Tabla de Contenidos

Introduccin a Group Policy.....................................................................................................................3

Ejercicio 1 Beneficios de Group Policy ..............................................................................................................4 Ejercicio 2 Group Policy Objects vs. Group Policy Object Links.......................................................................6 Ejercicio 3 Orden de procesamiento de Group Policy.........................................................................................8 Ejercicio 4 Introduccin a Group Policy Management Console........................................................................11 Ejercicio 5 Creando una nueva GPO para los usuarios de Finance ..................................................................13 Ejercicio 6 Usando el editor de Group Policy Object .......................................................................................15 Ejercicio 7 Usando Group Policy para asegurar los Desktops..........................................................................18

Introduccin a Group Policy Objetivos

Luego de completar este laboratorio, usted sabr ms acerca de: Los beneficios de las Group Policy. Las diferencias entre Group Policy Objects (GPOs) y Group Policy Object Links. El orden de procesamiento de las Group Policy. La Group Policy Management Console. Creacin de nuevas GPOs. Uso del editor de Group Policy Object. Uso de Group Policy para asegurar Desktops

Escenario
Estos laboratorios proveen una introduccin a Group Policy, trminos y tecnologas asociadas. Windows Server 2003 incluye tambin mejoras a GroupPolicy y estas mejoras se vern durante el laboratorio. Las Group Policy habilitan a administrar mejor usuarios y desktops con pocos recursos. Usted ver ejemplos del uso de Group Policy para administrar entorno de desktops. Usted podr crear y editar Group Policy Object viendo el uso bsico de Group Policy. Las Group Policy pueden tener por objetivo varios niveles. Usted ver como las Group Policy Object se aplican al nivel apropiado de su organizacin. Finalmente, tendr una introduccin a la Group Policy Management Console. Esta herramienta mejora la administracin con respecto a herramientas basadas en Windows 2000 para la administracin de Group Policy.

Tiempo estimado para este lab: 45 Minutos

Computadoras utilizadas en este Lab:

SEA-DC-01

WRK-SEA-001

Ejercicio 1 Beneficios de Group Policy

Escenario
Usted puede administrar computadoras de manera central utilizando Active Directory y Group Policy. Usando Group Policy para administrar entornos de trabajo, permitiendo que usted trabaje ms eficientemente a causa de la centralizacin. Complete este Ejercicio usando:

SEA-DC-01

Tareas

Pasos detallados

1. Abra Group Policy Management.

a. Haga Clic en el link SEA-DC-01 en My Machines

browser.
b. Haga Clic en la ventana de la PC virtual. c. Presione ALT-Derecha + DEL. d. Inicie sesin como Administrator con contrasea

Passw0rd. Group Policy ofrecen administracin de usuarios y estaciones de trabajo.

e. Sobre el escritorio, haga doble-clic a Group Policy Management. f. La ventana Group Policy Management se abrir.

2. Investigue la

Las Group Policy pueden ser aplicadas a nivel de site, dominio, y OU para reducir los costos de administracin.
a. En el panel de consola, expanda Forest: contoso.com y haga clic Sites. b. Expanda Domains y haga clic en contoso.com. c. Expanda contoso.com y haga clic en Sales and Marketing. d. Expanda Sales and Marketing y haga clic en Sales

organizacin de las Group Policy.

Team. Las Group Policy ofrecen alta flexibilidad, habilitando configuraciones a medida, como instalacin de software especifico para usuarios basados en los grupos a los que pertenece en una OU.
a. En el panel de consola, expanda Finance y haga clic Install Excel 2003. b. En el panel de detalles, haga clic en Settings y haga clic en show all.

3. Observe la configuracin para instalar un programa a travs de Group Policy.

4. Inicie la instalacin de un programa.

En este caso, la Group Policy inicia la instalacin de Microsoft Excel 2003 para los usuarios miembros de la OU Finance. Usted puede ver los archivos origen en una locacin de un server de red, y luego ver instalado MS Excel en una workstation.
a. Navegue a User Configuration | Software Settings | Assigned Applications | Microsoft Office Excel 2003 | Deployment Information y verifique que el Deployment Source sea \\SEA-DC01\Office\EXCEL11.msi. b. Minimice Group Policy Management.

5. Observe detalles

acerca de usuarios en Active Directory Users and Computers.

El usuario Finance es miembro de Finance OU y tiene instalado Excel en su sistema a travs de Install MS Excel 2003 Group Policy cuando inicia sesin en el dominio.
a. En el escritorio, doble-clic en Active Directory Users and Computers. b. Aparece la ventana Active Directory Users and Computers; maximice la ventana. c. En la consola, expanda contoso.com y haga clic en

Finance.
d. En el panel de detalles, haga clic en Finance User. e. Minimice Active Directory Users and Computers.

6. Mire las policies de

varias GPOs.

Porque las Group Policy definen configuracin y acciones habilitadas para usuarios y computadoras, pueden crear escritorios de acuerdo al trabajo y responsabilidades del usuario y nivel de experiencia con computadoras.
a. Restaure Group Policy Management. b. En el panel de consola, haga clic en Sales and

Marketing.
c. Bajo Sales and Marketing, pase el mouse sobre el link de group policies.

La OU Sales and Marketing tiene un numero de linked Group Policies que estn definidas para configurar computadoras miembros de esa OU.
d. Pase el mouse sobre Marketing Security.

e. Minimice Group Policy Management.

Los Servidores pueden ser administrados va Group Policy.

7. Vea las configuraciones para los Servidores de la OU. a. Restaure Active Directory Users and Computers. b. En la consola, haga clic en Servers.

En este caso, la OU Servers fue creada para alojar todos los servers del dominio consoto.com.
c. En el panel de detalles, pase el mouse sobre los servers

listados.
d. Cierre Active Directory Users and Computers.

8. Viendo una GPO linkeada a otra OU.

a. Restaure Group Policy Management. b. En la consola, expanda Servers y pase el mouse sobre Server Security.

Ejercicio 2 Group Policy Objects vs. Group Policy Object Links

Escenario
Group Policy Objects, o GPOs, no estn completas hasta que estn linkeadas a un site, dominio, o OU. Esto es llamado el Scope of Management o SOM. Las configuraciones definidas en una GPO slo son aplicadas cuando la GPO es linkeada a uno o ms SOMs. El link no es un componente de la GPO; es un componente del SOM al que est linkeado. En la Group Policy Management Console, los GPO-links en una SOM son mostrados como nodos child del contenedor. La Group Policy Management Console, o GPMC, tiene mejorada la distincin de un group policy object con respecto a un group policy object link. Complete este Ejercicio usando:

SEA-DC-01

Tareas

Pasos detallados

1. Vea el contenedor GroupPolicy Object.

a. En la consola, haga clic en Group Policy Objects. b. En el panel de detalles, mueva el mouse sobre las group policies listadas.

Todas las Group Policy objects residen en el Group Policy Objects container. Note que todas las group policies son mostradas en el panel de detalles del contenedor.
2. Vea detalles adicionales de la GPO. a. En el panel de detalles, mueva el mouse sobre la columna GPO Status y WMI Filter.

Detalles adicionales, como si las GPOs estn habilitadas, y si tiene filtros WMI aplicados, son mostrados en el panel de detalles.
b. En el panel de la consola, expanda los objetos de Group Policy Objects y mueva el Mouse sobre las group policies.

Las group policies tambin son objetos hijos bajo los contenedores de los Group Policy Objects.
3. Vea un GPOa. Bajo Group Policy Objects, haga clic en Marketing

link.

Security.
b. En el panel de detalles, haga clic en el tabulador Settings. c. Mueva el mouse sobre el panel de detalles.

La interfase de usuario de distingue entre GPO-links y GPOs de la siguiente manera: La primera diferencia es la ubicacin en la consola rbol. Los GPOs actuales siempre estn mostrados bajo un nodo de Group Policy Objects para un dominio dado. Aqu esta mostrado anteriormente el Security Group Policy object en la demostracin.
4. Vea una GPO a. En el panel de la consola, bajo Sales and Marketing, haga clic en Marketing Security. b. Deslice el mouse sobre el panel de detalles.

hija.

Los GPO-links aparecen como nodos hijos de un sitio, dominio, u OU. El objeto de las polticas de Server Security han sido linkeados al servidor OU. Note que los contenidos del panel de detalles para GPOs y GPO-link son idnticos.

5. Vea iconos de acceso directo a GPO.

a. En el panel de la consola, bajo Sales and Marketing, deslice el mouse sobre Marketing Security. b. Bajo Group Policy Objects, deslice el mouse sobre Marketing Security.

Los iconos de los links GPO tienen un icono de acceso directo que apuntan a otros objetos. Por ejemplo, note el link de Server Security GPO. El icono para este link tiene un acceso directo para diferenciarlo del icono del Server Security GPO actual bajo el Group Policy Objects.
6. Vea backup, restauracin y otras opciones en el men de contexto. a. Bajo Group Policy Objects, haga clic derecho en Marketing Security y deslice el mouse sobre Back Up y Restore from Backup.

El men de contexto que aparece cuando hace clic derecho en la vista rbol es diferente dependiendo si esta administrando un GPO-link o un GPO. Haciendo botn derecho se exponen opciones que son primeramente relevantes para el GPO actual, como Backup y Restauracin.
b. Haga clic en el panel de detalles para cerrar el men de

contexto. Haciendo botn derecho en un GPO-link se exponen opciones que son relevantes para administrar un link como Enforced y Link Enabled. Note que algunas opciones como Editar estn disponibles en ambos mens de contexto.
a. Bajo Sales and Marketing, haga botn derecho en Marketing Security y deslice el mouse sobre Enforced. b. Deslice el mouse sobre Edit. c. Haga clic en el panel de detalles para cerrar el men de

7. Vea opciones

adicionales.

contexto.
d. Minimice Group Policy Management.

Ejercicio 3 Procesar ordenes de Group Policy

Escenario
El rango de Group Policy incluye el GPO local y el de todas las computadoras que aplican en los sitios Active Directory, dominios, y OUs. Como hemos mencionado antes, cada una de las distintas opciones de destino son llamadas Scope of Management, o SOM. Un GPO se vuelve til solo luego de ser linkeado a un SOM los settings en el GPO luego son aplicados de acuerdo al rango. Los GPOs son procesados en el orden de local, sitio, dominio, y luego OU. Como resultado, una computadora o usuario recibe los setings de poltica que contiene el ltimo proceso Active Directory es decir, una poltica

aplicada ms tarde, es sobre-escrita en una aplicada antes. Complete este ejercicio usando:

SEA-DC-01

WRK-SEA-001

Tareas Complete las dos siguientes tareas en: WRK-SEA-001

1. Logueese en la Terminal de trabajo como Administrador.

Pasos Detallados

a. Haga clic en el link WRK-SEA-001 en el browser My

Machines.
b. Haga clic en la ventana de la PC virtual. c. Presione Right-ALT + DEL. d. Logueese como SEA-WRK-01\Administrator con la contrasea Passw0rd.

La primera poltica aplicada es la de la computadora local. Esta poltica se aplica en la computadora mas all de quien se loguea en la misma Los settings aplicados a la computadora son los definidos por el Security Policy local.
2. Vea los seteos de a. En el escritorio, haga doble clic en Local Security Policy.

seguridad. Estas polticas son las polticas por defecto de Windows XP.
b. Aparecer la ventana de Local Security Settings; maximice la ventana. c. En el panel de la consola, expanda Security Settings | Local Policies y haga clic en Security Options.

Las Security Policies pueden ser definidas en la mquina local. Esto es til para las terminales de trabajo que no son parte de un dominio. Por ejemplo, Los seteos incluyen quienes pueden acceder al sistema a travs de la red, quien se puede loguear localmente y quien tiene permisos de backup y restauracin.
d. Deslice el mouse sobre el panel de detalles. e. Cierre Local Security Policy. f. Salga del sistema SEA-WRK-01.

Complete las ocho siguientes tareas en: SEA-DC-01

3. Vuelva a Group

a. Haga clic en el link SEA-DC-01 en el browser My

Machines.
b. Restaure Group Policy Management.

Policy Management.

Las polticas de grupos basadas en Site sern aplicadas. Nuestra Terminal de trabajo recibira los settings de polticas definidos en un grupo de polticas que est linkeado al sitio que las contienen. Por ejemplo, un GPO puede estar linkeado a un sitio Active Directory para especificar las polticas de seteo de setings relacionados con proxis y redes que son especficos para ese sitio.

4. Habilite Show Sites en el sitio contenedor para linkear un GPO a un sitio.

a. En el panel de la consola, haga botn derecho en Sites y luego en Show Sites. b. Aparecer la ventana Show Sites; chequee Default-FirstSite-Name y luego haga clic en OK.

5. Linkee el sitio Group Policy al sitio contenedor.

a. Expanda Sites y haga botn derecho en Default-First-SiteName y haga clic en Link an Existing GPO. b. Aparecer la ventana Select GPO; haga clic en Site Group Policy y luego en OK.

Note que no puede crear y linkear group policies en un solo paso en el sitio contenedor.
6. Vea los seteos Group Policy para el sitio. a. Expanda Default-First-Site-Name y deslice el mouse sobre Site Group Policy.

Todos los usuarios y las Terminal de trabajo en el sitio tendrn los setings de poltica definidos en este nivel a menos que el GPO este configurado para administracin excepcional. Administracin Excepcional ser discutida ms tarde en este laboratorio.
7. Vea las Domain a. En el console-pane, bajo contoso.com, haga clic en Default Domain Policy.

Policies.

Las polticas basadas en Dominios sern procesadas a continuacin.

b. En el tabulador de Settings, haga clic en show all.

Por defecto, las polticas Default Domain son creadas automticamente y linkeadas al contenedor de dominios y usados por todos los controladores de dominio en el dominio. Esto ser aplicado a todos los objetos en el dominio.

8. Vea Account Policies/Password Policies

a. Navegue a Computer Configuration | Windows Settings | Security Settings | Account Policies/Password Policies y deslice el mouse sobre los seteos Account Policies/Password policy.

Los setings ya han sido configurados para esta poltica. Note los setings mas seguros en el Password policy. Otra vez, todos los usuarios y terminales de trabajo en el dominio tendrn los setings de poltica definidos en este nivel a menos que el GPO este configurado para administracin excepcional.
9. Vea OU policies. a. En el panel de la consola, haga clic en Sales and Marketing.

Las Organizational Unit policies sern procesadas a continuacin.

b. Deslice el mouse sobre las polticas de grupo linkeadas en el panel details.

Si una Terminal de trabajo o usuario es un miembro del equipo Marketing and Sales Team OU, ellos recibirn cualquier seting definido en un objeto de grupo de polticas que est linkeado al Marketing and Sales Team OU a menos que el GPO o el OU est configurado para administracin excepcional.
10. Vea grupos de poltica hijos basados en unidades de organizacin. a. En el panel console-pane, haga clic en Sales Team.

Finalmente, los grupos de poltica hijos basados en unidades de organizacin son procesados.
b. Deslice el mouse sobre el los grupos de poltica linkeados en el panel de detalles.

Si una estacin de trabajo o usuario es miembro de Sales Team OU, ellos recibirn cualquier seting definido en un objeto de grupo de polticas que est linkeado al Sales Team OU a menos que el GPO o el OU est configurado para administracin excepcional.

Ejercicio 4 Introduccin de la consola de Administracin de polticas de Grupo

Escenario
Ahora que ya tiene una recorrida rpida por el Group Policy y ha visto algunas de las capacidades, hagamos una Mirada mas detallada de la principal herramienta para administrar Group Policy La Group Policy Management Console, o GPMC.

Debe usar el GPMC para administrar Group Policy porque ste ofrece administracin simplificada y funciones adicionales como el acceso complete a creacin y asociacin de Group Policy. El punto principal de este ejercicio es que se familiarice con el GPMC. Administracin especfica de Group Policy ser presentada ms en detalle en las siguientes sesiones Webcast. Complete este ejercicio usando:

SEA-DC-01

Tareas

Pasos Detallados

1. Abra

a. En el panel de la consola, bajo Forest: contoso.com, haga clic en

GPMC.

Domains. Podemos ver otros dominios para los cuales nuestra cuenta tiene permisos. Por defecto se conecta al PDC Emulator del dominio en el cual reside la mquina.
b. En el panel de detalle, deslice el mouse sobre SEA-DC01.contoso.com.

2. Vea

opciones de Domain Controller.

a. En un panel de consola, haga botn derecho en contoso.com y haga clic en Change Domain Controller. b. Aparecer la ventana Change Domain Controller; deslice el mouse sobre la ventana a medida que visualiza las opciones.

El GPMC puede conectarse a cualquier controlador de dominios dentro del dominio. La mejor prctica es usar el PDC Emulator para evitar conflictos en caso que otro objeto es editado por dos partes simultneamente. Sin embargo, si est en un sitio remoto, puede conectarse a un controlador de dominio para realizar una administracin de Group Policy para mejorar el funcionamiento.
c. Haga clic en Cancel.

3. Vea opciones de Site.

a. En una consola rbol, bajo Sites, deslice el mouse sobre Default-First-

Site-Name. Como ya hemos visto, los sitios no son mostrados por defecto. Esto ayuda a aumentar la velocidad de funcionamiento de la consola sin hacer enumerar informacin del sitio. Antes, habilitamos los sitios para ser mostrados.

4. Vea opciones de Group Policy Modeling.

a. En el panel de consola, haga clic en Group Policy Modeling.

El Group Policy Modeling es un nueva herramienta de administracin de Group Policy. Esta le permite simular setings de polticas aplicadas a usuarios y computadoras va un Group Policy, antes de aplicar dichas polticas. Esta herramienta es mostrada como Resultant Set of Policy Planning Mode in Windows Server 2003. Esta herramienta requiere al menos un controlador de dominio corriendo en Windows 2003, porque la simulacin es realizada por el servicio Resultant Set of Policy Provider que slo est presente en controladores de dominio que corren en Windows Server 2003.

5. Vea opciones de Group Policy Results.

a. En el panel de la consola, haga clic en Group Policy Results.

Los Group Policy Resultsle permiten acceder a las capacidades Resultant Set of Policy Logging Modes. Los Group Policy Results representan el set de polticas resultantes actual que es aplicado a un usuario y computadora dados. Los datos de Group Policy Results slo pueden ser obtenidos de computadoras que corren Windows XP, Windows Server 2003 y posteriores.

Ejercicio 5 Crear un Nuevo GPO para Finance Users

Escenario
La Template Extension de administracin es usada por el Group Policy Object Editor para configurar los seteos en un Group Policy Object. Los GPOs son setings que son aplicados modificando un el registro en los clientes indicados. Crear un GPO es una forma excelente de introducirse en las herramientas de Group Policy Object. Digamos que el departamento de Finanzas necesita seteos en el Internet Explorer definidos para Finance Users. Complete este ejercicio usando:

SEA-DC-01

Tareas

Pasos Detallados

1. Cree un link a un GPO.

a. En el panel de consola, haga botn derecho en Finance y en Create and Link a GPO here. b. Aparecer el cuadro de dialogo de New GPO; tipee Finance Users y haga clic en OK.

Un nuevo GPO-link titulado Finance Users aparecer en el tabulador de Linked Group Policy Objects.
c. En el rbol consola, bajo Finance, haga clic en Finance Users.

Recuerde que el GPO actual est en Group Policy Objects, donde residen todos los GPOs para el dominio.
2. Vea Propiedades de GPO. a. En el panel de detalles, asegrese que el tabulador Scope est seleccionado.

El tabulador Scope muestra Links, Security Filtering y Filtros WMI. Los filtros pueden ser usados para refinar mejor quin recibe los seteos de GPO. Los filtros sern presentados ms tarde en los Webcasts.
b. En el panel de detalles, en la seccin Links, deslice el mouse sobre

Finance. La seccin Links muestra el contenedor donde residen los GPO-link; en este caso es el Finance OU. Tambin puede ver si el link esta Enforced, si el link est habilitado, y la ruta al contenedor.
c. Bajo Enforced, deslice el mouse sobre No. d. Bajo Link Enabled, deslice el mouse sobre Yes. e. Bajo Path, deslice el mouse sobre Contoso.com/Finance.

3. Vea opciones de Security Filtering.

a. Deslice el mouse sobre Security Filtering.

El Security Filtering le permite agregar grupos de seguridad al GPO para filtrar quien recibe los seteos de GPO. Los usuarios autenticados sern listados a.C. Eso significa que todos los usuarios autenticados en el dominio tienen permisos acorde con este objeto de grupo de polticas. Los Security Filtering tambin sern presentados ms tarde en Webcast.
a. Deslice el mouse sobre WMI Filtering.

4. Vea opciones WMI Filtering.

El WMI Filtering es usado para refinar mas la aplicacin de GPO usando scripts para filtrar destinos potenciales basados en dispositivos. Los WMI filters slo pueden ser aplicados en Windows Server 2003 o Windows XP. Las mquinas Windows 2000 descartaran cualquier WMI Filtering. Los WMI Filters avanzados sern creados y aplicados para prevenir la aplicacin de un objeto de polticas de seguridad en clientes especficos basados en configuraciones de computadora en futuros Webcasts.

5. Vea el tabulador de Details.

a. Haga clic en el tabulador Details. b. Deslice el mouse sobre el siguiente objeto a medida que los

visualiza:
c. Domain

El dominio donde reside el GPO.

d. Owner

El propietario del GPO.

e. Created

La fecha de creacin del GPO.

f. Modified

La ltima vez que el GPO fue modificado.

g. User version

La versin de GPO del usuario. Esta es la porcin de los seteos de poltica aplicados al usuario.
h. Computer version

La versin de la computadora del GPO. Esta es la porcin de seteos de poltica aplicados a la computadora.
i. Unique ID

El nico ID del GPO. Este es el GUID del GPO Globally Unique Identifier.
6. Vea seteos de configuracin de computadora. a. Expanda los mens GPO Status y deslice el mouse sobre Computer configuration settings disabled.

Para hacer los GPOs ms eficaces, puede filtrar seteos basados en seteos de usuario o computadora.
b. Haga clic en el tabulador de detalles para cerrar lo expandido.

7. Vea el tabulador Settings.

a. Haga clic en el tabulador Settings.

Use el tabulador de seteos para el objeto de polticas de grupo. Aqu podremos ver que no hay ningn seteo definido para Finance Users GPO. Editaremos el Finance Users GPO para configurar los seteos de Internet Explorer.
8. Vea el a. Haga clic en el tabulador Delegation.

tabulador Delegation.

El tabulador Delegation es donde el GPO puede ser delegado a usuarios o grupos aparte de Domain Admins para propsitos administrativos. El GPO Delegation ser discutido en futuros Webcast.

Ejercicio 6 Uso del Group Policy Object Editor

Escenario
Los seteos de Group Policy son editados usando el Group Policy Object Editor. Todos los seteos de poltica creados por el Group Policy Object Editor son almacenados en un GPO. Complete este ejercicio usando:

SEA-DC-01

WRK-SEA-001

Tareas Complete las siguientes ocho tareas en: SEA-DC-01

1. Abra el Group Policy

Pasos Detallados

a. En la consola rbol, bajo contoso.com, haga clic en Default Domain Policy. b. Haga botn derecho en Default Domain Policy y clic en Edit. c. Aparecer la ventana de Group Policy Object

Object Editor. Editor.

El Group Policy Object Editor es usado para definir seteos en un Group Policy Object. El Group Policy Object Editor usa archivos templates de administracin para mostrar los seteos. Los archivos Administrative Template, o .adm, son usados para mostrar los seteos de la interfase de usuario en el Group Policy Object Editor, permitindole a los administradores manejar seteos de polticas basados en la registry. Una sesin Webcast completa ser dedicada a archivos .adm. Editar el Default Domain Policy podr ayudarlo a entender la diferencia entre usar el GPMC para administrar GPOs y usar el Group Policy Object Editor para definir seteos.

2. Use User Configuration.

a. En la consola rbol, expanda User Configuration | Administrative Templates y haga clic en System. b. En el panel de detalle, haga doble clic en Dont display the Getting Started welcome screen at logon. c. Aparecer la ventana Dont display the Getting Started welcome screen at logon Properties; haga clic en el tabulador Explain y deslice el mouse sobre los contenidos.

Editaremos el User Configuration para definir una poltica que prevendr que aparezca el Getting Started Welcome Screen cuando los usuarios entren en el sistema. Esta es una Domain Policy, por lo tanto se aplicar a todos los usuarios en el dominio. Puede hacer clic en el tabulador Explain para ver ms informacin de cualquier seteo.
d. Haga clic en el tabulador Setting y luego en Enabled y en OK. 3. Cierre el Group Policy Object Editor. a. Cierre el Group Policy Object Editor.

Los seteos se salvan automticamente cuando cierra el Group Policy Object Editor

4. Abra otro Group Policy

Object Editor.

Luego editaremos el Finance Users GPO que creamos antes para configurar los seteos de Internet Explorer para un miembro de este OU.
a. En la consola rbol, bajo Finance, haga botn derecho en Finance Users y haga clic en Edit. b. Aparecer la ventana Group Policy Object Editor, maximice la ventana.

5. Cambie las propiedades de Disable the Connections page.

a. Expanda User Configuration | Administrative Templates | Windows Components | Internet Explorer y haga clic en Internet Control Panel.

Cambiaremos el Internet Explorer para Finance Users escondiendo el tabulador Connections en el panel de Internet Options.
b. En el panel de detalles, haga doble clic en Disable the Connections page.

Abrir el Disable the Connections page Properties utiliza los archivos .adm para mostrar los seteos. Una vez ms, los archivos adm sern discutidos ms tarde en un futuro Webcast.
c. Aparecer la ventana Disable the Connections page Properties; haga clic en Enabled y en OK. d. Muvase hacia la derecha de la ventana y deslice el mouse sobre Enabled.

6. Cambie la configuracin AutoSave para que los usuarios no puedan almacenar contraseas usando auto completar.

a. Navegue a User Configuration | Administrative Templates | Windows Components y haga clic en Internet Explorer. b. En el panel de detalles, baje y haga doble clic en Do not Allow AutoComplete to save passwords. c. Aparecer la ventana Do not Allow AutoComplete to save passwords Properties; haga clic en Enabled. d. Haga clic en Previous Setting.

7. Deshabilite tambin el AutoComplete para formularios.

a. Aparecer la ventana Disable AutoComplete for forms Properties; haga clic en Enabled y luego en OK.

8. Evite que los Finance Users cambien su pgina de inicio.

a. En el panel de detalles, suba y haga doble clic en Disable changing home page settings. b. Aparecer la ventana Disable changing home page settings Properties; haga clic en Enabled y luego en OK. c. Cierre Group Policy Object Editor.

d. Cierre Group Policy Management. Complete las siguientes 10 tareas en: WRK-SEA-001
9. Logueese a la estacin de a. Haga clic en el link WRK-SEA-001 del browser My Machines. b. Haga clic en la ventana de la PC virtual. c. Presione Right-ALT + DEL. d. Logueese como Contoso\FinanceUser con la contrasea Passw0rd.

trabajo cliente como FinanceUser, un objeto de usuario que reside en el Finance OU, para ver los settings de Group Policy aplicados desde el Finance Users GPO.

10. Vea ayuda GPUpdate.

a. En el escritorio, haga doble clic en Command

Prompt.
b. Aparecer la ventana Command Prompt; tipee GPUpdate /help | more y presione Enter.

Corriendo el GPUpdate.exe forzara los setings ms recientes para nuestro cliente. El GPUdate.exe en Windows XP remplaza el Secedit /refreshpolicy usando anteriormente en clients para Windows 2000. Si tipeamos help despus de GPUdate veremos una lista de opciones que pueden ser corridas con la herramienta.
c. Deslice el mouse sobre las opciones a medida que

aparecen.
d. Presione la barra espaciadora par ver ms pginas

de ayuda.

11. Fuerce GPUpdate.

a. Baje en la pgina hasta llegar al prompt; tipee GPUpdate /force y presione Enter.

Corriendo el GPUdate con la opcin forzar, fuerza al cliente a comparar y ver si tiene los settings de GPtO ms actuales en su cache o si necesita reaplicar los setings.
b. Espere hasta que aparezca Policy Refresh has

completed.
c. En Certain Computer policies are enabled that can only run during start up tipee Y y presione Enter. d. El sistema se reiniciara, esto puede tomar un

momento. Antes, vimos el Install Excel 2003 GPO linkeado al Finance OU. Ahora este GPO ser aplicado a nuestra estacin de trabajo. El Install Excel 2003 GPO contena setings basados en la computadora que requerirn un reinicio para que sean efectivos, as que reiniciaremos la Terminal de trabajo para poder tener los cambios hechos.
12. Reinicie y permita que se

instale Excel 2003.

Cuando la PC se reinicia, notar que no tendr que loguearse inmediatamente mientras que Excel 2003 se instala automticamente. Una vez ms, esto es resultado de que el GPO est aplicado a la PC.
a. Haga clic en la ventana de la PC virtual. b. Presione Right-ALT + DEL. c. Logueese como Contoso\FinanceUser con la contrasea Passw0rd.

La instalacin puede tomar algunos minutos hasta que sea completada.

13. Vea Internet Explorer Properties y verifique que el Group Policy se ha aplicado.

a. Haga clic en Start, luego botn derecho en Internet Explorer y en Internet Properties. b. Aparecer la ventana Internet Properties; deslice el mouse sobre los tabuladores para mostrar el tabulador Connections que no est a la vista.

14. Vea los settings AutoComplete y verifique que el Group Policy se ha aplicado.

a. Haga clic en el tabulador Content y luego en AutoComplete. b. Aparecer la ventana AutoComplete Settings; deslice el mouse sobre Forms y haga clic en Cancel.

15. Finalmente, note que los Finance Users no pueden cambiar los seteos de su pgina de inicio.

a. Haga clic en el tabulador General; deslice el mouse sobre Address. b. Haga clic en Cancel. c. No se desconecte de FinanceUser.

Ejercicio 7 Uso de Group Policy para asegurar el escritorio.

Escenario
Debe usar Group Policy para administrar eficientemente su entorno de escritorio. Un buen ejemplo de esto es evitar que los usuarios hagan cambios a nivel de sistema en su escritorio usando Group Policy para hacer ms seguros los settings de las PCs. Complete este ejercicio usando:

SEA-DC-01

WRK-SEA-001

Tareas Complete las siguientes cinco tareas en: SEA-DC-01

1. Abra otro Group Policy Object

Pasos Detallados

a. Haga clic en el link SEA-DC-01 en el browser My Machines. b. En el escritorio, haga doble clic en Group Policy Management. c. Aparecer la ventana Group Policy Management. d. En el panel de la consola, bajo Finance, haga botn derecho Finance Users y luego haga clic en Edit.

Editor.

Ahora editaremos el Finance Users GPO configurando seteos que reducirn el nmero de usuarios que puedan generar problemas haciendo que estos no tengan acceso a algunas herramientas del escritorio.

2. Elimine el comando Run del men de inicio para evitar que los usuarios utilicen ciertos accesos directos a aplicaciones como el editor de la registry.

a. Aparecer el Group Policy Object Editor; maximice la ventana. b. Navegue a User Configuration | Administrative Templates y haga clic en Start Men and Taskbar. c. En el panel de detalles, haga doble clic en Remove Run men from Start Menu. d. Aparecer la ventana Remove Run men from Start Menu Properties; haga clic en Enabled y luego en OK.

3. Prohba el acceso al panel de control. Esto evitar que los finance users hagan cambios en la configuracin de su sistema.

a. Navegue a User Configuration | Administrative Templates y haga clic en Control Panel. b. En el panel de detalles, haga doble clic en Prohibit access to the Control Panel. c. Aparecer la ventana Prohibit access to the Control Panel; haga clic en Enabled y luego en OK. a. En la consola rbol, navegue a User Configuration | Windows Settings y haga clic en Folder Redirection. b. En el panel de detalles, haga botn derecho en My Documents y luego en Properties. c. Aparecer el cuadro de dialogo My Documents Properties; al lado de Settings, expanda el men y haga clic en Basic Redirect everyones folder to the same location.

4. Finalmente, configuraremos la Redireccin de Carpetas para los Finance Users, asegurndonos que tendrn acceso a sus archivos sin importar desde que escritorio se logueen.

Estaremos configurando Basic redireccin para la carpeta My Documents. Basic redireccin redirecciona todas las carpetas a la misma ubicacin. Advance redirection nos permite especificar las ubicaciones para varios grupos de usuarios.

5. Especifique la ruta de redireccionamiento para la carpeta.

a. Al lado de Target Folder Location, deslice el mouse sobre Create a folder for each user under the root path.

Cada usuario tiene su propia carpeta en el directorio Profiles en el controlador de dominio.

b. Para Root Path, tipee \\SEA-DC-

01\profiles. Note la ruta dada como ejemplo al pie de la ventana My Documents Properties.
c. Deslice el mouse sobre \\SEA-DC01\profiles\Clair\My Documents y haga clic en OK. d. Cierre Group Policy Object Editor. e. Cierre Group Policy Management.

Complete las siguientes tres tareas en: WRK-SEA-001

6. Intente usar el comando Run. a. Haga clic en el WRK-SEA-001 en el browser My Machines. b. Salga del sistema WRK-SEA-001 y conctese como Contoso\FinanceUser con la contrasea Passw0rd. c. En WRK - SEA -001, haga clic en Start y note que el comando Run ya no esta disponible.

Si an est disponible, desconctese y vuelva a conectarse otra vez. Esto puede ocurrir si no ha transcurrido mucho tiempo desde que cambio el GPO.
7. Intente entrar al Panel de Control. a. Note que ya no se puede acceder al Panel de Control.

8. Vea la ubicacin de la carpeta My Documents.

a. Haga botn derecho en My Documents y luego clic en Properties. b. Aparecer la ventana My Documents Properties; al lado de Target, haga clic en el campo y baje hacia la izquierda para ver la nueva ubicacin

La carpeta My Documents reside en el controlador de dominio.

c. Haga clic en Cancel.