DIRECTIVAS DE GRUPO (GPO) EN

WINDOWS SERVER 2008

ACTIVIDAD – ADMINISTRACIÓN DE SOFTWARE

POR:
Maicol Muñoz
Jose David Salazar

Instructor:
Felipe Londoño

TECNOLOGIA EN ADMINISTRACIÓN DE REDES

CENTRO DE SERVICIOS Y GESTIÓN EMPRESARIAL

SENA
MEDELLÍN
OBJETIVOS:

*Implementar políticas o directivas de grupo locales en Windows Server 2008

INTRODUCCIÓN

Un objeto de directiva de grupo (GPO: Group Policy Object) es un conjunto de

una o más políticas del sistema. Cada una de las políticas del sistema establece una
configuración del objeto al que afecta. Por ejemplo, tenemos políticas para:

* Establecer el título del explorador de Internet

* Ocultar el panel de control
* Deshabilitar el uso de REGEDIT.EXE y REGEDT32.EXE
* Establecer qué paquetes MSI se pueden instalar en un equipo
* Etc...

Las directivas según el objeto al que configuran son:

Configuración del equipo: que se divide en:

* Configuración de software
* Configuración de Windows
* Plantillas administrativas

Configuración del usuario: se divide en:

*Configuración de software
* Configuración de Windows
* Plantillas administrativas

PROCEDIMIENTO
NOTA IMPORTANTE: Tenga cuidado al aplicar las directivas de grupo locales ya
que se aplicarán a todos los usuarios locales, incluyendo el administrador del
sistema. Por lo tanto no aplicaremos ciertas políticas como son: desactivar el menú
ejecutar, ocultar panel de control, entre muchas otras.

1. Cree los siguientes usuarios y grupos en Windows Server 2008 (También

aplica para sistemas operativos Windows XP, Windows Server 2003,
Windows Vista y Windows 7)

Grupo: Killers.
* carlos
* manuel

Grupo: Timers.
*bruno
* benji

NOTA: Cada usuario creado deberá cambiar su password al siguiente inicio de

sesión.

R//:

Para la creación de usuarios lo que deberemos hacer es :

*Ingresara menú INICIO.
*Seleccionamos ADMINISTRADOR DEL SERVIDOR.
*Ya aquí desplegamos el fichero configuración y seleccionamos usuario y grupo
locales.
*Aquí nos saldrán dos carpetas una llamada usuarios y la otra grupos,solo
deberemos dar click derecho a cada una de estas carpetas y seccionamos usuario
nuevo o grupo nuevo.
Ya creados nuestros grupos y usuarios, seleccionaremos nuestro grupo he
introducimos nuestros usuarios así:
-click a la carpeta grupos.
-seleccionamos nuestro grupo.
-le damos agregar.
-avanzado.
-buscar ahora .
-y seleccionar los usuarios para el grupo.

2. Implemente las siguiente políticas o directivas locales:

Directivas de configuración de equipo:

1.La vigencia máxima de la contraseña para todos los usuarios de la máquina será
de 15 días
2.Las contraseñas deben cumplir con los requisitos de complejidad por defecto de
Windows server ¿Cuáles son estos requerimientos?
3.Los usuarios que requieran cambiar su contraseña no podrán usar un password
que se haya usado antes por lo menos desde los 2 últimos cambios.
4.Los usuarios del grupo Killers pueden apagar la máquina una vez hayan iniciado
sesión, pero los usuarios del grupo ventas no podrán apagar el equipo (Desde el
sistema operativo)
5.Los usuarios del grupo Timers podrán cambiar la hora de la máquina local
6.Todos los usuarios tendrán las siguientes restricciones al usar el navegador
Internet Explorer: No podrán eliminar el historial de navegación, No se permitirá
el cambio de proxy ya que todos los usuarios usarán el mismo proxy
(172.20.49.51:80), Configuración del historial deshabiltada, no permitir el cambio
de las directivas de seguridad del navegador.
7.Desactivar la ventana emergente de reproducción automática
8.No permitir el apagado remoto de la máquina
9.Aplicar cuotas de 50MB para todos los usuarios locales y remotos (Esta es un
cuota muy baja y es usada solo para fines académicos)

R//:
Para entra a configurara estas directivas deberemos entra a menú
ejecutar :secpol.msc

1.
*Deberemos entrara a directivas de seguridad local
*Desplegamos la ficha directivas de cuentas
*Seleccionamos directivas de cuentas
*y por ultimo seccionamos vigencia máxima de contraseña.

2.
*Directiva de seguridad local.
*Directiva de cuenta.
*Directiva de contraseña.
*La contraseña debe cumplir con los requisitos de complejidad.

Si se habilita esta directiva, las contraseñas deben cumplir los siguientes requisitos
mínimos:

-No contener el nombre de cuenta del usuario o partes del nombre completo del
usuario en más de dos caracteres consecutivos
-Tener una longitud mínima de seis caracteres
-Incluir caracteres de tres de las siguientes categorías:
Mayúsculas (de la A a la Z)
Minúsculas (de la a a la z)
Dígitos de base 10 (del 0 al 9)
-Caracteres no alfanuméricos (por ejemplo, !, $, #, %)
-Estos requisitos de complejidad se exigen al cambiar o crear contraseñas.

Valor predeterminado:

-Habilitada en controladores de dominio.

-Deshabilitada en servidores independientes.

Nota: de forma predeterminada, los equipos miembros usan la configuración de

sus controladores de dominio.

3.
*Directiva de seguridad local.
*Directiva de cuenta.
*Directiva de contraseña.
*Longitud mínima de contraseña.

4.
*Directiva de seguridad local.
*Directivas locales.
*Asignación de derecho de usuario.
*Apagar el sistema.
*Agregar usuario o grupo
*tipo de grupo y activamos la casilla grupos
*Avanzado
*Buscar ahora

5.
*Directiva de seguridad local.
*Directivas locales.
*Asignación de derecho de usuario.
*Cambiar la hora del sistema
*Agregar usuario o grupo
*tipo de grupo y activamos la casilla grupos
*Avanzado
*Buscar ahora
6.
Deberemos entrara a el editor de directivas de grupo local,para entra aquí
deberemos ejecutar gpedit.msc.

No se permitirá el cambio de
proxy ya que todos los usuarios usarán el mismo proxy (172.20.49.51:80),.

*Editor de directivas de grupo local.

*Configuración de usuario.
*Configuración de Windows.
*Mantenimiento de internet explore.
* Conexión.
*Configuración de los servidores proxy.
*Habilitamos la casilla Habilitar configuración de proxy y introducimos nuestra
dirección proxy.

Los usuarios no podrán cambiar el proxy.

*Editor de directivas de grupo local.

*Configuración de equipo.
*Plantillas administrativas.
*Componentes de Windows.
*Internet explore.
*Deshabilitar el cambio de configuración de proxy.
*Seleccionamos la casilla habilitar .

No podrán eliminar el historial de navegación.

*Editor de directivas de grupo local.

*Configuración de equipo.
*Plantillas administrativas.
*Componentes de Windows.
*Internet explore.
*Desactivar la funcionalidad “eliminar el historial de exploración”
*Seleccionamos la casilla habilitar.
no permitir el cambio de las directivas de seguridad del navegador.

*Editor de directivas de grupo local.

*Configuración de equipo.
*Plantillas administrativas.
*Componentes de Windows.
*Internet explore.
*Zona de seguridad:no permitir que los usuarios cambien las directivas.
*Seleccionamos la casilla habilitar.

7.
*Editor de directivas de grupo local.
*Configuración de equipo.
*Plantillas administrativas.
*Componentes de Windows.
*Directiva de reproducción automática.
*Desactivar reproducción automática.
*seccionamos la casilla deshabilitar.

8.

Para entra a configurara estas directivas deberemos entra a menú

ejecutar :secpol.msc

*Directivas de seguridad local.

*Directivas locales.
*Asignación de derecho de usuario.
*Forzar cierre desde un sistema remoto.

9.
Deberemos entrara a el editor de directivas de grupo local,para entra aquí
deberemos ejecutar gpedit.msc.

*Editor de directivas de grupo local.

*Configuración de equipo.
*Plantilla administrativa.
*Sistema.
*Cuotas de disco.
*habilitamos:
habilitar cuotas de disco
limite de cuota
aplicar limite de cuota de disco

Directivas de configuración de usuario:

1.La página principal que se cargará para cada usuario cuando abra su navegador
será: Http://www.sudominio.com (Página institucional de su empresa)
2.El servidor proxy para todos los usuarios locales será 172.20.49.51:80
3.Restringir desde el navegador el acceso a los siguientes sitios:
www.facebook.com y
www.youtube.com por URL, para todos los usuarios. El administrador será el
único con la contraseña de supervisor para el Asesor de Contenidos.
4.Ocultar la unidad C:\ (NOTA: Esto no restringirá el acceso a dicha unidad)
5.Ocultar la menú opciones de carpeta del menú de herramientas. Esto con el fin
de que los usuarios no puedan ver archivos ocultos o cambiar algunas
configuraciones de las carpetas.
6. Restringir el acceso a la unidad E:\ desde mi PC
7.Limitar el tamaño de la papelera de reciclaje a 100MB
8.No permitir que se ejecute messenger
9.Ocultar todos los elementos del escritorio para todos los usuarios.
10.Bloquear la barra de tareas
11.Prohibir el acceso del Lecto-escritura a cualquier medio de almacenamiento
extraible.

R//:

1.
Deberemos entrara a el editor de directivas de grupo local,para entra aquí
deberemos ejecutar gpedit.msc.

*Editor de directivas de grupo local.

*Configuración de usuario.
*Configuración de Windows.
*Mantenimiento de internet explore.
*Direcciones url.
*Direciones url importantes.
3.
*Editor de directivas de grupo local.
*Configuración de usuario.
*Configuración de Windows.
*Mantenimiento de internet explore.
*Seguridad.
*Zona de seguridad clasificada.
*Clasificación de contenidos seleccionamos importar la configuración actual de
contenido.
*Seleccionamos la ficha sitios aprobados.

4.
*Editor de directivas de grupo local.
*Configuración de usuario.
*Plantilla administrativa.
*Componentes de Windows.
*Explorador de Windows.
*Ocultar las unidades especificas en mi pc.
*Seleccionamos la casilla habilitar y seleccionamos la unidad a ocultar.

5.

6.
*Editor de directivas de grupo local.
*Configuración de usuario.
*Plantilla administrativa.
*Componentes de Windows.
*Explorador de Windows.
*Impedir acceso a las unidades desde mi pc.
*Seleccionamos la casilla habilitar y seleccionamos la unidad a restringir.

7.
*Editor de directivas de grupo local.
*Configuración de usuario.
*Plantilla administrativa.
*Componentes de Windows.
*Explorador de Windows.
*Tamaño máximo permitido para l papelera de reciclaje.
*seleccionamos la casilla habilitar y ponemos la cantidad maxima.
8.
*Editor de directivas de grupo local.
*Configuración de usuario.
*Plantilla administrativa.
*Sistema.
*No ejecutar aplicaciones desde Windows.

9.
*Editor de directivas de grupo local.
*Configuración de usuario.
*Plantilla administrativa.
*Escritorio.
*Ocultar y deshabilitar todos lo elementos del escritorio.
*seccionamos la casilla habilitar.

10.
*Editor de directivas de grupo local.
*Configuración de usuario.
*Plantilla administrativa.
*Escritorio.
*habilitamos las dos ultimas lineas que son las que nos bloquean la barra de tarea.

11.
*Editor de directivas de grupo local.
*Configuración de usuario.
*Plantilla administrativa.
*Sistemas.
*Acceso de almacenamiento extraíbles.
*Todas las clases de almacenamiento extraíbles:denegar acceso a todo.