GPO en Windows Server 2008

8/3/2019 GPO en Windows Server 2008

1/40

DIRECTIVAS DE GRUPO (GPO) EN WINDOWS SERVER 2008

REALIZADO POR:

CHRISTIAN AMAYA GMEZ

CODIGO DE GRUPO

175666

INSTRUCTOR:

FELIPE LONDOO

SERVICIO NACIONAL DE APRENDIZAJE

SENA

MEDELLIN

2011


2/40

PROCEDIMIENTO

1. Cree los siguientes usuarios y grupos en Windows Server 2008 (Tambin aplicapara sistemas operativos Windows XP, Windows Server 2003, Windows Vista yWindows 7).

Grupo: Killers carlos manuel

Grupo: Timers bruno benji

NOTA: Cada usuario creado deber cambiar su password al siguiente inicio de sesin.

2. Implemente las siguientes polticas o directivas locales:

Directivas de configuracin de equipo:

a. La vigencia mxima de la contrasea para todos los usuarios de la mquina serde 15 das.

b. Las contraseas deben cumplir con los requisitos de complejidad por defectode Windows server Cules son estos requerimientos?.

c. Los usuarios que requieran cambiar su contrasea no podrn usar un passwordque se haya usado antes por lo menos desde los 2 ltimos cambios.

d. Los usuarios del grupo Killers pueden apagar la mquina una vez hayan iniciadosesin, pero los usuarios del grupo ventas no podrn apagar el equipo (Desde el

sistema operativo).e. Los usuarios del grupo Timers podrn cambiar la hora de la mquina local.f. Todos los usuarios tendrn las siguientes restricciones al usar el navegador

Internet Explorer: No podrn eliminar el historial de navegacin, No sepermitir el cambio de proxy ya que todos los usuarios usarn el mismo proxy(172.20.49.51:80), Configuracin del historial deshabilitada, no permitir elcambio de las directivas de seguridad del navegador.

g. Desactivar la ventana emergente de reproduccin automtica.h. No permitir el apagado remoto de la mquina.i. Aplicar cuotas de 50MB para todos los usuarios locales y remotos (Esta es un

cuota muy baja y es usada solo para fines acadmicos).

Directivas de configuracin de usuario:

a. La pgina principal que se cargar para cada usuario cuando abra su navegadorser: http://www.sudominio.com (Pgina institucional de su empresa).

b. El servidor proxy para todos los usuarios locales ser 172.20.49.51:80c. Restringir desde el navegador el acceso a los siguientes sitios:

www.facebook.com y www.youtube.com por URL, para todos los usuarios. Eladministrador ser el nico con la contrasea de supervisor para elAsesor de

Contenidos.d. Ocultar la unidad C:\ (NOTA: Esto no restringir el acceso a dicha unidad)


3/40

e. Ocultar el men opciones de carpeta del men de herramientas. Esto con el finde que los usuarios no puedan ver archivos ocultos o cambiar algunasconfiguraciones de las carpetas.

f. Restringir el acceso a la unidad E:\ desde mi PCg. Limitar el tamao de la papelera de reciclaje a 100MBh. No permitir que se ejecute Messengeri. Ocultar todos los elementos del escritorio para todos los usuarios.

j. Bloquear la barra de tareask. Prohibir el acceso del Lecto-escritura a cualquier medio de almacenamiento

extrable.

SOLUCIN

1. Creacin de usuarios de la siguiente manera:Ingresar a men INICIO > ADMINISTRADOR DEL SERVIDOR.

Luego desplegamos el fichero configuracin y seleccionamos usuarios y gruposlocales.

Aqu nos saldrn dos carpetas una llamada usuarios y la otra llamada grupos, solodeberemos dar clic derecho a cada una de estas carpetas y seccionamos usuario nuevoo grupo nuevo. En este caso aadiremos los usuarios Carlos, Manuel, Bruno y Benji; yluego creamos los grupos Killers y Timers.De la siguiente manera se crearan todos los usuarios:


4/40


5/40

Ya creados nuestros grupos y usuarios, seleccionaremos nuestro grupo heintroducimos nuestros usuarios as: los usuarios Carlos y Manuel, al grupo Killers, y los

usuarios Bruno y Benji al grupo Timers.

-clic a la carpeta grupos.-seleccionamos nuestro grupo.-le damos clic en agregar.


6/40

-luego clic en avanzado y despus buscar ahora. Seleccionamos los usuarios que vamosa introducir al grupo respectivo.


7/40

Y se hace lo mismo con Killers y quedar as:


8/40

2. Directivas de configuracin de equipo

:

Accedemos a INICIO > EJECUTAR, y tecleamos secpol.msc (sin las comillas).

a. *Accedemos a directivas de seguridad local.*Luego damos clic en directivas de cuenta.*Seleccionamos directivas de contraseas.*Por ultimo seccionamos vigencia mxima de contrasea y la modificamos a 15 das(Por defecto dice 42 das).


9/40

b. *Accedemos a directivas de seguridad local.* Luego damos clic en directivas de cuenta.*Seleccionamos directivas de contraseas.*Por ultimo seccionamos La contrasea debe cumplir con los requisitos decomplejidad y la habilitamos.Si se habilita esta directiva, las contraseas deben cumplir los siguientes requisitosmnimos:

No contener el nombre de cuenta del usuario o partes del nombre completodel usuario en ms de dos caracteres consecutivos.Tener una longitud mnima de seis caracteres.


10/40

Incluir caracteres de tres de las siguientes categoras: Maysculas (de la A a la Z) Minsculas (de la a a la z) Dgitos de base 10 (del 0 al 9) Caracteres no alfanumricos (por ejemplo,!, $, #, %)

Estos requisitos de complejidad se exigen al cambiar o crear contraseas.

Valor predeterminado:-Habilitada en controladores de dominio.-Deshabilitada en servidores independientes.Nota: de forma predeterminada, los equipos miembros usan la configuracin de suscontroladores de dominio.


11/40

c. *Accedemos a directivas de seguridad local.* Luego damos clic en directivas de cuenta.*Seleccionamos directivas de contraseas.*Por ultimo seccionamos Exigir historial de contraseas (usado antes por lo menosdesde los 2 ltimos cambios).


12/40

d. *Accedemos a directivas de seguridad local.*Luego damos clic en Directivas locales.*Entramos en Asignacin de derecho de usuario.*Apagar el sistema.

*Agregar usuario o grupo*tipo de grupo y activamos la casilla grupos

*Avanzado y Buscar ahora. Luego seleccionamos el grupo a usar.


13/40


14/40

e. *Accedemos a directivas de seguridad local.*Luego damos clic en Directivas locales.*Entramos en Asignacin de derecho de usuario.*Cambiar la hora del sistema.*Agregar usuario o grupo

*tipo de grupo y activamos la casilla grupos

*Avanzado y Buscar ahora. Luego seleccionamos el grupo a usar.


15/40


16/40

Accedemos a INICIO > EJECUTAR, y tecleamos gpedit.msc (sin las comillas).

f. No se permitir el cambio de proxy ya que todos los usuarios usarn el mismoproxy (172.20.49.51:80).

*Accedemos a directivas de grupo local.*Luego entramos en Configuracin de usuario.*Configuracin de Windows.*Damos doble clic en Mantenimiento de internet explorer.

* Conexin.*Configuracin de los servidores proxy.

*Habilitamos la casilla Habilitar configuracin de proxy e introducimos nuestra

direccin proxy. Clic en aceptar.


17/40

Los usuarios no podrn cambiar el proxy.

*Accedemos a directivas de grupo local.*Luego entramos en Configuracin de equipo.*Plantillas administrativas.*Componentes de Windows.

*Damos clic en Internet Explorer.*Entramos en Deshabilitar el cambio de configuracin de proxy.


18/40

*Seleccionamos la casilla habilitar.

No podrn eliminar el historial de navegacin.

*Accedemos a directivas de grupo local.*Luego entramos en Configuracin de equipo.*Plantillas administrativas.*Componentes de Windows.

*Damos clic en Internet Explorer.*Entramos en Desactivar la funcionalidad eliminar el historial de exploracin.


19/40


No permitir el cambio de las directivas de seguridad del navegador.

*Accedemos a directivas de grupo local.

*Luego entramos en Configuracin de equipo.*Plantillas administrativas.*Componentes de Windows.*Damos clic en Internet Explorer.*Entramos en Zona de seguridad: no permitir que los usuarios cambien lasdirectivas.


20/40


g. *Accedemos a directivas de grupo local.*Luego entramos en Configuracin de equipo.*Plantillas administrativas.*Componentes de Windows.

*Directiva de reproduccin automtica.*Desactivar reproduccin automtica.

*seccionamos la casilla habilitar y en el apartado de opciones colocamosUnidades de CD-ROM y medios extrables. Clic en aceptar.


21/40

Accedemos a INICIO > EJECUTAR, y tecleamos secpol.msc (sin las comillas).

h. *Accedemos a Directivas de seguridad local.*Luego entramos en Directivas locales.*Clic en Asignacin de derechos de usuario.*Forzar cierre desde un sistema remoto.


22/40

En este caso no seleccionamos ninguno, ya que los que seleccionemos son a losque permiten el apagado remoto, y en este caso necesitamos negar el servicio alos usuarios de los grupos Killer y Timers.


23/40


i. *Accedemos a directivas de grupo local.*Luego entramos en Configuracin de equipo.*Plantillas administrativas.

*Clic en Sistema.*Cuotas de disco.*All habilitamos:

Habilitar cuotas de disco


24/40

Lmite de cuota y nivel de aviso predeterminado.(Valor=50 MB).Clic en aceptar.

Aplicar un lmite de cuota de disco.


25/40

Directivas de configuracin de usuario:


a. *Accedemos a directivas de grupo local.*Entramos en Configuracin de usuario.*Configuracin de Windows.*Doble clic en Mantenimiento de internet explorer.*Direcciones url.*Direcciones url importantes.

Colocamos el url que queramos, el cual va a ser la pgina de inicio de internet explorer.


26/40

Pgina de inicio, la siguiente:

b. Ya se configur previamente.

c. *Accedemos a directivas de grupo local.

*Entramos en Configuracin de usuario.*Configuracin de Windows.*Doble clic en Mantenimiento de internet explorer.*Seguridad.*Zona de seguridad clasificada.

*Clasificacin de contenidos seleccionamos importar la configuracin actual decontenido. Clic en modificar configuracin.


27/40

*Seleccionamos la ficha sitios aprobados.Al sitio que queramos negar el acceso, le damos clic en nunca.


28/40

Se han negado los sitios. As:

Para acceder necesita autenticacin del adminitrador.


29/40

d. *Accedemos a directivas de grupo local.*Entramos en Configuracin de usuario.*Plantilla administrativa.*Damos clic en Componentes de Windows.

*Clic en Ocultar las unidades especificas en mi pc.


30/40

*Seleccionamos la casilla habilitar y seleccionamos la unidad a ocultar.


31/40

Observemos que se ha ocultado la unidad C.

e. *Accedemos a directivas de grupo local.*Entramos en Configuracin de usuario.*Plantilla administrativa.*Damos clic en Componentes de Windows.*Explorador de Windows.*Clic en Quita el men opciones de carpeta del men herramientas.


32/40

*Seleccionamos la opcin habilitada, y damos clic en aceptar.

f. *Accedemos a directivas de grupo local.

*Entramos en Configuracin de usuario.

*Damos clic en Plantilla administrativa.

*Componentes de Windows.

*Explorador de Windows.

*Damos doble clic en Impedir acceso a las unidades desde mi pc.


33/40

*Seleccionamos la casilla habilitar y seleccionamos la unidad a restringir.

*Observemos que no tenemos acceso a la unidad B.


34/40

g. *Accedemos a directivas de grupo local.




*Explorador de Windows.

*Ingresamos en Tamao mximo permitido de la papelera de reciclaje.


35/40

*seleccionamos la casilla habilitar y ponemos la cantidad mxima.

h. *Accedemos a directivas de grupo local.

*Entramos en Configuracin del equipo.

*Damos clic en Plantillas administrativas.


*Windows Messenger.

*Doble clic en No permitir que se ejecute Windows Messenger.


36/40

*Seleccionamos la opcin habilitada y clic en aceptar.

i. *Accedemos a directivas de grupo local.



*Escritorio.

*Doble clic en Ocultar y deshabilitar todos los elementos del escritorio.


37/40

*Seleccionamos la opcin habilitada y clic en aceptar.

j. *Accedemos a directivas de grupo local.



*Escritorio.

*Luego habilitamos las dos ltimas lneas que son las que nos bloquean la barrade tareas.

Accedemos a Impedir la adicin, arrastre, colocacin y cierre de la barra deherramientas.


38/40

*Seleccionamos la opcin habilitada y damos clic en aceptar.

*Accedemos a la otra opcin Prohibir el ajuste de las barras de herramientasdel escritorio.



39/40

k. *Accedemos a directivas de grupo local.



*Sistemas.

*Entramos en Acceso de almacenamiento extrable.

*Doble clic en Todas las clases de almacenamiento extrables: denegar acceso atodo.


40/40


Documents

GPO en Windows Server 2008