Politicasenactivedirectory 140413160907 Phpapp01 PDF

08 DE ABRIL DE 2014 POLÍTICAS EN ACTIVE
DIRECTORY
GESTIÓN DE REDES DE DATOS
INSTRUCTORA: ISABEL YEPES
Gelier Moreno
SERVICIO NACIONAL DE APRENDIZAJE
POLÍTICAS EN ACTIVE DIRECTORY
08 DE ABRIL DE 2014

Con esta guía aprenderemos asignar políticas en el Active Directory. Aplicaremos en
concreto 10 políticas entre políticas de usuario y políticas de máquina.
Se debe tener en cuenta que existe políticas de configuración para usuarios y políticas de
configuración para máquina. Es decir que son dos tipos de políticas para dos objetos
diferentes del AD.
Por lo tanto y para no mezclar políticas de un objeto u otro, se recomienda crear dos grupos
de políticas uno para cada objeto.
Actividad
Crearemos 10 cuentas para el departamento de diseño de una empresa, a las cuales se les
deberán aplicar las siguientes políticas (nota algunas pueden ser políticas de máquina)
POLÍTICAS PARA EL DEPARTAMENTO DE DISEÑO:
 Los usuarios deben loguearse solamente de 7:00 am a 8:00 pm

 Los usuarios no deben tener acceso al panel de control
 Debe usarse el papel tapiz de la empresa, no debe poder cambiarse
 Los usuarios deben cambiar su contraseña cada 30 días
 La carpeta documentos de todos los usuarios a apuntará a una carpeta
independiente por usuario que esté dentro de la carpeta compartida.
\\controladordominio\publica
 Solo los administradores pueden apagar la máquina
 Solo los administradores pueden cambiar la hora del sistema
 Todas las máquinas tendrán permanente la unidad H: que apuntará a la ruta
\\controladordominio\compartida
1 ORGANIZACIÓN DE LOS USUARIOS Y LAS MAQUINAS

Lo ideal para la aplicar políticas es agrupar los usuarios en un contendor, las maquinas en
otro y estos dos contenedores dentro de uno solo.
Esto permite mayor organización y facilidad de trabajo y búsqueda en la organización del

dominio.
Así mismo permite aplicar las políticas por separado, es decir políticas de usuarios y
políticas de máquina.
POLÍTICAS EN ACTIVE DIRECTORY 1

08 DE ABRIL DE 2014
Entramos al “Active Directory Users and Computers”
NOTA: Para la creación de usuarios y contenedores organizacionales visiten

mi antigua entrada “Union de cliente al active directory”. En el paso 2 se
especifica cómo hacer esto. Además se explica más detalladamente.
1.1 CONTENEDOR PADRE

Crearemos este contendedor para almacenar los otros contenedores que mantienen
organizados y separados los usuarios y las maquinas.

08 DE ABRIL DE 2014
a. Clic en crear nuevo contenedor
b. Asignamos nombre
c. Verificamos contenedor

08 DE ABRIL DE 2014
1.2 CONTENEDOR DE LOS USUARIOS Y CREACIÓN DE USUARIOS

Ahora organizaremos los usuarios en contenedores estratégicamente llamados, de tal forma
que sea para el SYSADMIN su fácil localización.
1.2.1 Contenedor para los usuarios
a. Teniendo seleccionado nuestro contenedor padre, creamos uno nuevo dentro de él.
b. Le asignamos nombre

08 DE ABRIL DE 2014
c. Verificamos
1.2.2 Creación de usuarios en el contenedor “DiseñoUsuarios”

Ahora vamos a crear los usuarios dentro del contenedor diseño usuarios.
a. Para ello seleccionamos el contendor en cuestión y luego en icono de nuevo usuarios.

Este icono en una persona con un asterisco.

08 DE ABRIL DE 2014
b. Llenamos datos, contraseña y aceptamos. Yo hice 5 usuarios
c. Verificamos
NOTA: Para la creación de usuarios y contenedores organizacionales visiten

mi antigua entrada “Unión de cliente al Active Directory”. En el paso 2 se
especifica cómo hacer esto. Además se explica más detalladamente.

08 DE ABRIL DE 2014
1.3 ORGANIZACIÓN DE LAS MAQUINAS
NOTA: Para agregar las maquinas al AD se necesita que un usuario se

conecte al mismo. Esto lo enseño en el manual “Unión de cliente al Active
Directory”.
1.3.1 Contenedor para las maquinas

a. Ahora, al igual que antes creamos un contenedor para las maquinas, dentro del
contenedor padre “Departamento de diseños”.
b. Asignamos nombre

08 DE ABRIL DE 2014
c. Verificamos
1.3.2 Agrupación de maquinas
Las maquinas NO se crean como los usuarios. Las maquinas se crean o agregan
automáticamente al AD en el momento que se conecta con el mismo servidor.
NOTA: Para agregar las maquinas al AD se necesita que un usuario se

conecte al mismo. Esto lo enseño en el manual “Unión de cliente al active
directory”.
Al conectarse con el AD, la maquina se agrega automáticamente en el contenedor

computers.

08 DE ABRIL DE 2014
Para agruparlas en el contenedor “Diseño Maquinas”:
a. Arrastramos la maquina al contenedor deseado, en este caso “DiseñoMaquinas”.
Este error nos advierte que al mover el objeto a ese nuevo contenedor se le aplicara las
políticas que estén enlazadas con esa unidad organizacional.
Aceptamos.
b. Verificamos

08 DE ABRIL DE 2014
2 CREACIÓN DE GPO
GPO, por sus siglas en inglés “Group Policy Object”, que significa “Grupo de policas para un
objeto”, es quien permite la edición de un grupo de politicas que s ele aplicaran a un objeto
u objetos en particular.
Una GPO se enlaza con un contenedor, es decir, que nosotros crearemos dos GPO, una para
el contenedor de los usuarios “DiseñoUsuarios”, donde solo editaremos y aplicaremos
políticas específicas para usuarios.
Crearemos una segunda GPO para el contenedor “DiseñoMaquinas”, donde editaremos y

aplicaremos políticas exclusivas de máquina.
a. Abrimos el Group Policy Manager

08 DE ABRIL DE 2014
2.1 GPO PARA “DISEÑOUSUARIOS”.

Ahora vamos a crear la GPO para los usuarios. Entonces damos clic derecho en el contendor
de “DiseñoUsuarios”. Luego clic en “Create a GPO in this domain, and Link it here…”
Básicamente lo que estamos haciendo es crear una GPO en el dominio y enlazarlo con ese
contenedor.
Verificamos

08 DE ABRIL DE 2014
2.2 GPO PARA “DISEÑOMAQUINAS”.

Hacemos lo mismo que antes
Verificamos

08 DE ABRIL DE 2014
DESARROLLO DE LA ACTIVIDAD
De aquí en adelante comenzaremos aplicar las politicas propuestas en el Active Directory.
Para la configuración de estas se debe tener en cuenta que es en el Group Policy
Management.

08 DE ABRIL DE 2014
3 POLÍTICAS DE USUARIO
A continuación realizaremos las políticas que se pueden aplicar en la configuración de
usuario, es decir, son políticas de usuario.
Todas se realizaran dentro de la GPO “Politicas DiseñoUsuarios”
a. Clic derecho en la GPO “Politicas DiseñoUsuarios” y luego en “Edit…”
b. Se abre el “Group Policy Management Editor”.

08 DE ABRIL DE 2014
Nosotros solo utilizaremos en esta sección “User Configuration”, que son las políticas de
usuario.
De aquí en hasta que se acabe la sección 3, solo utilizaremos User Configuration, por lo
tanto deben entender que los pasos 3.a. y 3.b. Son los primeros pasos de cada política
estudiaremos adelante. Con excepción de la política 3.1., que no necesita del “Group Policy
Management Editor”.
3.1 LOS USUARIOS DEBEN LOGUEARSE SOLAMENTE DE 7:00 AM A 8:00 PM

Como explique anteriormente, solo esta política no necesita de “Group Policy Management
Editor”. Sin embargo es una política de usuario por que se aplica directamente sobre las
cuentas creadas.
a. Entramos al contenedor donde están nuestros usuarios, desde el “Active Directory

Users and Computers”.
Si no recuerdan como entrar allí, lean el paso 1
Dentro de este contenedor deben aparecer nuestro usuarios, allí los seleccionamos
todos.

08 DE ABRIL DE 2014
Clic derecho y propiedades
b. Clicc en “Account”>Selecciona “Logon hours”>Clic en “Logon hours…”

08 DE ABRIL DE 2014
c. Seleccionamos las horas que no deseamos que los usuarios se conecte.

Al seleccionar, si nos fijamos abajo nos dice los días y las horas de conexión que uno
ha seleccionado. Si estamos seguros, chuleamos en la parte izquierda el permiso o la
negación en la conexión.
Lo blanco son las horas y días que no se conectaran.
Aceptamos los cambios.
3.2 LOS USUARIOS NO DEBEN TENER ACCESO AL PANEL DE CONTROL

a. Dentro del Group Policy Management Editor
User Configuration>Polices>Administrave Templtes>Control Panel.
Allí Clic derecho en la política y luego en “Edit”.

08 DE ABRIL DE 2014
Acá activamos la política y aceptamos
3.3 DEBE USARSE EL PAPEL TAPIZ DE LA EMPRESA, NO DEBE PODER CAMBIARSE

En este caso debemos tener en cuenta el lugar donde vamos almacenar la imagen que
utilizaremos. Siempre debe estar disponible el lugar que elijamos. Tenemos dos
opciones, guardarla en el servidor o guardarla en el cliente.
¿Dónde guardar la imagen del papel tapiz?
SERVIDOR
Ventajas Desventajas
No se debe copiar una a una la imagen Si la imagen permanecerá mucho tiempo, al
en cada pc. momento del encendido de los PC gastara
Se recomienda utilizar esta opción de ancho de banda al enviar la imagen a varios
almacenamiento cuando las imágenes clientes
cambian periódicamente.
CLIENTE
Ventajas Desventajas
Si la imagen permanecerá un tiempo Se debe copiara una a una la imagen en
considerable, esta es la mejor opción, cada PC. Y Si esta cambia periódicamente
ya que no afectara el ancho de banda será tediosa la tarea
de la infraestructura de red.

08 DE ABRIL DE 2014
En este caso la guardaremos en el cliente.
a. Guardar la imagen en un lugar accesible por cualquier usuario. En este caso será el
disco del sistema en el CLIENTE.
b. Ahora desde el servidor nos dirigimos donde nos dice la imagen

08 DE ABRIL DE 2014
c. Activamos “Enable Active Desktop”
d. Configuramos “Desktop Wallpaper”
Activamos, escribimos la ruta y aceptamos.
NOTA: Si guardan la imagen en el servidor deben comenzar la ruta asi

“\\server\...”

08 DE ABRIL DE 2014
b. Comprobamos en el cliente si efectivamente cambio.
3.4 LA CARPETA DOCUMENTOS DE TODOS LOS USUARIOS A APUNTARÁ A UNA CARPETA INDEPENDIENTE POR USUARIO QUE
ESTÉ DENTRO DE LA CARPETA COMPARTIDA EN EL SERVIDOR: \\CONTROLADORDOMINIO\PUBLICA
3.4.1 Creando y compartiendo la carpeta

a. Creamos la carpeta en el servidor y la compartimos
b.

08 DE ABRIL DE 2014
c. Buscamos personas, ya que vamos agregar nuevos usuarios
d. Seguimos pasos

08 DE ABRIL DE 2014

08 DE ABRIL DE 2014
e. Ahora compartimos desde opciones avanzadas
Se siguen pasos

08 DE ABRIL DE 2014

08 DE ABRIL DE 2014

08 DE ABRIL DE 2014

08 DE ABRIL DE 2014
Eliminamos los otros usuarios:
Y nos queda algo asi:

08 DE ABRIL DE 2014
c. Añadimos permisos total y guardamos todo.
3.4.2 Editando la GPO

a. Vamos a hacia donde nos dice la imagen

08 DE ABRIL DE 2014
b. Llenamos como nos dice la imagen

En el Root Path, escribimos la ruta de nuestra carpeta, que debe ir con el nombre del
servidor completo.
c. Aceptamos. Es una advertencia que nos indica que esta política no es compatible con
el Windows mencionado.

08 DE ABRIL DE 2014
3.4.3 Verificación
Nos conectamos en nuestra maquina o actualizamos las políticas de nuestro cliente desde el
CMD, con el comando gpupdte.
Cuando entramos otra vez a publica esta creada nuestra carpeta para ese usuario.

08 DE ABRIL DE 2014
3.5 TODAS LAS MÁQUINAS TENDRÁN PERMANENTE LA UNIDAD H: QUE APUNTARÁ A LA RUTA
\\CONTROLADORDOMINIO\COMPARTIDA
3.5.1 Creamos la carpeta y compartimos como en la carpeta Publica.

08 DE ABRIL DE 2014
Acá dejamos los demás grupos de usuarios
3.6 EDITAMOS GPO

08 DE ABRIL DE 2014
a. Llenamos datos
b. Ahora en la pestaña Common, y luego clic en “Targeting…”

08 DE ABRIL DE 2014
Dentro del Targeting Editor, seleccionamos Security Groups.
Ahora agregamos el grupo Domain Users como lo hemos venido haciendo.

08 DE ABRIL DE 2014

08 DE ABRIL DE 2014
4 POLÍTICAS DE MAQUINA
Las políticas de máquina se realizaran en la GPO correspondiente.

08 DE ABRIL DE 2014
4.1 LOS USUARIOS DEBEN CAMBIAR SU CONTRASEÑA CADA 30 DÍAS

Vamos a la política que necesitamos.
a. En esta especificamos cuanto será el tiempo máximo que un usuario podrá conservar
una contraseña.
Editamos a nuestro gusto y guardamos

08 DE ABRIL DE 2014
b. Ahora vamos a especificar el tiempo mínimo que un usuario debe tener una
contraseña.
Editamos a nuestro gusto y guardamos

08 DE ABRIL DE 2014
4.2 SOLO LOS ADMINISTRADORES PUEDEN APAGAR LA MÁQUINA

a. Vamos a la política que necesitamos
b. Chuleamos y agregamos al Administrador como único usuario que puede apaga r el

sistema.

08 DE ABRIL DE 2014
Agregamos y guardamos
NOTA: Si usted desea solo esto, está bien. Pero con esta política si nos
fijamos en la pantalla de inicio de sesión aún se puede apagar el sistema.
Por lo tanto y si deseamos también la agregamos así la UNICA forma de
apagar el sistema es conectándose como ADMINISTRADOR. Para ello:
c. Entramos a la política necesaria y configuramos

08 DE ABRIL DE 2014
Activamos y guardamos
4.3 SOLO LOS ADMINISTRADORES PUEDEN CAMBIAR LA HORA DEL SISTEMA

08 DE ABRIL DE 2014
Editamos y agregamos solo al administrador como usuario permitido para cambiar la hora.

08 DE ABRIL DE 2014
5 VERIFICACIÓN DE POLÍTICAS ACTIVADAS

Para ver que políticas están activadas seleccionamos nuestra GPO y luego en la pestaña
Settings del panel derecho:

Politicasenactivedirectory 140413160907 Phpapp01 PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Politicasenactivedirectory 140413160907 Phpapp01 PDF

Cargado por

Copyright:

Formatos disponibles

08 DE ABRIL DE 2014 POLÍTICAS EN ACTIVE

POLÍTICAS EN ACTIVE DIRECTORY

POLÍTICAS EN ACTIVE DIRECTORY

POLÍTICAS PARA EL DEPARTAMENTO DE DISEÑO:

 Los usuarios deben loguearse solamente de 7:00 am a 8:00 pm

1 ORGANIZACIÓN DE LOS USUARIOS Y LAS MAQUINAS

Esto permite mayor organización y facilidad de trabajo y búsqueda en la organización del

POLÍTICAS EN ACTIVE DIRECTORY 1

POLÍTICAS EN ACTIVE DIRECTORY

Entramos al “Active Directory Users and Computers”

NOTA: Para la creación de usuarios y contenedores organizacionales visiten

1.1 CONTENEDOR PADRE

POLÍTICAS EN ACTIVE DIRECTORY 2

POLÍTICAS EN ACTIVE DIRECTORY

a. Clic en crear nuevo contenedor

POLÍTICAS EN ACTIVE DIRECTORY 3

POLÍTICAS EN ACTIVE DIRECTORY

1.2 CONTENEDOR DE LOS USUARIOS Y CREACIÓN DE USUARIOS

1.2.1 Contenedor para los usuarios

POLÍTICAS EN ACTIVE DIRECTORY 4

POLÍTICAS EN ACTIVE DIRECTORY

1.2.2 Creación de usuarios en el contenedor “DiseñoUsuarios”

a. Para ello seleccionamos el contendor en cuestión y luego en icono de nuevo usuarios.

POLÍTICAS EN ACTIVE DIRECTORY 5

POLÍTICAS EN ACTIVE DIRECTORY

b. Llenamos datos, contraseña y aceptamos. Yo hice 5 usuarios

NOTA: Para la creación de usuarios y contenedores organizacionales visiten

POLÍTICAS EN ACTIVE DIRECTORY 6

POLÍTICAS EN ACTIVE DIRECTORY

1.3 ORGANIZACIÓN DE LAS MAQUINAS

NOTA: Para agregar las maquinas al AD se necesita que un usuario se

1.3.1 Contenedor para las maquinas

POLÍTICAS EN ACTIVE DIRECTORY 7

POLÍTICAS EN ACTIVE DIRECTORY

1.3.2 Agrupación de maquinas

NOTA: Para agregar las maquinas al AD se necesita que un usuario se

Al conectarse con el AD, la maquina se agrega automáticamente en el contenedor

POLÍTICAS EN ACTIVE DIRECTORY 8

POLÍTICAS EN ACTIVE DIRECTORY

Para agruparlas en el contenedor “Diseño Maquinas”:

a. Arrastramos la maquina al contenedor deseado, en este caso “DiseñoMaquinas”.

POLÍTICAS EN ACTIVE DIRECTORY 9

POLÍTICAS EN ACTIVE DIRECTORY

Crearemos una segunda GPO para el contenedor “DiseñoMaquinas”, donde editaremos y

a. Abrimos el Group Policy Manager

POLÍTICAS EN ACTIVE DIRECTORY 10

POLÍTICAS EN ACTIVE DIRECTORY

2.1 GPO PARA “DISEÑOUSUARIOS”.

POLÍTICAS EN ACTIVE DIRECTORY 11

POLÍTICAS EN ACTIVE DIRECTORY

2.2 GPO PARA “DISEÑOMAQUINAS”.

POLÍTICAS EN ACTIVE DIRECTORY 12

POLÍTICAS EN ACTIVE DIRECTORY

POLÍTICAS EN ACTIVE DIRECTORY 13

POLÍTICAS EN ACTIVE DIRECTORY

Todas se realizaran dentro de la GPO “Politicas DiseñoUsuarios”

a. Clic derecho en la GPO “Politicas DiseñoUsuarios” y luego en “Edit…”

b. Se abre el “Group Policy Management Editor”.

POLÍTICAS EN ACTIVE DIRECTORY 14

POLÍTICAS EN ACTIVE DIRECTORY

3.1 LOS USUARIOS DEBEN LOGUEARSE SOLAMENTE DE 7:00 AM A 8:00 PM

a. Entramos al contenedor donde están nuestros usuarios, desde el “Active Directory

POLÍTICAS EN ACTIVE DIRECTORY 15