DIRECTIVAS Windows Server 2008 1

DIRECTIVAS DE GRUPO

Proporcionan a los administradores el control

central sobre los privilegios, permisos y

capacidades de los usuarios y los equipos.

Se usan para definir configuraciones

automatizadas para grupos de usuarios y

equipos, incluyendo opciones de configuración del

registro, secuencias de comandos de inicio de

sesión o fin, opciones de seguridad, etc.

Son un conjunto de reglas y configuraciones que

ayudan a administrar usuarios y equipos, y que

rigen las acciones que pueden realizar los

usuarios con un objeto. 2

DIRECTIVAS DE GRUPO

Permiten:

– Controlar el acceso a los componentes de Windows, recursos del sistema, recursos de red, utilidades del panel de control, el escritorio y el menú de inicio.

– Configurar las directivas para el bloqueo de cuentas y contraseñas, auditorías, asignación de derechos a los usuarios y seguridad.

• En un Dominio de Active Directory se pueden aplicar a sitios, a dominios, a unidades organizativas (a un subgrupo dentro de un dominio) o a sistemas individuales.

• En un equipo independiente, que NO pertenece a un dominio, se aplicarán las directivas de grupo local, que se definen y guardan en el sistema local. 3

DIRECTIVAS DE GRUPO

Un equipo independiente dispone de tres niveles de directivas:

– Directiva de grupo local: Aplicar a todos los usuarios del sistema las mismas opciones de configuración tanto de Equipo como de Usuario.

– Directiva de grupo local para administradores y no administradores: Sólo contiene configuración de usuario. Se define una directiva (y se aplica) para los usuarios que pertenecen al grupo Administradores y otra para los que no pertenecen.

– Directiva de grupo local para usuarios: Sólo contiene configuración de usuario. Se define una directiva para un usuario o grupo concreto, y sólo se aplica a él/ellos. 4

DIRECTIVAS DE GRUPO

La configuración de las directivas de grupo se divide en dos categorías, según el momento de aplicación:

– Configuración de Equipo:

• Agrupan todos los parámetros de configuración que pueden establecerse a nivel de equipo.

• Se aplican durante el inicio del sistema, con independencia del usuario que vaya a iniciar la sesión.

– Configuración de Usuario:

• Agrupan parámetros de configuración que pueden establecerse a nivel de usuario.

• Se aplican durante el inicio de sesión del usuario, con independencia del equipo en el que haya iniciado la sesión.

5

DIRECTIVAS DE GRUPO

Cada categoría de las directivas de grupo se divide:

– Configuración de Software. Contiene la configuración, del equipo o del usuario, de la instalación automática de software.

– Configuración de Windows. Contiene la configuración de ciertos parámetros de Windows, como parámetros de seguridad o scripts, para el equipo o el usuario.

– Plantillas administrativas. Contiene las políticas y configuraciones que se guardan en el registro de Windows, para el equipo o el Usuario .

La misma directiva puede existir para equipos y para usuarios, aunque, generalmente, con significados y parámetros distintos. Si hay conflicto al aplicar una directiva, la última en aplicar válida.

6

DIRECTIVAS DE GRUPO

Configuración software.

– Configura las directivas para la configuración e instalación de software.

– Contiene el objeto Instalación del software, que es usado para distribuir SW y actualizaciones de SW a los usuarios.

– Al asignar una aplicación a los usuarios, se le avisa la próxima vez que inicie la sesión, pero se instalará la primera vez que la ejecute.

– Si la asignación es a un equipo, la aplicación se anuncia y se instala automáticamente cuando el equipo se reinicie o un usuario inicie la sesión.

– Sólo en directivas de dominio. 7

CONFIGURACIÓN DE WINDOWS

– Configura las directivas para redirección de carpetas, ficheros de comandos y seguridad.

– Se tienen las opciones:

• Archivos de comandos (inicio/apagado)

• Configuración de seguridad

– Archivos de comandos (inicio/apagado)

• Se indican los ficheros que se ejecutarán automáticamente durante el inicio o apagado del equipo o durante el inicio o cierre de sesión del usuario.

• En Configuración del equipo → inicio/apagado del equipo.

• En Configuración del usuario → el inicio/cierre de sesión por un usuario.

8

ARCHIVOS DE COMANDOS

– Archivos de comandos para Inicio/Apagado de equipos:

• Los ficheros a utilizar se deben almacenar en el directorio:%SystemRoot%\System32\GroupPolicy\Machine\Scripts\

– Dentro del subdirectorio Startup para el inicio

– En el subdirectorio Shutdown para el apagado

– Archivos de comandos para Inicio/Cierre de sesión de usuario:

• Los ficheros a usar se deben almacenar en el directorio:%SystemRoot%\System32\GroupPolicy\User\Scripts

– Dentro del subdirectorio Logon para el inicio de sesión

– En el subdirectorio Logoff para el cierre de sesión 9

CONFIGURACIÓN DE SEGURIDAD

– Las directivas de Configuración de seguridad

permiten configurar los aspectos referentes a la

seguridad del sistema. Se definen fundamentalmente

a nivel de equipo. Los tipos de directivas de

Configuración de seguridad son:

• Directivas de cuentas: que permiten configurar

directivas sobre las cuentas de los usuarios. Se tienen

2 grupos:

– Directiva de contraseña, restricciones relacionadas

con el tamaño y duración temporal de las contraseñas.

– Directiva de bloqueo de cuentas, duración, umbral y

contador de restablecimiento de bloqueo. 10

CONFIGURACIÓN DE SEGURIDAD

– Directiva de auditoría, permite fijar los parámetros de observación del sistema para realizar el control del mismo, activando/desactivando el registro de sucesos específicos

– Asignación de derechos de usuario, define derechos tales como “inicio de sesión local”, “el acceso a la red”, “crear ficheros de paginación”, “denegar el inicio de sesión localmente”, etc.

– Opciones de seguridad, permite modificar valores del registro específicos relacionados con la seguridad, p.e. “Comportamiento ante la instalación de un controlador no firmado” o “Pedir al usuario que cambie la contraseña antes de que caduque”, o “Estado de la cuenta invitado”, etc.

11

PLANTILLAS ADMINISTRATIVAS

– Proporcionan una manera sencilla de acceder a

las configuraciones de las directivas basadas en

registro que puede configurar.

– Cada directiva tiene una explicación detallada de

la misma.

– Las configuraciones se guardan en el registro en

HKEY_LOCAL_MACHINE y HKEY_CURRENT_USER

12

PLANTILLAS ADMINISTRATIVAS

– Contiene todas las configuraciones de políticas

basadas en el registro de W2008, incluyendo las

que controlan el funcionamiento del sistema

operativo, de los componentes y de algunas

aplicaciones, la apariencia del escritorio, etc.

– Se configuran con los ficheros de plantillas, que

se pueden agregar o eliminar, según se quiera

configurar o no los detalles de esa plantilla.

– Podemos modificar cada plantilla para habilitar o

deshabilitar sus directivas.

13

PLANTILLAS ADMINISTRATIVAS

• Componentes de Windows que permiten

configurar los componentes del sistema operativo,

como Internet Explorer o Windows Update.

• Sistema que ayudan a controlar funcionalidades

del sistema, como los perfiles de usuario, las

cuotas de disco, detalles del inicio de sesión:

– P.e., dentro de Inicio de sesión, “Permitir sólo

perfiles de usuario locales” o “Cerrar la sesión de

los usuarios cuando hay un error en el perfil

móvil”. 14

PLANTILLAS ADMINISTRATIVAS

– Dentro de Cuotas, “Habilitar las cuotas de disco” o “Límite de cuota o nivel de aviso predeterminado”.

• Red para ajustar los componentes del sistema operativo que conectan un equipo cliente a la red, por ejemplo, cómo trabajar con los archivos de red sin conexión.

• Impresoras contiene configuraciones para administrar impresoras de red y la publicación de opciones. Por ejemplo:

– Permitir que se publiquen impresoras.

– Publicar automáticamente impresoras nuevas en Active Directory. 15

PLANTILLAS ADMINISTRATIVAS

– En la configuración del usuario hay plantillas para:

• Componentes de Windows que permiten configurar los componentes del sistema operativo, como Internet Explorer o Windows Update. P.e., en Explorador de Windows se tiene “Quitar el menú Opciones de carpeta del menú Herramientas”.

• Menú de Inicio y barra de tareas para agregar, eliminar y deshabilitar partes del menú de Inicio y la barra de tareas. P.e., “Quitar el menú Favoritos del menú Inicio” o “Deshabilitar Cerrar sesión en el menú Inicio”. 16

PLANTILLAS ADMINISTRATIVAS

• Panel de control que permite ajustar el panel de

control y detalles sobre las impresoras, la

pantalla, la acción de Agregar o quitar programas

etc.

P.e., “Deshabilitar el panel de control” o

“Protectores de pantalla”

• Sistema para controlar aspectos como los perfiles

de usuario, aspectos de inicio de sesión, o de las

opciones de Ctrl+Alt+Supr. P.e.: Dentro de

“Opciones de Ctrl+Alt+Supr” está “Quitar el

bloqueo de equipos” 17

PLANTILLAS ADMINISTRATIVAS

Administración de directivas de grupo local:

– Abrir la Consola de administración de equipos

(con la orden mmc).

– A continuación, agregar el complemento Editor

de objetos de directiva de grupo

• Puede seleccionar el equipo local o uno remoto

• Puede seleccionar un usuario/grupo o

Administradores/No administradores.

18

PLANTILLAS ADMINISTRATIVAS

– Dos nodos principales:

• Configuración de Equipo.

• Configuración de Usuario.

– Ambos tendrán los subnodos:

• Configuración software.

• Configuración de Windows.

• Plantillas administrativas.

19

DIRECTIVAS DE GRUPO

A las directivas de Configuración de seguridad,

también se puede acceder desde el menú

Herramientas administrativas, con Directivas de

seguridad local.

• La actualización de las directivas de grupo se realiza:

– Cada vez que se arranca el sistema, las directivas de

equipo.

– Cuando un usuario inicia una sesión, las de usuario.

– Durante la actualización en segundo plano de la

directiva de grupo, que se realiza cada 90 minutos,

con un desplazamiento aleatorio entre 0 y 30 minutos.

– De forma manual, al ejecutar la herramienta

gpupdate.exe. 20

EJERCICIO

Prohíbe que los usuarios puedan bloquear el

equipo.

Configura el sistema para que NO se pueda usar

el protector de pantalla. Nota: lee la descripción

de la directiva para saber qué opción concreta

hay que seleccionar.

Entra con el usuario usuario01 y comprueba que

las directivas establecidas están funcionando.

21

EJERCICIO

Para el usuario usuario02 establece además que

no pueda usar el Panel de control. Para ello sigue

los siguientes pasos:

a) Abre la Consola de Administración, ejecutando

la orden mmc.exe.

b) Agreda el componente Editor de Objetos

Directiva.

c) A continuación, en el cuadro de diálogo

selecciona “Examinar” y a continuación en la

ficha Usuarios selecciona usuario02.

d) Localiza la directiva indicada y actívasela. 22

EJERCICIO

Entra al sistema con el usuario usuario02 y

comprueba que además de las directivas

anteriores, esta también se le aplica.

Entra al sistema con el usuario usuario01 y

comprueba que la nueva directiva no se le aplica.

23