Sunteți pe pagina 1din 21

TALLER

DIRECTIVAS DE GRUPO (GPO) EN WINDOWS SERVER 2008

Objetivo

Implementar políticas o directivas de grupo locales en Windows Server 2008

Realizado por:
Alex Tirado Dominguez

SENA

MEDELLIN
Introducción

Un objeto de directiva de grupo (GPO: Group Policy Object) es un conjunto de una o más
políticas del sistema. Cada una de las políticas del sistema establece una configuración del
objeto al que afecta.

Las directivas según el objeto al que configuran son:

-Configuración del equipo: que se divide en:


Configuración de software
Configuración de Windows
Plantillas administrativas

-Configuración del usuario: se divide en:


Configuración de software
Configuración de Windows
Plantillas administrativas

Configuración del equipo


1. Cree los siguientes usuarios y grupos en Windows Server 2008 (También aplica para
sistemas operativos Windows XP, Windows Server 2003, Windows Vista y Windows 7)
- Grupo: Killers
o carlos
o manuel
-Grupo: Timers
o bruno
o benji
NOTA: Cada usuario creado deberá cambiar su password al siguiente inicio de sesión

-Para crear un usuario en windows server 2008 vamos a inicio,herramientas administrativas,


administracion de equipos, usuarios y grupos locales, usuarios, click derecho, usuario nuevo;
digitamos el nombre del usuario y la contraseña. Recordemos que esta debe contener
mayusculas,minusculas y numeros como contraseña basica. Habilitamos “el usuario debe cambiar
contraseña en el siguiente inicio de seccion” y repetimos lo mismo para cada usuario que creemos.
-ahora crearemos los grupos. Clickeamos en grupos, click derecho grupo nuevo, ahora agregaremos los
usuarios al los grupos correspondientes. Vamos a usuarios que se encuentra en la parte izquierda click
derecho sobre cada usuario, propiedades, miembro de y copiamos el nombre del grupo tal y como lo
creamos al que queremos que pertenesca,comprobar nombre, aceptar, aceptar y asi para todos los
usuarios.
2. Implemente las siguiente políticas o directivas locales:
Directivas de configuración de equipo:

La vigencia máxima de la contraseña para todos los usuarios de la máquina será de


15 días

*Vamos a inicio, ejecutar, gpedit.msc.


Con esto habrimos el editor de directivas local, para proceder a configurar los permisos y restrinciones
nesesarios.

-desplegamos configuracion de windows, configuracion de seguridad, directiva de cuentas, directiva de


contraseñas y en este caso cambiaremos vigencia maxima de contraseña que por defecto viene para 42
dias y la modificamos.
*Las contraseñas deben cumplir con los requisitos de complejidad por defecto de
Windows server ¿Cuáles son estos requerimientos?
-una contraseña basica debe contener como minimo mayusculas, minisculas y numeros; para aumentar
su nivel de seguridad utilizamos caracteres caracteres especiales.

*Los usuarios que requieran cambiar su contraseña no podrán usar un password que
se haya usado antes por lo menos desde los 2 últimos cambios.
-en la misma configuracion de directiva de contraseña clickeamos sobre exigir historial de contraseñas
y modificamos el valor que por defecto es 24 en este caso sera 2.

*Los usuarios del grupo Killers pueden apagar la máquina una vez hayan iniciado
sesión, pero los usuarios del grupo ventas no podrán apagar el equipo (Desde el
sistema operativo)

-para este paso nos vamos a asignacion de derechos de usuario, apagar el sistema y agregamos el grupo
al que queremos darle el permiso y aceptamos.
*Los usuarios del grupo Timers podrán cambiar la hora de la máquina local mas los de killers no.

-en la misma configuracion de asignacion de derechos de usuarios clickeamos sobre cambiar la hora
del sistema, agregar usuario o grupo, tiops de objetos y chuliamos solo la de grupo, escribimos el grupo
al que queremos darle el permiso.
*Todos los usuarios tendrán las siguientes restricciones al usar el navegador Internet
Explorer: No podrán eliminar el historial de navegación, No se permitirá el cambio de
proxy ya que todos los usuarios usarán el mismo proxy (172.20.49.51:80),
Configuración del historial deshabiltada, no permitir el cambio de las directivas de
seguridad del navegador.

-vamos a configuracion del equipo, plantillas administrativas, componentes de windows, internet


explorer y buscamos la opcion (desactivar la funcionalidad “eliminar el historial de exploracion”) y la
habilitamos.

-Primero vamos a el navegador internet explorer, clickeamos en herramientas, opciones de internet,


conexiones, configuracion de una LAN chuliamos en usar un servidor proxy para la LAN y colocamos
la direccion y el puerto en este caso 172.20.49.51: 80.
volvemos a nuestro editor de directivas de grupo y estamos en plantillas administrativas, componentes
de windows, internet explorer .para restringuir el cambio de proxy buscamos la opcion (desabilitar el
cambio de configuracion de proxy) la habilitamos y aceptamos.
-buscamos la opcion zonas de seguridad: no permitir que los usuarios cambien las directivas y la
habilitamos.

*Desactivar la ventana emergente de reproducción automática

-en plantillas administrativas, directivas de reproducion automatica nos apareceran 3 opciones


clickeamos en desactivar la reproducion automatica, la habilitamos y aceptamos.
*No permitir el apagado remoto de la máquina

-en plantillas administrativas buscamos “opciones de apagado”, desactivar interfaz de apagado remoto
activada y la habilitamos.

*Aplicar cuotas de 50MB para todos los usuarios locales y remotos (Esta es un cuota
muy baja y es usada solo para fines académicos)

-en directivas locales nos dirigimos a asignacion de derechos de usuarios, ajustar las cuotas de la
memoria... agregamos los grupos o los usuarios y cambiamos el valor.

S
Directivas de configuración de usuario:

para estas directivas trabajaremos ya sobre configuracion del usuario.

*La página principal que se cargará para cada usuario cuando abra su navegador será:
http://www.sudominio.com (Página institucional de su empresa)

-desplegamos mantenimiento de internet explorer, direciones URL, direciones URL importantes


clickeamos y chuliamos en personalizar URL de la pagina principal y escribimos la pagina en este caso
sera http://www.sudominio.com

*El servidor proxy para todos los usuarios locales será 172.20.49.51:80

-en el mismo mantenimiento de internet explorer buscamos conexión, configuracio de los servidores
proxy, chuliamos la casilla habilitar la configuracion de proxy y en este caso solo dirigimos la opcion
http con la direcion de proxy con su puerto y aceptamos.
*Restringir desde el navegador el acceso a los siguientes sitios: www.facebook.com y
www.youtube.com por URL, para todos los usuarios. El administrador será el único
con la contraseña de supervisor para el Asesor de Contenidos.

-para esto nos vamos a la seguriadad, zonas de seguridad y clasificacion de contenido activamos la
casilla importar la configuracion actual de restrinciones de contenido, digitamos el sitio en este caso
www.youtobe.com y www.facebook.com le damos nunca y aceptamos.
Ponemos la contraseña para administrar los contenidos.

*Ocultar la unidad C:\ (NOTA: Esto no restringirá el acceso a dicha unidad)

-para esto vamos a configuracion de usuario, plantillas administrativas, explorador de windows, ocultar
estas unidades especificadas en mi pc, desplegamos y escogemos las que vamos a esconder y aceptar.
*Ocultar el menú opciones de carpeta del menú de herramientas. Esto con el fin de

-que los usuarios no puedan ver archivos ocultos o cambiar algunas configuraciones
de las carpetas.
Dentro de las misma configuracion de “explorador de windows” buscamos la opcion “quitar el menu
opciones de carpeta del menu herramientas” y la habilitamos.

*Restringir el acceso a la unidad D:\ desde mi PC


-dentro de la misma configuracion buscamos la opcion “impedir acceso a las unidades desde mi pc” la
habilitamos y restringuimos la unidad que deseamos.
Podemos observar que me restringue el acceso a la unidad D/

*Limitar el tamaño de la papelera de reciclaje a 100MB


-para esto buscamos la opcion “tamaño maximo permitido de la papelera de reciclaje” que se encuentra
dentro de la misma carpeta, la habilitamos y configuramos el valor en este caso 100MB.
*No permitir que se ejecute messenger

-dentro de los componentes de windosw buscamos la carpeta windows messenger y la opcion “no
permitir que se ejecute windows msn” y la habilitamos, aceptar.

*Ocultar todos los elementos del escritorio para todos los usuarios.
-aqui mismo buscamos la carpeta escritorio y la opcion “ocultar y desabilitar todos los elementos del
escritorio ” la habilitamos y aceptamos.
*Bloquear la barra de tareas

-buscamos la carpeta Menú inicio y barra de tareas y la opcion bloquear la barra de tareas, la
habilitamos y aceptamos.

*Prohibir el acceso del Lecto-escritura a cualquier medio de almacenamiento extraible.


-buscamos la carpeta sistema desplegamos, acceso de almacenamiento extraible y buscamos las
opciones “clases personalizadas denegar acceso de lectura” la habilitamos y aceptamos.
Y seguimos con la siguiente opcion para denegar la escritura con la opcion “lases personalizadas
denegar acceso de escritura” la habilitamos y aceptamos.
Fin espero que les sirva de utilidad a todos aquellos que deseen administrar directivas locales

dudas escribir a :alexantonio1988@hotmail.com

S-ar putea să vă placă și