Politicasenactivedirectory 140413160907 Phpapp01

08 DE ABRIL DE 2014
POLTICAS EN ACTIVE
DIRECTORY
GESTIN DE REDES DE DATOS
INSTRUCTORA: ISABEL YEPES
Gelier Moreno
SERVICIO NACIONAL DE APRENDIZAJE

POLTICAS EN ACTIVE DIRECTORY
08 DE ABRIL DE 2014

Con esta gua aprenderemos asignar polticas en el Active Directory. Aplicaremos en
concreto 10 polticas entre polticas de usuario y polticas de mquina.
Se debe tener en cuenta que existe polticas de configuracin para usuarios y polticas de
configuracin para mquina. Es decir que son dos tipos de polticas para dos objetos
diferentes del AD.
Por lo tanto y para no mezclar polticas de un objeto u otro, se recomienda crear dos grupos
de polticas uno para cada objeto.
Actividad
Crearemos 10 cuentas para el departamento de diseo de una empresa, a las cuales se les
debern aplicar las siguientes polticas (nota algunas pueden ser polticas de mquina)
POLTICAS PARA EL DEPARTAMENTO DE DISEO:
Los usuarios deben loguearse solamente de 7:00 am a 8:00 pm

Los usuarios no deben tener acceso al panel de control
Debe usarse el papel tapiz de la empresa, no debe poder cambiarse
Los usuarios deben cambiar su contrasea cada 30 das
La carpeta documentos de todos los usuarios a apuntar a una carpeta
independiente por usuario que est dentro de la carpeta compartida.
\\controladordominio\publica
Solo los administradores pueden apagar la mquina
Solo los administradores pueden cambiar la hora del sistema
Todas las mquinas tendrn permanente la unidad H: que apuntar a la ruta
\\controladordominio\compartida
ORGANIZACIN DE LOS USUARIOS Y LAS MAQUINAS
Lo ideal para la aplicar polticas es agrupar los usuarios en un contendor, las maquinas en
otro y estos dos contenedores dentro de uno solo.
Esto permite mayor organizacin y facilidad de trabajo y bsqueda en la organizacin del
dominio.
As mismo permite aplicar las polticas por separado, es decir polticas de usuarios y
polticas de mquina.

08 DE ABRIL DE 2014
Entramos al Active Directory Users and Computers
NOTA: Para la creacin de usuarios y contenedores organizacionales visiten

mi antigua entrada Union de cliente al active directory. En el paso 2 se
especifica cmo hacer esto. Adems se explica ms detalladamente.
1.1
CONTENEDOR PADRE
Crearemos este contendedor para almacenar los otros contenedores que mantienen
organizados y separados los usuarios y las maquinas.

08 DE ABRIL DE 2014
a. Clic en crear nuevo contenedor
b. Asignamos nombre
c. Verificamos contenedor

08 DE ABRIL DE 2014
1.2
CONTENEDOR DE LOS USUARIOS Y CREACIN DE USUARIOS

Ahora organizaremos los usuarios en contenedores estratgicamente llamados, de tal forma
que sea para el SYSADMIN su fcil localizacin.
1.2.1
Contenedor para los usuarios

a. Teniendo seleccionado nuestro contenedor padre, creamos uno nuevo dentro de l.
b. Le asignamos nombre

08 DE ABRIL DE 2014
c. Verificamos
1.2.2
Creacin de usuarios en el contenedor DiseoUsuarios
Ahora vamos a crear los usuarios dentro del contenedor diseo usuarios.
a. Para ello seleccionamos el contendor en cuestin y luego en icono de nuevo usuarios.
Este icono en una persona con un asterisco.

08 DE ABRIL DE 2014
b. Llenamos datos, contrasea y aceptamos. Yo hice 5 usuarios
c. Verificamos
NOTA: Para la creacin de usuarios y contenedores organizacionales visiten

mi antigua entrada Unin de cliente al Active Directory. En el paso 2 se
especifica cmo hacer esto. Adems se explica ms detalladamente.

08 DE ABRIL DE 2014
1.3
ORGANIZACIN DE LAS MAQUINAS

NOTA: Para agregar las maquinas al AD se necesita que un usuario se
conecte al mismo. Esto lo enseo en el manual Unin de cliente al Active
Directory.
1.3.1
Contenedor para las maquinas

a. Ahora, al igual que antes creamos un contenedor para las maquinas, dentro del
contenedor padre Departamento de diseos.
b. Asignamos nombre

08 DE ABRIL DE 2014
c. Verificamos
1.3.2
Agrupacin de maquinas
Las maquinas NO se crean como los usuarios. Las maquinas se crean o agregan
automticamente al AD en el momento que se conecta con el mismo servidor.
NOTA: Para agregar las maquinas al AD se necesita que un usuario se
conecte al mismo. Esto lo enseo en el manual Unin de cliente al active
directory.
Al conectarse con el AD, la maquina se agrega automticamente en el contenedor
computers.

08 DE ABRIL DE 2014
Para agruparlas en el contenedor Diseo Maquinas:

a. Arrastramos la maquina al contenedor deseado, en este caso DiseoMaquinas.
Este error nos advierte que al mover el objeto a ese nuevo contenedor se le aplicara las
polticas que estn enlazadas con esa unidad organizacional.
Aceptamos.
b. Verificamos

08 DE ABRIL DE 2014
2 CREACIN DE GPO
GPO, por sus siglas en ingls Group Policy Object, que significa Grupo de policas para un
objeto, es quien permite la edicin de un grupo de politicas que s ele aplicaran a un objeto
u objetos en particular.
Una GPO se enlaza con un contenedor, es decir, que nosotros crearemos dos GPO, una para
el contenedor de los usuarios DiseoUsuarios, donde solo editaremos y aplicaremos
polticas especficas para usuarios.
Crearemos una segunda GPO para el contenedor DiseoMaquinas, donde editaremos y
aplicaremos polticas exclusivas de mquina.
a. Abrimos el Group Policy Manager
10

08 DE ABRIL DE 2014
2.1
GPO PARA DISEOUSUARIOS.

Ahora vamos a crear la GPO para los usuarios. Entonces damos clic derecho en el contendor
de DiseoUsuarios. Luego clic en Create a GPO in this domain, and Link it here
Bsicamente lo que estamos haciendo es crear una GPO en el dominio y enlazarlo con ese
contenedor.
Verificamos
11

08 DE ABRIL DE 2014
2.2 GPO PARA DISEOMAQUINAS.

Hacemos lo mismo que antes
Verificamos
12

08 DE ABRIL DE 2014
DESARROLLO DE LA ACTIVIDAD
De aqu en adelante comenzaremos aplicar las politicas propuestas en el Active Directory.
Para la configuracin de estas se debe tener en cuenta que es en el Group Policy
Management.
13

08 DE ABRIL DE 2014
3 POLTICAS DE USUARIO
A continuacin realizaremos las polticas que se pueden aplicar en la configuracin de
usuario, es decir, son polticas de usuario.
Todas se realizaran dentro de la GPO Politicas DiseoUsuarios
a. Clic derecho en la GPO Politicas DiseoUsuarios y luego en Edit
b. Se abre el Group Policy Management Editor.
14

08 DE ABRIL DE 2014
Nosotros solo utilizaremos en esta seccin User Configuration, que son las polticas de
usuario.
De aqu en hasta que se acabe la seccin 3, solo utilizaremos User Configuration, por lo
tanto deben entender que los pasos 3.a. y 3.b. Son los primeros pasos de cada poltica
estudiaremos adelante. Con excepcin de la poltica 3.1., que no necesita del Group Policy
Management Editor.
3.1
LOS USUARIOS DEBEN LOGUEARSE SOLAMENTE DE 7:00 AM A 8:00 PM

Como explique anteriormente, solo esta poltica no necesita de Group Policy Management
Editor. Sin embargo es una poltica de usuario por que se aplica directamente sobre las
cuentas creadas.
a. Entramos al contenedor donde estn nuestros usuarios, desde el Active Directory
Users and Computers.
Si no recuerdan como entrar all, lean el paso 1
Dentro de este contenedor deben aparecer nuestro usuarios, all los seleccionamos
todos.
15

08 DE ABRIL DE 2014
Clic derecho y propiedades
b. Clicc en Account>Selecciona Logon hours>Clic en Logon hours
16

08 DE ABRIL DE 2014
c. Seleccionamos las horas que no deseamos que los usuarios se conecte.

Al seleccionar, si nos fijamos abajo nos dice los das y las horas de conexin que uno
ha seleccionado. Si estamos seguros, chuleamos en la parte izquierda el permiso o la
negacin en la conexin.
Lo blanco son las horas y das que no se conectaran.
Aceptamos los cambios.
3.2
LOS USUARIOS NO DEBEN TENER ACCESO AL PANEL DE CONTROL

a. Dentro del Group Policy Management Editor
User Configuration>Polices>Administrave Templtes>Control Panel.

All Clic derecho en la poltica y luego en Edit.
17

08 DE ABRIL DE 2014
Ac activamos la poltica y aceptamos
3.3 DEBE USARSE EL PAPEL TAPIZ DE LA EMPRESA, NO DEBE PODER CAMBIARSE

En este caso debemos tener en cuenta el lugar donde vamos almacenar la imagen que
utilizaremos. Siempre debe estar disponible el lugar que elijamos. Tenemos dos
opciones, guardarla en el servidor o guardarla en el cliente.
Dnde guardar la imagen del papel tapiz?
SERVIDOR
Ventajas
Desventajas
No se debe copiar una a una la imagen Si la imagen permanecer mucho tiempo, al
en cada pc.
momento del encendido de los PC gastara
Se recomienda utilizar esta opcin de ancho de banda al enviar la imagen a varios
almacenamiento cuando las imgenes clientes
cambian peridicamente.
CLIENTE
Ventajas
Desventajas
Si la imagen permanecer un tiempo Se debe copiara una a una la imagen en
considerable, esta es la mejor opcin, cada PC. Y Si esta cambia peridicamente
ya que no afectara el ancho de banda ser tediosa la tarea
de la infraestructura de red.
18

08 DE ABRIL DE 2014
En este caso la guardaremos en el cliente.

a. Guardar la imagen en un lugar accesible por cualquier usuario. En este caso ser el
disco del sistema en el CLIENTE.
b. Ahora desde el servidor nos dirigimos donde nos dice la imagen
19

08 DE ABRIL DE 2014
c. Activamos Enable Active Desktop
d. Configuramos Desktop Wallpaper

Activamos, escribimos la ruta y aceptamos.
NOTA: Si guardan la imagen en el servidor deben comenzar la ruta asi
\\server\...
20

08 DE ABRIL DE 2014
b. Comprobamos en el cliente si efectivamente cambio.
3.4 LA CARPETA DOCUMENTOS DE TODOS LOS USUARIOS A APUNTAR A UNA CARPETA INDEPENDIENTE POR USUARIO QUE
EST DENTRO DE LA CARPETA COMPARTIDA EN EL SERVIDOR: \\CONTROLADORDOMINIO\PUBLICA
3.4.1
Creando y compartiendo la carpeta
a. Creamos la carpeta en el servidor y la compartimos

b.
21

08 DE ABRIL DE 2014
c. Buscamos personas, ya que vamos agregar nuevos usuarios
d. Seguimos pasos
22

08 DE ABRIL DE 2014
23

08 DE ABRIL DE 2014
e. Ahora compartimos desde opciones avanzadas

Se siguen pasos
24

08 DE ABRIL DE 2014
25

08 DE ABRIL DE 2014
26

08 DE ABRIL DE 2014
27

08 DE ABRIL DE 2014
Eliminamos los otros usuarios:
Y nos queda algo asi:
28

08 DE ABRIL DE 2014
c. Aadimos permisos total y guardamos todo.
3.4.2
Editando la GPO
a. Vamos a hacia donde nos dice la imagen
29

08 DE ABRIL DE 2014
b. Llenamos como nos dice la imagen

En el Root Path, escribimos la ruta de nuestra carpeta, que debe ir con el nombre del
servidor completo.
c. Aceptamos. Es una advertencia que nos indica que esta poltica no es compatible con
el Windows mencionado.
30

08 DE ABRIL DE 2014
3.4.3
Verificacin
Nos conectamos en nuestra maquina o actualizamos las polticas de nuestro cliente desde el
CMD, con el comando gpupdte.
Cuando entramos otra vez a publica esta creada nuestra carpeta para ese usuario.
31

08 DE ABRIL DE 2014
3.5 TODAS LAS MQUINAS TENDRN

\\CONTROLADORDOMINIO\COMPARTIDA
3.5.1
PERMANENTE
LA
UNIDAD
H:
QUE
APUNTAR
LA
RUTA
Creamos la carpeta y compartimos como en la carpeta Publica.
32

08 DE ABRIL DE 2014
Ac dejamos los dems grupos de usuarios
3.6 EDITAMOS GPO
33

08 DE ABRIL DE 2014
a. Llenamos datos
b. Ahora en la pestaa Common, y luego clic en Targeting
34

08 DE ABRIL DE 2014
Dentro del Targeting Editor, seleccionamos Security Groups.
Ahora agregamos el grupo Domain Users como lo hemos venido haciendo.
35

08 DE ABRIL DE 2014
36

08 DE ABRIL DE 2014
4 POLTICAS DE MAQUINA
Las polticas de mquina se realizaran en la GPO correspondiente.
37

08 DE ABRIL DE 2014
4.1
LOS USUARIOS DEBEN CAMBIAR SU CONTRASEA CADA 30 DAS

Vamos a la poltica que necesitamos.
a. En esta especificamos cuanto ser el tiempo mximo que un usuario podr conservar
una contrasea.
Editamos a nuestro gusto y guardamos
38

08 DE ABRIL DE 2014
b. Ahora vamos a especificar el tiempo mnimo que un usuario debe tener una
contrasea.
Editamos a nuestro gusto y guardamos
39

08 DE ABRIL DE 2014
4.2 SOLO LOS ADMINISTRADORES PUEDEN APAGAR LA MQUINA

a. Vamos a la poltica que necesitamos
b. Chuleamos y agregamos al Administrador como nico usuario que puede apaga r el

sistema.
40

08 DE ABRIL DE 2014
Agregamos y guardamos
NOTA: Si usted desea solo esto, est bien. Pero con esta poltica si nos
fijamos en la pantalla de inicio de sesin an se puede apagar el sistema.
Por lo tanto y si deseamos tambin la agregamos as la UNICA forma de
apagar el sistema es conectndose como ADMINISTRADOR. Para ello:
c. Entramos a la poltica necesaria y configuramos
41

08 DE ABRIL DE 2014
Activamos y guardamos
4.3 SOLO LOS ADMINISTRADORES PUEDEN CAMBIAR LA HORA DEL SISTEMA
42

08 DE ABRIL DE 2014
Editamos y agregamos solo al administrador como usuario permitido para cambiar la hora.
43

08 DE ABRIL DE 2014
5 VERIFICACIN DE POLTICAS ACTIVADAS

Para ver que polticas estn activadas seleccionamos nuestra GPO y luego en la pestaa
Settings del panel derecho:
44

Politicasenactivedirectory 140413160907 Phpapp01

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Politicasenactivedirectory 140413160907 Phpapp01

Cargado por

Copyright:

Formatos disponibles

08 DE ABRIL DE 2014

SERVICIO NACIONAL DE APRENDIZAJE

POLTICAS EN ACTIVE DIRECTORY

Los usuarios deben loguearse solamente de 7:00 am a 8:00 pm

ORGANIZACIN DE LOS USUARIOS Y LAS MAQUINAS

SERVICIO NACIONAL DE APRENDIZAJE

Entramos al Active Directory Users and Computers

NOTA: Para la creacin de usuarios y contenedores organizacionales visiten

POLTICAS EN ACTIVE DIRECTORY

SERVICIO NACIONAL DE APRENDIZAJE

a. Clic en crear nuevo contenedor

POLTICAS EN ACTIVE DIRECTORY

SERVICIO NACIONAL DE APRENDIZAJE

CONTENEDOR DE LOS USUARIOS Y CREACIN DE USUARIOS

Contenedor para los usuarios

POLTICAS EN ACTIVE DIRECTORY

SERVICIO NACIONAL DE APRENDIZAJE

Creacin de usuarios en el contenedor DiseoUsuarios

POLTICAS EN ACTIVE DIRECTORY

SERVICIO NACIONAL DE APRENDIZAJE

b. Llenamos datos, contrasea y aceptamos. Yo hice 5 usuarios

NOTA: Para la creacin de usuarios y contenedores organizacionales visiten

POLTICAS EN ACTIVE DIRECTORY

SERVICIO NACIONAL DE APRENDIZAJE

ORGANIZACIN DE LAS MAQUINAS

Contenedor para las maquinas

POLTICAS EN ACTIVE DIRECTORY

SERVICIO NACIONAL DE APRENDIZAJE

POLTICAS EN ACTIVE DIRECTORY

SERVICIO NACIONAL DE APRENDIZAJE

Para agruparlas en el contenedor Diseo Maquinas:

POLTICAS EN ACTIVE DIRECTORY

SERVICIO NACIONAL DE APRENDIZAJE

POLTICAS EN ACTIVE DIRECTORY

SERVICIO NACIONAL DE APRENDIZAJE

GPO PARA DISEOUSUARIOS.

POLTICAS EN ACTIVE DIRECTORY

SERVICIO NACIONAL DE APRENDIZAJE

2.2 GPO PARA DISEOMAQUINAS.

POLTICAS EN ACTIVE DIRECTORY

SERVICIO NACIONAL DE APRENDIZAJE

POLTICAS EN ACTIVE DIRECTORY

SERVICIO NACIONAL DE APRENDIZAJE

b. Se abre el Group Policy Management Editor.

POLTICAS EN ACTIVE DIRECTORY

SERVICIO NACIONAL DE APRENDIZAJE

LOS USUARIOS DEBEN LOGUEARSE SOLAMENTE DE 7:00 AM A 8:00 PM

POLTICAS EN ACTIVE DIRECTORY

SERVICIO NACIONAL DE APRENDIZAJE

Clic derecho y propiedades

b. Clicc en Account>Selecciona Logon hours>Clic en Logon hours

POLTICAS EN ACTIVE DIRECTORY

SERVICIO NACIONAL DE APRENDIZAJE

c. Seleccionamos las horas que no deseamos que los usuarios se conecte.

Aceptamos los cambios.

LOS USUARIOS NO DEBEN TENER ACCESO AL PANEL DE CONTROL

User Configuration>Polices>Administrave Templtes>Control Panel.

POLTICAS EN ACTIVE DIRECTORY

SERVICIO NACIONAL DE APRENDIZAJE

Ac activamos la poltica y aceptamos

3.3 DEBE USARSE EL PAPEL TAPIZ DE LA EMPRESA, NO DEBE PODER CAMBIARSE

SERVICIO NACIONAL DE APRENDIZAJE

En este caso la guardaremos en el cliente.