editor de directivas “gpedit.msc” e ingresar a la ruta “User
settings > Administrative Template > Windows Components > Windows Explorer” al
estar en esta ruta ingresamos a la opción que a continuación veremos resaltada:
47
En la ventana emergente seleccionamos la opción “Enabled” y procedemos a ir a la
lista desplegable donde seleccionaremos la unidad a la cual se va a restringir el
acceso:
48
Limitar el tamaño de la papelera de reciclaje a 100MB: En la limitación del tamaño de la papelera de reciclaje se puede alterar de dos
maneras, en el editor de directivas ingresar a la ruta “Configuración de usuario >
Plantillas administrativas > Componentes de Windows” y en dicha ruta buscamos la
opción “tamaño máximo permitido de la papelera de reciclaje”.
Allí habilitamos la opción y seleccionamos el porcentaje del disco que tendrá
designado para la papelera:
49
Esta manera solo permite seleccionar por porcentaje del disco duro el tamaño
máximo permitido para la papelera, la otra manera es la siguiente:
50
Clic derecho en la papelera de reciclaje que está ubicada en el Escritorio y en la
ventana emergente personalizamos dicho tamaño en la opción “Custom Size”:
Damos clic en “Apply” y luego en “Ok”.
No permitir que se ejecute Messenger:
En ocasiones se debe restringir el uso de ciertas aplicaciones que no deben usar el
servidor o la máquina para ello haremos lo siguiente:
Ingresaremos a la siguiente ruta en el editor de directivas:
51
En esta carpeta buscamos la opción:
Y en la ventana emergente Habilitamos la opción “Enabled” damos clic en el botón
“Apply” y luego en “Ok”:
Ocultar todos los elementos del escritorio para todos los usuarios: Para ocultar los elementos del escritorio debemos de ingresar al editor de registro:
52
Luego ir a la ruta:
“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\E
xplorer”
Y crear el registro “DWORD” llamado “NoDesktop”:
Dicho registro tendrá que tener el siguiente valor:
53
Bloquear la barra de tareas: Para cumplir con el procedimiento de cambiar la barra de tareas se debe ingresar a
la ruta:
Y allí buscamos la opción “Lock Taskbar”:
En dicha opción establecemos la opción “Enabled” para habilitarla y luego dar clic
en el botón “Apply” y luego en “Ok”:
54
Prohibir el acceso del Lecto-escritura a cualquier medio de almacenamiento extraíble:
Muchas veces se intentan hacer robos y delitos informáticos por medio de dispositivos extraíbles, para prevenirnos de este tema solo debemos deshabilitar las funciones de lecto-escritura de dichos dispositivos, para ello ingresamos a la ruta:
Y buscamos las opciones:
Y habilitaremos la opción “Enabled” y luego en “Apply” y “Ok” en ambas opciones:
55
56
Conclusiones
En las directivas de grupo locales debemos tener muy en cuenta que
editamos pues en las opciones podemos alterar algo que lleve como
consecuencia el daño del sistema operativo.
Al establecer Directivas estamos haciendo de una u otra manera que nuestro
sistema sea más seguro, impidiendo que otros usuarios puedan hacer un uso
sin control de dichos recursos.
Al crear una directiva se debe tener en cuenta si es para un usuario en
específico o solamente un grupo e incluso todo el equipo y así evitar
conflictos.
Dar límite de uso de los discos, en cuanto al espacio a utilizar dentro de el,
da mayor rendimiento y más capacidad, a usuarios administrativos, hay que
tener en cuenta que el mal uso de esta opción puede causar problemas con
los usuarios.
La configuración de proxis hace que los datos de descarga que pide el
usuario ante la navegación en la red (internet) cargue más rápido, es una de
las pocas ventajas que tiene el uso de ellos.
Dando permisos para cambiar la hora a grupos específicos evitaremos que
personas indeseadas realicen cambios.
57
Web-grafía
http://brendaredes.files.wordpress.com/2012/05/actividad-8.pdf
http://serviciosderednoona.wordpress.com/administracion-de-directivas-de-
grupo-local/
http://www.slideshare.net/hobbysaavedra/tema-02-directivasdecontraseas
Top Related