Directivas de grupo locales en Windows Server 2008
-
Upload
yinagarzon -
Category
Education
-
view
1.172 -
download
0
Transcript of Directivas de grupo locales en Windows Server 2008
DIRECTIVAS DE GRUPO LOCALES
AUCTOR:YINA PAOLA GARZON BEDOYA
GESTION DE REDES DE DATOS464324
INSTRUCTORISABEL CRISTINA YEPES
SENA
CENTRO DE SERVICIOS Y GESTION EMPRESARIALMEDELLIN
2014
INTRODUCCION
Cada una de las políticas del sistema establece una configuración del objeto al que afecta. Un objeto de directiva de grupo es un conjunto de una o más políticas del sistema.En este trabajo vamos a dar a conocer los siguientes procedimientos sobre las directivas de grupo en Windows Server para prohibir o administrar algunas características, servicios, herramientas, etc. que nos ayudaran a mejorar la seguridad y la privacidad de nuestro equipo, nuestros grupos y nuestros usuarios permitiendo al administrador el control total del equipo.
CONTENIDO
1 ……………………..…………………….Introducción
2 …………………………….……………..crear usuarios
3 …………………..................Los usuarios deben loquearse solamente de 7:00 am a 8:00 pm.
4 ……………………………….…………..Los usuarios no deben tener acceso al panel de control
5 ……………………………….............Debe usarse el papel tapiz de la empresa, no debe poder cambiarse
6 ……………………………….…………..Los usuarios deben cambiar su contraseña cada 30 días
7 ……………………………………….…..La carpeta documentos de todos los usuarios a apuntará a una carpeta independiente por usuario que esté dentro de la carpeta compartida.\\controladordominio\publica
8 ………………………..………………….Solo los administradores pueden apagar la máquina.
9 ……………………………………….…..Solo los administradores pueden cambiar la hora del sistema.
10 ………………………………………......Todas las máquinas tendrán permanente la unidad H: que apuntará a la ruta\\controladordominio\compartida
QUE ES UNA DIRECTIVA DE GRUPO
Un objeto de directiva de grupo (GPO: Group Policy Object) es un conjunto de una o más políticas del sistema. Cada una de las políticas del sistema establece una configuración del objeto al que afecta. Por ejemplo, tenemos políticas para:
Establecer el título del explorador de Internet
1: Ocultar el panel de control
2: Deshabilitar el uso de REGEDIT.EXE y REGEDT32.EXE
3: Establecer qué paquetes MSI se pueden instalar en un equipo
4: Etc…
PROCEDIMIENTO
2. Cree los siguientes usuarios y grupos en Windows Server 2008. Grupo: AdministrativosMónica BranJuan Pérez Grupo: DirectivosClaudia lozano Bruno de JesúsEfraín Valera
Grupo: OperariosEstefany OrjuelaCamilo LópezCesar CarvajalJohn GómezAndrés González NOTA: Cada usuario creado deberá cambiar su password al siguiente inicio de sesión.
1. Para crear los usuarios vamos a inicio, herramientas administrativas, usuarios y equipos de active directory
Ahora en nuestro dominio le damos clic izquierdo y seleccionamos nuevo, unidad organizativa (en este caso se llama Call Center)
Nuevamente creamos otras tres unidades organizativas (ADMINISTRADORES, DIRECTIVOS, OPERADORES)
En cada una de estas unidades organizativas creamos los usuarios correspondientes
Seleccionamos la primera casilla para que el usuario tenga que cambiar la contraseña en el próximo inicio de sesión
Y así sucesivamente repetimos con todos los otros usuarios en cada unida organizativa
Implemente las siguientes políticas o directivas locales:
Para implementar políticas tenemos que ir ejecutar… Allí digitamos gpedit.msc , ok.
Allí podemos cambiar las directivas del equipo y del usuario
Directivas de configuración de equipo:
3: Los usuarios deben loquearse solamente de 7:00 am a 8:00 pm.
Esta política se la (aplicaremos a los operarios) escogemos los usuario (masivamente) y nos paramos en propiedades
Nos paramos en (cuanta) habilitamos las siguientes casillas
Ya habilitado (hora de sesión) damos clic a esta, y rellenamos las horas pedidas para loquearse, aceptamos y listo
4: Los usuarios no deben tener acceso al panel de controlEsta política se la aplicaremos a (Directivos y operadores). Abrimos nuestro administrador de directivas de grupo.
En Directivos crearemos una nueva GPO. Estando en administración de directivas de grupo vamos a compras clic derecho y crear una nueva GPO
Nombre de la GPO
Vamos a la GPO que se creó y damos clic en editar, Ahora restringir el panel de control vamos al a siguiente ruta: configuración de usuario>directivas>plantillas administrativas>panel de control. Damos clic derecho sobre prohibir el acceso al panel de control > propiedades.
Habilitamos y aplicamos los cambios y clic en aceptar
5: Debe usarse el papel tapiz de la empresa, no debe poder cambiarse:Creamos un GPO o todo Call Center con su nombre respetivo, aceptamos
Editamos la GPO, en el editor de administración de directivas de grupo nos paramos configuración de usuario, directivas, plantillas administrativas, escritorio, escritorio; nos paramos en habilitar active desktop y le damos propiedades
La habilitamos, aplicar y aceptar
Nos paramos en (no permitir cambios) le damos propiedades, e igual esta habitamos, aplicar y aceptar.
Nuevamente nos paramos tapiz del escritorio y damos en propiedades, habilitamos, introducimos la ruta donde la imagen corporativa se encuentra (todos los computadores que dependan del servidor deben de tener la imagen corporativa guardada en la misma ruta), por ultimo aplicar y aceptar.
6: Los usuarios deben cambiar su contraseña cada 30 días:
Esta política la deben tener todos los usuarios del dominio. Editamos nuevamente la GPO ya existente de Call Center (GPO call canter), en el editor de administración de directivas de grupo nos paramos en configuración de equipo > directivas > configuración de Windows > configuración de seguridad > directivas de cuenta > directiva de contraseña. Luego le damos clic derecho sobre vigencia máxima de contraseña > propiedades
Definimos la configuración de directiva y configuramos que las contraseñas expiren después de 30 días damos clic en aplicar y luego aceptar
El sistema debe recordar las tres últimas contraseñas cambiadas por el usuario. La política de contraseñas debe estar habilitada para usar un password seguro.
Para este caso usamos la misma ruta configuración de equipo > directivas > configuración de Windows > configuración de seguridad > directivas de cuenta > directiva de contraseña. Damos clip derecho en almacenar contraseña con cifrado reversible > propiedades
Habilitamos la configuración de directiva clic en aplicar luego aceptar
Ahora si podemos configurar, para que el sistema recuerde las tres últimas contraseñas cambiadas por el usuario y lo hacemos mediante la siguiente ruta: Configuración de equipo > directivas > configuración de Windows > configuración de seguridad > directivas de cuenta > directiva de contraseña
Damos clic derecho sobre exigir historial de contraseña, clic en propiedades
Habilitamos la configuración de directivas y especificamos el número de contraseñas a recordar, aplicamos los cambios y luego aceptar
7: la carpeta documentos de todos los usuarios a apuntará a una carpeta independiente por usuario que
esté dentro de la carpeta compartida.\\controladordominio\publica:
Primero que todo creamos la carpeta publica que se va a conectar a las carpetas (documentos) De todos los usuarios que se le aplique la política.
A esta carpeta la compartimos de la siguiente manera, clic derecho en la carpeta , propiedades y nos paramos en la pestaña compartir
Luego clic en usos compartidos avanzados y señalamos compartí esta carpeta, luego en permisos, aplicamos y aceptar
Le decimos que quite el grupo todos
Cuando no se encuentre ningún grupo nos dirigimos a agregar uno.
Damos en avanzadas, buscamos ahora, y seleccionamos el grupo Domain user y aceptamos
Con esto le dimos control a Domain users de la carpeta compartida; nos dirigimos nuevamente a la carpeta C:, de nuevo clic derecho en la carpeta escogemos compartir , cambiar permisos de usos compartidos
Compartir, listo vemos que la carpeta está perfectamente compartida hora procedemos a configurar y aplicar la política adecuada. (Terminamos dando clic en (listo)
Estamos en el administración de directivas de grupo nos dirigimos a nuestra GPO principal (Call Center),clic derecho editar y procedemos a configurarla. Configuración de usuario > directivas >configuración de Windows >redirección de carpeta > documentos
Clic derecho sobre documentos y seleccionamos propiedades, en la pestaña Destino modificamos esto y buscamos la ruta de la carpeta a compartir
Listo solo falta aplicar y aceptar
8: Solo los administradores pueden apagar la máquina:
Esta política se la vamos a aplicar a los (Directivos, operadores)
Editamos nuevamente la GPO ya existente de Directivos y Operadores, en el editor de administración de directivas de grupo nos paramos en configuración de usuario > directivas > plantillas administrativas > menú inicio y barra de tareas >Luego le damos clic derecho sobre quitar y evitar el acceso a los comandos apagar, etc. > propiedades
Habilitamos, aplicamos y aceptamos
9: Solo los administradores pueden cambiar la hora del sistema:
Esta política será aplicada a la GPO de Call center
Ingresamos a administración de directivas de grupo, editamos la GPO, nos dirigimos a la siguiente ruta, configuración de equipo > directivas > configuración de Windows > configuración de seguridad > directivas locales > asignación de derechos de usuario > cambiar la hora del sistema
Agregaremos quienes pueden (agregar usuario o grupo)
Hacemos una busqueda avanzada de este usuario o grupo
Clic en Buscar ahora y escogemos a administradores, aplicar y aceptar
Vemos que ya quedo, solo queda aplicar y aceptar.
10: Todas las máquinas tendrán permanente la unidad H: que apuntará a la ruta\\controladordominio\compartida.
Procedemos a crear una carpeta compartida en la unidad C: de nuestro server, llamada (carpeta H)
La vamos a compartir, clic derecho en propiedades, en la pestaa conpartir escojemos la opcion (uso compartido avanzado)
Vamos a compartir la carpeta, cdamos clic derecho en la opcion compartir,luego cambiar permisos de uso compartido
Seleccionamos compartir con Domain users
Como vemos ya esta perfectamente compartidad
Ahora le apricaremo una politica de usuario para que pueda quedar a todos las maquinas del dominio. Editamos nuestra GPO de Call Center, configuracion de usuario > preferencias > configuracion de windows > asignacion de unidades
Creamos una nueva unidad asignada, la configuramos de la siguiente manera
Nos dirigimos a la pestaña comune, destinatario
Final mente aplicammos y aceptamos
Vemos que se creo exitosamente
Al renicial el usuario del dominio podemos ver que ya tiene una unidad H