1. TALLER DE HABILIDADES FINAL
JHOAN CAUSIL
INSTRUCTOR
JUAN DAVID GRAJALES
GESTIÓN DE REDES DE DATOS
683376
SERVICIO NACIONAL DE APRENDIZAJE
SENA
MEDELLÍN
2015
2. INTRODUCCIÓN
Para mantener una red controlada, usuarios y grupos bajo un mismo dominio
previamente administrado por un servidor, es importante conocer y entender las
características importantes que ofrece una GPO.
¿Y qué es una GPO? (Group Policy Management) como lo traduce sus siglas en
inglés, significa en español “Administración de Directivas de Grupo”, es un conjunto
de reglas que controlan el medio ambiente de trabajo de cuentas de usuario y cuentas de
equipo. Directiva de grupo proporciona la gestión centralizada y configuración de
sistemas operativos, aplicaciones y configuración de los usuarios en un entorno
de Active Directory. En otras palabras, la Directiva de Grupo, en parte, controla lo que
los usuarios pueden y no pueden hacer en un sistema informático.
Las GPO se pueden diferenciar dependiendo del objeto al que configuran y se pueden
entender en distintos niveles:
Equipo Local: tan solo se aplican en el equipo que las tiene asignadas
independientemente del dominio al que pertenezca.
Sitio: se aplican a los equipos y/o usuarios de un sitio, independientemente del
dominio.
Dominio: se aplican a todos los equipos y/o usuarios de un dominio.
Unidad Organizativa (OU): se aplican únicamente a los equipos y/o usuarios
que pertenecen a la OU.
3. Dentro de la configuración de directiva se puede acceder a lo siguiente:
Configuración de equipo
Configuración de usuario
Ambos elementos se dividen en los mismos submenús, pero las políticas son distintas.
4. PLANTEAMIENTO DEL PROBLEMA
La empresa El PROGRESO requiere el diseño e implementación de un servicio para
mantener información centralizada de los recursos de la red. Se requiere
entonces que la información de los objetos de la red sea almacenada en un servicio de
Directorio Ligero (Active Directory) en Windows Server 2012.
En esta actividad usted debe desarrollar cada uno de los pasos que se exponen a
continuación: A partir del diagrama de la figura 1 cree una estructura LDAP en la que se
pueda englobar a todos los empleados de la empresa para poder autenticarlos
(Posteriormente los usuarios del directorio será usados como usuarios de correo
electrónico).
Cada departamento de la empresa El Progreso será agregado a la estructura lógica de
Active Directory a través de unidades organizativas. Cada unidad organizativa anidará
otras unidades organizativas que permitirán tener un control sobre los recursos de red de
cada dependencia. Estos contenedores serán: Usuarios y grupos, Equipos, Impresoras
y Carpetas compartidas. Tenga en cuenta que dentro de cada departamento existen por
lo menos 10 usuarios y que la información de cada usuario en el directorio debe ser
detallada.
NOTA: Los puntos a desarrollar ya se han instalado, configurados y ejecutados
previamente. En este documento solo se ha de mostrar con imágenes el lugar específico
de donde se encuentran las GPO y luego aplicarlas en clientes.
Para ver la instalación desde el inicio de un servidor, la creación de Unidades
Organizativas y Agregación de usuarios
vista este link http://es.slideshare.net/jcausil1/solucin-taller-de-habilidades
5. Después de haber instalado el servidor con el nombre indicado, en la información del
servidor se puede observar: Nombre del servidor, nombre del dominio y nombre del
equipo.
En el bosque principal se han creado los departamentos requeridos para la Empresa “El
Progreso”. En cada Unidad Organizativa están los contenedores indicados.
6. Se han de aplicar 3 GPO: La principal para todos los usuarios, la del departamento de
compras, y las que se han de deshabilitar en el departamento de Sistemas.
Se forzará a todos los usuarios del dominio progreso.com a cambiar su
contraseña cada 15 días y el sistema debe recordar las tres últimas contraseñas
cambiadas por el usuario. La política de contraseñas debe estar habilitada para
usar un password seguro.
Para ello, se ingresa a la directiva que se desea aplicar la política.
Luego se procede a la siguiente ruta:
Configuración de equipo>Directivas>Configuración de Windows>Configuración de
seguridad>Directiva de cuenta>Directiva de contraseñas.
Tal cual se muestra en la figura.
7. A todos los usuarios, exceptuando los administradores del dominio y los usuarios del
departamento de Sistemas, tendrán restringido el acceso a los siguientes componentes:
Menú Ejecutar
La ruta en la cual de aplica la GPO
Configuración de usuario>Directivas>Plantillas Administrativas>Menú inicio y barra
de tareas
Panel de control
La ruta indicada para esta política es:
Configuración de usuario>Directivas>Plantillas Administrativas>Panel de control
8. REGEDIT
Para desactivar este uso, se procede a editar la GPO deseada con la siguiente
Configuración del Usuario>Directivas>Plantillas administrativas>Sistema
Se aplican y se guardan los cambios.
Nota: Para probar que sí esté funcionando correctamente, se inicia una máquina que esté
dentro del dominio y se prueba
Se abre la barra Ejecutar y se escribe el comando regedit y luego aceptar.
Este es el resultado que debe de arrojar el sistema, significa que está funcionando la
política correctamente.
9. Unidad C: (Visualizar la unidad)
Configuración del Usuario>Directivas>Plantillas administrativas>Explorador de
archivos>Ocultar estas unidades específicas en mi PC
Reproducción automática de medios extraíbles
Al momento de insertar cualquier almacenamiento extraíble en el PC, el mismo corre
riesgo de cualquier virus. Esta herramienta es útil al momento de querer implementar
seguridad en nuestro dominio y los equipos que estén en el mismo.
Para esta opción, de debe configurar en la pestaña de la GPO
Configuración del Usuario>Directivas>Plantillas administrativas>Directivas de
Reproducción automática
10. Cambiar la página predeterminada de Internet Explorer (Se cargará por
defecto la página principal del sitio www.elprogreso.com)
Configuración del Usuario>Directivas>Plantillas administrativas>Componentes de
Windows>Internet Explorer>Cambio de configuración principal
Se inicia un cliente que esté dentro del dominio y se hace una prueba con el navegador
de Internet Explorer.
11. Acceso desde el navegador a los siguientes sitios: www.facebook.com y
www.youtube.com por URL, para todos los usuarios.
El administrador será el único con la contraseña de supervisor para el
Asesorde Contenidos.
Configuración del Usuario>Directivas>Plantillas administrativas>Componentes de
Windows>Internet Explorer>Panel de control de Internet>Página de seguridad
Desbloquear la barra de tareas (Siempre permanecerá bloqueada)
Acceso del Lecto-escritura a cualquier medio de almacenamiento extraíble.
NOTA: En algunas empresas el almacenamiento se maneja solo a través de
unidades de red y no se permite el uso de medios extraíbles para evitar que
información confidencial sea accesible.
Configuración del Usuario>Directivas>Plantillas administrativas>Componentes de
Windows> Menú inicio y Barra de tareas
12. Con el mismo usuario que se ha iniciado sesión (usuario cualquiera) se ha de
comprobar que se ha bloqueado la barra de tareas. Tal cual se muestra la imagen. Está
ejecutándose la política configurada
A los usuarios del departamento de Compras se le aplacarán las siguientes GPOs
(Adicional a las mencionadas anteriormente):
No podrán visualizar los elementos del Escritorio
Se procede a la siguiente ruta para habilitar la política.
Configuración del Usuario>Directivas>Plantillas administrativas>Active Desktop
13. No podrán apagar la máquina (Desde el Sistema operativo)
Configuración del Usuario>Directivas>Plantillas administrativas>Componentes de
Windows> Menú inicio y Barra de tareas
Se hace una prueba con un usuario del departamento de Compras.
No le permite Apagar el equipo. La política está aplicada correctamente.
Quitar el administrador de tareas
Configuración del Usuario>Directivas>Plantillas administrativas>Sistema>Opciones
de Ctrl+Alt+Supr
14. No bootear por USB ni unidad de cd
La ruta para aplicar esta política es la siguiente:
Configuración del Usuario>Directivas>Plantillas administrativas>Sistema>Acceso a
almacenamiento extraíble.
Dentro de cada unidad organizativa Usuarios y Grupos se crearán un grupo
de usuarios llamado practicantes. Las cuentas de los practicantes
caducarán 6 meses después de su creación. Los practicantes solo pueden
iniciar sesiónde lunes a viernes de 7 AM a 6 PM. Conceder al grupo
practicantes solo el acceso a la carpeta compartida PRACTICANTES. (Una
vez que cada uno de estos usuarios inicie sesióndeberá conectarse
automáticamente a una unidad de red).
Primero que todo, a los usuarios que están dentro de cada contenedor de las unidades
organizativas, se les añade un grupo (en este caso el grupo se llama Practicantes
Compras).
Se le añaden los miembros al grupo del mismo contenedor, es decir, los usuarios del
departamento de Compras van a quedar dentro del grupo Practicantes Compras.
Se puede visualizar en la siguiente imagen los usuarios que están dentro del mismo.
15. Para aplicarles el acceso a los usuarios, se procede a la pestaña de Propiedades, después
en Cuenta y allí se escoge Horas de inicio de sesión.
Tal cual se muestra en las siguientes imágenes.
Se le indica a este usuario que solo puede iniciar sesión desde las 7:00 AM hasta las
6:00PM
16. Desde el servidor (en el disco local C: ) se crea una carpeta llamada PRACTICANTES
y se comparte.
Nuevamente en la pestaña Propiedades de un usuario, se dirige a conceder el acceso a la
carpeta que ya se ha creado en el servidor para que el mismo tenga acceso cuando inicie
sesión.
17. Se puede comprobar que cuando el usuario se dirige al equipo puede visualizar la
carpeta que se ha compartido previamente.
La política está configurada correctamente
Los aprendices no pueden instalar programas.
Configuración de equipo>Plantillas administrativas>Componentes de
Windows>Windows Installer
Cada vez que los usuarios del departamento Web y Comercio Electrónico
inicien sesiónse montarán automáticamente dos unidades de red que se
mapean a carpetas compartidas en un servidor Windows Server 2012. Note
que primero debe compartir las carpetas en algún servidor (Controlador de
dominio u otro) antes de montarlas automáticamente. Todos los usuarios
del departamento tendrán una cuota de 1000MB sobre la unidad de red.
Cuota de disco es un límite establecido por el administrador del sistema que restringe
ciertos aspectos del uso del sistema de archivos en los sistemas operativos modernos. El
objetivo de la utilización de las cuotas de disco es limitar la asignación de espacio en
el disco duro de una manera razonable.
18. Para crear una cuota, primero se debe instalar una opción llamada “Administración de
recursos del servidor de archivos” desde la pestaña “Agregar roles y características” en
el servidor deseado.
Una vez se haya instalado, se procede a configurar
Se abre una ventana así
Para crear una cuota, se despliega la pestaña “Administración de cuotas” y se agrega
una así:
19. Los pasos a seguir para crear una cuota son:
Paso 1: Agregar una carpeta desde en el servidor (ejemplo: Disco C) con el nombre que
se ha de llamar la cuota. (En este caso dos carpetas, una para los usuarios de Comercio
Electrónico y la otra para los usuarios de Web)
Paso 2: Después de haber creado las carpetas con los respectivos nombres, desde el
“Administrador de recursos de servidor de archivos” y de la creación de cuota, se
escoge la ruta donde se desea instalar la cuota.
Paso3: Verificar desde el servidor que quedaron creadas las cuotas necesarias.
20. Los usuarios de los departamentos de Diseño Gráfico y Comerciales
Externos solo podrán iniciar sesiónen los equipos que pertenecen a dicho
departamento.
Desde el bosque principal, se agregan los equipos necesarios en los contenedores que se
crearon con anterioridad. Se puede desde el usuario Propiedades>Cuenta>Iniciar
sesión en>Los siguientes equipos
Se agrega el nombre como tal de el/los equipos que se vayan a dar autorización para que
dichos miembros inicien sesión.
Se configura así:
Las dos impresoras de la empresa, que estánfísicamente ubicadas en los
departamentos de Sistemas y Dirección Técnica, deben publicarse en el
directorio para que los usuarios del dominio puedan encontrar fácilmente
estos recursos.
Para efectos prácticos use impresoras PDF (por ejemplo doPDF, aunque existen
muchas más) y compártalas.
Para este punto se han instalado dos aplicaciones en el servidor (las mencionadas
anteriormente) y se han de configurar así.
21. -Paso 1
Después de haber instalado las Impresoras,en Panel de control>Hardware>Dispositivose
Impresoras se comparten las impresoras para tomarlas al servidor y en el bosque principal
-Paso 2
Dentro del bosque, se han de buscar las impresoras.
Sí están compartidas con anterioridad, aparecen talcual muestra la imagen. De lo contrario,
proceda a repetir los pasos anteriores.
22. -
-Paso 3
-Para elDepartamento de Sistemas se escoge la Impresora doPDF8
-Para elDepartamento de Dirección Técnica se escoge la Impresora PDF24
23. PRUEBA DE LA IMPRESORA FUNCIONANDO
Se debe escoger la impresora que se ha compartido en la red y que se ha instalado en el servidor.
Se imprime la imgen
Para verificar que la impresora está funcionando correctamente,debe aparecer un mensaje así al
momento que se da click en la opción “Imprimir”
Todo está funcionando correctamente.
Gracias por su atención.