Actividad 8 Directivas de grupos locales (GPO)

Post on 05-Dec-2014

1.559 views 1 download

description

 

Transcript of Actividad 8 Directivas de grupos locales (GPO)

1

ACTIVIDAD 8:

DIRECTIVAS DE GRUPOS LOCALES (GPO)

Santiago Cadavid Gómez

Jorge Andrés Ocampo Suarez

Alejandro Mesa Ramírez

Ficha: 455596

Instructor: Andrés Mauricio Ortiz

Tecnología en administración de redes de datos

SENA

(Servicio Nacional De Aprendizaje)

Medellín 2013

2

Contenido

Pág.

Introducción………………………………………………………………………..3

Creación de grupos y usuarios………………………………………………4-13

Directivas de configuración de equipo……………………………………..14-37

Directivas de configuración de usuario…………………………………….38-55

Conclusiones……………………………………………………………………..56

Web-grafía………………………………………………………………………..57

3

Introducción

El siguiente trabajo tiene como objetivo demostrar la manera de configurar las

directivas de grupos locales en Windows server 2008 r2 utilizando, dando a

conocer las reglas o políticas del sistema tanto para los usuarios como para el

equipo.

4

Directivas de Grupos Locales (GPO)

1. Cree los siguientes usuarios y grupos en Windows Server 2008 (También

aplica para sistemas operativos Windows XP, Windows Server 2003, Windows Vista y Windows 7), en nuestro caso Windows Server 2008 r2.

Grupo Killers:

Carlos

Manuel

Grupo Timers:

Bruno

Benji

Para comenzar nos dirigiremos a “Computer Management”:

5

Creamos un nuevo usuario:

Seleccionamos nombre, contraseña y la opción para que tenga que cambiar

contraseña la próxima vez que acceda a su cuenta:

6

7

Verificamos que los usuarios se hayan creado correctamente:

8

Creamos un nuevo grupo:

Seleccionamos el nombre, una descripción y le damos “Add” para añadir usuarios:

9

En esta ventana seleccionaremos “Advanced”:

En esta ventana seleccionamos “Find Now” y seleccionamos el usuario a añadir:

10

Le damos a ok Para añadir el usuario:

Hacemos lo mismo para el otro usuario y al final deberán quedar los dos usuarios

registrados:

11

Ahora realizamos los mismos pasos para el grupo “Timers”:

12

13

Verificamos que los grupos se hayan creado correctamente:

14

2. Implemente las siguientes políticas o directivas locales: Directivas de configuración de equipo: La vigencia máxima de la contraseña para todos los usuarios de la máquina será de 15 días: Para esto usaremos ejecutar:

Ejecutamos el siguiente comando:

Una vez dentro nos dirigiremos a la siguiente ruta y editaremos el siguiente archivo:

15

Lo abrimos y lo cambiamos por 15:

Verificamos el resultado:

16

Las contraseñas deben cumplir con los requisitos de complejidad por defecto de Windows server ¿Cuáles son estos requerimientos?:

Traducción:

No contener el nombre de cuenta del usuario o partes o partes del nombre completo del usuario en más de dos caracteres consecutivos

Tener una longitud mínima de 6 caracteres

Incluir caracteres de las siguientes tres categorías: Mayúsculas, Minúsculas, Dígitos

Caracteres no alfanuméricos

17

Nos aseguramos de que los requerimientos mínimos de contraseña estén activados:

Verificamos:

18

Los usuarios que requieran cambiar su contraseña no podrán usar un password que se haya usado antes por lo menos desde los 2 últimos cambios: Para esto editaremos el archivo “Enforce Password history Properties” en la misma ruta de los archivos anteriores:

Verificamos:

19

Los usuarios del grupo Killers pueden apagar la máquina una vez hayan iniciado sesión, pero los usuarios del grupo ventas no podrán apagar el equipo (Desde el sistema operativo): Nos dirigimos a la siguiente ruta y editamos el siguiente archivo:

Lo abrimos y le damos añadir:

20

Seleccionamos la opción “Objet Types” para incluir los grupos:

21

Seleccionamos el grupo a añadir:

Verificamos y aplicamos:

22

Los usuarios del grupo Timers podrán cambiar la hora de la máquina local: Vamos a la siguiente ruta y abrimos el siguiente archivo:

23

Le damos a añadir usuario o grupo:

Seleccionamos la opción “Objet Types” para incluir los grupos:

24

Seleccionamos el grupo “Timers”:

Le damos a añadir:

25

Verificamos y le damos aceptar:

26

Todos los usuarios tendrán las siguientes restricciones al usar el navegador Internet Explorer: No podrán eliminar el historial de navegación, No se permitirá el cambio de proxy ya que todos los usuarios usarán el mismo proxy (172.20.49.51:80), Configuración del historial deshabilitada, no permitir el cambio de las directivas de seguridad del navegador: Nos dirigimos a la siguiente ruta y nos dirigimos a la siguiente carpeta:

Ingresamos a Internet Explorer:

27

Entramos a borrar el historial de búsqueda:

28

Editamos el siguiente archivo:

Lo activamos “enable”:

29

Verificamos que se haya activado correctamente:

Para la configuración del proxy nos dirigimos a la siguiente ruta y abrimos el siguiente archivo:

Escribimos el proxy y marcamos a opción para que sea usado para todas las

direcciones:

30

Para deshabilitar el cambio de proxy iremos a la siguiente ruta y editaremos el

siguiente archivo habilitando la prohibición del cambio de proxy:

31

Verificamos:

Para deshabilitar la posibilidad de configurar historial de configuración iremos a la

siguiente ruta y editaremos el siguiente archivo:

Lo deshabilitamos:

Verificamos:

32

Para denegar el cambio de las directivas en el navegador, vamos a la siguiente

ruta y editamos el siguiente archivo:

Activamos “enable”:

33

Verificamos:

Desactivar la ventana emergente de reproducción automática: Para esto nos dirigiremos a la siguiente ruta y editaremos el siguiente archivo:

Activamos la configuración “enable” y seleccionamos el tipo de dispositivo:

34

Verificamos:

No permitir el apagado remoto de la máquina:

En computer Configuration, Administrative Templates, Windows Components,

Shutdown Options:

Se habilita la primera opción:

35

Aplicar cuotas de 50MB para todos los usuarios locales y remotos (Esta es una

cuota muy baja y es usada solo para fines académicos):

En computer configuration, Administrative templates, system. Disk quotas:

36

Se habilita la primera opción:

37

Se habilita la opción de límite y se especifica 50Mb:

38

Directivas de configuración de usuario:

La página principal que se cargará para cada usuario cuando abra su navegador será: http://www.sudominio.com (Página institucional de su empresa): En User configuration, Windows settings:

Se ingresa a URLs:

39

Se ingresa a Important URLs:

40

Se especifica la URL:

El servidor proxy para todos los usuarios locales será 172.20.49.51:80: En user configuration, Windows settings, internet explorer, connection, proxy

settings:

41

Restringir desde el navegador el acceso a los siguientes sitios: www.facebook.com

y www.youtube.com por URL, para todos los usuarios. El administrador será el único

con la contraseña de supervisor para el Asesor de Contenidos:

En User configuration, Windows settings. Internet explorer, security:

42

43

En Content ratings, modify settings:

En la pestaña Approve Sites, se especifica el sitio y never:

44

Se crea la contraseña y se pone una pista para recordarla:

Ocultar la unidad C:\ (NOTA: Esto no restringirá el acceso a dicha unidad):

En user configurations, windows components, windows explorer:

45

Se habilita la primera opción, y se especifica la unidad a ocultar:

46

Ocultar el menú opciones de carpeta del menú de herramientas. Esto con el fin de que los usuarios no puedan ver archivos ocultos o cambiar algunas configuraciones de las carpetas: En user configuration, administrative template, Windows settings, windows explorer,

opción marcada:

Restringir el acceso a la unidad E:\ desde mi PC: Para restringir el acceso a una unidad “E, A, C…” desde la ventana Mi PC solo

debemos ingresar al editor de directivas “gpedit.msc” e ingresar a la ruta “User

settings > Administrative Template > Windows Components > Windows Explorer” al

estar en esta ruta ingresamos a la opción que a continuación veremos resaltada:

47

En la ventana emergente seleccionamos la opción “Enabled” y procedemos a ir a la

lista desplegable donde seleccionaremos la unidad a la cual se va a restringir el

acceso:

48

Limitar el tamaño de la papelera de reciclaje a 100MB: En la limitación del tamaño de la papelera de reciclaje se puede alterar de dos

maneras, en el editor de directivas ingresar a la ruta “Configuración de usuario >

Plantillas administrativas > Componentes de Windows” y en dicha ruta buscamos la

opción “tamaño máximo permitido de la papelera de reciclaje”.

Allí habilitamos la opción y seleccionamos el porcentaje del disco que tendrá

designado para la papelera:

49

Esta manera solo permite seleccionar por porcentaje del disco duro el tamaño

máximo permitido para la papelera, la otra manera es la siguiente:

50

Clic derecho en la papelera de reciclaje que está ubicada en el Escritorio y en la

ventana emergente personalizamos dicho tamaño en la opción “Custom Size”:

Damos clic en “Apply” y luego en “Ok”.

No permitir que se ejecute Messenger:

En ocasiones se debe restringir el uso de ciertas aplicaciones que no deben usar el

servidor o la máquina para ello haremos lo siguiente:

Ingresaremos a la siguiente ruta en el editor de directivas:

51

En esta carpeta buscamos la opción:

Y en la ventana emergente Habilitamos la opción “Enabled” damos clic en el botón

“Apply” y luego en “Ok”:

Ocultar todos los elementos del escritorio para todos los usuarios: Para ocultar los elementos del escritorio debemos de ingresar al editor de registro:

52

Luego ir a la ruta:

“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\E

xplorer”

Y crear el registro “DWORD” llamado “NoDesktop”:

Dicho registro tendrá que tener el siguiente valor:

53

Bloquear la barra de tareas: Para cumplir con el procedimiento de cambiar la barra de tareas se debe ingresar a

la ruta:

Y allí buscamos la opción “Lock Taskbar”:

En dicha opción establecemos la opción “Enabled” para habilitarla y luego dar clic

en el botón “Apply” y luego en “Ok”:

54

Prohibir el acceso del Lecto-escritura a cualquier medio de almacenamiento extraíble:

Muchas veces se intentan hacer robos y delitos informáticos por medio de dispositivos extraíbles, para prevenirnos de este tema solo debemos deshabilitar las funciones de lecto-escritura de dichos dispositivos, para ello ingresamos a la ruta:

Y buscamos las opciones:

Y habilitaremos la opción “Enabled” y luego en “Apply” y “Ok” en ambas opciones:

55

56

Conclusiones

En las directivas de grupo locales debemos tener muy en cuenta que

editamos pues en las opciones podemos alterar algo que lleve como

consecuencia el daño del sistema operativo.

Al establecer Directivas estamos haciendo de una u otra manera que nuestro

sistema sea más seguro, impidiendo que otros usuarios puedan hacer un uso

sin control de dichos recursos.

Al crear una directiva se debe tener en cuenta si es para un usuario en

específico o solamente un grupo e incluso todo el equipo y así evitar

conflictos.

Dar límite de uso de los discos, en cuanto al espacio a utilizar dentro de el,

da mayor rendimiento y más capacidad, a usuarios administrativos, hay que

tener en cuenta que el mal uso de esta opción puede causar problemas con

los usuarios.

La configuración de proxis hace que los datos de descarga que pide el

usuario ante la navegación en la red (internet) cargue más rápido, es una de

las pocas ventajas que tiene el uso de ellos.

Dando permisos para cambiar la hora a grupos específicos evitaremos que

personas indeseadas realicen cambios.

57

Web-grafía

http://brendaredes.files.wordpress.com/2012/05/actividad-8.pdf

http://serviciosderednoona.wordpress.com/administracion-de-directivas-de-

grupo-local/

http://www.slideshare.net/hobbysaavedra/tema-02-directivasdecontraseas