1. GPL (DIRECTIVAS DE GRUPO LOCALES) EN WINDOWS SERVER 2008 R2.
ANGIE VIVIANA LONDOÑO ÁLVAREZ.
NILSON ANDRÉS LONDOÑO HERNANDEZ.
CAMILA MARTÍNEZ LÓPEZ.
Tecnología en Gestión de Redes de Datos.
Ficha: 455596.
Instructor.
Mauricio Ortiz Morales.
SERVICIO NACIONAL DE APRENDIZAJE (SENA)
CENTRO DE SERVICIOS Y GESTIÓN EMPRESARIAL (CESGE)
MEDELLÍN ­ ANTIOQUIA.
2013
1

2. Indice.
Introducción......................................................................................................................................3
Creación de usuarios y grupos........................................................................................................4
Creación de usuarios.......................................................................................................................4
Creación de grupos e integración de usuarios................................................................................6
Directivas de configuración de equipo...........................................................................................11
Directivas de configuración de usuario.........................................................................................29
Conclusiones.................................................................................................................................40
2

3. Introducción.
Las directivas de grupo (GPO) es un componente que posee la familia de sistemas operativos
Windows en el cual se definen las reglas o políticas que compondrá o compartirá todo un
ambiente de cuentas de usuario en un sistema informático; este tipo de reglas controlan el
contenido al que los usuarios pueden acceder o no de acuerdo a la configuración aplicada y
mediante un sistema operativo Windows Server se determina cuáles políticas del sistema serán
aplicadas a cada usuario y/o equipo que se encuentre en un dominio, sitio o unidad organizativa.
Generalmente la gestión centralizada, configuración de sistemas operativos y gestión de
usuarios se lleva a cabo bajo un Active Directory (Directorio Activo).
Las directivas de grupo locales (GPL) son directivas de grupo que sólo se aplican para un host
local único.
3

4. Creación de usuarios y grupos en Windows Server 2008.
●
Grupo: Killers.
Usuarios: Carlos, Manuel.
●
Grupo: Timers.
Usuarios: Bruno, Benji.
NOTA: Cada usuario deberá cambiar su contraseña al inicio de sesión.
Para la creación de usuarios y grupos debemos ingresar al panel de administración de los
mismos, para esto, seguimos la secuencia, Start > All programs > Administrative Tools >
Computer Management.
4

5. En el menú Local Users and Groups se pueden observar dos carpetas Users y Groups, en
estos menús, configuramos los aspectos pertinentes a los usuarios del sistema y los grupos.
Creación de usuarios.
Para agregar un nuevo usuario, damos clic sobre el menú Users > Action > New User... (Otras
opciones para acceder a crear nuevos usuarios pueden ser las siguientes: clic derecho sobre el
panel de administración de los usuarios y New User ó clic derecho sobre la pestaña Users y
New User)
5

6. A continuación, rellenamos el siguiente formulario con los datos de el nuevo usuario que
deseemos crear y habilitamos las opciones según las necesidades que se tengan, en este
caso, sólo se necesita que cada usuario cambie su contraseña al iniciar sesión por primera
vez, para esto, marcamos la casilla User must change password at next logon (El usuario debe
cambiar la contraseña en el siguiente inicio de sesión). Repetimos el proceso para los demás
usuarios.
Al finalizar la creación de usuarios podemos observar los usuarios actuales del sistema.
6

7. Creación de grupos e integración de usuarios.
La creación de grupos es muy similar a la de usuarios, aunque cambian algunos aspectos ya
que se deben agregar usuarios a uno o varios grupos, para efectuar la creación de los grupos
nos dirigimos a la pestaña de Groups > Action > New Group.
Rellenamos el siguiente formulario; en el campo Group Name insertamos el nombre que tendrá
el grupo y en el campo Description agregamos la descripción que tendrá el grupo. Para agregar
los miembros del grupo nos vamos a la pestaña Add y damos clic sobre ella.
7

8. En esta ventana, seleccionamos los usuarios que pertenecerán al grupo mediante la pestaña
Advanced..
8

9. A primera vista, no aparecen los usuarios del sistema que deseemos agregar al grupo, para
buscar los usuarios damos clic sobre Find Now, posteriormente seleccionamos los usuarios.
9

10. Ahora, los usuarios Carlos y Manuel, ya hacen parte del grupo Killers, para concretar la creación
de grupo damos clic sobre Create.
10

11. Podemos observar que los grupos han sido creados.
Políticas o directivas locales a implementar.
Para abrir el panel de configuración de la edición de políticas locales y de grupo realizamos lo
siguiente: Abrimos la opción de ejecutar mediante Start > Run.
11

12. Dentro del cuadro de ejecución, insertamos el comando gpedit.msc para abrir el menú gestor
de las directivas de grupo y usuarios, pulsamos sobre OK.
Directivas de configuración de equipo.
1. La vigencia máxima de la contraseña para todos los usuarios de la máquina será de 15 días.
Para configurar los parámetros de contraseña de usuarios en la máquina nos vamos a
Computer configuration > Windows Settings > Security Settings > Account Policies > Password
Policies, en esta ventana podemos observar las diferentes opciones para las políticas de
contraseña de los usuarios locales, algunas de estas opciones trascienden en Enforcing
password history (forzar el historial de contraseña), hace que las contraseñas antiguas no se
reutilicen nuevamente luego de un número determinado de cambios de contraseña, Maximum
password age (Vigencia máxima de la contraseña), esta opción permite determinar el periodo de
en días el tiempo que tendrá vigencia una contraseña establecida a un usuario antes de que el
sistema le pida al usuario que la cambie, Minimum password age (Vigencia mínima de la
contraseña), establece el número mínimo en días en la que expirará una contraseña, si la
vigencia máxima es de entre 1 y 999 días, la edad mínima de la contraseña debe ser inferior a la
edad máxima de la contraseña, Password must me complexity requirements (La contraseña
debe cumplir los requerimientos de complejidad) y Store passwords using reversible encryption
(Almacenar contraseñas usando el cifrado reversible) proporciona compatibilidad a las
aplicaciones que utilizan protocolos que necesitan conocer la contraseña del usuario para la
autenticación.
12

13. 13

14. La opción que cumple el requerimiento de vigencia máxima de la contraseña de 15 días para
todos los usuarios de la máquina es Maximum password age (Vigencia máxima de la
contraseña), damos clic derecho sobre la opción que requirámos, seleccionamos Properties y
en la casilla, ingresamos el número de días máximos en los que la contraseña expira, pulsamos
sobre OK.
14

15. 2. Las contraseñas deben cumplir con los requerimientos de complejidad por defecto de
Windows Server ¿Cuáles son estos requerimientos?
Los requerimientos por defecto para una contraseña en Windows Server deben ser los
siguientes:
No contener el nombre o parte del nombre completo del usuario y que tengan más de dos
caracteres consecutivos la cuenta del usuario.
Tener por lo menos seis caracteres de longitud.
Contener caracteres de tres de las siguientes cuatro categorías: Caracteres en mayúsculas en
inglés (A a Z), caracteres en minúsculas en inglés (A a Z), base de 10 dígitos (del 0 al 9)
y los caracteres no alfabéticos (por ejemplo,!, $, #,%).
Para habilitar esta opción seguimos la ruta Computer configuration > Windows Settings >
Security Settings > Account Policies > Password Policies y clic derecho sobre Password must
meet complexity requirements. Seleccionamos en el cuadro de diálogo Enabled (Habilitado) y
pulsamos OK para finalizar.
15

16. 3. Los usuarios que requieran cambiar su contraseña no podrán usar un password que se haya
usado antes por lo menos desde los 2 últimos cambios.
Para cambiar este parámetro, nos dirigimos a la opción Minimum password age (Vigencia
mínima de contraseña), clic derecho, Properties, y en el recuadro marcamos el número de
cambios mínimos para usar una nueva contraseña, damos clic en OK para finalizar.
4. Los usuarios del grupo Killers pueden apagar la máquina una vez hayan iniciado sesión, pero
los usuarios del grupo ventas no podrán apagar el equipo (Desde el sistema operativo).
16

17. Nos dirigimos a Computer Configuration > Windows Settings > Security Settings > Local
Policies > User Rights Assignment > Shut down the system, damos clic derecho Properties y
Add User or Group.
En la nueva ventana seleccionaremos los usuarios o grupos que pertenecerán o serán parte de
esta política, seleccionamos Advanced para buscar específicamente el grupo Killers.
17

18. En la nueva ventana, seleccionaremos el grupo que podrán apagar el sistema operativo,
debemos especificar el tipo de objetos que deseemos buscar, para ello, damos clic sobre
Object Types...
18

19. Seleccionamos Groups y damos clic sobre Find Now.
Buscamos a el grupo Killers en la lista y damos OK.
Ahora, tenemos al grupo Killers como parte de la política de seguridad, pulsamos OK
19

20. 20

21. 5. Los usuarios del grupo Timers podrán cambiar la hora de la máquina local.
Para ejercer esta política sobre el grupo Timers nos vamos a Computer Configuration >
Windows Settings > Security Settings > Local Policies > User Rights Assignment > Change the
system time, clic derecho Properties. En la nueva ventana de dialogo seleccionamos Add User
or Group para seleccionar el grupo que será parte de la política para cambiar la hora de la
máquina local, ya que por defecto sólo los administradores y la cuenta LOCAL SERVICE, esta
cuenta es usada por el sistema para el control administrativo de los servicios, podrán hacer.
Seleccionamos Object Types
21

22. Seleccionamos el tipo de objeto Groups para buscar o detectar nombres sólo por grupos,
pulsamos OK.
Ingresamos el nombre del grupo o los grupos que serán parte de la política y damos clic sobre
Check Names (Comprobar nombres), es importante la buena escritura del nombre para que el
sistema lo acepte correctamente, pulsamos OK para finalizar este asistente.
22

23. 6. Todos los usuarios tendrán las siguientes restricciones al usar el navegador Internet Explorer:
No podrán eliminar el historial de navegación, No se permitirá el cambio de proxy ya que todos
los usuarios usarán el mismo proxy (172.20.49.51:80), configuración del historial deshabilItada,
no permitir el cambio de las directivas de seguridad del navegador.
23

24. ­ Todos los usuarios no podrán eliminar el historial de navegación.
Para que ninguno de los usuarios de la máquina local pueda eliminar el historial de navegación
nos dirigimos a Local Computer Policy > User Configuration > Administrative Templates >
Windows Components > Internet Explorer > Delete Browsing History, en esta ventana, se
encuentran todas las opciones pertinentes a la eliminación del historial de navegación en el
navegador Internet Explorer, es importante asegurarse de que no existen otros navegadores
instalados en el sistema, ya que los usuarios podrían evadir esta directiva facilmente. Para
inhabiltar la opción de borrar historial de navegación, acudimos a la directiva Turn off “Delete
Browsing History” functionality. (Desactivar la funcionalidad de eliminar historial del navegador) y
clic Edit.
24

25. Marcamos la opción Enabled para que los usuarios no puedan tener acceso a la ventana de
diálogo de eliminación de historial de navegación y pulsamos OK, para finalizar el asistente.
25

26. ­ No se permitirá el cambio de proxy ya que todos los usuarios usarán el mismo proxy
(172.20.49.51:80).
Para establecer un servidor proxy para todos los usuarios de la máquina local nos vamos a
User Configuration > Windows Settings > Internet Explorer Maintenance > Connection, en esta
ventana se encuentran las opciones para configurar elementos relacionados con la conexión de
Internet Explorer, para configurar el servidor proxy del navegador, damos clic derecho sobre
Proxy Settings y Properties, en el recuadro, escribimos, en este caso, la dirección IP del
servidor proxy, pulsamos OK para finalizar.
­ Configuración del historial deshabilItada.
26

27. ­ No permitir el cambio de las directivas de seguridad del navegador.
7. Desactivar la ventana emergente de reproducción automática.
Para desactivar la ventana de diálogo de reproducción automática nos vamos a User
Configuration > Administrative Templates > Windows Components > AutoPlay Policies,
seleccionamos Turn off AutoPlay hace que se deshabilite la reproducción automática ya que se
empieza a leer desde una unidad tan pronto como se inserta la tarjeta en la unidad. Como
resultado, el archivo de instalación de los programas y la música en los medios de
comunicación de audio comienzan inmediatamente, pulsamos OK para finalizar.
27

28. 8. No permitir el apagado remoto de la máquina
Para aplicar la política de no habilitar el apagado del sistema en forma remota, nos vamos a
Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights
Assignment > Force shutdown from remote system. En las propiedades de esta opción
observamos que sólo los administradores serán parte de esta regla, es decir, los usuarios que
tenemos creados actualmente y que no pertenecen a los usuarios del sistema.
28

29. 9.Aplicar cuotas de 50MB para todos los usuarios locales y remotos (Esta es un cuota muy baja
y es usada solo para fines académicos)
Para aplicar esta cuota, nos dirigimos a Computer Configuration > Administrative Templates >
Credentials Delegation > Disk Quoutas, este ajuste determina la cantidad de espacio en disco
puede ser utilizado por cada usuario en cada uno de los volúmenes del sistema de archivos
NTFS en un equipo, en este caso, será tan solo de 50 MB, pulsamos OK para guardar los
cambios.
Directivas de configuración de usuario.
1. La página principal que se cargará para cada usuario cuando abra su navegador será:
http://www.sudominio.com (Página institucional de su empresa)
Para que la página de inicio del navegador sea una específicamente seguimos la siguiente ruta
User Configuration > Windows Settings > Internet Explorer Maintenance > URLs, en esta
ventana se configuran los aspectos pertinentes a URLs en el navegador, para establecer una
página de inicio ingresamos a Important URLs y en el recuadro de configuración de Home page
URL ingresamos la página institucional de la empresa. Pulsamos OK para aceptar los cambios
y finalizar el asistente.
29

30. 2. El servidor proxy para todos los usuarios locales será 172.20.49.51:80.
Para establecer un servidor proxy para todos los usuarios de la máquina local nos vamos a
User Configuration > Windows Settings > Internet Explorer Maintenance > Connection, en esta
ventana se encuentran las opciones para configurar elementos relacionados con la conexión de
Internet Explorer, para configurar el servidor proxy del navegador, damos clic derecho sobre
Proxy Settings y Properties, en el recuadro, escribimos, en este caso, la dirección IP del
servidor proxy, pulsamos OK para finalizar.
30

31. 3.Restringir desde el navegador el acceso a los siguientes sitios: www.facebook.com y
www.youtube.com por URL, para todos los usuarios. El administrador será el único con la
contraseña de supervisor para el Asesor de Contenidos.
Para cambiar la directiva de restricción de sitios web nos dirigimos a User Configuration >
Windows Settings > Internet Explorer Maintenance > Security > Security Zones and Content
Ratings, en este recuadro encontramos las opciones de Zonas de seguridad y privacidad y
clasificaciones de contenido, para restringir el acceso usamos las clasificaciones de contenido.
Dado que la configuración del equipo local se importa para que la política se cumpla, la
configuración de IE ESC debe coincidir con el de los sistemas cliente. Usted puede apagar IE
ESC en el sistema de edición o simplemente editar la política desde un sistema cliente que no
tiene IE ESC activado.
31

32. En la pestaña de General creamos la contraseña de supervisor, sólo con esta password se
podrá acceder a los sitios de restricción.
32

33. 33

34. En la pestaña de Approved Sites ingresamos los sitios que no podrán ser accedidos en la
máquina local, los agregamos con Never para que no sean accesibles y guardamos con OK.
34

35. 4. Ocultar la unidad C: (NOTA: Esto no restringirá el acceso a dicha unidad)
Para ocultar la unidad C: nos dirigimos a User Configuration > Windows Components >
Windows Explorer > Hide these specified drives in My Computer, habilitamos la directiva con la
opción Enabled y en el recuadro Pick one of the following combinations seleccionamos la unidad
C: y finalizamos con OK para guardar los cambios.
5. Ocultar la menú opciones de carpeta del menú de herramientas. Esto con el fin de que los
usuarios no puedan ver archivos ocultos o cambiar algunas configuraciones de las carpetas.
En la ruta User Configuration > Windows Components > Windows Explorer > Removes the
Folder Options menu Items from the Tools menu, esta opción elimina el elemento Opciones de
carpeta en todos los menús del Explorador de Windows y elimina el elemento Opciones de
carpeta en el Panel de control. Como resultado, los usuarios no pueden utilizar el cuadro de
diálogo Opciones de carpeta, habilitamos mediante Enabled y finalizamos con OK.
35

36. 6. Restringir el acceso a la unidad E: desde mi PC
Para restringir el acceso a la unidad User Configuration > Windows Components > Windows
Explorer > Hide these specified drives in My Computer, habilitamos y aceptamos cambios con
OK.
36

37. 7. Limitar el tamaño de la papelera de reciclaje a 100MB.
Este parámetro lo configuramos a través de la ruta User Configuration > Windows Components
> Windows Explorer > Maximum allowed Recycle Bin Size; Esta directiva limita el porcentaje de
espacio en disco de un volumen que se puede utilizar para almacenar archivos eliminados.
8. No permitir que se ejecute messenger User Configuration > Windows Components >
Windows Messenger > Do not allow Windows Messenger to be run y habilitamos para que los
usuarios no tengan acceso a Messenger en la máquina local, aunque este servicio fue removido
de la famila Windows.
37

38. 9. Ocultar todos los elementos del escritorio para todos los usuarios.
Nos dirigimos a User Configuration > Administrative Templates > Desktop > Hide and disable
all items on the desktop, habilitamos esta opción para que los usuarios no tengan acceso a
Eliminar iconos, accesos directos y otros por omisión y los elementos definidos por el usuario
desde el escritorio, incluyendo Maletín, Papelera de reciclaje, PC y ubicaciones de red.
10. Bloquear la barra de tareas
38

39. 11. Prohibir el acceso del Lecto­escritura a cualquier medio de almacenamiento extraíble.
Para la prohibición de de el acceso a lectura y escritura en cualquier dispositivo de
almacenamiento seguimos User Configuration > Windows Templates > System > Removable
Storage Access > Removable Disks: Deny read access y Removable Disk : Deny write
access.
Prohibición de lectura.
39

40. Prohibición de escritura.
40

41. Conclusiones.
La directivas de grupo locales se habilitan sólo para la máquina local.
Las directivas ayudan a tener control sobre el contenido al que los usuarios pueden tener o no
acceso, ayudando así a la seguridad de la máquina.
La mayoría de políticas se aplican a todos los usuarios de la máquina incluyendo el
administrador del sistema, por ende, se debe tener sumo cuidado al manejar estas directivas.
41