Directivas de grupo locales en Windows Server 2008
1. DIRECTIVAS DE GRUPO LOCALES
AUCTOR:
YINA PAOLA GARZON BEDOYA
GESTION DE REDES DE DATOS
464324
INSTRUCTOR
ISABEL CRISTINA YEPES
SENA
CENTRO DE SERVICIOS Y GESTION EMPRESARIAL
MEDELLIN
2014
2. INTRODUCCION
Cada una de las políticas del sistema establece una configuración del objeto al que afecta. Un
objeto de directiva de grupo es un conjunto de una o más políticas del sistema.
En este trabajo vamos a dar a conocer los siguientes procedimientos sobre las directivas de
grupo en Windows Server para prohibir o administrar algunas características, servicios,
herramientas, etc. que nos ayudaran a mejorar la seguridad y la privacidad de nuestro equipo,
nuestros grupos y nuestros usuarios permitiendo al administrador el control total del equipo.
3. CONTENIDO
1 ……………………..…………………….Introducción
2 …………………………….……………..crear usuarios
3 …………………..................Los usuarios deben loquearse solamente de 7:00 am a 8:00 pm.
4 ……………………………….…………..Los usuarios no deben tener acceso al panel de control
5 ……………………………….............Debe usarse el papel tapiz de la empresa, no debe poder
cambiarse
6 ……………………………….…………..Los usuarios deben cambiar su contraseña cada 30 días
7 ……………………………………….…..La carpeta documentos de todos los usuarios a apuntará a una
carpeta independiente por usuario que esté dentro de la carpeta
compartida.controladordominiopublica
8 ………………………..………………….Solo los administradores pueden apagar la máquina.
9 ……………………………………….…..Solo los administradores pueden cambiar la hora del sistema.
10 ………………………………………......Todas las máquinas tendrán permanente la unidad H: que
apuntará a la rutacontroladordominiocompartida
4. QUE ES UNA DIRECTIVA DE GRUPO
Un objeto de directiva de grupo (GPO: GroupPolicyObject) es un conjunto de una o más políticas
del sistema. Cada una de las políticas del sistema establece una configuración del objeto al que
afecta. Por ejemplo, tenemos políticas para:
Establecer el título del explorador de Internet
1: Ocultar el panel de control
2: Deshabilitar el uso de REGEDIT.EXE y REGEDT32.EXE
3: Establecer qué paquetes MSI se pueden instalar en un equipo
4: Etc…
5. PROCEDIMIENTO
2. Cree los siguientes usuarios y grupos en Windows Server 2008.
Grupo: Administrativos
Mónica Bran
Juan Pérez
Grupo: Directivos
Claudia lozano
Bruno de Jesús
Efraín Valera
Grupo: Operarios
Estefany Orjuela
Camilo López
Cesar Carvajal
John Gómez
Andrés González
NOTA: Cada usuario creado deberá cambiar su password al siguiente inicio de sesión.
1. Para crear los usuarios vamos a inicio, herramientas administrativas, usuarios y equipos de
active directory
6. Ahora en nuestro dominio le damos clic izquierdo y seleccionamos nuevo, unidad organizativa (en
este caso se llama Call Center)
Nuevamente creamos otras tres unidades organizativas (ADMINISTRADORES, DIRECTIVOS,
OPERADORES)
En cada una de estas unidades organizativas creamos los usuarios correspondientes
7. Seleccionamos la primera casilla para que el usuario tenga que cambiar la contraseña en el
próximo inicio de sesión
Y así sucesivamente repetimos con todos los otros usuarios en cada unida organizativa
Implemente las siguientes políticas o directivas locales:
Para implementar políticas tenemos que ir ejecutar…
Allí digitamos gpedit.msc , ok.
Allí podemos cambiar las directivas del equipo y del usuario
8. Directivas de configuración de equipo:
3: Los usuarios deben loquearse solamente de 7:00 am a 8:00 pm.
Esta política se la (aplicaremos a los operarios) escogemos los usuario (masivamente) y nos
paramos en propiedades
Nos paramos en (cuanta) habilitamos las siguientes casillas
9. Ya habilitado (hora de sesión) damos clic a esta, y rellenamos las horas pedidas para loquearse,
aceptamos y listo
4: Los usuarios no deben tener acceso al panel de control
Esta política se la aplicaremos a (Directivos y operadores). Abrimos nuestro administrador de
directivas de grupo.
En Directivos crearemos una nueva GPO. Estando en administración de directivas de grupo vamos
a compras clic derecho y crear una nueva GPO
10. Nombre de la GPO
Vamos a la GPO que se creó y damos clic en editar, Ahora restringir el panel de control vamos al a
siguiente ruta: configuración de usuario>directivas>plantillas administrativas>panel de control.
Damos clic derecho sobre prohibir el acceso al panel de control > propiedades.
11. Habilitamos y aplicamos los cambios y clic en aceptar
5:Debe usarse el papel tapiz de la empresa, no debe poder cambiarse:
Creamos un GPO o todo Call Center con su nombre respetivo, aceptamos
Editamos la GPO, en el editor de administración de directivas de grupo nos paramos configuración
de usuario, directivas, plantillas administrativas, escritorio, escritorio; nos paramos en habilitar
active desktop y le damos propiedades
12. La habilitamos, aplicar y aceptar
Nos paramos en (no permitir cambios) le damos propiedades, e igual esta habitamos, aplicar y
aceptar.
13. Nuevamente nos paramos tapiz del escritorio y damos en propiedades, habilitamos, introducimos
la ruta donde la imagen corporativa se encuentra (todos los computadores que dependan del
servidor deben de tener la imagen corporativa guardada en la misma ruta), por ultimo aplicar y
aceptar.
6: Los usuarios deben cambiar su contraseña cada 30 días:
Esta política la deben tener todos los usuarios del dominio. Editamos nuevamente la GPO ya
existente de Call Center (GPOcallcanter), en el editor de administración de directivas de grupo nos
paramos enconfiguración de equipo > directivas > configuración de Windows > configuración de
seguridad > directivas de cuenta > directiva de contraseña. Luego le damos clic derecho sobre
vigencia máxima de contraseña > propiedades
14. Definimos la configuración de directiva y configuramos que las contraseñas expiren después de 30
días damos clic en aplicar y luego aceptar
El sistema debe recordar las tres últimas contraseñas cambiadas por el usuario. La política de
contraseñas debe estar habilitada para usar un password seguro.
Para este caso usamos la misma ruta configuración de equipo > directivas > configuración de
Windows > configuración de seguridad > directivas de cuenta > directiva de contraseña. Damos
clip derecho en almacenar contraseña con cifrado reversible > propiedades
15. Habilitamos la configuración de directiva clic en aplicar luego aceptar
Ahora si podemos configurar, para que el sistema recuerde las tres últimas contraseñas cambiadas
por el usuario y lo hacemos mediante la siguiente ruta: Configuración de equipo > directivas >
configuración de Windows > configuración de seguridad > directivas de cuenta > directiva de
contraseña
Damos clic derecho sobre exigir historial de contraseña, clic en propiedades
Habilitamos la configuración de directivas y especificamos el número de contraseñas a recordar,
aplicamos los cambios y luego aceptar
16. 7: la carpeta documentos de todos los usuarios a apuntará a una carpeta independiente por usuario que
esté dentro de la carpeta compartida.controladordominiopublica:
Primero que todo creamos la carpeta publica que se va a conectar a las carpetas (documentos)De
todos los usuarios que se le aplique la política.
A esta carpeta la compartimos de la siguiente manera, clic derecho en la carpeta , propiedades y
nos paramos en la pestaña compartir
17. Luego clic en usos compartidos avanzados y señalamos compartíesta carpeta, luego en permisos,
aplicamos y aceptar
Le decimos que quite el grupo todos
18. Cuando no se encuentre ningún grupo nos dirigimos a agregar uno.
Damos en avanzadas, buscamos ahora, y seleccionamos el grupo Domain user y aceptamos
Con esto le dimos control a Domain users de la carpeta compartida; nos dirigimos nuevamente a
la carpeta C:, de nuevo clic derecho en la carpeta escogemos compartir , cambiar permisos de
usos compartidos
19. Compartir, listo vemos que la carpeta está perfectamente compartida hora procedemos a
configurar y aplicar la política adecuada. (Terminamos dando clic en (listo)
Estamos en el administración de directivas de grupo nos dirigimos a nuestra GPO principal (Call
Center),clic derecho editar y procedemos a configurarla. Configuración de usuario > directivas
>configuración de Windows >redirección de carpeta > documentos
20. Clic derecho sobre documentos y seleccionamos propiedades, en la pestaña Destino modificamos
esto y buscamos la ruta de la carpeta a compartir
Listo solo falta aplicar y aceptar
21. 8: Solo los administradores pueden apagar la máquina:
Esta política se la vamos a aplicar a los (Directivos, operadores)
Editamos nuevamente la GPO ya existente de Directivos y Operadores, en el editor de
administración de directivas de grupo nos paramos en configuración de usuario > directivas >
plantillas administrativas > menú inicio y barra de tareas >Luego le damos clic derecho sobre
quitar y evitar el acceso alos comandos apagar, etc.> propiedades
Habilitamos, aplicamos y aceptamos
22. 9: Solo los administradores pueden cambiar la hora del sistema:
Esta política será aplicada a la GPO de Call center
Ingresamos a administración de directivas de grupo, editamos la GPO, nos dirigimos a la siguiente
ruta, configuración de equipo > directivas > configuración de Windows > configuración de
seguridad > directivas locales >asignación de derechos de usuario > cambiar la hora del sistema
Agregaremos quienes pueden (agregar usuario o grupo)
23. Hacemos una busqueda avanzada de este usuario o grupo
Clic en Buscar ahora y escogemos a administradores, aplicar y aceptar
24. Vemos que ya quedo, solo queda aplicar y aceptar.
10: Todas las máquinas tendrán permanente la unidad H: que apuntará a la
rutacontroladordominiocompartida.
Procedemos a crear una carpeta compartida en la unidad C: de nuestro server, llamada (carpeta H)
La vamos a compartir, clic derecho en propiedades, en la pestaa conpartir escojemos la opcion
(uso compartido avanzado)
25.
26. Vamos a compartir la carpeta, cdamos clic derecho en la opcion compartir,luego cambiar permisos
de uso compartido
Seleccionamos compartir con Domain users
27. Como vemos ya esta perfectamente compartidad
Ahora le apricaremo una politica de usuario para que pueda quedar a todos las maquinas del
dominio. Editamos nuestra GPO de Call Center, configuracion de usuario > preferencias >
configuracion de windows > asignacion de unidades
28. Creamos una nueva unidad asignada, la configuramos de la siguiente manera
Nos dirigimos a la pestaña comune, destinatario
29. Final mente aplicammos y aceptamos
Vemos que se creo exitosamente
Al renicial el usuario del dominio podemos ver que ya tiene una unidad H