Está en la página 1de 34

DIRECTIVAS DE GRUPO (GPO) EN WINDOWS SERVER 2008

MODULO DE SOFTWARE DE ADMINISTRACION

POR:

JUAN CAMILO GONZÁLEZ LÓPEZ

INSTRUCTOR:

LUIS FELIPE LONDÑO

ORDEN: 35442

TECNOLOGIA EN ADMINISTRACION DE REDES DE COMPUTO


CENTRO DE SERVICIOS Y GESTION EMPRESARIAL
MEDELLIN-ANTIOQUIA
2011
1. Cree los siguientes usuarios y grupos en Windows Server 2008 (También aplica para
sistemas operativos Windows XP, Windows Server 2003, Windows Vista y Windows 7)

Grupo: Killers (Carlos y Manuel)

Grupo: Timers (Bruno y Benji)

NOTA: Cada usuario creado deberá cambiar su password al siguiente inicio de sesión

En primer lugar vamos a crear nuestros usuarios Carlos y Manuel que van a pertenecer al
grupo Killer Benji y Bruno que pertenecen al grupo Timers esto lo hacemos con el siguiente
procedimiento:

Inicio – Herramientas Administrativas - Administración de equipos

Clic derecho en usuario – usuario nuevo


Vamos a poner solamente el ejemplo con la creación del usuario Carlos ya que para los otros
usuarios es el mismo procedimiento ingresamos la contraseña dejamos la primera casilla
seleccionada y le damos clic en crear

Aquí ya vemos los 4 usuarios creados Manuel, Carlos, Bruno y Benji


Ahora creamos los grupos que son Killers y Timers ahora nos ubicamos en grupos clic
derecho Grupo nuevo

Le ponemos el nombre al grupo que estamos creando en este caso Killers y le damos clic en
crear
Aquí ya vemos los 2 grupos creados
Ahora vamos a agregar los usuarios a los grupos en este caso tomaremos como ejemplo el
ingreso de el usuario Manuel al grupo Killers Damos clic derecho en el grupo Killers después
damos agregar y le ponemos el nombre en este caso Manuel después comprobar nombres y
aceptar es importante tener en cuenta que por defecto cuando vamos a agregar un usuario
nos aparece un usuario genérico el cual dice usuarios o en otros casos usuarios
autenticados el cual lo debemos dejar para que los usuarios que creamos nos aparezcan en
el inicio de sesión de usuarios
Y nos quedaría así:

2. Implemente las siguientes políticas o directivas locales


Directivas de configuración de equipo:

Ahora para configurar las políticas de o directivas de grupo (GPO) ingresamos por el menú
ejecutar con el comando gpedit.msc este que significa editar políticas de grupo y msc
significa Microsoft Services
La vigencia máxima de la contraseña para todos los usuarios de la máquina será de 15
días esto lo hacemos por la siguiente ruta:

Directiva de equipo local – configuración de equipo – configuración de Windows –


configuración de seguridad – directivas de cuenta – directiva de contraseñas y allí en la
opción vigencia máxima de la contraseña le ponemos la duración en este caso 15 días y le
damos aceptar.
Las contraseñas deben cumplir con los requisitos de complejidad por defecto de
Windows server ¿Cuáles son estos requerimientos?

Si se habilita esta directiva, las contraseñas deben cumplir los siguientes requisitos mínimos:

No contener el nombre de cuenta del usuario o partes del nombre completo del usuario en
más de dos caracteres consecutivos
Tener una longitud mínima de seis caracteres
Incluir caracteres de tres de las siguientes categorías:
Mayúsculas (de la A a la Z)
Minúsculas (de la a a la z)
Dígitos de base 10 (del 0 al 9)
Caracteres no alfanuméricos (por ejemplo, !, $, #, %)
Estos requisitos de complejidad se exigen al cambiar o crear contraseñas.

Valor predeterminado:

Habilitada en controladores de dominio.


Deshabilitada en servidores independientes.

Nota: de forma predeterminada, los equipos miembros usan la configuración de sus


controladores de dominio.

En este caso habilitamos y le damos aceptar

La ruta sería la siguiente: Directiva de equipo local – configuración de equipo – configuración


de Windows – configuración de seguridad – directivas de cuenta – directiva de contraseñas
Los usuarios que requieran cambiar su contraseña no podrán usar un password que
se haya usado antes por lo menos desde los 2 últimos cambios.
Aquí ponemos 2 que es el numero de contraseñas recordadas y por lo tanto el usuario por
podrá repetirlas

Los usuarios del grupo Killers pueden apagar la máquina una vez hayan iniciado
sesión, pero los usuarios del grupo Timers no podrán apagar el equipo (Desde el
sistema operativo)

Ingresamos por: Directiva del equipo local - configuración del equipo - configuración de
Windows - configuración de seguridad - directivas locales - Asignación de permisos
Agregamos el grupo killers a apagado del sistema
Los usuarios del grupo Timers podrán cambiar la hora de la máquina local

Directiva del equipo local - configuración del equipo - configuración de Windows -


configuración de seguridad - directivas locales - Asignación de permisos
Agregamos el Timers a cambiar la hora local

Todos los usuarios tendrán las siguientes restricciones al usar el navegador Internet
Explorer: No podrán eliminar el historial de navegación, No se permitirá el cambio de
proxy ya que todos los usuarios usarán el mismo proxy (172.20.49.51:80),
Configuración del historial deshabilitada, no permitir el cambio de las directivas de
seguridad del navegador.

Esto Lo hacemos en la siguiente ruta:

Directiva equipo local - Configuración Equipo - Plantillas Administrativas - Componentes de


Windows - Internet Explorer.
Configuración de usuario – configuración de Windows –Mantenimiento de internet Explorer –
conexión – configuración de los servidores Proxy como podemos observar en la ilustración

Directiva equipo local - Configuración Equipo - Plantillas Administrativas - Componentes de


Windows - Internet Explorer
Directiva equipo local - Configuración Equipo - Plantillas Administrativas - Componentes de
Windows - Internet Explorer – zonas de seguridad
Desactivar la ventana emergente de reproducción automática

Esto lo hacemos por la siguiente ruta: Directiva equipo local - configuración del equipo -
plantillas administrativas - componentes de Windows - directivas de reproducción
automática.
No permitir el apagado remoto de la máquina

Vamos a la siguiente ruta: Directiva del equipo local - Configuración del equipo - plantillas
administrativas - componentes de Windows - Opciones de apagado
Aplicar cuotas de 50MB para todos los usuarios locales y remotos (Esta es un cuota
muy baja y es usada solo para fines académicos)

La ruta es: Directiva del equipo local - configuración del equipo - plantillas administrativas –
Sistema - Cuotas de disco.
Directivas de configuración de usuario:

La página principal que se cargará para cada usuario cuando abra su navegador será:

http://www.sudominio.com (Página institucional de su empresa)

Directiva del equipo local - configuración de usuario – configuración de Windows –


Mantenimiento de internet Explorer – Direcciones URL y aquí ingresamos la dirección de
nuestra intranet o la dirección que de la página de la empresa
El servidor proxy para todos los usuarios locales será 172.20.49.51:80

Directiva del equipo local - configuración de usuario - configuración de Windows -


mantenimiento de internet Explorer - configuración de proxy

Restringir desde el navegador el acceso a los siguientes sitios: www.facebook.com y


www.youtube.com por URL, para todos los usuarios. El administrador será el único
con la contraseña de supervisor para el Asesor de Contenidos.

Zonas de seguridad y clasificación de contenido - configuración de privacidad y seguridad -


Asesor de contenido damos clic en la pestaña de abajo Importar la configuración actual de
restricción de contenido
Nos aparece esta ventana y creamos aquí la contraseña del asesor de contenidos que en
este caso solo sera debera saberla el administrador
Aquí restringimos el acceso a facebook y a youtube
Ingresamos la contraseña

Aquí ya podemos ver que ha sido creada correctamente la contraseña


Ocultar la unidad C:\ (NOTA: Esto no restringirá el acceso a dicha unidad)

Ingresamos por la ruta: Directiva equipo local - configuración de usuario - plantillas


administrativas - componentes de Windows - explorador de Windows.
Habilitamos la opcion e ingresamos la unidad en este caso la C

Ocultar el menú opciones de carpeta del menú de herramientas. Esto con el fin de que
los usuarios no puedan ver archivos ocultos o cambiar algunas configuraciones de las
carpetas.

Directiva equipo local - configuración de usuario - plantillas administrativas - componentes


de Windows - explorador de Windows.
Habilitamos la opción de carpeta

Restringir el acceso a la unidad E:\ desde mi PC En este caso lo hacemos con la


unidad D

Directiva equipo local - configuración de usuario - plantillas administrativas - componentes


de Windows - explorador de Windows elegimos la unidad y le aceptamos
Limitar el tamaño de la papelera de reciclaje a 100 MB

Directiva equipo local - configuración de usuario - plantillas administrativas - componentes


de Windows - explorador de Windows

Habilitamos y de damos el valor en este caso 100 megas


No permitir que se ejecute Messenger

Directiva equipo local - configuración de usuario – configuración de Windows –


mantenimiento de internet Explorer – plantillas administrativas - componentes de Windows –
sistema allí le damos doble click y nos aparece una ventana para agregar el software que
queremos restringir en este caso Messenger agregamos y aceptamos
Ocultar todos los elementos del escritorio para todos los usuarios.

Directiva equipo local - configuración de usuario - plantillas administrativas - Escritorio.


Habilitamos y aceptamos
Bloquear la barra de tareas

Directiva equipo local - configuración de usuario - plantillas administrativas - componentes de


Windows - Menú inicio y barra de tareas y habilitamos la opción
Prohibir el acceso del Lecto-escritura a cualquier medio de almacenamiento extraíble.

Directiva equipo local - configuración de usuario - plantillas administrativas – sistema -


Acceso de almacenamiento extraíble.

Habilitamos las opciones que están una seguida de la otra lectura y escritura
Ahora vamos a hacer algunas pruebas con uno de los usuarios creados en este caso
con el usuario benji

Ingresamos la contraseña

Inmediatamente nos pide cambio de contraseña tal como le pusimos cuando creamos los
usuarios
Cambiamos la contraseña
Aquí por ejemplo vamos a ingresar con benji a facebook y nos pide la contraseña del asesor
de contenidos

Y en este otro caso para youtube