Redes de rea local:

Aplicaciones y servicios
WINDOWS
1
Definicin de Directivas o Polticas de Grupos ............................................................................. 3
Unidades Organizativas ............................................................................................................... 5
Directivas de Equipo y de Usuario ................................................................................................ 9
2
La configuracin de Directiva de Grupo define los distintos componentes del entorno de
Escritorio del usuario que accede de forma autenticada al dominio de nuestro servidor Windows
2003, de modo que el administrador del sistema determina cuales le sern aplicadas a cada
usuario englobado en un sitio, dominio o unidad organizativa; entre las directivas que pueden
especificarse, por ejemplo, podemos indicar aquellos programas que deseemos se encuentren
disponibles para nuestros usuarios, los programas que aparecern en su Escritorio, las
opciones del men Inicio, las opciones del navegador, etc.
Para crear una configuracin especfica de Escritorio para un grupo de usuarios en particular,
se utilizan las Directiva de Grupo. La configuracin de Directiva de Grupo est contenida en un
objeto de Directiva de Grupo, de modo que se asocia dicha directiva a los Sitios, Dominios o
Unidades Organizativas indicadas en Active Directory.
Curiosamente, y pese a su nombre, las Directivas de Grupo no pueden ser asociadas a un
grupo de usuarios o grupos de equipos (slo a Sitios, Dominios o Unidades Organizativas),
aunque el resultado de su aplicacin afecte nicamente a los usuarios y a los equipos de Active
Directory.
Las directivas se aplican en este orden:
1. En primer lugar se aplica el objeto de Directiva de Grupo local nico.
2. En segundo lugar se aplican los Objetos de Directiva de Grupo del Sitio, en orden
especificado administrativamente.
3. En tercer lugar los Objetos de Directiva de Grupo del Dominio, en orden especificado
administrativamente.
4. En cuarto lugar los Objetos de Directiva de Grupo de las Unidades Organizativas, de
Unidad Organizativa principal a secundaria, y en orden especificado
dministrativamente en el nivel de cada Unidad Organizativa.
3
5. Finalmente, de forma predeterminada, las directivas aplicadas posteriormente
sobrescriben las directivas aplicadas con anterioridad cuando las directivas son
incoherentes. Sin embargo, si no hay incoherencias de configuracin, tanto las
directivas anteriores como las posteriores contribuyen a la directiva efectiva, es decir,
se suman las configuraciones de las distintas directivas asociadas al objeto en
cuestin.
Podemos resumir el funcionamiento de las Directivas de Grupo como sigue:
La Directiva de Grupo se aplica de manera jerrquica desde el grupo menos restrictivo (Sitio) al
grupo ms restrictivo (Unidad Organizativa). La Directiva de Grupo tambin es acumulativa.
Los contenedores de servicio de directorio secundarios heredan la Directiva de Grupo de los
contenedores primarios y el procesamiento de la Directiva de Grupo tiene lugar en el siguiente
orden: Sitio, Dominio y Unidad Organizativa. Esto significa que, si se ha asignado una Directiva
de Grupo determinada a un contenedor primario de alto nivel, esa Directiva de Grupo se aplica
a todos los contenedores por debajo de dicho contenedor primario, incluidos los objetos equipo
y usuario de cada contenedor. Sin embargo, si especifica de manera explcita una Directiva de
Grupo para un contenedor secundario, dicha directiva suplantar a la del contenedor primario,
si es que son contradictorias, y se sumar a la anterior si no lo son.
Es importante resaltar que las Directivas de Grupo tienen prioridad sobre las opciones de
configuracin del perfil del usuario en caso de que se cree un conflicto.
En los siguientes apartados nos centraremos en definir una estructura de Unidades
Organizativas para nuestro centro educativo, as como en asociar las Polticas o Directivas de
Grupo al dominio o a las Unidades Organizativas anteriormente creadas.
Vamos a citar y definir los siguientes trminos, con los que trabajaremos habitualmente a lo
largo de este apartado:
Sitio .- Podemos definir un sitio como un conjunto de equipos en una o varias subredes IP. Los
sitios suelen representar la estructura fsica de la red.
Dominio .- Un dominio tiene un nombre nico y permite el acceso a las cuentas de usuario y de
grupo centralizadas mantenidas por el administrador del dominio. Cada dominio tiene sus
propias directivas de seguridad y relaciones de seguridad con otros dominios, y representa
lmite de seguridad en una red Windows 2003. Active Directory est compuesto de uno o varios
dominios, cada uno de los cuales puede abarcar ms de una ubicacin fsica. Los dominios
representan la estructura lgica de la organizacin.
Unidad Organizativa .- Es un objeto contenedor de Active Directory que se utiliza en los
dominios. Las Unidades Organizativas son contenedores lgicos en los que pueden colocarse
usuarios, grupos, equipos y otras Unidades Organizativas. Slo pueden contener objetos de su
dominio principal. Una U.O. es el mbito ms pequeo al que se puede aplicar una Directiva de
Grupo.
4
Para poder asociar las Polticas o Directivas de Grupo deseadas a los usuarios o equipos de
nuestro dominio, vamos a crear una estructura de Unidades Organizativas que nos permita
gestionar dichas directivas como deseemos.
Obviamente la estructura de U.O. que crearemos a continuacin no debe ser un "estndar" a
aplicar en cualquier centro; cada administrador deber, en funcin de las necesidades propias
de su centro, planificar las U.O. que debe crear, as como estructurarlas adecuadamente, para
que las Directivas de Grupo se apliquen como desee.
En nuestro planteamiento, como las directivas asociadas a los Equipos del dominio sern
siempre las mismas, no necesitamos crear ninguna U.O. para asociar las directivas a los
equipos, pues asocindolas al dominio "micentro.edu" se aplicarn de forma automtica a
todos los equipos del dominio.
Entre las directivas que vamos a asociar a los Usuarios del dominio, habr algunas comunes
para todos los usuarios de nuestro centro (profesores y alumnos), las cuales asociaremos
igualmente al dominio "micentro.edu", pero como habr algunas directivas que sern aplicadas
a los profesores pero no a los alumnos y viceversa, crearemos 2 contenedores de nombres
respectivos "Profesores" y "Alumnos" bajo del dominio "micentro.edu". En la U.O. "Profesores"
definiremos las directivas propias de los profesores y en la U.O. "Alumnos" las directivas
propias de los alumnos, de modo que dichas directivas se apliquen posteriormente a la propia
del dominio, segn el orden indicado en el apartado anterior.
Lo primero que vamos a hacer para crear las Unidades Organizativas deseadas en nuestro
centro es acceder a las "Herramientas administrativas" del "Panel de Control" y hacer doble clic
sobre "Usuarios y Equipos de Active Directory".
En la pantalla que se muestra a continuacin, sobre el Dominio "micentro.edu", pulsamos con
el botn derecho del ratn y seleccionamos la opcin "Nuevo" y posteriormente "Unidad
organizativa".
5
Indicamos el nombre de la nueva U.O. a crear, tecleando "Profesores" en la caja de texto
destinada a tal efecto.
Procederemos de igual manera para crear la U.O. correspondiente a los alumnos; tras ello en
la pantalla de los "Usuarios y equipos de Active Directory" observaremos como han sido
creadas las U.O. "Profesores" y "Alumnos".
6
Para finalizar, debemos incluir a los profesores del centro ("javier", "joaquin" y "miguel") en el
contenedor correspondiente a la U.O. "Profesores"; para ello accedemos a la carpeta "Users" y
seleccionamos los 3 usuarios profesores que previamente habamos creado; con el botn
derecho del ratn pulsamos sobre la seleccin efectuada y elegimos la opcin "Mover".
En la ventana que se muestra especificamos que deseamos mover dichos usuarios a la U.O.
"Profesores", y pulsamos sobre el botn "Aceptar".
7
Procederemos de igual modo con los alumnos "Bachiller" y "ESO", pero ahora a estos los
incluiremos en la U.O. "Alumnos"; tras ello observaremos como en las U.O. "Profesores" y
"Alumnos", se encuentran ubicados los usuarios correspondientes que hemos movido
anteriormente.
Este mismo planteamiento lo podemos extender a los equipos, por ejemplo si
dispusiramos de dos aulas de ordenadores, de modo que el software que quisiramos instalar
en cada una de ellas no fuera comn, podramos crear dos U.O. "Aula1" y "Aula2" para cada
sala de ordenadores, y mover todos los equipos del Aula 1 a la U.O. "Aula 1" y todos los del
Aula 2 a la U.O. "Aula 2"; tras ello definiramos en la Directiva de Grupo asociada al dominio
"micentro.edu" aquel software que se fuera a distribuir de modo comn a todos los equipos del
centro, y en la U.O. "Aula1" definiramos una nueva directiva con el software propio de los
equipos de dicho aula, procediendo de igual manera en la U.O. "Aula 2". La distribucin de
software ser abordada en el siguiente captulo del curso.
8
Adems de todo lo comentado anteriormente, es , que bloqueemos la
herencia de directivas para el controlador de dominio "SERVIDOR", pues sino se aplicarn al
servidor todas las directivas propias del dominio. Si accedemos a la U.O. "Domain Controllers",
veremos nuestro equipo "SERVIDOR"; como est incluido en una U.O. bajo el dominio
"micentro.edu", las directivas anteriores y las que posteriormente asociaremos de distribucin
de software, se le aplicarn exactamente igual que a cualquier estacin de trabajo; para evitarlo
pulsaremos con el botn derecho del ratn sobre la U.O. "Domain Controller" y
seleccionaremos la opcin "Propiedades", y posteriormente nos ubicamos sobre la pestaa
"Directiva de Grupo", en la cual activaremos la casilla "Bloquear la herencia de directivas";
finalmente pulsaremos sobre el botn "Aceptar"
De este modo evitaremos que por defecto las directivas del dominio sean aplicadas a nuestro
servidor Windows 2003, pero s se apliquen a todos los equipos clientes de nuestro dominio.
Segn el planteamiento expuesto en el apartado anterior, asignaremos una Directiva de Grupo
de primer nivel en el dominio, para que sea aplicada de forma comn a todos los usuarios del
dominio "micentro.edu" (profesores y alumnos de nuestro centro). En esa misma Directiva de
Grupo asociada al dominio, modificaremos las directivas asociadas a los equipos, para que se
apliquen de forma comn a todos los equipos del dominio (ubicados por defecto en la carpeta
"Computers"); si hubiera alguna contradiccin en dicha Directiva de Grupo entre las polticas de
usuario y las de equipo, prevaleceran estas ltimas frente a las primeras.
9
Por debajo del dominio "micentro.edu", definiremos 2 nuevas directivas de grupo, una asociada
a la Unidad Organizativa "Profesores", en la cual especificaremos las polticas que deseamos
se apliquen nicamente a los profesores, y la otra asociada a la U.O. "Alumnos", en el cual
especificaremos las directivas propias nicamente de los alumnos del centro.
Vamos pues a proceder con lo indicado en los prrafos anteriores.
Lo primero que vamos a hacer para definir las Directivas de Grupo deseadas en nuestro centro
es acceder a las "Herramientas administrativas" del "Panel de Control" y hacer doble clic sobre
"Usuarios y Equipos de Active Directory", y pulsando con el botn derecho del ratn sobre el
dominio "Micentro.edu", seleccionar la opcin "Propiedades"; en la ventana que se muestra a
continuacin nos situamos sobre la pestaa "Directiva de Grupo".
Observaremos que ya hay definida una poltica de dominio por defecto; podramos crear una
nueva que tambin sera aplicada a todos los usuarios y equipos del dominio, pero
aprovecharemos la ya existente, seleccionndola y pulsando a continuacin sobre el botn
"Editar" para personalizar lo que deseemos.
10
Como observamos existen 2 entradas principales en la Directiva de Grupo que estamos
editando; una de ellas es relativa a la "Configuracin del equipo" y la otra a la "Configuracin de
usuario"; las entradas existentes en cada uno de dichos elementos no son similares, si bien
algunas de ellas s son comunes; en caso de que definamos 2 polticas contradictorias en dos
entradas comunes, una en equipos y otra en usuarios, prevalecer la primera de ellas.
Obviamente las polticas que definamos en "Configuracin del equipo" sern aplicadas a los
equipos del dominio y las que definamos en "Configuracin de usuario" se aplicarn a los
usuarios del dominio.
Tanto para los equipos como para los usuarios, la primera directiva susceptible de ser
configurada est relacionada con la "Configuracin de software"; por la importancia que tiene
esta poltica le dedicaremos ntegramente un captulo a lo largo del curso. De hecho en el
apartado "Configuracin de equipo", utilizaremos esta entrada para especificar todo el software
que se instalar en todos los equipos del centro.
Vamos a centrarnos en las entradas del apartado "Configuracin de usuario", que sern las que
aplicaremos de forma comn a los usuarios de nuestro centro. Existen multitud de directivas
configurables, pero nosotros incidiremos en aquellas que consideramos ms interesantes.
En la entrada "Configuracin de Windows"-> "Mantenimiento de Internet Explorer"-> "Interfaz
de usuario del explorador", haremos doble clic sobre la directiva "Ttulo del explorador".
11
En la ventana mostrada podremos personalizar el ttulo del explorador; activaremos la casilla
"Personalizar barras de ttulo" y en la caja de texto correspondiente indicaremos "MiCentro", de
modo que cuando un usuario del dominio cargue el navegador, en la barra del ttulo del
navegador se muestre el texto "Microsoft Internet Explorer proporcionado por MiCentro";
finalmente pulsamos sobre el botn "Aceptar".
Si disponemos de un proxy en nuestra red por el cual deseamos que salgan a Internet todos
los equipos del centro, en la entrada "Configuracin de Windows"-> "Mantenimiento de Internet
Explorer"-> "Conexin", haremos doble clic sobre la directiva "Configuracin de los servidores
proxy".
12
En la ventana mostrada, activaramos la casilla "Habilitar configuracin del proxy" e
indicaramos la direccin del proxy y el puerto de salida, as como las posibles excepciones
para las direcciones locales (si procediera); en nuestro caso NO vamos a configurar esta
directiva, pues no dispondremos de proxy en nuestra red, pero creemos interesante comentarla
por si se dispone de un proxy en la red; as pues pulsaremos finalmente sobre el botn
"Cancelar".
En la misma entrada ("Configuracin de Windows"-> "Mantenimiento de Internet Explorer"->
"Conexin"), haremos doble clic sobre la directiva "Cadena del agente de usuario", y
personalizaremos la cadena de informacin que el navegador del usuario de la estacin de
trabajo del dominio enviar a los servidores visitados.
13
En la entrada "Configuracin de Windows"-> "Mantenimiento de Internet Explorer"->
"Direcciones URL", haremos doble clic sobre la directiva "Favoritos y Vnculos", e indicaremos
aquellas URL que deseamos que aparezcan entre los "Favoritos" de los usuarios de nuestro
centro; para ello en la ventana mostrada pulsaremos sobre el botn "Agregar URL" y en la
nueva ventana indicaremos como nombre "CNICE" y como Direccin URL
"http://www.cnice.mecd.es"; al pulsar sobre el botn "Aceptar" obtendremos el siguiente
resultado:
De este modo dicha entrada aparecer como uno de los "Favoritos" existente para los usuarios
del dominio de nuestro centro; finalmente pulsaremos sobre el botn "Aceptar".
En la misma entrada anterior ("Configuracin de Windows"-> "Mantenimiento de Internet
Explorer"-> "Direcciones URL"), pero en la directiva "Direcciones URL importantes", podemos
especificar por ejemplo la pgina de inicio que deseamos se vea en nuestros navegadores;
haciendo doble clic en dicha directiva, me mostrar la siguiente ventana, en la cual activaremos
la casilla "Personalizar direccin URL de la pgina principal", y en la caja de texto adjunta
indicaremos la direccin "http://www.micentro.edu"; finalmente pulsaremos sobre el botn
"Aceptar".
14
: La direccin URL indicada como pgina de inicio de los navegadores, ahora mismo no
estar disponible, de modo que cuando desde una estacin de trabajo lancemos el navegador,
no encontrar dicha pgina web, provocndose un error; por qu la ponemos entonces como
pgina de inicio de los navegadores de los equipos del dominio de nuestro centro?; pues
porque ms adelante, cuando abordemos el captulo correspondiente al servidor IIS,
definiremos un sitio Web denominado "www" en el dominio "micentro.edu", e incluiremos en
nuestro servidor DNS una entrada "host" correspondiente a "www.micentro.edu" apuntando a la
direccin IP de nuestro servidor web (192.168.0.220); a partir de dicho momento, cuando
carguemos los navegadores de las estaciones de trabajo del dominio, se abrir la pgina web
principal de la Intranet de nuestro centro.
Otra directiva interesante es "Deshabilitar el cambio de configuracin de proxy", existente en la
entrada "Plantillas Administrativas-> Componentes de Windows-> Internet Explorer", si es que
hemos definido anteriormente un servidor proxy para los usuarios de nuestro centro; si en esta
directiva seleccionamos la opcin "Habilitada", impediremos que los usuarios puedan modificar
en sesin la configuracin del proxy, pues las opciones del proxy aparecern atenuadas e
inaccesibles; en nuestro caso pulsaremos sobre el botn "Cancelar" y no la habilitaremos.
15
Posteriormente, en la entrada "Plantillas Administrativas-> Sistema-> Perfiles de usuario",
haremos doble clic sobre la directiva "Excluir directorios en el perfil mvil", para evitar que se
almacenen en el servidor Windows 2003 las carpetas "Configuracin local", "Historial", "Temp"
y "Archivos temporales de Internet" pertenecientes al perfil del usuario (para evitar que
aumente el tamao del perfil, con el consiguiente retraso en su descarga desde el servidor).
Una vez en dicha directiva seleccionaremos la opcin "Habilitada", especificaremos dichas
carpetas separadas por puntos y comas, y finalmente pulsaremos sobre el botn "Aceptar".
Hasta aqu hemos definido las directivas propias para todos los usuarios y equipos del centro,
modificando la directiva "Default Domain Policy" del dominio "micentro.edu"; cerraremos pues
la pantalla correspondiente a dicha directiva si es que no lo hemos hecho aun.
16
A continuacin pulsaremos con el botn derecho del ratn la U.O. "Profesores" y
seleccionaremos la opcin "Propiedades", situndonos sobre la pestaa "Directiva de Grupo";
en este caso observaremos que no hay ninguna directiva predefinida.
As pues pulsaremos sobre el botn "Nuevo", e indicamos el nombre "directiva de grupo
profesores".
17
Tras ello seleccionamos la directiva recientemente creada y pulsamos sobre el botn "Editar" y
en la entrada "Plantillas Administrativas-> Sistema-> Perfiles de usuario" correspondiente a la
"Configuracin de usuario", haremos doble clic sobre la directiva "Limitar el tamao del perfil",
activando la casilla "Habilitada" y especificando 30.000 Kb. (30 Mb.) como tamao mximo de
almacenamiento para los profesores; adems activaremos la casilla "Notificar al usuario
cuando se exceda el espacio de almacenamiento de perfiles", con el fin de que se le informe
cuando exceda dicho lmite.
18
Esta ser la nica configuracin de directiva que llevaremos a cabo para los profesores del
centro; el siguiente caso es personalizar las polticas que sern aplicadas a los alumnos del
centro; para ello pulsaremos con el botn derecho del ratn sobre la U.O. "Alumnos" y
seleccionaremos la opcin "Propiedades", situndonos sobre la pestaa "Directiva de Grupo";
observaremos que no hay ninguna directiva predefinida, por lo cual pulsamos sobre el botn
"Nuevo" y nombramos a la directiva "directiva de grupo alumnos", tras lo cual la seleccionamos
y pulsamos sobre el botn "Editar".
En la entrada "Plantillas Administrativas-> Sistema-> Perfiles de usuario" correspondiente a la
"Configuracin de usuario", haremos doble clic sobre la directiva "Limitar el tamao del perfil",
activando la casilla "Habilitada" y especificando 15.000 Kb. (15 Mb.) como tamao mximo de
almacenamiento para los alumnos; adems activaremos la casilla "Notificar al usuario cuando
se exceda el espacio de almacenamiento de perfiles", con el fin de que se le informe cuando
exceda dicho lmite. En nuestro caso esta directiva no tendr ninguna utilidad pese a su
aplicacin, pues el perfil que hemos asociado a nuestros alumnos es obligatorio, luego no
podrn modificarlo nunca y por tanto nunca podr exceder el tamao inicial; pese a ello, si
deseamos que algn alumno en particular disponga de un perfil mvil no obligatorio,
incluiramos a dicho usuario en la U.O. "Alumnos" y direccionaramos la ruta de su perfil a
"\\SERVIDOR\Perfiles$\%username%\", pasando esta directiva a tener plena funcionalidad.
Tambin, y por seguridad, podemos limitar a nuestros alumnos ciertas opciones mediante las
correspondientes directivas; por ejemplo, si fuera de nuestro inters, podemos evitar que
accedieran al "Panel de Control", en la entrada "Plantillas Administrativas-> Panel de Control"
correspondiente a la "Configuracin de usuario", haremos doble clic sobre la directiva "Prohibir
el acceso al Panel de Control" y seleccionaremos la opcin "Habilitada"; finalmente
pulsaramos sobre el botn "Aceptar".
19
Obviamente hemos pasado muy por encima de muchas directivas interesantes, debido a la
gran cantidad de ellas existentes; el administrador del dominio deber analizar una por una
cuales son de su inters y aplicarlas en su caso; para entender perfectamente el
funcionamiento de cualquier directiva, cuando hacemos doble clic sobre cualquiera de ellas,
seleccionando la pestaa "Explicacin" obtendremos un detallado resumen de su funcionalidad.
20
Una cuestin importante es que aunque algunas de las Directivas asignadas a los usuarios
pueden ser modificadas por ste en sesin de trabajo, los cambios realizados no sern
almacenados, de forma que la prxima vez que el usuario inicie sesin en cualquier mquina
del dominio, se le volvern a aplicar las directivas definidas por el administrador del dominio,
obviando aquellas configuraciones que el usuario hubiera podido realizar.
: Para concluir este apartado, hemos de indicar que algunas directivas NO se aplican de
modo inmediato, luego si queremos tener garanta de su correcta aplicacin, deberamos
reiniciar el equipo servidor Windows 2003, y posteriormente los equipos clientes.
21