GPL(DIRECTIVASDEGRUPOLOCALES)ENWINDOWSSERVER2008R2.

ANGIEVIVIANALONDOOLVAREZ.
NILSONANDRSLONDOOHERNANDEZ.
CAMILAMARTNEZLPEZ.

TecnologaenGestindeRedesdeDatos.
Ficha:455596.

Instructor.
MauricioOrtizMorales.

SERVICIONACIONALDEAPRENDIZAJE(SENA)
CENTRODESERVICIOSYGESTINEMPRESARIAL(CESGE)
MEDELLNANTIOQUIA.
2013
1

Indice.
Introduccin......................................................................................................................................3
Creacindeusuariosygrupos........................................................................................................4
Creacindeusuarios.......................................................................................................................4
Creacindegruposeintegracindeusuarios................................................................................6
Directivasdeconfiguracindeequipo...........................................................................................11
Directivasdeconfiguracindeusuario.........................................................................................29
Conclusiones.................................................................................................................................40

Introduccin.

Las directivas de grupo(GPO) es un componente que posee lafamilia desistemasoperativos

Windows en el cual se definen las reglas o polticas que compondr o compartir todo un
ambiente de cuentas de usuario en un sistema informtico este tipo de reglas controlan el
contenido al que los usuarios pueden acceder o no de acuerdo a la configuracin aplicada y
mediante unsistemaoperativoWindowsServersedeterminaculespolticasdelsistemasern
aplicadas acadausuarioy/oequipoque seencuentreenundominio,sitioounidadorganizativa.
Generalmente la gestin centralizada, configuracin de sistemas operativos y gestin de
usuariossellevaacabobajounActiveDirectory(DirectorioActivo).
Las directivas de grupolocales (GPL) son directivas de grupo que sloseaplicanparaunhost
localnico.

CreacindeusuariosygruposenWindowsServer2008.

Grupo:Killers.
Usuarios:Carlos,Manuel.

Grupo:Timers.
Usuarios:Bruno,Benji.

NOTA:Cadausuariodebercambiarsucontraseaaliniciodesesin.
Para la creacin de usuarios y grupos debemos ingresar al panel de administracin de los
mismos, para esto, seguimos la secuencia, Start > All programs > Administrative Tools >
ComputerManagement.

En el men Local Users and Groups se pueden observar dos carpetas Users y Groups, en
estosmens,configuramoslosaspectospertinentesalosusuariosdelsistemaylosgrupos.

Creacindeusuarios.
Para agregar un nuevo usuario, damos clic sobre elmenUsers>Action>NewUser...(Otras
opciones paraaccederacrearnuevosusuariospuedenserlassiguientes:clicderechosobreel
panel de administracin de los usuarios y New User clic derecho sobrela pestaa Users y
NewUser)

A continuacin, rellenamos el siguiente formulario con los datos de el nuevo usuario que
deseemos crear y habilitamos las opciones segn las necesidades que se tengan, en este
caso, slo se necesita que cada usuario cambie su contrasea al iniciar sesin por primera
vez, para esto, marcamos la casillaUsermustchangepasswordat nextlogon(Elusuariodebe
cambiar la contrasea en elsiguiente inicio de sesin). Repetimos el proceso para los dems
usuarios.

Alfinalizarlacreacindeusuariospodemosobservarlosusuariosactualesdelsistema.

Creacindegruposeintegracindeusuarios.
La creacin de grupos es muy similar a la de usuarios, aunque cambian algunos aspectos ya
que se debenagregar usuarios a uno o varios grupos, para efectuar la creacin de los grupos
nosdirigimosalapestaadeGroups>Action>NewGroup.

Rellenamos el siguiente formulario enelcampoGroupNameinsertamoselnombrequetendr

el grupo y en el campoDescriptionagregamosladescripcin quetendrelgrupo.Paraagregar
losmiembrosdelgruponosvamosalapestaaAddydamosclicsobreella.

En esta ventana, seleccionamos los usuarios que pertenecern al grupo mediante la pestaa
Advanced..

A primera vista, no aparecen los usuarios del sistema que deseemos agregar al grupo, para
buscarlosusuariosdamosclicsobreFindNow,posteriormenteseleccionamoslosusuarios.

Ahora, losusuariosCarlosyManuel,yahacenpartedelgrupoKillers,paraconcretarlacreacin
degrupodamosclicsobreCreate.

10

Podemosobservarquelosgruposhansidocreados.

Polticasodirectivaslocalesaimplementar.
Para abrir el panel de configuracin de la edicin depolticaslocales y de grupo realizamos lo
siguiente:AbrimoslaopcindeejecutarmedianteStart>Run.

11

 Dentro del cuadro deejecucin, insertamos el comando gpedit.msc para abrir el men gestor
delasdirectivasdegrupoyusuarios,pulsamossobreOK.

Directivasdeconfiguracindeequipo.
1.Lavigenciamximadelacontraseaparatodoslosusuariosdelamquinaserde15das.
Para configurar los parmetros de contrasea de usuarios en la mquina nos vamos a
Computer configuration > Windows Settings>Security Settings>AccountPolicies>Password
Policies, en esta ventana podemos observar las diferentes opciones para las polticas de
contrasea de los usuarios locales, algunas de estas opciones trascienden en Enforcing
password history (forzar el historial de contrasea), hace que las contraseasantiguas no se
reutilicen nuevamente luego de un nmero determinado decambios de contrasea, Maximum
passwordage(Vigenciamximadelacontrasea),estaopcinpermitedeterminarelperiodode
en das el tiempo que tendr vigencia una contraseaestablecida a un usuario antes dequeel
sistema le pida al usuario que la cambie, Minimum password age (Vigencia mnima de la
contrasea), establece el nmero mnimo en das en la que expirar una contrasea, si la
vigencia mxima esdeentre1y999das,laedadmnimade lacontraseadebeserinferiorala
edad mxima de la contrasea, Password must me complexity requirements (La contrasea
debe cumplir los requerimientos de complejidad) yStorepasswordsusingreversibleencryption
(Almacenar contraseas usando el cifrado reversible) proporciona compatibilidad a las
aplicaciones que utilizan protocolos que necesitan conocer la contrasea del usuario para la
autenticacin.

12

13

La opcin que cumple el requerimiento de vigencia mxima dela contrasea de 15 das para
todos los usuarios de la mquina es Maximum password age (Vigencia mxima de la
contrasea), damos clic derecho sobre la opcin que requirmos, seleccionamos Properties y
en lacasilla,ingresamoselnmerodedasmximosenlosquelacontraseaexpira,pulsamos
sobreOK.

14

2. Las contraseas deben cumplir con los requerimientos de complejidad por defecto de
WindowsServerCulessonestosrequerimientos?
Los requerimientos por defecto para una contrasea en Windows Server deben ser los
siguientes:
No contener el nombre o parte del nombre completo del usuario y que tengan ms de dos
caracteresconsecutivoslacuentadelusuario.
Tenerporlomenosseiscaracteresdelongitud.
Contener caracteres de tres de las siguientes cuatro categoras:Caracteresenmaysculasen
ingls(AaZ),caracteresenminsculaseningls(AaZ),basede10dgitos(del0al9)
yloscaracteresnoalfabticos(porejemplo,!,$,#,%).
Para habilitar esta opcin seguimos la ruta Computer configuration > Windows Settings >
Security Settings > Account Policies > Password Policies y clic derecho sobrePasswordmust
meet complexity requirements. Seleccionamos en el cuadro de dilogo Enabled (Habilitado) y
pulsamosOKparafinalizar.

15

3. Los usuarios que requierancambiarsucontraseanopodrnusarunpasswordquese haya

usadoantesporlomenosdesdelos2ltimoscambios.
Para cambiar este parmetro, nos dirigimos a la opcin Minimum password age (Vigencia
mnima de contrasea), clic derecho, Properties, y en el recuadro marcamos el nmero de
cambiosmnimosparausarunanuevacontrasea,damosclicenOKparafinalizar.

4. Los usuarios del grupo Killerspuedenapagarlamquinaunavezhayaniniciadosesin,pero

losusuariosdelgrupoventasnopodrnapagarelequipo(Desdeelsistemaoperativo).

16

Nos dirigimos a Computer Configuration > Windows Settings > Security Settings > Local
Policies > User Rights Assignment > Shut down the system, damos clic derecho Properties y
AddUserorGroup.
En la nueva ventana seleccionaremos losusuariosogruposquepertenecernosernpartede
estapoltica,seleccionamosAdvancedparabuscarespecficamenteelgrupoKillers.

17

En la nueva ventana, seleccionaremos el grupo que podrn apagar el sistema operativo,

debemos especificar el tipo de objetos que deseemos buscar, para ello, damos clic sobre
ObjectTypes...

18

SeleccionamosGroupsydamosclicsobreFindNow.

BuscamosaelgrupoKillersenlalistaydamosOK.
Ahora,tenemosalgrupoKillerscomopartedelapolticadeseguridad,pulsamosOK

19

20

5.LosusuariosdelgrupoTimerspodrncambiarlahoradelamquinalocal.
Para ejercer esta poltica sobre el grupo Timers nos vamos a Computer Configuration >
Windows Settings > Security Settings>LocalPolicies>UserRightsAssignment>Changethe
system time, clic derecho Properties. En la nuevaventanadedialogoseleccionamosAddUser
or Group para seleccionar el grupo que ser parte de la poltica para cambiar la hora de la
mquina local,ya que por defecto slo los administradores y lacuentaLOCALSERVICE,esta
cuentaesusadaporelsistemaparaelcontroladministrativodelosservicios,podrnhacer.

SeleccionamosObjectTypes

21

Seleccionamos el tipo de objeto Groups para buscar o detectar nombres slo por grupos,
pulsamosOK.

Ingresamos el nombre del grupo o los grupos que sern parte de la polticaydamosclicsobre
Check Names (Comprobar nombres),es importante la buena escritura delnombreparaqueel
sistemaloaceptecorrectamente,pulsamosOKparafinalizaresteasistente.

22

6. Todoslosusuariostendrnlassiguientesrestriccionesal usarelnavegadorInternetExplorer:
No podrn eliminar el historial de navegacin, No se permitir el cambio de proxy ya quetodos
los usuarios usarn el mismoproxy (172.20.49.51:80), configuracin del historial deshabilItada,
nopermitirelcambiodelasdirectivasdeseguridaddelnavegador.

23

Todoslosusuariosnopodrneliminarelhistorialdenavegacin.
Para que ninguno de los usuarios de la mquinalocal pueda eliminar elhistorialdenavegacin
nos dirigimos a Local Computer Policy > User Configuration > Administrative Templates >
Windows Components > Internet Explorer > Delete Browsing History, en esta ventana, se
encuentran todas las opciones pertinentes a la eliminacin del historial de navegacin en el
navegador Internet Explorer, es importante asegurarse de que no existen otros navegadores
instalados en el sistema, ya que los usuarios podran evadir esta directiva facilmente. Para
inhabiltar la opcin de borrar historial de navegacin, acudimos a la directiva Turn off Delete
Browsing History functionality.(Desactivarlafuncionalidaddeeliminarhistorial delnavegador)y
clicEdit.

24

Marcamos la opcin Enabled para que los usuarios no puedan tener acceso a la ventana de
dilogodeeliminacindehistorialdenavegacinypulsamosOK,parafinalizarelasistente.

25

 No se permitir el cambio de proxy ya que todos los usuarios usarn el mismo proxy
(172.20.49.51:80).
Para establecer un servidor proxy para todos los usuarios de la mquina local nos vamos a
User Configuration > Windows Settings > Internet Explorer Maintenance >Connection,enesta
ventana se encuentran las opcionespara configurarelementosrelacionadosconlaconexinde
Internet Explorer, para configurar el servidor proxy del navegador, damos clic derecho sobre
Proxy Settings y Properties, en el recuadro, escribimos, en este caso, la direccin IP del
servidorproxy,pulsamosOKparafinalizar.

ConfiguracindelhistorialdeshabilItada.

26

Nopermitirelcambiodelasdirectivasdeseguridaddelnavegador.
7.Desactivarlaventanaemergentedereproduccinautomtica.
Para desactivar la ventana de dilogo de reproduccin automtica nos vamos a User
Configuration > Administrative Templates > Windows Components > AutoPlay Policies,
seleccionamos Turn off AutoPlay hacequesedeshabilitelareproduccinautomticayaque se
empieza a leer desde una unidad tan pronto como se inserta la tarjeta en la unidad. Como
resultado, el archivo de instalacin de los programas y la msica en los medios de
comunicacindeaudiocomienzaninmediatamente,pulsamosOKparafinalizar.

27

8.Nopermitirelapagadoremotodelamquina
Para aplicar la poltica de no habilitar el apagado del sistema en forma remota, nos vamos a
Computer Configuration > Windows Settings > SecuritySettings>LocalPolicies>UserRights
Assignment > Force shutdown from remote system. En las propiedades de esta opcin
observamos que slo los administradores sern parte de esta regla, es decir,losusuariosque
tenemoscreadosactualmenteyquenopertenecenalosusuariosdelsistema.

28

9.Aplicar cuotasde50MBparatodoslosusuarioslocalesyremotos(Estaesuncuotamuybaja
yesusadasoloparafinesacadmicos)
Para aplicar esta cuota, nos dirigimos a Computer Configuration > Administrative Templates >
Credentials Delegation> Disk Quoutas, este ajuste determina la cantidad de espacio en disco
puede ser utilizado por cada usuario en cada uno de los volmenes del sistema de archivos
NTFS en un equipo, en este caso, ser tan solo de 50 MB, pulsamos OK para guardar los
cambios.

Directivasdeconfiguracindeusuario.
1. La pgina principal que se cargar para cada usuario cuando abra su navegador ser:
http://www.sudominio.com(Pginainstitucionaldesuempresa)
Para que la pgina de inicio del navegador sea una especficamenteseguimosla siguienteruta
User Configuration > Windows Settings > Internet Explorer Maintenance > URLs, en esta
ventana se configuran los aspectos pertinentes a URLs en el navegador, para establecer una
pgina de inicio ingresamos aImportantURLsyenel recuadrodeconfiguracindeHomepage
URL ingresamos la pgina institucional delaempresa. PulsamosOKparaaceptarloscambios
yfinalizarelasistente.

29

2.Elservidorproxyparatodoslosusuarioslocalesser172.20.49.51:80.
Para establecer un servidor proxy para todos los usuarios de la mquina local nos vamos a
User Configuration > Windows Settings > Internet Explorer Maintenance >Connection,enesta
ventana se encuentran las opcionespara configurarelementosrelacionadosconlaconexinde
Internet Explorer, para configurar el servidor proxy del navegador, damos clic derecho sobre
Proxy Settings y Properties, en el recuadro, escribimos, en este caso, la direccin IP del
servidorproxy,pulsamosOKparafinalizar.

30

3.Restringir desde el navegador el acceso a los siguientes sitios: www.facebook.com y

www.youtube.com por URL, para todos los usuarios. El administrador ser el nico con la
contraseadesupervisorparaelAsesordeContenidos.
Para cambiar la directiva de restriccin de sitios web nos dirigimos a User Configuration >
Windows Settings > Internet Explorer Maintenance > Security > Security Zones and Content
Ratings, en este recuadro encontramos las opciones de Zonas de seguridad y privacidad y
clasificacionesdecontenido,pararestringirelaccesousamoslasclasificacionesdecontenido.

Dado que la configuracin del equipo local se importa para que la poltica se cumpla, la
configuracin de IE ESC debe coincidir con el de los sistemas cliente. Usted puede apagar IE
ESC en el sistema deedicin o simplemente editar la poltica desde un sistema clientequeno
tieneIEESCactivado.

31

En la pestaa de General creamos la contrasea de supervisor, slo con esta password se

podraccederalossitiosderestriccin.

32

33

En la pestaa de Approved Sites ingresamos los sitios que no podrn ser accedidos en la
mquinalocal,losagregamosconNeverparaquenoseanaccesiblesyguardamosconOK.

34

4.OcultarlaunidadC:\(NOTA:Estonorestringirelaccesoadichaunidad)
Para ocultar la unidad C:\ nos dirigimos a User Configuration > Windows Components >
Windows Explorer > Hide these specified drivesinMyComputer,habilitamosladirectivacon la
opcin EnabledyenelrecuadroPickoneofthefollowingcombinationsseleccionamoslaunidad
C:\yfinalizamosconOKparaguardarloscambios.

5. Ocultar la men opciones de carpeta del men de herramientas. Esto con el fin de que los
usuariosnopuedanverarchivosocultosocambiaralgunasconfiguracionesdelascarpetas.
En la ruta User Configuration > Windows Components > Windows Explorer > Removes the
Folder Options menu Items from the Tools menu, estaopcineliminaelelementoOpcionesde
carpeta en todos los mens del Explorador de Windows y elimina el elemento Opciones de
carpeta en el Panel de control. Como resultado, los usuarios no pueden utilizar el cuadro de
dilogoOpcionesdecarpeta,habilitamosmedianteEnabledyfinalizamosconOK.

35

6.RestringirelaccesoalaunidadE:\desdemiPC
Para restringir el acceso a la unidad User Configuration > Windows Components >Windows
Explorer >Hide these specified drives in My Computer, habilitamosyaceptamoscambioscon
OK.

36

7.Limitareltamaodelapapeleradereciclajea100MB.
Este parmetro lo configuramos a travsdelarutaUserConfiguration>WindowsComponents
> WindowsExplorer >MaximumallowedRecycleBinSizeEstadirectivalimitaelporcentajede
espacioendiscodeunvolumenquesepuedeutilizarparaalmacenararchivoseliminados.

8. No permitir que se ejecute messenger User Configuration > Windows Components >
Windows Messenger > Do not allow Windows Messenger tobe run y habilitamos para que los
usuarios notenganaccesoaMessengerenlamquinalocal,aunqueesteserviciofueremovido
delafamilaWindows.

37

9.Ocultartodosloselementosdelescritorioparatodoslosusuarios.
Nos dirigimos a User Configuration > Administrative Templates > Desktop > Hide and disable
all items on the desktop, habilitamos esta opcin para que los usuarios no tengan acceso a
Eliminar iconos, accesos directos y otros por omisin y los elementos definidos por el usuario
desdeelescritorio,incluyendoMaletn,Papeleradereciclaje,PCyubicacionesdered.

10.Bloquearlabarradetareas

38

11.ProhibirelaccesodelLectoescrituraacualquiermediodealmacenamientoextrable.
Para la prohibicin de de el acceso a lectura y escritura en cualquier dispositivo de
almacenamiento seguimos User Configuration > Windows Templates > System> Removable
Storage Access > Removable Disks: Deny read access y Removable Disk : Deny write
access.
Prohibicindelectura.

39

Prohibicindeescritura.

40

Conclusiones.
Ladirectivasdegrupolocalessehabilitansloparalamquinalocal.
Las directivas ayudan a tener control sobre el contenidoal que los usuarios pueden tener o no
acceso,ayudandoasalaseguridaddelamquina.
La mayora de polticas se aplican a todos los usuarios de la mquina incluyendo el
administradordelsistema,porende,sedebetenersumocuidadoalmanejarestasdirectivas.

41