Grupo 5 UEES

http://sinthiameza.wordpress.com/2013/03/12/creacion-de-politicas-para-usuarios-del-active-
directory/
This WordPress.com site is the bee's knees
Main menu
Skip to content
Home
About
SEARCH
GO
March 12, 2013
Creacin de Polticas para Usuarios del
Active Directory
Leave a comment
Antecedentes
Con el paso del tiempo se ha podido comprobar que la mayor cantidad de problemas en empresas
respecto a configuraciones a nivel de Hardware y Software son producidos por los usuarios.
Estos problemas se deben a que los usuarios no tienen restricciones para modificar e instalar programas
y lo hacen libremente perjudicando al equipo de trabajo lo que hace tener costos de tiempo y muchas
veces monetarios. Sin culpar totalmente a los usuarios tambin ha sido una costumbre por parte del rea
de sistemas crear usuarios estndar sin establecer polticas para cada uno.
Este blog explica cmo realizar 3 polticas para usuarios en las cuales el usuario no podr cambiar la
vista del panel de control, agregar impresoras e incluso no modificara la resolucin de la pantalla.
Objetivos
Crear polticas a nivel de unidad organizacional que incluya al usuario y al equipo.
Restringir al usuario de modificaciones para evitar cambios no deseados.
Tareas
Aplicar Vista Clasica del Panel de Control
Con esta restriccin como su nombre lo indica el usuario solo podr observar la vista clsica del panel de
control, lo que significa que los cambios que se pueden realizar en el equipo ya no estn clasificados por
categoras.
Quitar Elemento Pantalla Al Panel de Control
Al momento de quitar el elemento pantalla del panel de control lo que sucede es que aunque el usuario
puede ver el elemento en dicho panel no podr realizar cambios en el mismo sin la clave del
administrador.
No poder Agregar Impresoras
Con esta restriccin como su nombre lo indica el usuario no va a estar autorizado a agregar ninguna
impresora sin el consentimiento del administrador.
Gua de pasos para la creacin y configuracin de Polticas para Usuarios del Active Directory
A continuacin estableceremos polticas a nivel de usuario y equipo, realizando los siguientes pasos:
NOTA: Se debe tener usuarios creados para poder realizar este proceso.
Vamos a Inicio>Herramientas administrativas>Usuarios y equipos de Active Directory.

Encontraremos el nombre del dominio creado por ejemplo: smeza.local ( como se muestra en la figura).

Eligiremos el dominio smeza.local (click derecho ) seleccionamos crear unidad organizativa, una
vez creada la unidad organizativa podremos aadir en ella usuarios y equipos que a su vez nos permite
asignar polticas a nivel de grupo, es decir que todos los equipos y usuarios que estn agregados al grupo
tendrn las mismas prioridades o restricciones de esta manera nos evitamos aplicar las polticas de
forma individual.

Daremos un nombre a la unidad ejemplo: finanzas, marcaremos la opcin de proteger contenedor contra
eliminaciones accidental, de esta forma protegemos a la unidad en caso de que se borre o elimine por
error, daremos click en aceptar.

Cuando este creada la unidad organizacional iremos a la opcin de usuarios para poder elegir los usuario
y equipos, los cuales sern agregados a la unidad finanzas (grupo) y aplicaremos las polticas
respectivas.
Vamos Inicio>herramientas administrativas>usuarios y equipos del active directory
>users elegimos a un usuario ya creado en este caso Emily Jerez (ejerez), lo seleccionamos con el
cursor y lo arrastramos hacia la unidad de finanzas (carpeta en el men del lado izquierdo de la pantalla).

Nos aparecer un cuadro de dialogo de advertencia que nos pregunta si deseamos mover el objeto, ya
que al moverlo podemos manipular las polticas creadas sobre el usuario o unidad organizativa, a cuadro
de dialogo de advertencia damos click en la opcin Si.

De la misma forma en que buscamos la carpeta users, buscamos la carpeta de computers, donde nos
muestra todos los equipos que se encuentran logeados (registrados) al servidor en este momento, para
este caso prctico elegimos la opcin EJEREZ.

Marcamos el equipo que deseamos agregar a la unidad organizativa y lo arrastramos hacia la unidad
finanzas.

Aparecer el mensaje de advertencia, elegimos la opcin Si.

Como resultado debemos tener al equipo EJEREZ y al usuario Emily Jerez dentro de la unidad
finanzas.

Creando polticas a la unidad organizativa
Vamos a Inicio>herramientas administrativas>administracin de directivas de grupo.

Se nos abrir una ventana donde nos muestra el bosque smeza.local.

Expandimos la opcin de bosque smeza.local>smeza.local.

Seleccionamos la unidad que creamos finanzas, click derecho y elegimos: crear un GPO en este
dominio y vincularlo aqu.
GPO (Objeto de directiva de Grupo): es dentro de este objeto donde incluiremos las polticas de la
unidad organizativa finanzas.

Damos un nombre al GPO

Como ejemplo en esta prctica le daremos el nombre de LEY SECA y daremos aceptar.

Buscamos el GPO creado (Ley Seca) damos click derecho y elegimos editar.

Se abrir una ventana llamada Editor de administracin de directivas de grupo, buscamos la opcin
de configuracin de usuarios.

Poltica: Aplicar vista Clsica en el panel de control
Esta poltica har que el usuario Emily Jerez al entrar al panel de control tenga la vista clsica.
Configuracin de usuario> DirectivasPlantillas Administrativas definiciones de directiva> Panel de
control. En el lado derecho de la pantalla aparece un cuadro con varias opciones, elegimos Aplicar vista
clsica del panel de control que actualmente est con la opcin de no configurada, la marcamos.

Luego hacemos click derecho y aparecer una ventana donde nos muestra las opciones de no
configurada, habilitada y deshabilitada.

Elegimos la opcin Habilitada y damos aceptar

Podemos observar que el estado de no configurada cambia
a Habilitada.


Poltica de Pantalla
En esta poltica haremos que el usuario no tenga acceso para poder manipular la resolucin de la
pantalla.
Configuracin de usuario>Directivas>Plantillas Administrativas definiciones de directiva
>Panel de control>Pantalla . Nos mustra en el cuadro derecho varias opciones de configuracion,
elegimos Quitar el elemento pantalla en el panel de control que actualmente se encuentra No
configurada.

Hacemos click derecho, aparecer una ventana donde nos muestra las opciones de no configurada,
habilitada y deshabilitada.

Elegimos la opcin Habilitada y damos aceptar

Observamos que el estado ha cambiado a Habilitada.

Poltica de No poder agregar impresoras
Esta poltica quita los privilegios al usuario de poder agregar impresoras en su equipo.
Configuracin de usuario>Directivas>Plantillas Administrativas definiciones de directiva
>Panel de control>Impresoras. Nos muestra en el cuadro derecho varias opciones de configuracion,
elegimos Impedir la agregacion de impresoras que actualmente se encuentra No configurada.

Hacemos click derecho, aparecer una ventana donde nos muestra las opciones de no configurada,
habilitada y deshabilitada.

Elegimos la opcin Habilitada y damos aceptar.

Podemos observar que el estado de no configurada cambia a Habilitada

Con el usuario ejerez que est dentro del grupo hacemos las pruebas de las polticas configuradas.
Logeamos el usuario ejerez bajo el dominio smeza, introducimos la contrasea.

Hacemos las pruebas sobre las polticas realizadas
Poltica: Aplicar vista clsica del panel de control
Vamos a Inicio>Panel de control.

Resultado: Debido a la configuracin de polticas podemos observar que las herramientas dentro del
Panel de control se alistan dela forma Vista Clsica.

Poltica : Quitar el elemento pantalla en el panel de control
Vamos a Inicio>Panel de control.

Dentro de los elementos de Panel de control, elegimos la opcin Pantalla.

Nos muestra un mensaje indicando que el administrador del sistema gestiono algunas de las
configuraciones y no se le permite hacer cambios a la resolucin.

Otra forma que se podra probar esta poltica es haciendo lo siguiente: click derecho sobre el escritorio
de Windows>Configuracin de pantalla.

Nos vuelve a mostrar el mensaje que el Administrador del sistema gestiono algunas de las
configuraciones y no podr hacer cambios a la resolucin.

Poltica: Impedir la agregacion de impresoras
Vamos a Inicio->Panel de control.

Estando dentro de la ventana del Panel de control buscamos y elegimos la opcin dedispositivos e
impresoras.

Una vez dentro de Dispositivos e impresoras, Damos click sobre la opcin agregar una impresora.

Aparecer un mensaje de Restriccin, el cual indica que no se puede agregar impresora debido a que
esta operacin se cancel por medio de las restricciones configuradas. Pngase en contacto con el
administrador del sistema.

Para poder validar desde el usuario si las polticas fueron aplicadas sin realizar las pruebas anteriores
podemos hacerlo de la siguiente forma:
Ejecutamos el comando cmd del usuario y escribimos el siguiente comando:
gpresult /H reporte.html
El cual emitir un reporte en formato html con las polticas configuradas para este usuario y equipo.

Buscamos el reporte en la ruta del usuario que lo realizamos, ejmeplo:
C:\users\ejerez
Lo encontramos con el nombre de reporte, lo abrimos.

Una vez abierto el archivo nos muestra las configuraciones de usuarios realizadas que en este caso
fueron:
- Panel de control.
- Panel de control/Impresoras.
- Panel de Control/Pantalla.

Para observar las polticas con mayor detalle, podemos dar click en la opcin de mostrar y se desplegara
un submen con la informacin de la configuracin.

Conclusion
Con la prctica se puede concluir que aunque existan capacitaciones para la utilizacin adecuada de los
dispositivos y programas esta opcin no es 100% segura; lo ideal es elaborar polticas a usuarios
/equipos que permitan tener la seguridad de que no se realicen cambios no esperados en las
configuraciones.
Si las polticas existen se puede brindar un mejor servicio a los usuarios se lograr tener un mejor
control por parte del administrador evitando mantenimientos constantes y costos ocultos