DIRECTIVAS DE GRUPO (GPO) EN WINDOWS SERVER 2008

REALIZADO POR: CHRISTIAN AMAYA GMEZ

CODIGO DE GRUPO 175666

INSTRUCTOR: FELIPE LONDOO

SERVICIO NACIONAL DE APRENDIZAJE SENA MEDELLIN 2011

PROCEDIMIENTO
1. Cree los siguientes usuarios y grupos en Windows Server 2008 (Tambin aplica

para sistemas operativos Windows XP, Windows Server 2003, Windows Vista y Windows 7).
Grupo: Killers carlos manuel Grupo: Timers bruno benji

NOTA: Cada usuario creado deber cambiar su password al siguiente inicio de sesin. 2. Implemente las siguientes polticas o directivas locales: Directivas de configuracin de equipo:
a. La vigencia mxima de la contrasea para todos los usuarios de la mquina ser

de 15 das.
b. Las contraseas deben cumplir con los requisitos de complejidad por defecto c. d.

e. f.

g. h. i.

de Windows server Cules son estos requerimientos?. Los usuarios que requieran cambiar su contrasea no podrn usar un password que se haya usado antes por lo menos desde los 2 ltimos cambios. Los usuarios del grupo Killers pueden apagar la mquina una vez hayan iniciado sesin, pero los usuarios del grupo ventas no podrn apagar el equipo (Desde el sistema operativo). Los usuarios del grupo Timers podrn cambiar la hora de la mquina local. Todos los usuarios tendrn las siguientes restricciones al usar el navegador Internet Explorer: No podrn eliminar el historial de navegacin, No se permitir el cambio de proxy ya que todos los usuarios usarn el mismo proxy (172.20.49.51:80), Configuracin del historial deshabilitada, no permitir el cambio de las directivas de seguridad del navegador. Desactivar la ventana emergente de reproduccin automtica. No permitir el apagado remoto de la mquina. Aplicar cuotas de 50MB para todos los usuarios locales y remotos (Esta es un cuota muy baja y es usada solo para fines acadmicos).

Directivas de configuracin de usuario:

a. La pgina principal que se cargar para cada usuario cuando abra su navegador

ser: http://www.sudominio.com (Pgina institucional de su empresa). El servidor proxy para todos los usuarios locales ser 172.20.49.51:80 Restringir desde el navegador el acceso a los siguientes sitios: www.facebook.com y www.youtube.com por URL, para todos los usuarios. El administrador ser el nico con la contrasea de supervisor para el Asesor de Contenidos. d. Ocultar la unidad C:\ (NOTA: Esto no restringir el acceso a dicha unidad)
b. c.

e. Ocultar el men opciones de carpeta del men de herramientas. Esto con el fin

f. g. h. i. j. k.

de que los usuarios no puedan ver archivos ocultos o cambiar algunas configuraciones de las carpetas. Restringir el acceso a la unidad E:\ desde mi PC Limitar el tamao de la papelera de reciclaje a 100MB No permitir que se ejecute Messenger Ocultar todos los elementos del escritorio para todos los usuarios. Bloquear la barra de tareas Prohibir el acceso del Lecto-escritura a cualquier medio de almacenamiento extrable. SOLUCIN

1. Creacin de usuarios de la siguiente manera:

Ingresar a men INICIO > ADMINISTRADOR DEL SERVIDOR.

Luego desplegamos el fichero configuracin y seleccionamos usuarios y grupos locales.

Aqu nos saldrn dos carpetas una llamada usuarios y la otra llamada grupos, solo deberemos dar clic derecho a cada una de estas carpetas y seccionamos usuario nuevo o grupo nuevo. En este caso aadiremos los usuarios Carlos, Manuel, Bruno y Benji; y luego creamos los grupos Killers y Timers. De la siguiente manera se crearan todos los usuarios:

Ya creados nuestros grupos y usuarios, seleccionaremos nuestro grupo he introducimos nuestros usuarios as: los usuarios Carlos y Manuel, al grupo Killers, y los usuarios Bruno y Benji al grupo Timers. -clic a la carpeta grupos. -seleccionamos nuestro grupo. -le damos clic en agregar.

-luego clic en avanzado y despus buscar ahora. Seleccionamos los usuarios que vamos a introducir al grupo respectivo.

Y se hace lo mismo con Killers y quedar as:

2. Directivas de configuracin de equipo

: Accedemos a INICIO > EJECUTAR, y tecleamos secpol.msc (sin las comillas).

a. *Accedemos a directivas de seguridad local. *Luego damos clic en directivas de cuenta. *Seleccionamos directivas de contraseas. *Por ultimo seccionamos vigencia mxima de contrasea y la modificamos a 15 das (Por defecto dice 42 das).

b. *Accedemos a directivas de seguridad local.

* Luego damos clic en directivas de cuenta. *Seleccionamos directivas de contraseas. *Por ultimo seccionamos La contrasea debe cumplir con los requisitos de complejidad y la habilitamos. Si se habilita esta directiva, las contraseas deben cumplir los siguientes requisitos mnimos: No contener el nombre de cuenta del usuario o partes del nombre completo del usuario en ms de dos caracteres consecutivos. Tener una longitud mnima de seis caracteres.

Incluir caracteres de tres de las siguientes categoras: Maysculas (de la A a la Z) Minsculas (de la a a la z) Dgitos de base 10 (del 0 al 9) Caracteres no alfanumricos (por ejemplo,!, $, #, %) Estos requisitos de complejidad se exigen al cambiar o crear contraseas. Valor predeterminado: -Habilitada en controladores de dominio. -Deshabilitada en servidores independientes. Nota: de forma predeterminada, los equipos miembros usan la configuracin de sus controladores de dominio.

c. *Accedemos a directivas de seguridad local.

* Luego damos clic en directivas de cuenta. *Seleccionamos directivas de contraseas. *Por ultimo seccionamos Exigir historial de contraseas (usado antes por lo menos desde los 2 ltimos cambios).

d. *Accedemos a directivas de seguridad local.

*Luego damos clic en Directivas locales. *Entramos en Asignacin de derecho de usuario. *Apagar el sistema.

*Agregar usuario o grupo *tipo de grupo y activamos la casilla grupos

*Avanzado y Buscar ahora. Luego seleccionamos el grupo a usar.

e. *Accedemos a directivas de seguridad local.

*Luego damos clic en Directivas locales. *Entramos en Asignacin de derecho de usuario. *Cambiar la hora del sistema. *Agregar usuario o grupo

*tipo de grupo y activamos la casilla grupos

*Avanzado y Buscar ahora. Luego seleccionamos el grupo a usar.

Accedemos a INICIO > EJECUTAR, y tecleamos gpedit.msc (sin las comillas).

f.

No se permitir el cambio de proxy ya que todos los usuarios usarn el mismo proxy (172.20.49.51:80).

*Accedemos a directivas de grupo local. *Luego entramos en Configuracin de usuario. *Configuracin de Windows. *Damos doble clic en Mantenimiento de internet explorer. * Conexin. *Configuracin de los servidores proxy.

*Habilitamos la casilla Habilitar configuracin de proxy e introducimos nuestra direccin proxy. Clic en aceptar.

Los usuarios no podrn cambiar el proxy. *Accedemos a directivas de grupo local. *Luego entramos en Configuracin de equipo. *Plantillas administrativas. *Componentes de Windows. *Damos clic en Internet Explorer. *Entramos en Deshabilitar el cambio de configuracin de proxy.

*Seleccionamos la casilla habilitar.

No podrn eliminar el historial de navegacin. *Accedemos a directivas de grupo local. *Luego entramos en Configuracin de equipo. *Plantillas administrativas. *Componentes de Windows. *Damos clic en Internet Explorer. *Entramos en Desactivar la funcionalidad eliminar el historial de exploracin.

*Seleccionamos la casilla habilitar.

No permitir el cambio de las directivas de seguridad del navegador. *Accedemos a directivas de grupo local. *Luego entramos en Configuracin de equipo. *Plantillas administrativas. *Componentes de Windows. *Damos clic en Internet Explorer. *Entramos en Zona de seguridad: no permitir que los usuarios cambien las directivas.

*Seleccionamos la casilla habilitar.

g. *Accedemos a directivas de grupo local.

*Luego entramos en Configuracin de equipo. *Plantillas administrativas. *Componentes de Windows. *Directiva de reproduccin automtica. *Desactivar reproduccin automtica.

*seccionamos la casilla habilitar y en el apartado de opciones colocamos Unidades de CD-ROM y medios extrables. Clic en aceptar.

Accedemos a INICIO > EJECUTAR, y tecleamos secpol.msc (sin las comillas).

h. *Accedemos a Directivas de seguridad local.

*Luego entramos en Directivas locales. *Clic en Asignacin de derechos de usuario. *Forzar cierre desde un sistema remoto.

En este caso no seleccionamos ninguno, ya que los que seleccionemos son a los que permiten el apagado remoto, y en este caso necesitamos negar el servicio a los usuarios de los grupos Killer y Timers.

Accedemos a INICIO > EJECUTAR, y tecleamos gpedit.msc (sin las comillas).

i.

*Accedemos a directivas de grupo local. *Luego entramos en Configuracin de equipo. *Plantillas administrativas. *Clic en Sistema. *Cuotas de disco. *All habilitamos:

Habilitar cuotas de disco

Lmite de cuota y nivel de aviso predeterminado.(Valor=50 MB).Clic en aceptar.

Aplicar un lmite de cuota de disco.

Directivas de configuracin de usuario: Accedemos a INICIO > EJECUTAR, y tecleamos gpedit.msc (sin las comillas). a. *Accedemos a directivas de grupo local. *Entramos en Configuracin de usuario. *Configuracin de Windows. *Doble clic en Mantenimiento de internet explorer. *Direcciones url. *Direcciones url importantes.

Colocamos el url que queramos, el cual va a ser la pgina de inicio de internet explorer.

Pgina de inicio, la siguiente:

b. Ya se configur previamente.

c. *Accedemos a directivas de grupo local. *Entramos en Configuracin de usuario. *Configuracin de Windows. *Doble clic en Mantenimiento de internet explorer. *Seguridad. *Zona de seguridad clasificada.

*Clasificacin de contenidos seleccionamos importar la configuracin actual de contenido. Clic en modificar configuracin.

*Seleccionamos la ficha sitios aprobados. Al sitio que queramos negar el acceso, le damos clic en nunca.

Se han negado los sitios. As:

Para acceder necesita autenticacin del adminitrador.

d. *Accedemos a directivas de grupo local. *Entramos en Configuracin de usuario. *Plantilla administrativa. *Damos clic en Componentes de Windows. *Clic en Ocultar las unidades especificas en mi pc.

* Seleccionamos la casilla habilitar y seleccionamos la unidad a ocultar.

Observemos que se ha ocultado la unidad C.

e. *Accedemos a directivas de grupo local. *Entramos en Configuracin de usuario. *Plantilla administrativa. *Damos clic en Componentes de Windows. *Explorador de Windows. *Clic en Quita el men opciones de carpeta del men herramientas.

*Seleccionamos la opcin habilitada, y damos clic en aceptar.

f. *Accedemos a directivas de grupo local. *Entramos en Configuracin de usuario. *Damos clic en Plantilla administrativa. *Componentes de Windows. *Explorador de Windows. *Damos doble clic en Impedir acceso a las unidades desde mi pc.

*Seleccionamos la casilla habilitar y seleccionamos la unidad a restringir.

*Observemos que no tenemos acceso a la unidad B.

g. *Accedemos a directivas de grupo local. *Entramos en Configuracin de usuario. *Damos clic en Plantilla administrativa. *Componentes de Windows. *Explorador de Windows. *Ingresamos en Tamao mximo permitido de la papelera de reciclaje.

*seleccionamos la casilla habilitar y ponemos la cantidad mxima.

h. *Accedemos a directivas de grupo local. *Entramos en Configuracin del equipo. *Damos clic en Plantillas administrativas. *Componentes de Windows. *Windows Messenger. *Doble clic en No permitir que se ejecute Windows Messenger.

*Seleccionamos la opcin habilitada y clic en aceptar.

i. *Accedemos a directivas de grupo local. *Entramos en Configuracin de usuario. *Damos clic en Plantilla administrativa. *Escritorio. *Doble clic en Ocultar y deshabilitar todos los elementos del escritorio.

*Seleccionamos la opcin habilitada y clic en aceptar.

j. *Accedemos a directivas de grupo local. *Entramos en Configuracin de usuario. *Damos clic en Plantilla administrativa. *Escritorio. *Luego habilitamos las dos ltimas lneas que son las que nos bloquean la barra de tareas. Accedemos a Impedir la adicin, arrastre, colocacin y cierre de la barra de herramientas.

*Seleccionamos la opcin habilitada y damos clic en aceptar.

*Accedemos a la otra opcin Prohibir el ajuste de las barras de herramientas del escritorio.

*Seleccionamos la opcin habilitada y damos clic en aceptar.

k. *Accedemos a directivas de grupo local. *Entramos en Configuracin de usuario. *Damos clic en Plantilla administrativa. *Sistemas. *Entramos en Acceso de almacenamiento extrable. *Doble clic en Todas las clases de almacenamiento extrables: denegar acceso a todo.

*Seleccionamos la opcin habilitada y damos clic en aceptar.