DIRECTIVAS DE GRUPO (GPO) EN WINDOWS SERVER 2008

MODULO DE SOFTWARE DE ADMINISTRACION

POR:

JUAN CAMILO GONZLEZ LPEZ

INSTRUCTOR:

LUIS FELIPE LONDO

ORDEN: 35442

TECNOLOGIA EN ADMINISTRACION DE REDES DE COMPUTO

CENTRO DE SERVICIOS Y GESTION EMPRESARIAL
MEDELLIN-ANTIOQUIA
2011
1. Cree los siguientes usuarios y grupos en Windows Server 2008 (Tambin aplica para
sistemas operativos Windows XP, Windows Server 2003, Windows Vista y Windows 7)

Grupo: Killers (Carlos y Manuel)

Grupo: Timers (Bruno y Benji)

NOTA: Cada usuario creado deber cambiar su password al siguiente inicio de sesin

En primer lugar vamos a crear nuestros usuarios Carlos y Manuel que van a pertenecer al
grupo Killer Benji y Bruno que pertenecen al grupo Timers esto lo hacemos con el siguiente
procedimiento:

Inicio Herramientas Administrativas - Administracin de equipos

Clic derecho en usuario usuario nuevo

Vamos a poner solamente el ejemplo con la creacin del usuario Carlos ya que para los otros
usuarios es el mismo procedimiento ingresamos la contrasea dejamos la primera casilla
seleccionada y le damos clic en crear

Aqu ya vemos los 4 usuarios creados Manuel, Carlos, Bruno y Benji

Ahora creamos los grupos que son Killers y Timers ahora nos ubicamos en grupos clic
derecho Grupo nuevo

Le ponemos el nombre al grupo que estamos creando en este caso Killers y le damos clic en
crear
Aqu ya vemos los 2 grupos creados
Ahora vamos a agregar los usuarios a los grupos en este caso tomaremos como ejemplo el
ingreso de el usuario Manuel al grupo Killers Damos clic derecho en el grupo Killers despus
damos agregar y le ponemos el nombre en este caso Manuel despus comprobar nombres y
aceptar es importante tener en cuenta que por defecto cuando vamos a agregar un usuario
nos aparece un usuario genrico el cual dice usuarios o en otros casos usuarios
autenticados el cual lo debemos dejar para que los usuarios que creamos nos aparezcan en
el inicio de sesin de usuarios
Y nos quedara as:

2. Implemente las siguientes polticas o directivas locales

Directivas de configuracin de equipo:

Ahora para configurar las polticas de o directivas de grupo (GPO) ingresamos por el men
ejecutar con el comando gpedit.msc este que significa editar polticas de grupo y msc
significa Microsoft Services
La vigencia mxima de la contrasea para todos los usuarios de la mquina ser de 15
das esto lo hacemos por la siguiente ruta:

Directiva de equipo local configuracin de equipo configuracin de Windows

configuracin de seguridad directivas de cuenta directiva de contraseas y all en la
opcin vigencia mxima de la contrasea le ponemos la duracin en este caso 15 das y le
damos aceptar.
Las contraseas deben cumplir con los requisitos de complejidad por defecto de
Windows server Cules son estos requerimientos?

Si se habilita esta directiva, las contraseas deben cumplir los siguientes requisitos mnimos:

No contener el nombre de cuenta del usuario o partes del nombre completo del usuario en
ms de dos caracteres consecutivos
Tener una longitud mnima de seis caracteres
Incluir caracteres de tres de las siguientes categoras:
Maysculas (de la A a la Z)
Minsculas (de la a a la z)
Dgitos de base 10 (del 0 al 9)
Caracteres no alfanumricos (por ejemplo, !, $, #, %)
Estos requisitos de complejidad se exigen al cambiar o crear contraseas.

Valor predeterminado:

Habilitada en controladores de dominio.

Deshabilitada en servidores independientes.

Nota: de forma predeterminada, los equipos miembros usan la configuracin de sus

controladores de dominio.

En este caso habilitamos y le damos aceptar

La ruta sera la siguiente: Directiva de equipo local configuracin de equipo configuracin

de Windows configuracin de seguridad directivas de cuenta directiva de contraseas
Los usuarios que requieran cambiar su contrasea no podrn usar un password que
se haya usado antes por lo menos desde los 2 ltimos cambios.
Aqu ponemos 2 que es el numero de contraseas recordadas y por lo tanto el usuario por
podr repetirlas

Los usuarios del grupo Killers pueden apagar la mquina una vez hayan iniciado
sesin, pero los usuarios del grupo Timers no podrn apagar el equipo (Desde el
sistema operativo)

Ingresamos por: Directiva del equipo local - configuracin del equipo - configuracin de
Windows - configuracin de seguridad - directivas locales - Asignacin de permisos
Agregamos el grupo killers a apagado del sistema
Los usuarios del grupo Timers podrn cambiar la hora de la mquina local

Directiva del equipo local - configuracin del equipo - configuracin de Windows -

configuracin de seguridad - directivas locales - Asignacin de permisos
Agregamos el Timers a cambiar la hora local

Todos los usuarios tendrn las siguientes restricciones al usar el navegador Internet
Explorer: No podrn eliminar el historial de navegacin, No se permitir el cambio de
proxy ya que todos los usuarios usarn el mismo proxy (172.20.49.51:80),
Configuracin del historial deshabilitada, no permitir el cambio de las directivas de
seguridad del navegador.

Esto Lo hacemos en la siguiente ruta:

Directiva equipo local - Configuracin Equipo - Plantillas Administrativas - Componentes de

Windows - Internet Explorer.
Configuracin de usuario configuracin de Windows Mantenimiento de internet Explorer
conexin configuracin de los servidores Proxy como podemos observar en la ilustracin

Directiva equipo local - Configuracin Equipo - Plantillas Administrativas - Componentes de

Windows - Internet Explorer
Directiva equipo local - Configuracin Equipo - Plantillas Administrativas - Componentes de
Windows - Internet Explorer zonas de seguridad
Desactivar la ventana emergente de reproduccin automtica

Esto lo hacemos por la siguiente ruta: Directiva equipo local - configuracin del equipo -
plantillas administrativas - componentes de Windows - directivas de reproduccin
automtica.
No permitir el apagado remoto de la mquina

Vamos a la siguiente ruta: Directiva del equipo local - Configuracin del equipo - plantillas
administrativas - componentes de Windows - Opciones de apagado
Aplicar cuotas de 50MB para todos los usuarios locales y remotos (Esta es un cuota
muy baja y es usada solo para fines acadmicos)

La ruta es: Directiva del equipo local - configuracin del equipo - plantillas administrativas
Sistema - Cuotas de disco.
Directivas de configuracin de usuario:

La pgina principal que se cargar para cada usuario cuando abra su navegador ser:

http://www.sudominio.com (Pgina institucional de su empresa)

Directiva del equipo local - configuracin de usuario configuracin de Windows

Mantenimiento de internet Explorer Direcciones URL y aqu ingresamos la direccin de
nuestra intranet o la direccin que de la pgina de la empresa
El servidor proxy para todos los usuarios locales ser 172.20.49.51:80

Directiva del equipo local - configuracin de usuario - configuracin de Windows -

mantenimiento de internet Explorer - configuracin de proxy

Restringir desde el navegador el acceso a los siguientes sitios: www.facebook.com y

www.youtube.com por URL, para todos los usuarios. El administrador ser el nico
con la contrasea de supervisor para el Asesor de Contenidos.

Zonas de seguridad y clasificacin de contenido - configuracin de privacidad y seguridad -

Asesor de contenido damos clic en la pestaa de abajo Importar la configuracin actual de
restriccin de contenido
Nos aparece esta ventana y creamos aqu la contrasea del asesor de contenidos que en
este caso solo sera debera saberla el administrador
Aqu restringimos el acceso a facebook y a youtube
Ingresamos la contrasea

Aqu ya podemos ver que ha sido creada correctamente la contrasea

Ocultar la unidad C:\ (NOTA: Esto no restringir el acceso a dicha unidad)

Ingresamos por la ruta: Directiva equipo local - configuracin de usuario - plantillas

administrativas - componentes de Windows - explorador de Windows.
Habilitamos la opcion e ingresamos la unidad en este caso la C

Ocultar el men opciones de carpeta del men de herramientas. Esto con el fin de que
los usuarios no puedan ver archivos ocultos o cambiar algunas configuraciones de las
carpetas.

Directiva equipo local - configuracin de usuario - plantillas administrativas - componentes

de Windows - explorador de Windows.
Habilitamos la opcin de carpeta

Restringir el acceso a la unidad E:\ desde mi PC En este caso lo hacemos con la

unidad D

Directiva equipo local - configuracin de usuario - plantillas administrativas - componentes

de Windows - explorador de Windows elegimos la unidad y le aceptamos
Limitar el tamao de la papelera de reciclaje a 100 MB

Directiva equipo local - configuracin de usuario - plantillas administrativas - componentes

de Windows - explorador de Windows

Habilitamos y de damos el valor en este caso 100 megas

No permitir que se ejecute Messenger

Directiva equipo local - configuracin de usuario configuracin de Windows

mantenimiento de internet Explorer plantillas administrativas - componentes de Windows
sistema all le damos doble click y nos aparece una ventana para agregar el software que
queremos restringir en este caso Messenger agregamos y aceptamos
Ocultar todos los elementos del escritorio para todos los usuarios.

Directiva equipo local - configuracin de usuario - plantillas administrativas - Escritorio.

Habilitamos y aceptamos
Bloquear la barra de tareas

Directiva equipo local - configuracin de usuario - plantillas administrativas - componentes de

Windows - Men inicio y barra de tareas y habilitamos la opcin
Prohibir el acceso del Lecto-escritura a cualquier medio de almacenamiento extrable.

Directiva equipo local - configuracin de usuario - plantillas administrativas sistema -

Acceso de almacenamiento extrable.

Habilitamos las opciones que estn una seguida de la otra lectura y escritura
Ahora vamos a hacer algunas pruebas con uno de los usuarios creados en este caso
con el usuario benji

Ingresamos la contrasea

Inmediatamente nos pide cambio de contrasea tal como le pusimos cuando creamos los
usuarios
Cambiamos la contrasea
Aqu por ejemplo vamos a ingresar con benji a facebook y nos pide la contrasea del asesor
de contenidos

Y en este otro caso para youtube