DIRECTIVAS DE GRUPO (GPO) EN WINDOWS SERVER 2008

MODULO DE SOFTWARE DE ADMINISTRACION

POR:

JUAN CAMILO GONZÁLEZ LÓPEZ

INSTRUCTOR:

LUIS FELIPE LONDÑO

ORDEN: 35442

TECNOLOGIA EN ADMINISTRACION DE REDES DE COMPUTO CENTRO DE SERVICIOS Y GESTION EMPRESARIAL

MEDELLIN-ANTIOQUIA 2011

1. Cree los siguientes usuarios y grupos en Windows Server 2008 (También aplica para sistemas operativos Windows XP, Windows Server 2003, Windows Vista y Windows 7) Grupo: Killers (Carlos y Manuel) Grupo: Timers (Bruno y Benji) NOTA: Cada usuario creado deberá cambiar su password al siguiente inicio de sesión En primer lugar vamos a crear nuestros usuarios Carlos y Manuel que van a pertenecer al grupo Killer Benji y Bruno que pertenecen al grupo Timers esto lo hacemos con el siguiente procedimiento: Inicio – Herramientas Administrativas - Administración de equipos

Clic derecho en usuario – usuario nuevo

Vamos a poner solamente el ejemplo con la creación del usuario Carlos ya que para los otros usuarios es el mismo procedimiento ingresamos la contraseña dejamos la primera casilla seleccionada y le damos clic en crear

Aquí ya vemos los 4 usuarios creados Manuel, Carlos, Bruno y Benji

Ahora creamos los grupos que son Killers y Timers ahora nos ubicamos en grupos clic derecho Grupo nuevo

Le ponemos el nombre al grupo que estamos creando en este caso Killers y le damos clic en crear

Aquí ya vemos los 2 grupos creados Ahora vamos a agregar los usuarios a los grupos en este caso tomaremos como ejemplo el ingreso de el usuario Manuel al grupo Killers Damos clic derecho en el grupo Killers después damos agregar y le ponemos el nombre en este caso Manuel después comprobar nombres y aceptar es importante tener en cuenta que por defecto cuando vamos a agregar un usuario nos aparece un usuario genérico el cual dice usuarios o en otros casos usuarios autenticados el cual lo debemos dejar para que los usuarios que creamos nos aparezcan en el inicio de sesión de usuarios

Y nos quedaría así:

2. Implemente las siguientes políticas o directivas locales Directivas de configuración de equipo: Ahora para configurar las políticas de o directivas de grupo (GPO) ingresamos por el menú ejecutar con el comando gpedit.msc este que significa editar políticas de grupo y msc significa Microsoft Services

La vigencia máxima de la contraseña para todos los usuarios de la máquina será de 15 días esto lo hacemos por la siguiente ruta: Directiva de equipo local – configuración de equipo – configuración de Windows – configuración de seguridad – directivas de cuenta – directiva de contraseñas y allí en la opción vigencia máxima de la contraseña le ponemos la duración en este caso 15 días y le damos aceptar.

Las contraseñas deben cumplir con los requisitos de complejidad por defecto de Windows server ¿Cuáles son estos requerimientos? Si se habilita esta directiva, las contraseñas deben cumplir los siguientes requisitos mínimos: No contener el nombre de cuenta del usuario o partes del nombre completo del usuario en más de dos caracteres consecutivos Tener una longitud mínima de seis caracteres Incluir caracteres de tres de las siguientes categorías: Mayúsculas (de la A a la Z) Minúsculas (de la a a la z) Dígitos de base 10 (del 0 al 9) Caracteres no alfanuméricos (por ejemplo, !, $, #, %) Estos requisitos de complejidad se exigen al cambiar o crear contraseñas. Valor predeterminado: Habilitada en controladores de dominio. Deshabilitada en servidores independientes. Nota: de forma predeterminada, los equipos miembros usan la configuración de sus controladores de dominio. En este caso habilitamos y le damos aceptar La ruta sería la siguiente: Directiva de equipo local – configuración de equipo – configuración de Windows – configuración de seguridad – directivas de cuenta – directiva de contraseñas

Los usuarios que requieran cambiar su contraseña no podrán usar un password que se haya usado antes por lo menos desde los 2 últimos cambios.

Aquí ponemos 2 que es el numero de contraseñas recordadas y por lo tanto el usuario por podrá repetirlas Los usuarios del grupo Killers pueden apagar la máquina una vez hayan iniciado sesión, pero los usuarios del grupo Timers no podrán apagar el equipo (Desde el sistema operativo) Ingresamos por: Directiva del equipo local - configuración del equipo - configuración de Windows - configuración de seguridad - directivas locales - Asignación de permisos Agregamos el grupo killers a apagado del sistema

Los usuarios del grupo Timers podrán cambiar la hora de la máquina local Directiva del equipo local - configuración del equipo - configuración de Windows - configuración de seguridad - directivas locales - Asignación de permisos Agregamos el Timers a cambiar la hora local

Todos los usuarios tendrán las siguientes restricciones al usar el navegador Internet Explorer: No podrán eliminar el historial de navegación, No se permitirá el cambio de proxy ya que todos los usuarios usarán el mismo proxy (172.20.49.51:80), Configuración del historial deshabilitada, no permitir el cambio de las directivas de seguridad del navegador. Esto Lo hacemos en la siguiente ruta: Directiva equipo local - Configuración Equipo - Plantillas Administrativas - Componentes de Windows - Internet Explorer.

Configuración de usuario – configuración de Windows –Mantenimiento de internet Explorer – conexión – configuración de los servidores Proxy como podemos observar en la ilustración

Directiva equipo local - Configuración Equipo - Plantillas Administrativas - Componentes de Windows - Internet Explorer

Directiva equipo local - Configuración Equipo - Plantillas Administrativas - Componentes de Windows - Internet Explorer – zonas de seguridad

Desactivar la ventana emergente de reproducción automática Esto lo hacemos por la siguiente ruta: Directiva equipo local - configuración del equipo - plantillas administrativas - componentes de Windows - directivas de reproducción automática.

No permitir el apagado remoto de la máquina Vamos a la siguiente ruta: Directiva del equipo local - Configuración del equipo - plantillas administrativas - componentes de Windows - Opciones de apagado

Aplicar cuotas de 50MB para todos los usuarios locales y remotos (Esta es un cuota muy baja y es usada solo para fines académicos) La ruta es: Directiva del equipo local - configuración del equipo - plantillas administrativas – Sistema - Cuotas de disco.

Directivas de configuración de usuario: La página principal que se cargará para cada usuario cuando abra su navegador será: http://www.sudominio.com (Página institucional de su empresa) Directiva del equipo local - configuración de usuario – configuración de Windows – Mantenimiento de internet Explorer – Direcciones URL y aquí ingresamos la dirección de nuestra intranet o la dirección que de la página de la empresa

El servidor proxy para todos los usuarios locales será 172.20.49.51:80 Directiva del equipo local - configuración de usuario - configuración de Windows - mantenimiento de internet Explorer - configuración de proxy

Restringir desde el navegador el acceso a los siguientes sitios: www.facebook.com y www.youtube.com por URL, para todos los usuarios. El administrador será el único con la contraseña de supervisor para el Asesor de Contenidos. Zonas de seguridad y clasificación de contenido - configuración de privacidad y seguridad - Asesor de contenido damos clic en la pestaña de abajo Importar la configuración actual de restricción de contenido

Nos aparece esta ventana y creamos aquí la contraseña del asesor de contenidos que en este caso solo sera debera saberla el administrador

Aquí restringimos el acceso a facebook y a youtube

Ingresamos la contraseña

Aquí ya podemos ver que ha sido creada correctamente la contraseña

Ocultar la unidad C:\ (NOTA: Esto no restringirá el acceso a dicha unidad) Ingresamos por la ruta: Directiva equipo local - configuración de usuario - plantillas administrativas - componentes de Windows - explorador de Windows.

Habilitamos la opcion e ingresamos la unidad en este caso la C

Ocultar el menú opciones de carpeta del menú de herramientas. Esto con el fin de que los usuarios no puedan ver archivos ocultos o cambiar algunas configuraciones de las carpetas. Directiva equipo local - configuración de usuario - plantillas administrativas - componentes de Windows - explorador de Windows.

Habilitamos la opción de carpeta

Restringir el acceso a la unidad E:\ desde mi PC En este caso lo hacemos con la unidad D Directiva equipo local - configuración de usuario - plantillas administrativas - componentes de Windows - explorador de Windows elegimos la unidad y le aceptamos

Limitar el tamaño de la papelera de reciclaje a 100 MB Directiva equipo local - configuración de usuario - plantillas administrativas - componentes de Windows - explorador de Windows

Habilitamos y de damos el valor en este caso 100 megas

No permitir que se ejecute Messenger Directiva equipo local - configuración de usuario – configuración de Windows – mantenimiento de internet Explorer – plantillas administrativas - componentes de Windows – sistema allí le damos doble click y nos aparece una ventana para agregar el software que queremos restringir en este caso Messenger agregamos y aceptamos

Ocultar todos los elementos del escritorio para todos los usuarios. Directiva equipo local - configuración de usuario - plantillas administrativas - Escritorio. Habilitamos y aceptamos

Bloquear la barra de tareas Directiva equipo local - configuración de usuario - plantillas administrativas - componentes de Windows - Menú inicio y barra de tareas y habilitamos la opción

Prohibir el acceso del Lecto-escritura a cualquier medio de almacenamiento extraíble. Directiva equipo local - configuración de usuario - plantillas administrativas – sistema - Acceso de almacenamiento extraíble.

Habilitamos las opciones que están una seguida de la otra lectura y escritura

Ahora vamos a hacer algunas pruebas con uno de los usuarios creados en este caso con el usuario benji

Ingresamos la contraseña

Inmediatamente nos pide cambio de contraseña tal como le pusimos cuando creamos los usuarios

Cambiamos la contraseña

Aquí por ejemplo vamos a ingresar con benji a facebook y nos pide la contraseña del asesor de contenidos

Y en este otro caso para youtube