SERVIDORES

INSTITUTO TECNOLOGICO VICENTE ROCAFUERTE

Polticas de Grupo para Active Directory

Autor: Jos Lpez Cobea Curso: VI Semestre REDES

Autor: Jos Lpez Cobea Curso: VI de Redes

Materia: Servidores

Polticas de Grupo para Active Directory

Qu es una directiva de grupo?
Un objeto de directiva de grupo (GPO: Group Policy Object) es un conjunto de una o ms polticas del sistema. Cada una de las polticas del sistema establece una configuracin del objeto al que afecta. Por ejemplo, tenemos polticas para: Establecer el ttulo del explorador de Internet Ocultar el panel de control Deshabilitar el uso de REGEDIT.EXE y REGEDT32.EXE Establecer qu paquetes MSI se pueden instalar en un equipo Etc

Cules son los tipos troncales de directivas?

Podemos definir dos categoras de tipos troncales de directivas: 1. 2. Segn su funcin Segn su objeto de configuracin

Directivas segn su funcin:

Hay dos tipos troncales de directivas segn su funcin: 1. Directivas de seguridad: Cuntos caracteres tiene una contrasea? Cada cunto tiempo debe ser cambiada sta?, etc. Pueden ser aplicadas: a. A nivel de dominio: Son aplicadas en todas las mquinas del dominio. b. A nivel de controladores de dominio: Se aplican tan slo en los controladores de dominio, pero sin suplantar a las del dominio (en caso de entrar en contradiccin una y otra, se aplica la del dominio, no la de los controladores de dominio). 2. Directivas de Entorno (GPO -> Group Policy Object): Quin tiene acceso al panel de control? Cul es el tamao mximo del archivo de registro de sistema? Pueden ser aplicadas: a. b. c. d. A nivel de equipo local A nivel de sitio A nivel de dominio A nivel de Unidad Organizativa (OU -> Organizational Unit).

Autor: Jos Lpez Cobea Curso: VI de Redes

Materia: Servidores

Directivas segn el objeto al que configuran

Respecto al objeto al que configuran tambin son dos: e. Configuracin del equipo: que se divide en: i. Configuracin de software ii. Configuracin de Windows iii. Plantillas administrativas f. Configuracin del usuario, que al igual que la de Windows se divide en: i. Configuracin de software ii. Configuracin de Windows iii. Plantillas administrativas Aunque las configuraciones de equipo y usuario se dividan en las mismas partes, dentro de stas son diferentes las polticas que se encuentran.

Qu objetos son los contenedores de las GPOs?

Las GPOs pueden estar contenidas en cuatro tipos de objetos: 1. Equipos Locales: son aplicadas nicamente en el equipo que las tiene asignadas independientemente del dominio al que pertenezcan. Son modificadas con gpedit.msc. Estas son las nicas polticas que se aplican a los equipos que no estn en un dominio, como servidores independientes (stand alone) o clientes en red igual a igual (peer to peer). 2. Sitios de Active Directory: se aplican para todos los equipos y/o usuarios de un sitio, independientemente del dominio del mismo bosque al que pertenezcan. 3. Dominios de Active Directory: se aplican a todos los equipos y/o usuarios de un dominio. 4. Unidades Organizativas de Active Directory: se aplican nicamente a los equipos y/o usuarios que pertenezcan a la propia unidad organizativa (OU).

Ejemplos de Polticas ms Conocidas:

1.- Queremos que al usuario le aparezcan por defecto en el escritorio los iconos de Equipo, Mis sitios de red, Mis documentos y Panel de control, para ello existe una GPO ubicada en la siguiente ruta: Configuracin de usuario > Directivas > Plantillas administrativas > Men inicio y barra de tareas > Forzar men Inicio clsico Habilitando esta GPO obtendremos el resultado que queremos. 2.- Impedir el acceso al Panel de control: Esta GPO est ubicada en:

Autor: Jos Lpez Cobea Curso: VI de Redes

Materia: Servidores

Configuracin de usuario > Directivas > Plantillas administrativas > Panel de control > Prohibir el acceso al panel de control La habilitamos y ya el usuario que hayamos definido no tendr acceso al panel de control. 3.- Papel tapiz de escritorio igual para los usuarios mediante GPO: Se debe crear una carpeta en el servidor y compartirla, de modo que TODOS los usuarios a los que se les va a aplicar la poltica puedan tener acceso a ella mediante ruta UNC. Hecho esto, vamos al directorio activo > clic derecho sobre la OU que contenga los usuarios que nos interesan > propiedades > directiva de grupo > creamos una nueva con nombre 'Fondo de Escritorio', por ejemplo. > clic en el botn 'Editar' > Configuracin de Usuario > Plantillas Administrativas > Escritorio > Active Desktop > Papel Tapiz de Active Desktop. Una vez all, damos clic en Habilitar y escribimos la ruta donde se encuentra el fondo .bmp Habilitando esta GPO obtendremos el resultado que queremos. 7. Ahora veremos restricciones al usar el navegador de internet explorer. Los usuarios no podrn eliminar el historial de navegacin. Para ellos vamos a la siguiente ruta >directiva del equipo local> configuracin del equipo> plantillas administrativas> componentes de Windows> Internet explorer. Desde hay buscamos la opcin >Desactivar la funcionalidad "Eliminar el historial...".

Autor: Jos Lpez Cobea Curso: VI de Redes

Materia: Servidores

Seleccionamos habilitada.

8. No se permitir el cambio de proxy, todos los usuarios tendrn el mismo proxy. Desde la misma ruta del internet explorer, buscamos la opcin> Propiedades de deshabilitar el cambio de configuracin de proxy, y la habilitamos.

Autor: Jos Lpez Cobea Curso: VI de Redes

Materia: Servidores

9. Ahora vamos a configurar el mismo proxy para todos los usuarios para ello vamos a pararnos sobre esta ruta >directiva del equipo local> configuracin de usuario> configuracin de Windows> mantenimiento de internet explorer>conexin de proxy.

En la opcin configuracin de los servidores.

Habilitamos la configuracin de proxy y utilizamos el sgte: 172.20.49.51:80

10. Configuracin del historial deshabilitada. Desde la ruta >directiva del equipo local> configuracin del equipo> plantillas administrativas> componentes de Windows> Internet explorer. Buscamos la opcin> Deshabilitar la configuracin del historial.> Habilitada> aceptar

Autor: Jos Lpez Cobea Curso: VI de Redes

Materia: Servidores

11. No permitir el cambio de las directivas de seguridad del navegador. Desde la misma ruta anterior buscamos la opcin> Zonas de seguridad: no permitir que los usuarios cambien las directivas>Habilitada> aceptar

Autor: Jos Lpez Cobea Curso: VI de Redes

Materia: Servidores

12. Desactivar la ventana emergente de reproduccin automtica. En la ruta >directiva del equipo local> configuracin del equipo> plantillas administrativas> componentes de Windows> directivas de reproduccin automtica.

Habilitamos la opcin > Desactivar reproduccin automtica.

13. Salindonos un poco de las restricciones e internet explorer, vamos a bloquear el apagado remoto de la mquina. Vamos a hacerlo desde la ruta >directiva del equipo local> configuracin del equipo> plantillas administrativas> componentes de Windows> Opciones de apagado.

En las propiedades de desactivar interfaz de apagado remoto heredado seleccionamos >Habilitada> Aceptar

Autor: Jos Lpez Cobea Curso: VI de Redes

Materia: Servidores

14. Ahora vamos a aplicar una cuota de disco a todos los usuarios de 50MB. En la ruta >directiva del equipo local> configuracin del equipo> plantillas administrativas> Sistema> Cuotas de disco.

En la opcin> propiedades de habilitar cuotas de disco> Aceptar

Autor: Jos Lpez Cobea Curso: VI de Redes

Materia: Servidores

En la opcin Aplicar un lmite de cuota de disco> habilitada> aceptar.

En la opcin> Limite de cuota y nivel de aviso predeterminados> habilitada> valor> aceptar.

Autor: Jos Lpez Cobea Curso: VI de Redes

Materia: Servidores

15. Ahora vamos a configurar la pgina principal que se cargara para cada usuario al abrir el internet explorer. En este caso utilizaremos www.netwares.com . Seleccionamos la opcin> Direcciones URL importantes

Seleccionamos personalizar URL de la pgina principal.

16. En ocasiones necesitamos bloquear determinados sitios web, en este caso es necesario bloquear www.facebook.com y www.youtube.com. Para ello ingresaremos a> zonas de seguridad y clasificacin de contenido> configuracin de privacidad y seguridad> Asesor de contenido, y en la pestaa sitios aprobados, ingresamos la direccin web de los sitios seguidos de la opcin nunca.

Autor: Jos Lpez Cobea Curso: VI de Redes

Materia: Servidores

Autor: Jos Lpez Cobea Curso: VI de Redes

Materia: Servidores

Luego en la pestaa General seleccionamos las dos opciones iniciales y cambiamos la contrasea del supervisor para acceder a estos sitios web.

Autor: Jos Lpez Cobea Curso: VI de Redes

Materia: Servidores

17. Ocultar una unidad, en este caso la unidad C. Desde > directiva equipo local> configuracin de usuario> plantillas administrativas> componentes de Windows> explorador de Windows. Seleccionamos la opcin ocultar estas unidades especficas en mi PC.

Vamos a seleccionar, habilitada. En caso de querer que se restrinja alguna unidad, seleccionamos dicha unidad desde el men desplegable al final de la ventana.

Autor: Jos Lpez Cobea Curso: VI de Redes

Materia: Servidores

18. Ocultar el men opciones de la carpeta men herramientas. Desde la misma ruta seleccionamos la opcin quitar el men opciones de la carpeta men herramientas.> habilitada> aceptar.

Autor: Jos Lpez Cobea Curso: VI de Redes

Materia: Servidores

19. Limitar el tamao de la papelera de reciclaje 100MB. Desde la misma ruta seleccionamos la opcin tamao mximo permitido de la papelera de reciclaje.> habilitada> aceptar.

20. Prohibir la ejecucin del Messenger. Desde > directiva equipo local> configuracin de usuario> plantillas administrativas> componentes de Windows> Windows Messenger.

Opcin> no permitir que se ejecute Windows Messenger> habilitada> aceptar.

Autor: Jos Lpez Cobea Curso: VI de Redes

Materia: Servidores

21. Ocultar los elementos del escritorio para todos los usuarios. En la ruta > directiva equipo local> configuracin de usuario> plantillas administrativas> Escritorio.

Encontramos la opcin >ocultar y deshabilitar todos los elementos del escritorio. Seleccionamos> habilitada> aceptar.