viernes, 24 de febrero de 2012

DIRECTIVAS DE GRUPO (GPO)

DIRECTIVAS DE GRUPO (GPO) EN WINDOWS SERVER 2008
ACTIVIDAD – ADMINISTRACION DE SOFTWARE
TECNOLOGIA EN ADMINISTRACION DE REDES
CENTRO DE SERVICIOS Y GESTION EMPRESARIAL
SENA – MEDELLIN
INDIARA RIOS GARCIA


OBJETIVOS
Implementar políticas o directivas de grupo locales en Windows Server 2008

INTRODUCCIÓN
Un objeto de directiva de grupo (GPO: Group Policy Object) es un conjunto de una o más políticas del sistema. Cada una de las políticas del sistema establece una configuración del objeto al que afecta. Por ejemplo, tenemos políticas para:

- Establecer el título del explorador de Internet
- Ocultar el panel de control
- Deshabilitar el uso de REGEDIT.EXE y REGEDT32.EXE
- Establecer qué paquetes MSI se pueden instalar en un equipo
- Etc…


Las directivas según el objeto al que configuran son:

Configuración del equipo: que se divide en:

« Configuración de software
« Configuración de Windows
« Plantillas administrativas

 Configuración del usuario: se divide en:

« Configuración de software
« Configuración de Windows
« Plantillas administrativas


 PROCEDIMIENTO

1. Cree los siguientes usuarios y grupos en Windows Server 2008 (También aplica para sistemas operativos Windows XP, Windows Server 2003, Windows Vista y Windows 7)

« Grupo: Killers
 -carlos
 -manuel

« Grupo: Timers
 -bruno
 -benji


NOTA: Cada usuario creado deberá cambiar su password al siguiente inicio de sesión


Para la creación de usuarios lo  que deberemos hacer es:
*Ingresara menú INICIO.
*Seleccionamos ADMINISTRADOR DEL SERVIDOR.
*Ya aquí desplegamos el fichero
Configuración y seleccionamos
Usuario y grupos locales.
*Aquí nos saldrán dos carpetas una  llamada usuarios y la otra grupos, solo deberemos dar click derecho a cada una de estas carpetas y seccionamos usuario nuevo o grupo nuevo.
Ya creados nuestros grupos y usuarios, seleccionaremos nuestro grupo he introducimos nuestros usuarios así:
-click a la carpeta grupos.
-seleccionamos nuestro grupo.
-le damos agregar.
-avanzado.
-buscar ahora
-y seleccionar los usuarios para el grupo


2. Implemente las siguiente políticas o directivas locales:


vamos a inicio - ejecutar - gpedit.msc.


con esto abrimos el editor de directivas local, para proceder a configurar los permisos y restricciones necesarios.

Directivas de configuración de equipo:

Y La vigencia máxima de la contraseña para todos los usuarios de la máquina será de 15 días



-desplegamos configuracion de windows
configuración de seguridad
directiva de cuentas
directiva de contraseñas...... y en este caso cambiaremos vigencia maxima de contraseña que por defecto viene para 42 días y la modificamos




Los usuarios que requieran cambiar su contraseña no podrán usar un password que se haya usado antes por lo menos desde los 2 últimos cambios.



Directiva de seguridad local.
*Directiva de cuenta.
*Directiva de contraseña.
*Longitud mínima de contraseña.






Y Las contraseñas deben cumplir con los requisitos de complejidad por defecto de Windows server ¿Cuáles son estos requerimientos?



Directiva de seguridad local.
*Directiva de cuenta.
*Directiva de contraseña.
*La contraseña debe cumplir con los requisitos de complejidad


-una contraseña basica debe contener como minimo mayusculas, minisculas y numeros; para aumentar su nivel de seguridad utilizamos caracteres caracteres especiales







Y Los usuarios del grupo Killers pueden apagar la máquina una vez hayan iniciado sesión, pero los usuarios del grupo ventas no podrán apagar el equipo (Desde el sistema operativo)



*Directiva de seguridad local.
*Directivas locales.
*Asignación de derecho de usuario.
*Apagar el sistema.
*Agregar usuario o grupo
*tipo de grupo y activamos la casilla grupos
*Avanzado
*Buscar ahora




Y Los usuarios del grupo Timers podrán cambiar la hora de la máquina local



*Directiva de seguridad local.
*Directivas locales.
*Asignación de derecho de usuario.
*Cambiar la hora del sistema
*Agregar usuario o grupo
*tipo de grupo y activamos la casilla grupos
*Avanzado
*Buscar ahora



Y Todos los usuarios tendrán las siguientes restricciones al usar el navegador Internet Explorer: No podrán eliminar el historial de navegación, No se permitirá el cambio de proxy ya que todos los usuarios usarán el mismo proxy (172.20.49.51:80), Configuración del historial deshabiltada, no permitir el cambio de las directivas de seguridad del navegador.


No se permitirá el cambio de proxy ya que todos los usuarios usarán el mismo proxy (172.20.49.51:80)

*Editor de directivas de grupo local.
*Configuración de usuario.
*Configuración  de  Windows.
*Mantenimiento de internet explore.
* Conexión.
*Configuración de los servidores proxy.
*Habilitamos la casilla Habilitar configuración de proxy y introducimos nuestradirección proxy



No podrán eliminar el historial de navegación.
*Editor de directivas de grupo local.
*Configuración de equipo.
*Plantillas administrativas.
*Componentes de Windows.
*Internet explore.
*Desactivar la funcionalidad “eliminar el historial de exploración”
*Seleccionamos la casilla habilitar.




Los usuarios no podrán cambiar el proxy.
*Editor de directivas de grupo local.
*Configuración de equipo.
*Plantillas a  administrativas.
*Componentes  de  Windows.
*Internet explore.
*Deshabilitar el cambio de configuración de proxy.
*Seleccionamos la casilla habilitar .



no permitir el cambio de las directivas de seguridad del navegador.
*Editor de directivas de grupo local.
*Configuración de equipo.
*Plantillas  administrativas.
*Componentes de Windows.
*Internet explore.
*Zona de seguridad:no permitir que los usuarios cambien las directivas.
*Seleccionamos la casilla habilitar




Y Desactivar la ventana emergente de reproducción automática


*Editor de directivas de grupo local.
*Configuración de equipo.
*Plantillas  administrativas.
*Componentes de Windows.
*Directiva de reproducción automática.
*Desactivar reproducción automática.
*seccionamos  la  casilla  deshabilitar




Y No permitir el apagado remoto de la máquina


*Directivas de seguridad local.
*Directivas locales.
*Asignación de derecho de usuario.
*Forzar cierre desde un sistema remoto



Y Aplicar cuotas de 50MB para todos los usuarios locales y remotos (Esta es un cuota muy baja y es usada solo para fines académicos)



*Editor de directivas de grupo local.
*Configuración de equipo.
*Plantilla administrativa.
*Sistema.
*Cuotas de disco.
*habilitamos:
habilitar cuotas de disco limite de cuota 
*aplicar limite de cuota de disco







Directivas de configuración de usuario:

Y La página principal que se cargará para cada usuario cuando abra su navegador será: http://www.sudominio.com (Página institucional de su empresa)



*Editor de directivas de grupo local.
*Configuración de usuario.
*Configuración de Windows.
*Mantenimiento de internet explore.
*Direcciones url.
*Direciones url importantes.





Y Restringir desde el navegador el acceso a los siguientes sitios: www.facebook.com y www.youtube.com por URL, para todos los usuarios. El administrador será el único
con la contraseña de supervisor para el Asesor de Contenidos.



*Editor de directivas de grupo local.
*Configuración de usuario.
*Configuración  de  Windows.
*Mantenimiento de internet explore.
*Seguridad.
*Zona de seguridad clasificada.
*Clasificación de contenidos seleccionamos importar la configuración actual de contenido.
*Seleccionamos la ficha sitios aprobados






 El servidor proxy para todos los usuarios locales será 172.20.49.51:80



Y Ocultar la unidad C:\ (NOTA: Esto no restringirá el acceso a dicha unidad)



*Editor de directivas de grupo local.
*Configuración de usuario.
*Plantilla  administrativa.
*Componentes  de  Windows.
*Explorador de Windows.
*Ocultar las unidades especificas en mi pc.
*Seleccionamos la casilla habilitar y seleccionamos la unidad a ocultar




Y Ocultar la menú opciones de carpeta del menú de herramientas. Esto con el fin de que los usuarios no puedan ver archivos ocultos o cambiar algunas configuraciones de las carpetas.





Y Restringir el acceso a la unidad E:\ desde mi PC



*Editor de directivas de grupo local.
*Configuración de usuario.
*Plantilla  administrativa.
*Componentes  de  Windows.
*Explorador de Windows.
*Impedir acceso a las unidades desde mi pc.
*Seleccionamos la casilla habilitar y seleccionamos la unidad a restringir.





Y Limitar el tamaño de la papelera de reciclaje a 100MB



*Editor de directivas de grupo local.
*Configuración de usuario.
*Plantilla  administrativa.
*Componentes  de  Windows.
*Explorador de Windows. 
*Tamaño máximo permitido para l papelera de reciclaje.
*seleccionamos la casilla habilitar  y ponemos la cantidad máxima





Y No permitir que se ejecute Messenger





Y Ocultar todos los elementos del escritorio para todos los usuarios.



*Editor de directivas de grupo local.
*Configuración de usuario.
*Plantilla administrativa.
*Escritorio.
*Ocultar y deshabilitar todos lo elementos del escritorio.
*seccionamos la casilla habilitar




Y Bloquear la barra de tareas



*Editor de directivas de grupo local.
*Configuración de usuario.
*Plantilla administrativa.
*Escritorio.
*habilitamos las dos ultimas lineas que son las que nos bloquean la barra de tarea




 Y Prohibir el acceso del Lecto-escritura a cualquier medio de almacenamiento extraible.


*Editor de directivas de grupo local.
*Configuración de usuario.
*Plantilla  administrativa.
*Sistemas.
*Acceso de almacenamiento extraíbles.
*Todas las clases de almacenamiento extraíbles: denegar acceso a todo