lunes, 28 de febrero de 2011

Directivas de grupo (GPO) en Windows Server 2008

Implementacion en grupos locales.
A continuacion veremos la implementacion de unas cuantas politicas de seguridad y administracion en el sistema.
1. Lo primero que haremos sera crear dos grupos y a cada grupo vamos a ingresarle dos usuarios.

Desde Inicio>Ejecutar>mmc vamos a traer a pantalla la consola raiz de windows server. Para crear los grupos vamos a la opcion Usuarios y grupos locales


Ahora vamos a desplegar las opciones de este menu, y en el menu grupos vamos a decirle> grupo nuevo

Los grupos que vamos a crear seran killers y timers, y dentro de estos grupos los usuarios seran, carlos, manuel, bruno y benji.
Para crear los usuarios>desde el menu usuarios>clic derecho>usuario nuevo
 Lo que haremos ahora sera hacer que cda usuario pertenesca a uno de los grupos anteriormente creados. Para ellos vamos a cada uno de los usuarios, por ejemplo, Benji>clic derecho>propiedades>miembro de>agregar>avanzadas>buscar ahora>seleccionar Killers.










NOTA: Este proceso se repite para cada uno de los usuarios, alternando el grupo al que pertenecen.

2. Vamos a implementar ciertas politicas o directivas locales.
Desde >directiva del equipo local> configuracion del equipo> configuracion de windows> configuracion de seguridad> directivas de de cuenta>

 Configuramos la vigencia de la contraseña

En este caso sera de 15 dias.





3. Dentro de esta misma ruta vamos a configurar los requisitos de coplejidad de la contraseña, en este caso van a ser los exgidos por windows server.


4. Tambien configuramos la opcion de recordar contraseñas, para que los usuarios no puedan repetir su contraseña por lo menos despues de dos cambios. Desde la misma ruta pero con la opcion > Exigir historial de contraseñas.




5. Vamos a darle diferentes permisos especiales a cada grupo, por ejemplo; que los usuarios de killers puedan apagar el equipo despues de iniciar sesion.
Desde >directiva del equipo local> configuracion del equipo> configuracion de windows> configuracion de seguridad> directivas locales> Asignacion de permisos

Habilitamos la opcion apagar el sistema.

Debemos seleccionar que grupos o usuarios pueden tener este tipo de permisos. En etse caso sera Killers.
  
En la opcion agregar usuario o grupo> Avanzadas> Buscar ahora> seleccioanmos Killers> aceptar

6. Ahora vamos a darle permisos de cambiar la zona horaria a los usuarios del grupo timers.

El procedimiento de agregar usuario o grupo es el mismo prceso anterior. Agregar usuario o grupo> avanzadas> buscar ahora> seleccionar grupo> aceptar.

7. Ahora veremos restricciones al usar el navegador de internet explorer.
Los usuarios no podran eliminar el historial de navegacion. Para ellos vamos a la siguiente ruta >directiva del equipo local> configuracion del equipo> plantillas administrativas> componentes de windows> Internet explorer. 

Desde hay buscamos la opcion >Desactivar la funcionalidad "Eliminar el historial...".

Seleccionamos habilitada.

8. No se permitira el cambio de proxy, todos los usuarios tendran el mismo proxy.
 Desde la misma ruta del  internet explorer, buscamos la opcion> Propiedades de deshabilitar el cambio de configuracion de proxy, y la habilitamos.

 9. Ahora vamos a configurar el mismo proxy para todos los usuarios para ello vamos a pararnos sobre esta ruta >directiva del equipo local> configuracion de usuario> configuracion de windows> mantenimiento de internt explorer>conexion de proxy.

En la opcion configuracion de los servidores. 




Habilitamos la configuracion de proxy y utilizamos el sgte: 172.20.49.51:80

10. Configuracion del historial deshabilitada.
Desde la ruta >directiva del equipo local> configuracion del equipo> plantillas administrativas> componentes de windows> Internet explorer. 
Buscamos la opcion> Deshabilitar la configuracion del historial.> Habilitada> aceptar



11. No permitir el cambio de las directivas de seguridad del navegador. 
Desde la misma ruta anterior buscamos la opcion>  Zonas de seguridad: no permitir que los usuarios cambien las directivas>Habilitada> aceptar

12. Desactivar la ventana emergente de reproduccion automatica. En al ruta >directiva del equipo local> configuracion del equipo> plantillas administrativas> componentes de windows> directivas de reproduccion automatica. 

Habilitamos la opcion > Desactivar reproduccion automatica.

13. Saliendonos un poco de las restricciones e internet explorer, vamos a bloquear el apagado remoto de la maquina. Vamos a hacerlo desde la ruta >directiva del equipo local> configuracion del equipo> plantillas administrativas> componentes de windows> Opciones de apagado. 


En las propiedades de desactivar interfaz de apagado remoto heredado seleccionamos >Habilitada> Acpetar

 14. Ahora vamos a aplicar una cuota de disco a todos los suarios de 50MB. En la ruta >directiva del equipo local> configuracion del equipo> plantillas administrativas> Sistema> Cuotas de disco.

En la opcion> propiedades de habilitar cuotas de disco> Aceptar

En la opcion Aplicar un limite de couta de disco> hibilitada> aceptar.

En la opcion> Limite de cuota y nivel de aviso predeterminados> habilitada> valor> aceptar.

15. Ahora vamos a configurar la pagina principal que se cargara para cada usuario al abrir el internet explorer. En este caso utilizaremos www.netwares.com
.
 Seleccionamos la opcion> Direcciones URL importantes
Seleccionamos personalizar URL de la pagina principal.


16. En ocaciones necesitamos bloquear determinados sitios web, en estecaso es necesario bloquear www.facebook.com y www.youtube.com. Para ello ingresaremos a> zonas de seguridad y clasificacion de contenido> configuracion de privacidad y seguridad> Asesor de contenido, y en la pestaña sitios aprobados, ingresamos la direccion web de los sitios seguidos de la opcion nunca.


Luego en la pestaña General seleccionamos las dos opciones inisales y cambiamos la contraseña del supervisor para acceder a estos sitios web.


17. Ocultar una unidad, en este caso la unidad C.

Desde > directiva equipo local> configuracion de usuario> plantillas administrativas> componentes de windows> explorador de windows.
Seleccionamos la opcion ocultar estas unidades especificas en mi PC.
Vamos a seleccionar, habilitada. En caso de quere que se restrinja alguna unidad, seleccinamos dicha unidad desde el menu desplegable al fnal de la ventana.



 18. Ocultar el menu opciones de la carpeta menu herramientas.
Desde la misma ruta seleccionamos la opcion quitar el menu opciones de la carpeta menu herramientas.> habilitada> aceptar.

19. Limitar el tamaño de la papelera de reciclajea 100MB.
Desde la misma ruta seleccionamos la opcion tamaño maximo permitido de la papelera de reciclaje.> habilitada> aceptar.

20. Prohibir la ejecucion del messenger.
Desde  > directiva equipo local> configuracion de usuario> plantillas administrativas> componentes de windows> windows messenger. 

Opcion> no permitir que se ejecute windows messenger> habilitada>  aceptar.


21. Ocultar los elementos del escritorio para todos los usuarios. En la ruta > directiva equipo local> configuracion de usuario> plantillas administrativas> Escritorio. 


Encontramos la opcion >ocultar y deshabilitar todos los elementos del escritorio. seleccionamos> habilitada> aceptar.

22. Bloquear la barra de tareas. > directiva equipo local> configuracion de usuario> plantillas administrativas> componentes de windows> Menu inicio y barra de tareas. 


Opcion> bloquear la barra de tareas> habilitada> aceptar.

 23. Prohibir el acceso de lecto-escritura a cualquier medio de almacenamiento extraible.
Desde > directiva equipo local> configuracion de usuario> plantillas administrativas> sistema> Acceso de lamacenamiento extraible.

Encontramos dos opciones, >discos extraible: denegar acceso de lectura y > discos extraibles: denegar acceso de escritura. Dememos habilitar las dos opciones 








 
.


























4 comentarios:

  1. Hola, la verdad que muy bueno tu aporte con ejemplos.

    Espero que sigas en este sentido y sumando mucha mas informacion.

    Saludos.

    ResponderEliminar
  2. Muy bueno se te agradece mucho

    ResponderEliminar
  3. mujer, muchas gracias me sirvió mucho y felicitaciones

    ResponderEliminar
  4. muy bueno realmente me servio para poder ordenar lo basico en la administracion.
    me gustaria un pequeño tutorial aplicado Fire Fox con GPO, por ejemplo que los usuarios no modifiquen el proxy de Firefox saludos y gracias

    ResponderEliminar