SOLUCIÓN TALLER DE HABILIDADES

WINDOWS SERVER 2012

JHOAN CAUSIL PULGARIN

INSTRUCTOR
JUAN DAVID GRAJALES

GESTIÓN DE REDES DE DATOS

683376

SERVICIO NACIONAL DE APRENDIZAJE-SENA

MEDELLÍN
2015
 INTRODUCCIÓN

Para mantener una red controlada, usuarios y grupos bajo un mismo dominio previamente
administrado por un servidor, es importante conocer y entender las características
importantes que ofrece una GPO.
¿Y qué es una GPO? (Group Policy Management) como lo traduce sus siglas en inglés,
significa en español “Administración de Directivas de Grupo”, es un conjunto de reglas
que controlan el medio ambiente de trabajo de cuentas de usuario y cuentas de equipo.
Directiva de grupo proporciona la gestión centralizada y configuración de sistemas
operativos, aplicaciones y configuración de los usuarios en un entorno de Active Directory.
En otras palabras, la Directiva de Grupo, en parte, controla lo que los usuarios pueden y no
pueden hacer en un sistema informático.

Las GPO se pueden diferenciar dependiendo del objeto al que configuran y se pueden
entender en distintos niveles:

 Equipo Local: tan solo se aplican en el equipo que las tiene asignadas
independientemente del dominio al que pertenezca.
 Sitio: se aplican a los equipos y/o usuarios de un sitio, independientemente del
dominio.
 Dominio: se aplican a todos los equipos y/o usuarios de un dominio.
 Unidad Organizativa (OU): se aplican únicamente a los equipos y/o usuarios que
pertenecen a la OU.
Dentro de la configuración de directiva se puede acceder a lo siguiente:

 Configuración de equipo
 Configuración de usuario

Ambos elementos se dividen en los mismos submenús, pero las políticas son distintas.
 OBJETIVOS

 Implementar políticas o directivas de grupo locales en el Sistema Operativo

Windows Server 2012
 Analizar las directivas existentes, aplicarlas y saber ejecutarlas
 Comprender la función que hace cada directiva al habilitarla y deshabilitarla
 Configurar varias GPO y aplicarlas en clientes conectados al mismo dominio
 Diferenciar las diferentes políticas que aplican en la configuración del equipo y
configuración de usuario
 Comprender los beneficios que trae consigo el aplicar políticas en una organización
siendo administradas y configuradas previamente por un servidor.
PUNTOS A DESARROLLAR
NOTA: Las siguientes actividades se realizaron bajo la instalación previa de un servidor en
una máquina virtual (VirtualBox) con la ISO respectiva de Windows Server 2012 R2 en
Español.

1. Instalar un servidor que se llame con su nombre, y el dominio el apellido y sus

dos últimos números de su documento de identidad, instalar servidor de
dominio, Active directory, DHCP, IIS, FTP, el servidor debe tener un IP fija
Privada y debe salir a internet.

Después de haber instalado el servidor con el nombre indicado, en la información del servidor
se puede observar: Nombre del servidor, nombre del dominio y nombre del equipo.
Los servicios instalados correctamente y listos para su configuración necesaria.

IP estática fija
Verificando que la tarjeta de red esté configurada con el dominio que se configuró
previamente

2. Implementar un mensaje de bienvenida para el inicio de sesión de los usuarios

del dominio.
Desde la configuración del servidor, se dirige a la pestaña de:
Administración y Directivas de Grupo>Default Domain Policiy>Editar>Configuración de
Equipo>Directivas>Configuración de Windows>Configuración de Seguridad>Directivas
locales>Opciones de seguridad
Se busca la pestaña de Inicio de sesión interactivo y aquí un ejemplo de configuración.

TEXTO DEL MENSAJE

TÍTULO DEL MENSAJE

3. Implementar una política de contraseñas, que obligue al usuario a cambiar de

clave cada 30 días, no puede repetir las últimas 5 claves, mínimo 10 caracteres
y complejidad avanzada (mayúscula, número y caracter especial). Si digitan
mal la clave 5 veces, debe bloquearse el inicio de sesión durante 2 minutos.

Para ello, se ingresa a la directiva que se desea aplicar la política.

Luego se procede a la siguiente ruta:
Configuración de equipo>Directivas>Configuración de Windows>Configuración de
seguridad>Directiva de cuenta>Directiva de contraseñas.
Tal cual se muestra en la figura.

Y si digitan mal la clave 5 veces, se procederá a bloquearse el inicio de sesión por 2

minutos.
Se procede a la siguiente ruta:
Configuración del equipo>Directivas>Configuración de Windows>Configuración de
Seguridad>Directivas de cuenta>Directiva de bloqueo de cuenta.
Se define el tiempo que durará la cuenta bloqueada si en cierto tipo de intentos de inicio de
sesión la clave es incorrecta.

4. Deshabilitar el uso de REGEDIT.EXE y REGEDT32.EXE

Para desactivar este uso, se procede a editar la GPO deseada con la siguiente

Configuración del Usuario>Directivas>Plantillas administrativas>Sistema

Allí se despliega la pestaña indicada y se configura así:

Se aplican y se guardan los cambios.

Nota: Para probar que sí esté funcionando correctamente, se inicia una máquina que esté
dentro del dominio y se prueba

Se abre la barra Ejecutar y se escribe el comando regedit y luego aceptar.

Este es el resultado que debe de arrojar el sistema, significa que está funcionando la política
correctamente.
 5. Crear 2 unidades organizativas: Empleados y Contratistas
Dentro del dominio (en este caso es causil04.com) se encuentran algunas unidades
organizativas que trae el sistema por defecto. Para crear una nueva, se procede a hacer lo
siguiente:

Y se agrega cualquier nombre. En este caso, se agregaron dos unidades organizativas tal
cual se muestra en la siguiente imagen.
 6. Implementar una política de fondo de pantalla para los empleados (la imagen
la tomarán desde el servidor \\domain-controller\sysvol\nombre-del-dominio )
Se especifica la ruta exacta del servidor y se aplica en la GPO creada con anterioridad, (en
este caso la GPO de Empleados) y se configura así:

7. Implementar una política de fondo de pantalla para los contratistas (la imagen
la tomarán desde el servidor \\domain-controller\sysvol\nombre-del-dominio )

Nota: En este punto es igual a la imagen anterior, la diferencia es que se aplica en la GPO
de Contratistas que se creó con anterioridad.
 8. Los empleados deben poder cambiar la hora del computador, pero los
contratistas NO.
En este caso se procede a activar esta política en ambas GPO (Empleados y Contratistas) y
se configura así:

Se le asigna el derecho de usuario a (en este caso Empleado01) para que sea el único el
dominio que pueda cambiar la hora del sistema

9. Quitar automatización de los medios extraíbles

Al momento de insertar cualquier almacenamiento extraíble en el PC, el mismo corre riesgo

de cualquier virus. Esta herramienta es útil al momento de querer implementar seguridad en
nuestro dominio y los equipos que estén en el mismo.
Para esta opción, de debe configurar en la pestaña de la GPO “Configuración de usuario”
tal cual se muestra en la figura.
 10. Crear dos carptetas para cada Unidad Organizativa con 500 Mb de espacio
(coutas)para cada una.

Cuota de disco es un límite establecido por el administrador del sistema que restringe
ciertos aspectos del uso del sistema de archivos en los sistemas operativos modernos. El
objetivo de la utilización de las cuotas de disco es limitar la asignación de espacio en
el disco duro de una manera razonable.
Para crear una cuota, primero se debe instalar una opción llamada “Administración de
recursos del servidor de archivos” desde la pestaña “Agregar roles y características” en el
servidor deseado.
Una vez se haya instalado, se procede a configurar

Se abre una ventana as

Para crear una cuota, se despliega la pestaña “Administración de cuotas” y se agrega una
así:
Los pasos a seguir para crear una cuota son:

Paso 1: Agregar una carpeta desde en el servidor (ejemplo: Disco C) con el nombre que se
ha de llamar la cuota. (En este caso dos carpetas, una para los usuarios de Contratistas y la
otra para los usuarios de Empleados)

Paso 2: Después de haber creado las carpetas con los respectivos nombres, desde el
“Administrador de recursos de servidor de archivos” y de la creación de cuota, se escoge la
ruta donde se desea instalar la cuota. (En este caso, se tomará como ejemplo la carpeta de la
cuota de Contratistas).
Paso 3: Luego de escoger la ruta de la carpeta, se configura las propiedades de la cuota.
Esta será de 500 MB de recursos compartidos y se aplicará para ambas directivas
(Empleados y Contratistas)

Las cuotas se pueden crear con los espacios en los discos que el administrador desee.
Para ello, se define la “Cuota personalizada”.

Ejemplo de la cuota.

Para aplicar lo anterior, desde el servidor se comparte la carpeta que se creó con el nombre
de la directiva, se inicia sesión desde un cliente dentro del dominio principal. Se busca la
carpeta compartida desde el servidor para el usuario indicado y se procede a guardar
información dentro de la carpeta que se compartió previamente.
Desde el servidor se puede monitorear el espacio de la cuota y se puede visualizar los
archivos que se han guardado en la misma.
 11. No mostrar el nombre del último usuario que inició sesión en un equipo.

Esta suele ser una de las políticas que por seguridad, suelen resultar muy útiles, sobre todo
cuando son varias personas las que utilizan un mismo equipo.

Predeterminadamente, Windows suele mostrar todas las últimas cuentas que han iniciado
sesión al ingresar a la pantalla de bienvenida, por lo que sólo se debe especificar la
contraseña de cada cuenta – si es que la tiene- para iniciar sesión.
Existe una política para evitar que se muestren las últimas cuentas que iniciaron sesión,
además de esto, cada usuario tendrá que digitar su respectivo nombre y contraseña para
poder ingresar en Windows.

Se configura de la siguiente manera:

 12. Borrar el historial de navegación al salir de Internet Explorer.

El historial de exploración es la información que Internet Explorer recuerda y almacena en

un ordenador a medida que exploras la Web. Esto incluye información escrita en
formularios, contraseñas y sitios visitados, y ayuda a mejorar la experiencia de exploración.
En este caso, si se usarán varias cuentas en el mismo equipo, no es buena idea que
Internet Explorer recuerde tus datos de exploración.
Para habilitar esta opción, se procede así:
 13. No mostrar la opción "Instalar actualizaciones y apagar".

Cuando hay actualizaciones pendientes de instalar Windows Update secuestra el botón de

apagado del sistema operativo para asegurarse de que dichas actualizaciones se instalan en
nuestra máquina. Esto es algo útil porque nos aseguramos de tener nuestro sistema lo más
seguro y actualizado posible. Aun así es posible que desees liberar el botón de apagado de
este secuestro.

La política que buscamos está ubicada en:

Configuración de usuario > Plantillas Administrativas > Componentes de Windows >

Windows Update > No mostrar la opción “instalar actualizaciones y apagar” en el cuadro
de diálogo “Apagar” de Windows.

Si habilitamos está política liberaremos el botón de apagado y este nunca será

“secuestrado” por Windows Update, aun teniendo actualizaciones pendientes de instalar y
viceversa si lo dejamos sin configurar o lo dejamos deshabilitado.

Nota: Este método solo se puede llevar a cabo si se dispone de la versión “Professional” de
Windows 7 o Windows Vista para iniciar sesión en cualquier cliente.
 14. Borrar el historial de documentos recientes al cerrar sesión y Desactivar
limpieza del área de notificación.

Esta funcionalidad existente de la configuración de directiva de Windows Vista permanece

inalterada.

En Windows 7, los elementos usados recientemente y con frecuencia que aparecen en las
Jump Lists asociadas a los programas en el menú Inicio y la barra de tareas se borran
cuando los usuarios cierran la sesión.

Se configura así:

Nota: El requisito para implementar esta GPO es tener al menos Windows 200
 15. Prevenir el agrupamiento de la barra de tareas y Quitar el icono del Centro de
Actividades.

Para impedir el agrupamiento en la barra de tareas: Esta configuración de directiva

permite especificar si los usuarios pueden agrupar los elementos en la barra de tareas.

Si se habilita esta configuración de directiva, la agrupación de botones de la barra de tareas

se establece como No combinar nunca (que es similar al comportamiento predeterminado
en Windows XP). Los elementos de la barra de tareas de la misma aplicación se siguen
colocando uno junto a otro.

Para quitar el icono del centro de actividades: Esta configuración de directiva le permite
especificar si aparece el icono Centro de actividades.

Si habilita esta configuración de directiva, el icono Centro de actividades se quita del área
de notificación. Además, el Centro de actividades no muestra ningún globo de
notificaciones.

Nota: Para ambas GPO es un requisito tener al menos Windows 7 o Windows Professional
 16. Quitar la opción "Administrador de Tareas" al presionar Control-Alt-Supr

Cualquier persona que use una computadora sabe que el “Administrador de tareas” es muy
útil debido a que ofrece una información muy importante sobre el uso de la computadora.
Este programa provee información sobre varios aspectos del desempeño de tu computadora,
incluyendo información sobre la memoria física, el uso de CPU, la memoria central, entre
otros. También provee información sobre el uso de las aplicaciones, las actividades y
estadísticas de la red, los procesos y los usuarios que están conectados. Comúnmente, este
programa se usa cuando quieres cerrar un programa que está fallando, cambiar la prioridad
entre los procesos, o para apagar, reiniciar, entrar en modo hibernación o cerrar una sesión
en Windows

Al desactivar esta opción, es útil para el administrador del dominio para que ninguno de los
usuarios se dé por enterado de los recursos que posee el equipo.
Se edita la GPO así:

Configuración de usuario>Plantillas administrativas>Sistema>Opciones de Ctrl+Alt+Spr

 17. Activar Active Desktop
Esta política permite al usuario agregar contenido HTML en el escritorio (desktop) de
Windows, junto con algunas otras características. También está incluido en Windows 98 y
versiones posteriores. Es el antecesor de los Gadgets de Windows Vista.
Desactivando Active Desktop se ahorra un poco de memoria y se mejora el rendimiento en
PC con poca memoria.

Nota: Se aplica a: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003
with SP1, Windows Server 2003 with SP2

18. Tomar dos imagenes de internet de resolución superior a 1400x900, abrirla en

PAINT, grabarlas en formato JPG dentro de \\domain-
controller\sysvol\nombre-del-dominio , una se llamará empleados.jpg y la otra
contratistas.jpg
 19. Luego definir dicha imagen como Papel Tapiz como política.

Se escribe correctamente en la ruta el nombre del servidor, la carpeta y la imagen en donde

esté alojada desde el servidor para el papel tapiz.

20. Crear un usuario en el grupo Contratistas y otro en el Grupo Empleados y

probar todo lo aplicado.
USUARIO EMPLEADOS

USUARIO CONTRATISTAS
INICIANDO SESIÓN EN AMBOS CLIENTES.

Para ambos clientes, este es el mensaje que aparece al iniciar sesión.

Tal cual como se especificó en la GPO del servidor principal. (Ver punto 2)

INICIO EN EMPLEADOS
Fondo de pantalla del usuario Empleado01, con la imagen que se está compartiendo desde
el servidor.
INICIO CONTRATISTAS
 CONCLUSIONES

Por medio de este trabajo desarrollado, se puede dar a entender la fácil configuración de
una GPO (Administración de Directiva de Grupo) dentro del sistema operativo Windows
Server 2012. Se dio a conocer el manejo simple de la plataforma del sistema operativo.
Se aprendió a configurar y aplicar una política tanto en el usuario como en el equipo, para
denegar o permitir funciones en los clientes que estén dentro del dominio.
Al establecer Políticas de Directivas se está haciendo de una u otra manera que el sistema
sea más seguro, impidiendo que otros usuarios puedan hacer un uso sin control de dichos
recursos.
Al crear una directiva se debe tener en cuenta si es para un usuario en específico o
solamente un grupo e incluso todo el equipo y así evitar conflictos.
Dar límite de uso de los discos, en cuanto al espacio a utilizar dentro de él, dar mayor
rendimiento y más capacidad a usuarios administrativos.
Hay que tener en cuenta que el mal uso de esta opción puede causar problemas con los
usuarios.