Documentos de Académico
Documentos de Profesional
Documentos de Cultura
INSTRUCTOR
JUAN DAVID GRAJALES
MEDELLÍN
2015
INTRODUCCIÓN
Para mantener una red controlada, usuarios y grupos bajo un mismo dominio previamente
administrado por un servidor, es importante conocer y entender las características
importantes que ofrece una GPO.
¿Y qué es una GPO? (Group Policy Management) como lo traduce sus siglas en inglés,
significa en español “Administración de Directivas de Grupo”, es un conjunto de reglas
que controlan el medio ambiente de trabajo de cuentas de usuario y cuentas de equipo.
Directiva de grupo proporciona la gestión centralizada y configuración de sistemas
operativos, aplicaciones y configuración de los usuarios en un entorno de Active Directory.
En otras palabras, la Directiva de Grupo, en parte, controla lo que los usuarios pueden y no
pueden hacer en un sistema informático.
Las GPO se pueden diferenciar dependiendo del objeto al que configuran y se pueden
entender en distintos niveles:
Equipo Local: tan solo se aplican en el equipo que las tiene asignadas
independientemente del dominio al que pertenezca.
Sitio: se aplican a los equipos y/o usuarios de un sitio, independientemente del
dominio.
Dominio: se aplican a todos los equipos y/o usuarios de un dominio.
Unidad Organizativa (OU): se aplican únicamente a los equipos y/o usuarios que
pertenecen a la OU.
Dentro de la configuración de directiva se puede acceder a lo siguiente:
Configuración de equipo
Configuración de usuario
Ambos elementos se dividen en los mismos submenús, pero las políticas son distintas.
OBJETIVOS
Después de haber instalado el servidor con el nombre indicado, en la información del servidor
se puede observar: Nombre del servidor, nombre del dominio y nombre del equipo.
Los servicios instalados correctamente y listos para su configuración necesaria.
IP estática fija
Verificando que la tarjeta de red esté configurada con el dominio que se configuró
previamente
Para desactivar este uso, se procede a editar la GPO deseada con la siguiente
Nota: Para probar que sí esté funcionando correctamente, se inicia una máquina que esté
dentro del dominio y se prueba
Este es el resultado que debe de arrojar el sistema, significa que está funcionando la política
correctamente.
5. Crear 2 unidades organizativas: Empleados y Contratistas
Dentro del dominio (en este caso es causil04.com) se encuentran algunas unidades
organizativas que trae el sistema por defecto. Para crear una nueva, se procede a hacer lo
siguiente:
Y se agrega cualquier nombre. En este caso, se agregaron dos unidades organizativas tal
cual se muestra en la siguiente imagen.
6. Implementar una política de fondo de pantalla para los empleados (la imagen
la tomarán desde el servidor \\domain-controller\sysvol\nombre-del-dominio )
Se especifica la ruta exacta del servidor y se aplica en la GPO creada con anterioridad, (en
este caso la GPO de Empleados) y se configura así:
7. Implementar una política de fondo de pantalla para los contratistas (la imagen
la tomarán desde el servidor \\domain-controller\sysvol\nombre-del-dominio )
Nota: En este punto es igual a la imagen anterior, la diferencia es que se aplica en la GPO
de Contratistas que se creó con anterioridad.
8. Los empleados deben poder cambiar la hora del computador, pero los
contratistas NO.
En este caso se procede a activar esta política en ambas GPO (Empleados y Contratistas) y
se configura así:
Se le asigna el derecho de usuario a (en este caso Empleado01) para que sea el único el
dominio que pueda cambiar la hora del sistema
Cuota de disco es un límite establecido por el administrador del sistema que restringe
ciertos aspectos del uso del sistema de archivos en los sistemas operativos modernos. El
objetivo de la utilización de las cuotas de disco es limitar la asignación de espacio en
el disco duro de una manera razonable.
Para crear una cuota, primero se debe instalar una opción llamada “Administración de
recursos del servidor de archivos” desde la pestaña “Agregar roles y características” en el
servidor deseado.
Una vez se haya instalado, se procede a configurar
Para crear una cuota, se despliega la pestaña “Administración de cuotas” y se agrega una
así:
Los pasos a seguir para crear una cuota son:
Paso 1: Agregar una carpeta desde en el servidor (ejemplo: Disco C) con el nombre que se
ha de llamar la cuota. (En este caso dos carpetas, una para los usuarios de Contratistas y la
otra para los usuarios de Empleados)
Paso 2: Después de haber creado las carpetas con los respectivos nombres, desde el
“Administrador de recursos de servidor de archivos” y de la creación de cuota, se escoge la
ruta donde se desea instalar la cuota. (En este caso, se tomará como ejemplo la carpeta de la
cuota de Contratistas).
Paso 3: Luego de escoger la ruta de la carpeta, se configura las propiedades de la cuota.
Esta será de 500 MB de recursos compartidos y se aplicará para ambas directivas
(Empleados y Contratistas)
Las cuotas se pueden crear con los espacios en los discos que el administrador desee.
Para ello, se define la “Cuota personalizada”.
Ejemplo de la cuota.
Para aplicar lo anterior, desde el servidor se comparte la carpeta que se creó con el nombre
de la directiva, se inicia sesión desde un cliente dentro del dominio principal. Se busca la
carpeta compartida desde el servidor para el usuario indicado y se procede a guardar
información dentro de la carpeta que se compartió previamente.
Desde el servidor se puede monitorear el espacio de la cuota y se puede visualizar los
archivos que se han guardado en la misma.
11. No mostrar el nombre del último usuario que inició sesión en un equipo.
Esta suele ser una de las políticas que por seguridad, suelen resultar muy útiles, sobre todo
cuando son varias personas las que utilizan un mismo equipo.
Predeterminadamente, Windows suele mostrar todas las últimas cuentas que han iniciado
sesión al ingresar a la pantalla de bienvenida, por lo que sólo se debe especificar la
contraseña de cada cuenta – si es que la tiene- para iniciar sesión.
Existe una política para evitar que se muestren las últimas cuentas que iniciaron sesión,
además de esto, cada usuario tendrá que digitar su respectivo nombre y contraseña para
poder ingresar en Windows.
Nota: Este método solo se puede llevar a cabo si se dispone de la versión “Professional” de
Windows 7 o Windows Vista para iniciar sesión en cualquier cliente.
14. Borrar el historial de documentos recientes al cerrar sesión y Desactivar
limpieza del área de notificación.
En Windows 7, los elementos usados recientemente y con frecuencia que aparecen en las
Jump Lists asociadas a los programas en el menú Inicio y la barra de tareas se borran
cuando los usuarios cierran la sesión.
Se configura así:
Nota: El requisito para implementar esta GPO es tener al menos Windows 200
15. Prevenir el agrupamiento de la barra de tareas y Quitar el icono del Centro de
Actividades.
Para quitar el icono del centro de actividades: Esta configuración de directiva le permite
especificar si aparece el icono Centro de actividades.
Si habilita esta configuración de directiva, el icono Centro de actividades se quita del área
de notificación. Además, el Centro de actividades no muestra ningún globo de
notificaciones.
Nota: Para ambas GPO es un requisito tener al menos Windows 7 o Windows Professional
16. Quitar la opción "Administrador de Tareas" al presionar Control-Alt-Supr
Cualquier persona que use una computadora sabe que el “Administrador de tareas” es muy
útil debido a que ofrece una información muy importante sobre el uso de la computadora.
Este programa provee información sobre varios aspectos del desempeño de tu computadora,
incluyendo información sobre la memoria física, el uso de CPU, la memoria central, entre
otros. También provee información sobre el uso de las aplicaciones, las actividades y
estadísticas de la red, los procesos y los usuarios que están conectados. Comúnmente, este
programa se usa cuando quieres cerrar un programa que está fallando, cambiar la prioridad
entre los procesos, o para apagar, reiniciar, entrar en modo hibernación o cerrar una sesión
en Windows
Al desactivar esta opción, es útil para el administrador del dominio para que ninguno de los
usuarios se dé por enterado de los recursos que posee el equipo.
Se edita la GPO así:
Nota: Se aplica a: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003
with SP1, Windows Server 2003 with SP2
USUARIO CONTRATISTAS
INICIANDO SESIÓN EN AMBOS CLIENTES.
INICIO EN EMPLEADOS
Fondo de pantalla del usuario Empleado01, con la imagen que se está compartiendo desde
el servidor.
INICIO CONTRATISTAS
CONCLUSIONES
Por medio de este trabajo desarrollado, se puede dar a entender la fácil configuración de
una GPO (Administración de Directiva de Grupo) dentro del sistema operativo Windows
Server 2012. Se dio a conocer el manejo simple de la plataforma del sistema operativo.
Se aprendió a configurar y aplicar una política tanto en el usuario como en el equipo, para
denegar o permitir funciones en los clientes que estén dentro del dominio.
Al establecer Políticas de Directivas se está haciendo de una u otra manera que el sistema
sea más seguro, impidiendo que otros usuarios puedan hacer un uso sin control de dichos
recursos.
Al crear una directiva se debe tener en cuenta si es para un usuario en específico o
solamente un grupo e incluso todo el equipo y así evitar conflictos.
Dar límite de uso de los discos, en cuanto al espacio a utilizar dentro de él, dar mayor
rendimiento y más capacidad a usuarios administrativos.
Hay que tener en cuenta que el mal uso de esta opción puede causar problemas con los
usuarios.