políticas de grupo para active directory
TRANSCRIPT
SERVIDORES
INSTITUTO TECNOLOGICO “VICENTE ROCAFUERTE”
Políticas de Grupo para Active Directory
Autor:
José López Cobeña
Curso:
VI Semestre REDES
Materia: ServidoresCurso: VI de Redes
Políticas de Grupo para Active Directory
¿Qué es una directiva de grupo? Un objeto de directiva de grupo (GPO: Group Policy Object) es un conjunto de una o más políticas del sistema. Cada una de las políticas del sistema establece una configuración del objeto al que afecta. Por ejemplo, tenemos políticas para:
· Establecer el título del explorador de Internet· Ocultar el panel de control· Deshabilitar el uso de REGEDIT.EXE y REGEDT32.EXE· Establecer qué paquetes MSI se pueden instalar en un equipo· Etc…
¿Cuáles son los tipos troncales de directivas? Podemos definir dos categorías de tipos troncales de directivas:
1. Según su función2. Según su objeto de configuración
Directivas según su función:Hay dos tipos troncales de directivas según su función:
1. Directivas de seguridad: ¿Cuántos caracteres tiene una contraseña? ¿Cada cuánto tiempo debe ser cambiada ésta?, etc. Pueden ser aplicadas:
a. A nivel de dominio: Son aplicadas en todas las máquinas del dominio.b. A nivel de controladores de dominio: Se aplican tan sólo en los controladores de dominio, pero sin suplantar a las del dominio (en caso de entrar en contradicción una y otra, se aplica la del dominio, no la de los controladores de dominio).
2. Directivas de Entorno (GPO -> Group Policy Object): ¿Quién tiene acceso al panel de control? ¿Cuál es el tamaño máximo del archivo de registro de sistema? Pueden ser aplicadas:
a. A nivel de equipo localb. A nivel de sitioc. A nivel de dominiod. A nivel de Unidad Organizativa (OU -> Organizational Unit).
Materia: ServidoresCurso: VI de Redes
Directivas según el objeto al que configuranRespecto al objeto al que configuran también son dos:
e. Configuración del equipo: que se divide en:
i. Configuración de softwareii. Configuración de Windowsiii. Plantillas administrativas
f. Configuración del usuario, que al igual que la de Windows se divide en:
i. Configuración de softwareii. Configuración de Windowsiii. Plantillas administrativas
Aunque las configuraciones de equipo y usuario se dividan en las mismas partes, dentro de éstas son diferentes las políticas que se encuentran.
¿Qué objetos son los contenedores de las GPO’s?Las GPO’s pueden estar contenidas en cuatro tipos de objetos:
1. Equipos Locales: son aplicadas únicamente en el equipo que las tiene asignadas independientemente del dominio al que pertenezcan. Son modificadas con “gpedit.msc”. Estas son las únicas políticas que se aplican a los equipos que no están en un dominio, como servidores independientes (stand alone) o clientes en red igual a igual (peer to peer).2. Sitios de Active Directory: se aplican para todos los equipos y/o usuarios de un sitio, independientemente del dominio del mismo bosque al que pertenezcan.3. Dominios de Active Directory: se aplican a todos los equipos y/o usuarios de un dominio.4. Unidades Organizativas de Active Directory: se aplican únicamente a los equipos y/o usuarios que pertenezcan a la propia unidad organizativa (OU).
Ejemplos de Políticas más Conocidas:
1.- Queremos que al usuario le aparezcan por defecto en el escritorio los iconos de Equipo, Mis sitios de red, Mis documentos y Panel de control, para ello existe una GPO ubicada en la siguiente ruta:Configuración de usuario > Directivas > Plantillas administrativas > Menú inicio y barra de tareas > Forzar menú Inicio clásicoHabilitando esta GPO obtendremos el resultado que queremos.
2.- Impedir el acceso al Panel de control:Esta GPO está ubicada en:
Materia: ServidoresCurso: VI de Redes
Configuración de usuario > Directivas > Plantillas administrativas > Panel de control > Prohibir el acceso al panel de controlLa habilitamos y ya el usuario que hayamos definido no tendrá acceso al panel de control.
3.- Papel tapiz de escritorio igual para los usuarios mediante GPO:Se debe crear una carpeta en el servidor y compartirla, de modo que TODOS los usuarios a los que se les va a aplicar la política puedan tener acceso a ella mediante ruta UNC.Hecho esto, vamos al directorio activo > clic derecho sobre la OU que contenga los usuarios que nos interesan > propiedades > directiva de grupo > creamos una nueva con nombre 'Fondo de Escritorio', por ejemplo. > clic en el botón 'Editar' > Configuración de Usuario > Plantillas Administrativas > Escritorio > Active Desktop > Papel Tapiz de Active Desktop.
Una vez allí, damos clic en Habilitar y escribimos la ruta donde se encuentra el fondo .bmpHabilitando esta GPO obtendremos el resultado que queremos.
7. Ahora veremos restricciones al usar el navegador de internet explorer.Los usuarios no podrán eliminar el historial de navegación. Para ellos vamos a la siguiente ruta >directiva del equipo local> configuración del equipo> plantillas administrativas> componentes de Windows> Internet explorer.
Desde hay buscamos la opción >Desactivar la funcionalidad "Eliminar el historial...".
Materia: ServidoresCurso: VI de Redes
Seleccionamos habilitada.
8. No se permitirá el cambio de proxy, todos los usuarios tendrán el mismo proxy. Desde la misma ruta del internet explorer, buscamos la opción> Propiedades de deshabilitar el cambio de configuración de proxy, y la habilitamos.
Materia: ServidoresCurso: VI de Redes
9. Ahora vamos a configurar el mismo proxy para todos los usuarios para ello vamos a pararnos sobre esta ruta >directiva del equipo local> configuración de usuario> configuración de Windows> mantenimiento de internet explorer>conexión de proxy.
En la opción configuración de los servidores.
Habilitamos la configuración de proxy y utilizamos el sgte: 172.20.49.51:80
10. Configuración del historial deshabilitada.Desde la ruta >directiva del equipo local> configuración del equipo> plantillas administrativas> componentes de Windows> Internet explorer.
Buscamos la opción> Deshabilitar la configuración del historial.> Habilitada> aceptar
Materia: ServidoresCurso: VI de Redes
11. No permitir el cambio de las directivas de seguridad del navegador. Desde la misma ruta anterior buscamos la opción> Zonas de seguridad: no permitir que los usuarios cambien las directivas>Habilitada> aceptar
Materia: ServidoresCurso: VI de Redes
12. Desactivar la ventana emergente de reproducción automática. En la ruta >directiva del equipo local> configuración del equipo> plantillas administrativas> componentes de Windows> directivas de reproducción automática.
Habilitamos la opción > Desactivar reproducción automática.
13. Saliéndonos un poco de las restricciones e internet explorer, vamos a bloquear el apagado remoto de la máquina. Vamos a hacerlo desde la ruta >directiva del equipo local> configuración del equipo> plantillas administrativas> componentes de Windows> Opciones de apagado.
En las propiedades de desactivar interfaz de apagado remoto heredado seleccionamos >Habilitada> Aceptar
Materia: ServidoresCurso: VI de Redes
14. Ahora vamos a aplicar una cuota de disco a todos los usuarios de 50MB. En la ruta >directiva del equipo local> configuración del equipo> plantillas administrativas> Sistema> Cuotas de disco.
En la opción> propiedades de habilitar cuotas de disco> Aceptar
Materia: ServidoresCurso: VI de Redes
En la opción Aplicar un límite de cuota de disco> habilitada> aceptar.
En la opción> Limite de cuota y nivel de aviso predeterminados> habilitada> valor> aceptar.
Materia: ServidoresCurso: VI de Redes
15. Ahora vamos a configurar la página principal que se cargara para cada usuario al abrir el internet explorer. En este caso utilizaremos www.netwares.com
. Seleccionamos la opción> Direcciones URL importantes
Seleccionamos personalizar URL de la página principal.
16. En ocasiones necesitamos bloquear determinados sitios web, en este caso es necesario bloquear www.facebook.com y www.youtube.com. Para ello ingresaremos a> zonas de seguridad y clasificación de contenido> configuración de privacidad y seguridad> Asesor de contenido, y en la pestaña sitios aprobados, ingresamos la dirección web de los sitios seguidos de la opción nunca.
Materia: ServidoresCurso: VI de Redes
Materia: ServidoresCurso: VI de Redes
Luego en la pestaña General seleccionamos las dos opciones iniciales y cambiamos la contraseña del supervisor para acceder a estos sitios web.
Materia: ServidoresCurso: VI de Redes
17. Ocultar una unidad, en este caso la unidad C.
Desde > directiva equipo local> configuración de usuario> plantillas administrativas> componentes de Windows> explorador de Windows.
Seleccionamos la opción ocultar estas unidades específicas en mi PC.
Vamos a seleccionar, habilitada. En caso de querer que se restrinja alguna unidad, seleccionamos dicha unidad desde el menú desplegable al final de la ventana.
Materia: ServidoresCurso: VI de Redes
18. Ocultar el menú opciones de la carpeta menú herramientas.Desde la misma ruta seleccionamos la opción quitar el menú opciones de la carpeta menú herramientas.> habilitada> aceptar.
Materia: ServidoresCurso: VI de Redes
19. Limitar el tamaño de la papelera de reciclaje 100MB.Desde la misma ruta seleccionamos la opción tamaño máximo permitido de la papelera de reciclaje.> habilitada> aceptar.
20. Prohibir la ejecución del Messenger.Desde > directiva equipo local> configuración de usuario> plantillas administrativas> componentes de Windows> Windows Messenger.
Opción> no permitir que se ejecute Windows Messenger> habilitada> aceptar.
Materia: ServidoresCurso: VI de Redes
21. Ocultar los elementos del escritorio para todos los usuarios. En la ruta > directiva equipo local> configuración de usuario> plantillas administrativas> Escritorio.
Encontramos la opción >ocultar y deshabilitar todos los elementos del escritorio. Seleccionamos> habilitada> aceptar.