Gestion de Redes : DIRECTIVAS DE GRUPO (GPO) EN WINDOWS SERVER 2012

Actividad 1: Teoría

1. De acuerdo a la lectura de la introducción, realice una investigación más

Detallada sobre que es una GPO en el sistema operativo Windows Server 2012.

Las GPO u objetos de directivas de grupos son un conjunto de políticas mediante el cual se controlan el ambiente de las cuentas de los usuario y las cuentas de equipo, es decir las GPO controlan todo lo que los usuarios pueden hacer en el sistema, mediante las GPO se pueden realizar diferentes acciones como bloquear el acceso a ciertas carpetas, deshabilitar la descarga de archivos ejecutables, restringir el acceso a ciertas páginas web.

¿Qué tipos de diseños tenemos de GPO?

Hay 3 tipos de diseños de GPOs según las políticas que las configuran:

-GPO de directiva Aonica: cuando está orientada a un solo tipo de configuración (por ejemplo propiedades de Active Desktop). Es adecuado para organizaciones que delegan responsabilidades administrativas en muchos usuarios.

-GPO de directiva múltiple: cuando está orientada a varios tipos de configuración (por ejemplo, configuración de IE, de explorador de Windows, de instalación de software, etc.). Adecuado para organizaciones en las que la administración está centralizada.

-GPO de directiva dedicada: cuando configura solo políticas de equipo o de usuario. Aumenta el número de GPOs a ser procesadas en el inicio de sesión, alargando este, pero es útil para aislar los problemas en la aplicación de una GPO.

2. Explique cuál es el procedimiento con sus fases para definir e implementar una solución de directiva de grupo (GPO) para una empresa.

Durante la fase de diseño:

· Defina el ámbito de aplicación de la directiva de grupo.

· Determine los valores de configuración de la directiva que son aplicables a todos los usuarios corporativos.

· Clasifique a los usuarios y equipos según sus funciones y ubicaciones.

· Planee las configuraciones de escritorio en función de los requisitos de los usuarios y equipos.

· Un diseño bien planeado contribuir a garantizar una correcta implementan de la directiva de grupo.

La fase de implementación comienza con un ensayo en un entorno de prueba. El proceso incluye:

· Creación de configuraciones de escritorio estándar.

· Filtrado del ámbito de aplicación de objetos GPO.

· Especificación de excepciones a la herencia predeterminada de la directiva de grupo.

· Delegación de la administración de la directiva de grupo.

· Evaluación de una configuración de directiva efectiva usando Modelado de directivas de grupo.

· Evaluación de los resultados mediante Resultados de directivas de grupo.

3. ¿Porque crees que es importante definir una directiva de grupo de forma local? ¿En qué casos aplicaría? De un ejemplo concreto de una situación en que sería importante definir una GPO.

Es importante porque estos nos especifican cómo funcionan los programas, los sistemas operativos, los recursos de red, además de restringir ciertas funciones utilizando políticas de seguridad. Se usa en casos en donde los usuarios no tiene permitido manejar los recursos o administrar los diferentes programas o aplicaciones que se encuentran en la máquina para evitar que estos puedan causar algún daño

Ejemplo: Restringir paginas o aplicaciones indebidas a los usuarios que suelen malgastar su tiempo en el internet o utilizando algún programa que le pueda causar alguna distracción, estas restricciones son muy utilizadas en las instituciones educativas para que los estudiantes solo utilicen los computadores y el internet para fines académicos

4. ¿Cuál es la diferencia entre una directiva de grupo GPO y una Unidad Organizativa OU?

La diferencia es que las unidades organizativas se alojaran las cuentas de los usuarios y equipo, mientras que las GPO se crean dentro de los OUs y solo se aplicaran a las cuentas que pertenezcan a ella. Las GPO se aplican solo a las cuentas (usuarios) no a los grupos.

Actividad 2: Practica

1. Cree los siguientes usuarios y grupos en Windows Server 2012 (También aplica para sistemas operativos Windows XP, Windows Server 2003, Windows Vista y Windows 7, Windows 8, Server 2003 y Server 2008).

Ilustración 1.Para crear los usuarios debemos entrar a Administración de equipos

Ilustración 2.Vamos a la opción que dice Usuarios y grupos locales

Ilustración 3.Para crear los usuarios damos en la pestaña que dice usuarios y damos clic derecho Usuario Nuevo…

Ilustración 4.Agregamos el nombre del usuario y seleccionamos la opción que dice "El usuario deberá cambiar la contraseña cada vez que inicie sesión"

Ilustración 5.Aqui podemos ver los 4 usuarios que hemos creado

Ilustración 6.Ahora crearemos los Grupos, estos se crean de la misma forma que los usuarios

Ilustración 7.Colocamos el nombre del grupo y agregamos los usuarios que deseamos que estén en este grupo

Ilustración 8.Podemos observar los grupos que hemos creado

2. Implemente las siguientes políticas o directivas locales:

Directivas de configuración de equipo:

Ilustración 9.Para seguir con la implementación de las políticas de seguridad, ejecutamos el "gpedit.msc"

• La vigencia máxima de la contraseña para todos los usuarios de la máquina será de 15 días

Ilustración 10.Haremos que la contraseña para cada usuario tenga una vigencia de 15 días como máximo

Ilustración 11.La vigencia por defecto es de 42 días, pero nosotros lo cambiaremos para una vigencia de 15 días.

• Las contraseñas deben cumplir con los requisitos de complejidad por defecto de Windows server ¿Cuáles son estos requerimientos? Realice esta búsqueda y defina cuales son las políticas para aplicarlas a la GPO.

-Debe Tener letras en Mayúscula y minúscula.

- Debe contener números (0-9)

-Debe tener caracteres especiales (¿% #?)

- No puede contener parte del nombre del usuario

-Debe tener como mínimo 6 caracteres

• Los usuarios que requieran cambiar su contraseña no podrán usar un password que se haya usado antes por lo menos desde los 2 últimos cambios.

Ilustración 12.Los usuarios que anteriormente cambiaron su contraseña no podrán utilizar esta misma contraseña por un tiempo

• Los usuarios del grupo Networkers pueden apagar la máquina una vez hayan iniciado sesión, pero los usuarios del grupo CESGE no podrán apagar el equipo (Desde el sistema operativo).

Ilustración 13.Solo permitiremos que los usuarios que pertenecen al grupo Networkers puedan apagar el equipo

Ilustración 14.Hacemos primero una configuraciones que permitirá que el grupo pueda hacer el apagado de la maquina

Ilustración 15.Agregamos el grupo Networkers

Ilustración 16.Aplicamos los cambios y aceptamos

• Los usuarios del grupo CESGE podrán cambiar la hora de la máquina local

Ilustración 17.Ahora solo permitiremos que los usuarios del grupo CESGE puedan cambiar la hora del equipo

Ilustración 18.Este error nos aparecerá si no agregamos los grupos a los tipos de objeto

Ilustración 19.Esto lo realizaremos de la siguiente manera "Tipos de objeto...>Grupos>Aceptar”

Ilustración 20.Ahora si escribimos el nombre del grupo, damos en comprobar nombres y luego en aceptar

Ilustración 21.Damos en aplicar y luego en aceptar

• Todos los usuarios tendrán las siguientes restricciones al usar el navegador Internet Explorer:

Ilustración 22.Ahora vamos a hacer unas pequeñas restricciones en nuestro navegador de Internet Explorer

· No podrán eliminar el historial de navegación.

Ilustración 23.Primero haremos que nuestros usuarios no puedan eliminar el historial de navegación

Ilustración 24.Como se puede ver la opción no está configurada, para configurarla damos doble clic sobre ella

Ilustración 25.Habilitamos la opción y damos Aplicar y aceptar

· No se permitirá el cambio de proxy ya que todos los usuarios usarán el mismo proxy (172.20.49.51:80 o proxy2.sena.edu.co:80).

Ilustración 26.Los usuarios no podrán cambiar el proxy de navegación

Ilustración 27.Para realizar esto vamos a la carpeta de Internet Explorer

Ilustración 28.Escogemos la opción de "Impedir el cambio de configuración de proxy"

Ilustración 29.Habilitamos, damos en aplicar y luego en aceptar

Ilustración 30.Como podemos ver el proxy no puede ser cambiado

· Configuración del historial deshabilitada.

Ilustración 31. Los usuarios no podrán ver el historial de navegación que han utilizado

Ilustración 32.Al igual que la mayoría de las configuraciones no están configuradas

Ilustración 33.Habilitamos la opción y damos clic en aplicar y luego en aceptar

· No permitir el cambio de las directivas de seguridad del navegador.

Ilustración 34.toda la configuración de nuestro navegador la realizaremos en la carpeta del navegador

Ilustración 35.Damos doble clic en este archivo de seguridad para habilitar la zona de seguridad

Ilustración 36.Damos en habilitar luego en aplicar y por último en aceptar

• No permitir el apagado remoto de la máquina.

Ilustración 39.Damos doble clic en el archivo de seguridad para desactivar la interfaz de apagado remoto

Ilustración 40.Damos en habilitar, luego en aplicar y por último en aceptar

• Desactivar la ventana emergente de reproducción automática.

Ilustración 37.Desactivaremos la reproducción automática esto lo realizaremos principalmente para los dispositivos multimedia (Dispositivos de almacenamiento)

Ilustración 38.Habilitamos la configuración y damos en aplicar y después en aceptar

• Aplicar cuotas de 50MB para todos los usuarios locales y remotos (Esta es una cuota muy baja y es usada solo para fines académicos)

Ilustración 41.Para los usuarios locales y remotos configuraremos un tipo de cuotas solo para un fin académico

Ilustración 42.Habilitamos, damos en aplicar y por último en aceptar

Ilustración 43.Para colocar los 50MB debemos entrar a otra política de seguridad o archivo de configuración

Ilustración 44.Habilitamos configuramos los MB, damos en aplicar y luego aceptar

• La página principal que se cargará para cada usuario cuando abra su navegador será:

http://www.sudominio.com (Página institucional de su empresa)

Ilustración 45.Ahora configuraremos la página principal de nuestro navegador para esto entraremos al archivo Deshabilitar el cambio de configuración de la página principal

Ilustración 46.Damos en habilitar, escribimos la página que deseemos que aparezca en la página principal, damos en aplicar y luego en aceptar

Ilustración 47.Entramos a el navegador Internet Explorer

Ilustración 48. Como se puede observar al abrir nuestro navegador aparece la página que hemos configurado

• El servidor proxy para todos los usuarios locales será 172.20.49.51:80 o proxy2.sena.edu.co:80

Ilustración 49.Configuraremos un solo proxy para todos los usuarios que estén conectados y será "proxy2.sena.edu.co:80 o 172.20.49.51:80" 80 será el puerto

Ilustración 50.Entramos a la carpeta del navegador de Internet Explorer

Ilustración 51.Vamos a "Impedir el cambio de configuración de proxy"

Ilustración 52.Habilitamos la configuración, damos en aplicar y luego en aceptar

Ilustración 53.Como podemos ver el proxy no puede ser configurado y este será el utilizado por los usuarios locales

• Restringir desde el navegador el acceso a los siguientes sitios:

www.facebook.com y www.youtube.com por URL, para todos los usuarios. El administrador será el único con la contraseña de supervisor para el Asesor de Contenidos.

Ilustración 54.Restringiremos el acceso a la página de YouTube y Facebook, para eso vamos a "configuración de usuario>Componentes de Windows>Internet Explorer>panel de control de Internet>Pagina Contenido>Mostrar el Asesor de contenido en Opciones de Internet

Ilustración 55.Habilitamos la configuración, después damos en aplicar y aceptar

Ilustración 56.Vamos a nuestro navegador y damos en "opciones de Internet"

Ilustración 57.Vamos a la pestaña de contenido, configuración y configuramos una contraseña la cual permitirá el ingreso a las páginas que vamos a restringir, este contraseña solo la sabrá el administrador

Ilustración 58.Luego vamos a la pestaña "Sitios aprobados" y allí escribiremos las páginas que restringiremos. Una vez escritas damos en la opción "Nunca"

Ilustración 59.En la ruta de búsqueda ingresamos la dirección de Facebook y como se puede ver esta página no abre y nos sale un cuadro de dialogo que nos puede la contraseña que escribimos anteriormente, pero esta solo la sabrá el administrador

Ilustración 60.Si ingresamos la página de YouTube nos pedirá lo mismo

• Ocultar la unidad C:\ (NOTA: Esto no restringirá el acceso a dicha unidad)

Ilustración 61. Para ocultar la Unidad C, vamos al Explorador de archivos y damos en Ocultar estas unidades específicas en Mi PC

Ilustración 62.Habilitamos y escogemos la unidad que vayamos a ocultar en este caso será la unidad C

Ilustración 63.Como podemos observar la unidad ya está habilitada

Ilustración 64.Si entramos a mi PC podemos observar que la unidad C ya no se encuentra

• Ocultar la menú opciones de carpeta del menú de herramientas. Esto con el fin de que los usuarios no puedan ver archivos ocultos o cambiar algunas configuraciones de las carpetas.

Ilustración 65.Ocultaremos la pestaña de opciones para que los usuarios no puedan ver las carpetas ocultas

Ilustración 66.Habilitamos, aplicamos y aceptamos la configuración

• Restringir el acceso a la unidad E:\ desde mi PC.

Ilustración 67.Vamos a impedir el acceso a la Unidad E, pero como en este caso no tenemos unidad E, restringiremos el acceso a la unidad D

Ilustración 68.Habilitamos y escogemos la unidad que vamos a restringir en este caso es la unidad D, aplicamos los cambios y luego aceptamos

Ilustración 69.Si vamos a la unidad D e intentamos ingresar a ella podremos observar que nos aparece un cuadro de error que nos dice restringido

• Limitar el tamaño de la papelera de reciclaje a 100MB.

Ilustración 70.El tamaño de archivos eliminados solo será de 100MB, para esto nos vamos al explorador de archivos y escogemos la opción "Tamaño máximo permitido en la papelería de reciclaje"

Ilustración 71.Habilitamos y escribimos los MB permitidos que en este caso será de 100MB

• No permitir que se ejecute Messenger.

Ilustración 72.No permitiremos el inicio de Messenger para eso vamos a los componentes de Windows de la configuración de usuario y vamos a la carpeta llamada Windows Messenger

Ilustración 73.Seleccionamos la opción que dice "No permitir que se ejecute Windows Messenger"

Ilustración 74. Habilitamos la configuración, aplicamos y aceptamos

• Ocultar todos los elementos del escritorio para todos los usuarios.

Ilustración 75.Ocultaremos todos los iconos del escritorio esto lo realizaremos a través de la configuración de usuario, Plantillas administrativas, Active Desktop

Ilustración 76.Escogemos la opción que dice "Ocultar y deshabilitar todos los elementos del escritorio”

Ilustración 77.Habilitamos, aplicamos y aceptamos

• Bloquear la barra de tareas.

Ilustración 78.Ahora bloquearemos la barra de tareas para los usuarios, vamos al archivo "Impedir la adición, arrastre, colocación... de la barra de tareas"