DIRECTIVAS DE GRUPO (GPO) EN WINDOWS SERVER 2008
-
Upload
juan-camilo-gonzalez -
Category
Documents
-
view
14.577 -
download
3
Transcript of DIRECTIVAS DE GRUPO (GPO) EN WINDOWS SERVER 2008
DIRECTIVAS DE GRUPO (GPO) EN WINDOWS SERVER 2008
MODULO DE SOFTWARE DE ADMINISTRACION
POR:
JUAN CAMILO GONZÁLEZ LÓPEZ
INSTRUCTOR:
LUIS FELIPE LONDÑO
ORDEN: 35442
TECNOLOGIA EN ADMINISTRACION DE REDES DE COMPUTO CENTRO DE SERVICIOS Y GESTION EMPRESARIAL
MEDELLIN-ANTIOQUIA 2011
1. Cree los siguientes usuarios y grupos en Windows Server 2008 (También aplica para sistemas operativos Windows XP, Windows Server 2003, Windows Vista y Windows 7) Grupo: Killers (Carlos y Manuel) Grupo: Timers (Bruno y Benji) NOTA: Cada usuario creado deberá cambiar su password al siguiente inicio de sesión En primer lugar vamos a crear nuestros usuarios Carlos y Manuel que van a pertenecer al grupo Killer Benji y Bruno que pertenecen al grupo Timers esto lo hacemos con el siguiente procedimiento: Inicio – Herramientas Administrativas - Administración de equipos
Clic derecho en usuario – usuario nuevo
Vamos a poner solamente el ejemplo con la creación del usuario Carlos ya que para los otros usuarios es el mismo procedimiento ingresamos la contraseña dejamos la primera casilla seleccionada y le damos clic en crear
Aquí ya vemos los 4 usuarios creados Manuel, Carlos, Bruno y Benji
Ahora creamos los grupos que son Killers y Timers ahora nos ubicamos en grupos clic derecho Grupo nuevo
Le ponemos el nombre al grupo que estamos creando en este caso Killers y le damos clic en crear
Aquí ya vemos los 2 grupos creados Ahora vamos a agregar los usuarios a los grupos en este caso tomaremos como ejemplo el ingreso de el usuario Manuel al grupo Killers Damos clic derecho en el grupo Killers después damos agregar y le ponemos el nombre en este caso Manuel después comprobar nombres y aceptar es importante tener en cuenta que por defecto cuando vamos a agregar un usuario nos aparece un usuario genérico el cual dice usuarios o en otros casos usuarios autenticados el cual lo debemos dejar para que los usuarios que creamos nos aparezcan en el inicio de sesión de usuarios
Y nos quedaría así:
2. Implemente las siguientes políticas o directivas locales Directivas de configuración de equipo: Ahora para configurar las políticas de o directivas de grupo (GPO) ingresamos por el menú ejecutar con el comando gpedit.msc este que significa editar políticas de grupo y msc significa Microsoft Services
La vigencia máxima de la contraseña para todos los usuarios de la máquina será de 15 días esto lo hacemos por la siguiente ruta: Directiva de equipo local – configuración de equipo – configuración de Windows – configuración de seguridad – directivas de cuenta – directiva de contraseñas y allí en la opción vigencia máxima de la contraseña le ponemos la duración en este caso 15 días y le damos aceptar.
Las contraseñas deben cumplir con los requisitos de complejidad por defecto de Windows server ¿Cuáles son estos requerimientos? Si se habilita esta directiva, las contraseñas deben cumplir los siguientes requisitos mínimos: No contener el nombre de cuenta del usuario o partes del nombre completo del usuario en más de dos caracteres consecutivos Tener una longitud mínima de seis caracteres Incluir caracteres de tres de las siguientes categorías: Mayúsculas (de la A a la Z) Minúsculas (de la a a la z) Dígitos de base 10 (del 0 al 9) Caracteres no alfanuméricos (por ejemplo, !, $, #, %) Estos requisitos de complejidad se exigen al cambiar o crear contraseñas. Valor predeterminado: Habilitada en controladores de dominio. Deshabilitada en servidores independientes. Nota: de forma predeterminada, los equipos miembros usan la configuración de sus controladores de dominio. En este caso habilitamos y le damos aceptar La ruta sería la siguiente: Directiva de equipo local – configuración de equipo – configuración de Windows – configuración de seguridad – directivas de cuenta – directiva de contraseñas
Los usuarios que requieran cambiar su contraseña no podrán usar un password que se haya usado antes por lo menos desde los 2 últimos cambios.
Aquí ponemos 2 que es el numero de contraseñas recordadas y por lo tanto el usuario por podrá repetirlas Los usuarios del grupo Killers pueden apagar la máquina una vez hayan iniciado sesión, pero los usuarios del grupo Timers no podrán apagar el equipo (Desde el sistema operativo) Ingresamos por: Directiva del equipo local - configuración del equipo - configuración de Windows - configuración de seguridad - directivas locales - Asignación de permisos Agregamos el grupo killers a apagado del sistema
Los usuarios del grupo Timers podrán cambiar la hora de la máquina local Directiva del equipo local - configuración del equipo - configuración de Windows - configuración de seguridad - directivas locales - Asignación de permisos Agregamos el Timers a cambiar la hora local
Todos los usuarios tendrán las siguientes restricciones al usar el navegador Internet Explorer: No podrán eliminar el historial de navegación, No se permitirá el cambio de proxy ya que todos los usuarios usarán el mismo proxy (172.20.49.51:80), Configuración del historial deshabilitada, no permitir el cambio de las directivas de seguridad del navegador. Esto Lo hacemos en la siguiente ruta: Directiva equipo local - Configuración Equipo - Plantillas Administrativas - Componentes de Windows - Internet Explorer.
Configuración de usuario – configuración de Windows –Mantenimiento de internet Explorer – conexión – configuración de los servidores Proxy como podemos observar en la ilustración
Directiva equipo local - Configuración Equipo - Plantillas Administrativas - Componentes de Windows - Internet Explorer
Directiva equipo local - Configuración Equipo - Plantillas Administrativas - Componentes de Windows - Internet Explorer – zonas de seguridad
Desactivar la ventana emergente de reproducción automática Esto lo hacemos por la siguiente ruta: Directiva equipo local - configuración del equipo - plantillas administrativas - componentes de Windows - directivas de reproducción automática.
No permitir el apagado remoto de la máquina Vamos a la siguiente ruta: Directiva del equipo local - Configuración del equipo - plantillas administrativas - componentes de Windows - Opciones de apagado
Aplicar cuotas de 50MB para todos los usuarios locales y remotos (Esta es un cuota muy baja y es usada solo para fines académicos) La ruta es: Directiva del equipo local - configuración del equipo - plantillas administrativas – Sistema - Cuotas de disco.
Directivas de configuración de usuario: La página principal que se cargará para cada usuario cuando abra su navegador será: http://www.sudominio.com (Página institucional de su empresa) Directiva del equipo local - configuración de usuario – configuración de Windows – Mantenimiento de internet Explorer – Direcciones URL y aquí ingresamos la dirección de nuestra intranet o la dirección que de la página de la empresa
El servidor proxy para todos los usuarios locales será 172.20.49.51:80 Directiva del equipo local - configuración de usuario - configuración de Windows - mantenimiento de internet Explorer - configuración de proxy
Restringir desde el navegador el acceso a los siguientes sitios: www.facebook.com y www.youtube.com por URL, para todos los usuarios. El administrador será el único con la contraseña de supervisor para el Asesor de Contenidos. Zonas de seguridad y clasificación de contenido - configuración de privacidad y seguridad - Asesor de contenido damos clic en la pestaña de abajo Importar la configuración actual de restricción de contenido
Nos aparece esta ventana y creamos aquí la contraseña del asesor de contenidos que en este caso solo sera debera saberla el administrador
Aquí restringimos el acceso a facebook y a youtube
Ingresamos la contraseña
Aquí ya podemos ver que ha sido creada correctamente la contraseña
Ocultar la unidad C:\ (NOTA: Esto no restringirá el acceso a dicha unidad) Ingresamos por la ruta: Directiva equipo local - configuración de usuario - plantillas administrativas - componentes de Windows - explorador de Windows.
Habilitamos la opcion e ingresamos la unidad en este caso la C
Ocultar el menú opciones de carpeta del menú de herramientas. Esto con el fin de que los usuarios no puedan ver archivos ocultos o cambiar algunas configuraciones de las carpetas. Directiva equipo local - configuración de usuario - plantillas administrativas - componentes de Windows - explorador de Windows.
Habilitamos la opción de carpeta
Restringir el acceso a la unidad E:\ desde mi PC En este caso lo hacemos con la unidad D Directiva equipo local - configuración de usuario - plantillas administrativas - componentes de Windows - explorador de Windows elegimos la unidad y le aceptamos
Limitar el tamaño de la papelera de reciclaje a 100 MB Directiva equipo local - configuración de usuario - plantillas administrativas - componentes de Windows - explorador de Windows
Habilitamos y de damos el valor en este caso 100 megas
No permitir que se ejecute Messenger Directiva equipo local - configuración de usuario – configuración de Windows – mantenimiento de internet Explorer – plantillas administrativas - componentes de Windows – sistema allí le damos doble click y nos aparece una ventana para agregar el software que queremos restringir en este caso Messenger agregamos y aceptamos
Ocultar todos los elementos del escritorio para todos los usuarios. Directiva equipo local - configuración de usuario - plantillas administrativas - Escritorio. Habilitamos y aceptamos
Bloquear la barra de tareas Directiva equipo local - configuración de usuario - plantillas administrativas - componentes de Windows - Menú inicio y barra de tareas y habilitamos la opción
Prohibir el acceso del Lecto-escritura a cualquier medio de almacenamiento extraíble. Directiva equipo local - configuración de usuario - plantillas administrativas – sistema - Acceso de almacenamiento extraíble.
Habilitamos las opciones que están una seguida de la otra lectura y escritura
Ahora vamos a hacer algunas pruebas con uno de los usuarios creados en este caso con el usuario benji
Ingresamos la contraseña
Inmediatamente nos pide cambio de contraseña tal como le pusimos cuando creamos los usuarios
Cambiamos la contraseña
Aquí por ejemplo vamos a ingresar con benji a facebook y nos pide la contraseña del asesor de contenidos
Y en este otro caso para youtube