DIRECTIVAS DE GRUPO (GPO) EN WINDOWS SERVER 2008

ACTIVIDAD – ADMINISTRACIÓN DE SOFTWARE

POR:Maicol Muñoz

Jose David Salazar

Instructor:Felipe Londoño

TECNOLOGIA EN ADMINISTRACIÓN DE REDES

CENTRO DE SERVICIOS Y GESTIÓN EMPRESARIAL

SENA MEDELLÍN

OBJETIVOS:

*Implementar políticas o directivas de grupo locales en Windows Server 2008

INTRODUCCIÓN

Un objeto de directiva de grupo (GPO: Group Policy Object) es un conjunto de una o más políticas del sistema. Cada una de las políticas del sistema establece una configuración del objeto al que afecta. Por ejemplo, tenemos políticas para:

* Establecer el título del explorador de Internet* Ocultar el panel de control* Deshabilitar el uso de REGEDIT.EXE y REGEDT32.EXE* Establecer qué paquetes MSI se pueden instalar en un equipo* Etc...

Las directivas según el objeto al que configuran son:

Configuración del equipo: que se divide en:

* Configuración de software* Configuración de Windows* Plantillas administrativas

Configuración del usuario: se divide en:*Configuración de software* Configuración de Windows* Plantillas administrativas

PROCEDIMIENTONOTA IMPORTANTE: Tenga cuidado al aplicar las directivas de grupo locales ya que se aplicarán a todos los usuarios locales, incluyendo el administrador del sistema. Por lo tanto no aplicaremos ciertas políticas como son: desactivar el menú ejecutar, ocultar panel de control, entre muchas otras.

1. Cree los siguientes usuarios y grupos en Windows Server 2008 (También aplica para sistemas operativos Windows XP, Windows Server 2003,

Windows Vista y Windows 7)

Grupo: Killers.* carlos* manuel

Grupo: Timers.*bruno* benji

NOTA: Cada usuario creado deberá cambiar su password al siguiente inicio de sesión.

R//:

Para la creación de usuarios lo que deberemos hacer es :*Ingresara menú INICIO.*Seleccionamos ADMINISTRADOR DEL SERVIDOR.*Ya aquí desplegamos el fichero configuración y seleccionamos usuario y grupo locales.*Aquí nos saldrán dos carpetas una llamada usuarios y la otra grupos,solo deberemos dar click derecho a cada una de estas carpetas y seccionamos usuario nuevo o grupo nuevo.Ya creados nuestros grupos y usuarios, seleccionaremos nuestro grupo he introducimos nuestros usuarios así:-click a la carpeta grupos.-seleccionamos nuestro grupo. -le damos agregar. -avanzado.-buscar ahora .-y seleccionar los usuarios para el grupo.

2. Implemente las siguiente políticas o directivas locales:

Directivas de configuración de equipo:1.La vigencia máxima de la contraseña para todos los usuarios de la máquina será de 15 días2.Las contraseñas deben cumplir con los requisitos de complejidad por defecto deWindows server ¿Cuáles son estos requerimientos?

3.Los usuarios que requieran cambiar su contraseña no podrán usar un password que se haya usado antes por lo menos desde los 2 últimos cambios.4.Los usuarios del grupo Killers pueden apagar la máquina una vez hayan iniciadosesión, pero los usuarios del grupo ventas no podrán apagar el equipo (Desde elsistema operativo)5.Los usuarios del grupo Timers podrán cambiar la hora de la máquina local6.Todos los usuarios tendrán las siguientes restricciones al usar el navegador Internet Explorer: No podrán eliminar el historial de navegación, No se permitirá el cambio de proxy ya que todos los usuarios usarán el mismo proxy (172.20.49.51:80), Configuración del historial deshabiltada, no permitir el cambio de las directivas de seguridad del navegador.7.Desactivar la ventana emergente de reproducción automática8.No permitir el apagado remoto de la máquina9.Aplicar cuotas de 50MB para todos los usuarios locales y remotos (Esta es un cuota muy baja y es usada solo para fines académicos)

R//:Para entra a configurara estas directivas deberemos entra a menú ejecutar :secpol.msc

1.*Deberemos entrara a directivas de seguridad local*Desplegamos la ficha directivas de cuentas*Seleccionamos directivas de cuentas*y por ultimo seccionamos vigencia máxima de contraseña.

2.*Directiva de seguridad local.*Directiva de cuenta.*Directiva de contraseña.*La contraseña debe cumplir con los requisitos de complejidad.

Si se habilita esta directiva, las contraseñas deben cumplir los siguientes requisitos mínimos:

-No contener el nombre de cuenta del usuario o partes del nombre completo del usuario en más de dos caracteres consecutivos-Tener una longitud mínima de seis caracteres-Incluir caracteres de tres de las siguientes categorías:

Mayúsculas (de la A a la Z)Minúsculas (de la a a la z)Dígitos de base 10 (del 0 al 9)-Caracteres no alfanuméricos (por ejemplo, !, $, #, %)-Estos requisitos de complejidad se exigen al cambiar o crear contraseñas.

Valor predeterminado:

-Habilitada en controladores de dominio.-Deshabilitada en servidores independientes.

Nota: de forma predeterminada, los equipos miembros usan la configuración de sus controladores de dominio.

3.*Directiva de seguridad local.*Directiva de cuenta.*Directiva de contraseña.*Longitud mínima de contraseña.

4.*Directiva de seguridad local.*Directivas locales.*Asignación de derecho de usuario.*Apagar el sistema.*Agregar usuario o grupo*tipo de grupo y activamos la casilla grupos*Avanzado*Buscar ahora

5.*Directiva de seguridad local.*Directivas locales.*Asignación de derecho de usuario.*Cambiar la hora del sistema*Agregar usuario o grupo*tipo de grupo y activamos la casilla grupos*Avanzado*Buscar ahora

6.Deberemos entrara a el editor de directivas de grupo local,para entra aquí deberemos ejecutar gpedit.msc.

No se permitirá el cambio deproxy ya que todos los usuarios usarán el mismo proxy (172.20.49.51:80),.

*Editor de directivas de grupo local.*Configuración de usuario.*Configuración de Windows.*Mantenimiento de internet explore.* Conexión.*Configuración de los servidores proxy.*Habilitamos la casilla Habilitar configuración de proxy y introducimos nuestra dirección proxy.

Los usuarios no podrán cambiar el proxy.

*Editor de directivas de grupo local.*Configuración de equipo.*Plantillas administrativas.*Componentes de Windows.*Internet explore.*Deshabilitar el cambio de configuración de proxy.*Seleccionamos la casilla habilitar .

No podrán eliminar el historial de navegación.

*Editor de directivas de grupo local.*Configuración de equipo.*Plantillas administrativas.*Componentes de Windows.*Internet explore.*Desactivar la funcionalidad “eliminar el historial de exploración”*Seleccionamos la casilla habilitar.

no permitir el cambio de las directivas de seguridad del navegador.

*Editor de directivas de grupo local.*Configuración de equipo.*Plantillas administrativas.*Componentes de Windows.*Internet explore.*Zona de seguridad:no permitir que los usuarios cambien las directivas.*Seleccionamos la casilla habilitar.

7.*Editor de directivas de grupo local.*Configuración de equipo.*Plantillas administrativas.*Componentes de Windows.*Directiva de reproducción automática.*Desactivar reproducción automática.*seccionamos la casilla deshabilitar.

8.

Para entra a configurara estas directivas deberemos entra a menú ejecutar :secpol.msc

*Directivas de seguridad local.*Directivas locales.*Asignación de derecho de usuario.*Forzar cierre desde un sistema remoto.

9.Deberemos entrara a el editor de directivas de grupo local,para entra aquí deberemos ejecutar gpedit.msc.

*Editor de directivas de grupo local.*Configuración de equipo.*Plantilla administrativa.*Sistema.*Cuotas de disco.*habilitamos:

habilitar cuotas de discolimite de cuotaaplicar limite de cuota de disco

Directivas de configuración de usuario:1.La página principal que se cargará para cada usuario cuando abra su navegador será: Http://www.sudominio.com (Página institucional de su empresa)2.El servidor proxy para todos los usuarios locales será 172.20.49.51:803.Restringir desde el navegador el acceso a los siguientes sitios: www.facebook.com ywww.youtube.com por URL, para todos los usuarios. El administrador será el único con la contraseña de supervisor para el Asesor de Contenidos.4.Ocultar la unidad C:\ (NOTA: Esto no restringirá el acceso a dicha unidad)5.Ocultar la menú opciones de carpeta del menú de herramientas. Esto con el fin de que los usuarios no puedan ver archivos ocultos o cambiar algunas configuraciones de las carpetas.6. Restringir el acceso a la unidad E:\ desde mi PC7.Limitar el tamaño de la papelera de reciclaje a 100MB8.No permitir que se ejecute messenger9.Ocultar todos los elementos del escritorio para todos los usuarios.10.Bloquear la barra de tareas11.Prohibir el acceso del Lecto-escritura a cualquier medio de almacenamiento extraible.

R//:

1.Deberemos entrara a el editor de directivas de grupo local,para entra aquí deberemos ejecutar gpedit.msc.

*Editor de directivas de grupo local.*Configuración de usuario.*Configuración de Windows.*Mantenimiento de internet explore.*Direcciones url.*Direciones url importantes.

3.*Editor de directivas de grupo local.*Configuración de usuario.*Configuración de Windows.*Mantenimiento de internet explore.*Seguridad.*Zona de seguridad clasificada.*Clasificación de contenidos seleccionamos importar la configuración actual de contenido.*Seleccionamos la ficha sitios aprobados.

4.*Editor de directivas de grupo local.*Configuración de usuario.*Plantilla administrativa.*Componentes de Windows.*Explorador de Windows.*Ocultar las unidades especificas en mi pc.*Seleccionamos la casilla habilitar y seleccionamos la unidad a ocultar.

5.

6.*Editor de directivas de grupo local.*Configuración de usuario.*Plantilla administrativa.*Componentes de Windows.*Explorador de Windows.*Impedir acceso a las unidades desde mi pc.*Seleccionamos la casilla habilitar y seleccionamos la unidad a restringir.

7.*Editor de directivas de grupo local.*Configuración de usuario.*Plantilla administrativa.*Componentes de Windows.*Explorador de Windows.

*Tamaño máximo permitido para l papelera de reciclaje.*seleccionamos la casilla habilitar y ponemos la cantidad maxima.8.*Editor de directivas de grupo local.*Configuración de usuario.*Plantilla administrativa.*Sistema.*No ejecutar aplicaciones desde Windows.

9.*Editor de directivas de grupo local.*Configuración de usuario.*Plantilla administrativa.*Escritorio.*Ocultar y deshabilitar todos lo elementos del escritorio.*seccionamos la casilla habilitar.

10.*Editor de directivas de grupo local.*Configuración de usuario.*Plantilla administrativa.*Escritorio.*habilitamos las dos ultimas lineas que son las que nos bloquean la barra de tarea.

11.*Editor de directivas de grupo local.*Configuración de usuario.*Plantilla administrativa.*Sistemas.*Acceso de almacenamiento extraíbles.*Todas las clases de almacenamiento extraíbles:denegar acceso a todo.