Documente Academic
Documente Profesional
Documente Cultură
en Windows Server?
Vamos a tratar de comprender que son las políticas de grupo o GPO de Windows
Server, una herramienta fundamental que nos da Microsoft para administrar la
infraestructura de nuestro dominio.
Básicamente las políticas nos dan el control de los equipos de la red, pudiendo
establecer configuraciones para los distintos componentes de sistema operativo,
para poder lograrlo vamos a necesitar un Windows Server que tenga el servicio o
rol de active directory, y podremos aplicar la configuración a sitios, dominios,
unidades organizativas. También debemos tener en claro que las políticas pueden
aplicarse a equipos y usuarios.
1
CONFIGURACION DE POLITICAS O DIRECTIVAS PARA
USUARIOS CLIENTES
Para realizar la configuración de las políticas de Usuarios y Maquinas debemos
organizar en un mismo contenedor ambos elementos.
Contenedor=Pruebas
>Computador Operario01 > REDES
> Usuario Operario01 > Operario 01
Donde REDES es el computador, y Operador01 es el usuario como tal.
NOTA: al unir el cliente al dominio el Computador se va por defecto a la carpeta
“Computers” el cual lo debemos mover a la carpeta deseada (pruebas).
2
- Usuario Operario01
Desglosamos Forest>Domains>sena.com.
3
Dentro del dominio como tal le damos clic derecho a la carpeta llamada “Group
Policy Objects” y le damos New.
NOTA: Como las políticas de Usuario y Maquina son diferentes, por organización
y comodidad de administración crearemos una política para el usuario y otra
política para la Maquina.
Le damos OK, y repetimos el mismo procedimiento para crear una nueva política
ya para las maquinas.
4
Como podemos ver a continuación se crearon 2 nuevas políticas en la carpeta
Group Policy Objects.
La política como tal ya está creada, pero no está activa en ningún contenedor, por
lo tanto procedemos a enlazarlas.
Para ello, en la misma interfaz de Group Policy Management, buscaremos nuestra
carpeta creada y organizada con los sub contenedores, para ello la desglosamos.
5
En este ejemplo enlazaremos la política “Politica Maquina” en el contenedor
“Computador Operario01”.
6
Damos OK y podremos ver que se enlazo la política.
7
Ya así quedaron enlazadas nuestras 2 políticas de ejemplo, podemos proceder a
configurarlas.
PRACTICA 1
- Los Usuarios deben loguearse solamente de 7:00 AM – 8:00 PM.
Para esta práctica no utilizaremos una configuración de política como tal, pero
haremos una configuración específica del usuario para que tenga una restricción
de logueo.
Empezamos por la interfaz Server Manager > Tools > Active Directory Users and
Computers.
8
Entramos en la pestaña Account.
Donde, las casillas en blanco son las horas donde no permite logueo.
9
POLITICA DE USUARIO PRACTICA 2
- Los usuarios no deben tener acceso al panel de control.
Esta procedemos a editarla. Para esto damos clic derecho > Edit.
User Configuration > Policies > Administrative Templates > Control panel.
10
Le damos clic a carpeta Control panel y veremos en la parte derecha las politicas
generalizadas del panel de control, la cual específicamente solicitada la vimos en
la imagen anterior resaltada.
11
Como podemos ver la política de Control Panel ya aparece establecida.
Ahora verificaremos con el cliente logueado con el Operario01 y no debe permitir
entrar al panel de control.
12
POLITICA USUARIO PRACTICA 3
- Debe usarse el papel tapiz de la empresa y no debe poder cambiarse.
Primero ubicamos el logo o la imagen que queremos de papel tapiz para los
equipos de los usuarios, recomendable de la siguiente forma:
C:\\Pantalla\Imagen.jpg
Para ello vamos a Server Manager > Tools > Group Policy Management.
En el sub contenedor de “Usuario Operario01” de damos clic y nos mostrará la
política enlazada previamente. Procedemos a editarla.
13
Procedemos a editar la política “Desktop Wallpaper”.
NOTA: Habilitamos, escribimos la ruta donde está el archivo y escogemos fill para
que expanda el papel tapiz.
14
Nos deben quedar establecidas ambas:
15
Ahora verificamos que la política de Wallpaper haya sido aplicada en el cliente.
16
POLITICA MÁQUINA PRACTICA 4
- Los usuarios deben cambiar su contraseña cada 30 días.
Para esto vamos a Server Manager > Tools > Group Policy Management
Justo ahí buscamos nuestro contenedor “Pruebas” y como es una politica de
computador buscamos la politica creada previa y exclusivamente para equipos
físicos, llamada “Política Maquina”.
Aquí vamos a la siguiente ruta: Computer Configuration > Policies > Windows
Settings > Security Settings > Account Policies > Password Policy.
17
Luego vamos y abrimos la ventana de “Maximum password age properties”, doble
clic y definimos la política a 30 días y damos ok.
18
Luego definimos en la ventana de “Minimum password age properties” por 1 día.
Con esto, ya tendríamos aplicada esta política.
19
Procedemos a modificar la fecha 30 días, para comprobar que la contraseña
caduca.
Como podemos observar en esta imagen con fecha del 10 de abril, dice que la
contraseña expirará en 2 días, sin embargo nos damos cuenta que han pasado 33
días, lo que nos hace pensar que debemos adelantar aún más la fecha y
procedemos a hacerlo.
20
La hemos adelantado hasta el 15 de abril y reiniciamos nuevamente el cliente.
21
POLITICA USUARIO PRACTICA 5
- La carpeta Documentos de todos los usuarios, apuntará a una carpeta
independiente por usuario que este dentro de la carpeta compartida
\\Controladordominio\Publica.
22
Advanced Sharing…
23
Procedemos a eliminar el grupo “Everyone”, lo seleccionamos y lo removemos.
24
Buscamos el grupo “Domain Users” y lo seleccionamos.
Aceptamos…
25
Le damos control total al grupo “Domain Users” de la carpeta “Publica”.
Aceptamos todo y volvemos al Disco C.
De nuevo le daremos clic derecho a la carpeta y le damos “Share With” > Specific
People…
26
En esta interfaz observamos que los administradores son los únicos con
permisos, procedemos a agregar los usuarios por medio del grupo “Domain
Users”.
Para esto seleccionamos “Find People…”
27
Buscamos el grupo “Domain Users” y lo seleccionamos.
Aceptamos…
28
Como vemos el grupo aparece perfectamente, solo debemos darle permiso de
lectura y escritura y ahora si podemos darle compartir.
29
Entramos al Server Manager >Tools > Group Policy Management.
Entramos a : User Configuration > Policies > Windows Settings > Folder
Redirection > Documents.
30
Clic derecho a Documents y seleccionamos propiedades.
Lo configuramos de la siguiente manera:
31
Aparecen carpetas estándar y compartidas con sus sub carpetas.
Ahora veremos la carpeta “Publica” en el servidor.
Se creó una nueva ruta de carpetas dentro de Publica, con el respectivo nombre
de usuario, al cual dentro de este se encuentra la carpeta Documentos de él, la
cual no es accesible por el administrador.
32
POLITICA MÁQUINA PRACTICA 6
- Solo los administradores pueden apagar la máquina.
Procedemos a editarla.
Clic derecho, edit y seguimos la siguiente ruta:
Computer Configuration > Policies > Windows Settings > Security Settings > Local
Policies > User Rights Assignment.
Damos clic y en la parte derecha vemos las políticas y seleccionamos “Shut down
the system”.
33
Al selecionarla le damos clic derecho, propiedades y lo configuramos de la
siguiente forma:
34
Buscamos los grupos y usuarios y escogemos el grupo “Administrators”.
Aceptar…
Aceptamos Todo…
35
NOTA: Hasta este punto la politica esta configurada para que solo los
administradores “logueados” puedan apagar la maquina , sin embargo en la
consola de inicio de sesión aun aparece el botón de apagar, y permite apagar, por
lo tanto configuraremos una segunda politica que permite deshabilitar dicho botón
y por ningún motivo puede ser apagada sin estar logueados.
Computer Configuration > Policies > Windows Settings > Security Settings > Local
Policies > Security Options.
Al darle clic veremos las políticas de las cuales configuraremos “Shut Down Allow
System to be shut down without having to log on”.
36
La editamos, la definimos como politica y seleccionamos “disabled”.
Aceptamos…
37
POLITICA MÁQUINA PRACTICA 7
38
Aceptar…
Ahora comprobamos con el cliente, tratando de modificar la hora y nos debe salir
esta restricción.
39
POLITICA USUARIO PRACTICA 8
40
El mismo procedimiento de prácticas anteriores.
41
Seleccionamos compartir con “Specific People”.
42
Clic derecho editar y seguimos esta ruta:
43
Configuramos de la siguiente manera:
44
Buscamos “Security Group”.
45
Y seguimos el mismo procedimiento para agregar el grupo “Domain Users”.
46
Aceptamos y listo.
47
Ahora podemos ver que se creó exitosamente en el drive maps.
48
Comprobamos viceversa creando desde el cliente un archivo cualquiera en la
unidad H y debe aparecer sin problema en la carpeta Compartida del servidor.
49