GPL(DIRECTIVASDEGRUPOLOCALES)ENWINDOWSSERVER2008R2.

ANGIEVIVIANALONDOOLVAREZ. NILSONANDRSLONDOOHERNANDEZ. CAMILAMARTNEZLPEZ.

TecnologaenGestindeRedesdeDatos. Ficha:455596.

Instructor. MauricioOrtizMorales.

SERVICIONACIONALDEAPRENDIZAJE(SENA) CENTRODESERVICIOSYGESTINEMPRESARIAL(CESGE) MEDELLNANTIOQUIA. 2013 1

Indice. Introduccin......................................................................................................................................3 Creacindeusuariosygrupos........................................................................................................4 Creacindeusuarios.......................................................................................................................4 Creacindegruposeintegracindeusuarios................................................................................6 Directivasdeconfiguracindeequipo...........................................................................................11 Directivasdeconfiguracindeusuario.........................................................................................29 Conclusiones.................................................................................................................................40

Introduccin.

Las directivas de grupo(GPO) es un componente que posee lafamilia desistemasoperativos Windows en el cual se definen las reglas o polticas que compondr o compartir todo un ambiente de cuentas de usuario en un sistema informtico este tipo de reglas controlan el contenido al que los usuarios pueden acceder o no de acuerdo a la configuracin aplicada y mediante unsistemaoperativoWindowsServersedeterminaculespolticasdelsistemasern aplicadas acadausuarioy/oequipoque seencuentreenundominio,sitioounidadorganizativa. Generalmente la gestin centralizada, configuracin de sistemas operativos y gestin de usuariossellevaacabobajounActiveDirectory(DirectorioActivo). Las directivas de grupolocales (GPL) son directivas de grupo que sloseaplicanparaunhost localnico.

CreacindeusuariosygruposenWindowsServer2008. Grupo:Killers. Usuarios:Carlos,Manuel. Grupo:Timers. Usuarios:Bruno,Benji.

NOTA:Cadausuariodebercambiarsucontraseaaliniciodesesin. Para la creacin de usuarios y grupos debemos ingresar al panel de administracin de los mismos, para esto, seguimos la secuencia, Start > All programs > Administrative Tools > ComputerManagement.

En el men Local Users and Groups se pueden observar dos carpetas Users y Groups, en estosmens,configuramoslosaspectospertinentesalosusuariosdelsistemaylosgrupos.

Creacindeusuarios. Para agregar un nuevo usuario, damos clic sobre elmenUsers>Action>NewUser...(Otras opciones paraaccederacrearnuevosusuariospuedenserlassiguientes:clicderechosobreel panel de administracin de los usuarios y New User clic derecho sobrela pestaa Users y NewUser)

A continuacin, rellenamos el siguiente formulario con los datos de el nuevo usuario que deseemos crear y habilitamos las opciones segn las necesidades que se tengan, en este caso, slo se necesita que cada usuario cambie su contrasea al iniciar sesin por primera vez, para esto, marcamos la casillaUsermustchangepasswordat nextlogon(Elusuariodebe cambiar la contrasea en elsiguiente inicio de sesin). Repetimos el proceso para los dems usuarios.

Alfinalizarlacreacindeusuariospodemosobservarlosusuariosactualesdelsistema.

Creacindegruposeintegracindeusuarios. La creacin de grupos es muy similar a la de usuarios, aunque cambian algunos aspectos ya que se debenagregar usuarios a uno o varios grupos, para efectuar la creacin de los grupos nosdirigimosalapestaadeGroups>Action>NewGroup.

Rellenamos el siguiente formulario enelcampoGroupNameinsertamoselnombrequetendr el grupo y en el campoDescriptionagregamosladescripcin quetendrelgrupo.Paraagregar losmiembrosdelgruponosvamosalapestaaAddydamosclicsobreella.

En esta ventana, seleccionamos los usuarios que pertenecern al grupo mediante la pestaa Advanced..

A primera vista, no aparecen los usuarios del sistema que deseemos agregar al grupo, para buscarlosusuariosdamosclicsobreFindNow,posteriormenteseleccionamoslosusuarios.

Ahora, losusuariosCarlosyManuel,yahacenpartedelgrupoKillers,paraconcretarlacreacin degrupodamosclicsobreCreate.

10

Podemosobservarquelosgruposhansidocreados.

Polticasodirectivaslocalesaimplementar. Para abrir el panel de configuracin de la edicin depolticaslocales y de grupo realizamos lo siguiente:AbrimoslaopcindeejecutarmedianteStart>Run.

11

 Dentro del cuadro deejecucin, insertamos el comando gpedit.msc para abrir el men gestor delasdirectivasdegrupoyusuarios,pulsamossobreOK.

Directivasdeconfiguracindeequipo. 1.Lavigenciamximadelacontraseaparatodoslosusuariosdelamquinaserde15das. Para configurar los parmetros de contrasea de usuarios en la mquina nos vamos a Computer configuration > Windows Settings>Security Settings>AccountPolicies>Password Policies, en esta ventana podemos observar las diferentes opciones para las polticas de contrasea de los usuarios locales, algunas de estas opciones trascienden en Enforcing password history (forzar el historial de contrasea), hace que las contraseasantiguas no se reutilicen nuevamente luego de un nmero determinado decambios de contrasea, Maximum passwordage(Vigenciamximadelacontrasea),estaopcinpermitedeterminarelperiodode en das el tiempo que tendr vigencia una contraseaestablecida a un usuario antes dequeel sistema le pida al usuario que la cambie, Minimum password age (Vigencia mnima de la contrasea), establece el nmero mnimo en das en la que expirar una contrasea, si la vigencia mxima esdeentre1y999das,laedadmnimade lacontraseadebeserinferiorala edad mxima de la contrasea, Password must me complexity requirements (La contrasea debe cumplir los requerimientos de complejidad) yStorepasswordsusingreversibleencryption (Almacenar contraseas usando el cifrado reversible) proporciona compatibilidad a las aplicaciones que utilizan protocolos que necesitan conocer la contrasea del usuario para la autenticacin.

12

13

La opcin que cumple el requerimiento de vigencia mxima dela contrasea de 15 das para todos los usuarios de la mquina es Maximum password age (Vigencia mxima de la contrasea), damos clic derecho sobre la opcin que requirmos, seleccionamos Properties y en lacasilla,ingresamoselnmerodedasmximosenlosquelacontraseaexpira,pulsamos sobreOK.

14

2. Las contraseas deben cumplir con los requerimientos de complejidad por defecto de WindowsServerCulessonestosrequerimientos? Los requerimientos por defecto para una contrasea en Windows Server deben ser los siguientes: No contener el nombre o parte del nombre completo del usuario y que tengan ms de dos caracteresconsecutivoslacuentadelusuario. Tenerporlomenosseiscaracteresdelongitud. Contener caracteres de tres de las siguientes cuatro categoras:Caracteresenmaysculasen ingls(AaZ),caracteresenminsculaseningls(AaZ),basede10dgitos(del0al9) yloscaracteresnoalfabticos(porejemplo,!,$,#,%). Para habilitar esta opcin seguimos la ruta Computer configuration > Windows Settings > Security Settings > Account Policies > Password Policies y clic derecho sobrePasswordmust meet complexity requirements. Seleccionamos en el cuadro de dilogo Enabled (Habilitado) y pulsamosOKparafinalizar.

15

3. Los usuarios que requierancambiarsucontraseanopodrnusarunpasswordquese haya usadoantesporlomenosdesdelos2ltimoscambios. Para cambiar este parmetro, nos dirigimos a la opcin Minimum password age (Vigencia mnima de contrasea), clic derecho, Properties, y en el recuadro marcamos el nmero de cambiosmnimosparausarunanuevacontrasea,damosclicenOKparafinalizar.

4. Los usuarios del grupo Killerspuedenapagarlamquinaunavezhayaniniciadosesin,pero losusuariosdelgrupoventasnopodrnapagarelequipo(Desdeelsistemaoperativo).

16

Nos dirigimos a Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment > Shut down the system, damos clic derecho Properties y AddUserorGroup. En la nueva ventana seleccionaremos losusuariosogruposquepertenecernosernpartede estapoltica,seleccionamosAdvancedparabuscarespecficamenteelgrupoKillers.

17

En la nueva ventana, seleccionaremos el grupo que podrn apagar el sistema operativo, debemos especificar el tipo de objetos que deseemos buscar, para ello, damos clic sobre ObjectTypes...

18

SeleccionamosGroupsydamosclicsobreFindNow.

BuscamosaelgrupoKillersenlalistaydamosOK. Ahora,tenemosalgrupoKillerscomopartedelapolticadeseguridad,pulsamosOK

19

20

5.LosusuariosdelgrupoTimerspodrncambiarlahoradelamquinalocal. Para ejercer esta poltica sobre el grupo Timers nos vamos a Computer Configuration > Windows Settings > Security Settings>LocalPolicies>UserRightsAssignment>Changethe system time, clic derecho Properties. En la nuevaventanadedialogoseleccionamosAddUser or Group para seleccionar el grupo que ser parte de la poltica para cambiar la hora de la mquina local,ya que por defecto slo los administradores y lacuentaLOCALSERVICE,esta cuentaesusadaporelsistemaparaelcontroladministrativodelosservicios,podrnhacer.

SeleccionamosObjectTypes

21

Seleccionamos el tipo de objeto Groups para buscar o detectar nombres slo por grupos, pulsamosOK.

Ingresamos el nombre del grupo o los grupos que sern parte de la polticaydamosclicsobre Check Names (Comprobar nombres),es importante la buena escritura delnombreparaqueel sistemaloaceptecorrectamente,pulsamosOKparafinalizaresteasistente.

22

6. Todoslosusuariostendrnlassiguientesrestriccionesal usarelnavegadorInternetExplorer: No podrn eliminar el historial de navegacin, No se permitir el cambio de proxy ya quetodos los usuarios usarn el mismoproxy (172.20.49.51:80), configuracin del historial deshabilItada, nopermitirelcambiodelasdirectivasdeseguridaddelnavegador.

23

Todoslosusuariosnopodrneliminarelhistorialdenavegacin. Para que ninguno de los usuarios de la mquinalocal pueda eliminar elhistorialdenavegacin nos dirigimos a Local Computer Policy > User Configuration > Administrative Templates > Windows Components > Internet Explorer > Delete Browsing History, en esta ventana, se encuentran todas las opciones pertinentes a la eliminacin del historial de navegacin en el navegador Internet Explorer, es importante asegurarse de que no existen otros navegadores instalados en el sistema, ya que los usuarios podran evadir esta directiva facilmente. Para inhabiltar la opcin de borrar historial de navegacin, acudimos a la directiva Turn off Delete Browsing History functionality.(Desactivarlafuncionalidaddeeliminarhistorial delnavegador)y clicEdit.

24

Marcamos la opcin Enabled para que los usuarios no puedan tener acceso a la ventana de dilogodeeliminacindehistorialdenavegacinypulsamosOK,parafinalizarelasistente.

25

 No se permitir el cambio de proxy ya que todos los usuarios usarn el mismo proxy (172.20.49.51:80). Para establecer un servidor proxy para todos los usuarios de la mquina local nos vamos a User Configuration > Windows Settings > Internet Explorer Maintenance >Connection,enesta ventana se encuentran las opcionespara configurarelementosrelacionadosconlaconexinde Internet Explorer, para configurar el servidor proxy del navegador, damos clic derecho sobre Proxy Settings y Properties, en el recuadro, escribimos, en este caso, la direccin IP del servidorproxy,pulsamosOKparafinalizar.

ConfiguracindelhistorialdeshabilItada.

26

Nopermitirelcambiodelasdirectivasdeseguridaddelnavegador. 7.Desactivarlaventanaemergentedereproduccinautomtica. Para desactivar la ventana de dilogo de reproduccin automtica nos vamos a User Configuration > Administrative Templates > Windows Components > AutoPlay Policies, seleccionamos Turn off AutoPlay hacequesedeshabilitelareproduccinautomticayaque se empieza a leer desde una unidad tan pronto como se inserta la tarjeta en la unidad. Como resultado, el archivo de instalacin de los programas y la msica en los medios de comunicacindeaudiocomienzaninmediatamente,pulsamosOKparafinalizar.

27

8.Nopermitirelapagadoremotodelamquina Para aplicar la poltica de no habilitar el apagado del sistema en forma remota, nos vamos a Computer Configuration > Windows Settings > SecuritySettings>LocalPolicies>UserRights Assignment > Force shutdown from remote system. En las propiedades de esta opcin observamos que slo los administradores sern parte de esta regla, es decir,losusuariosque tenemoscreadosactualmenteyquenopertenecenalosusuariosdelsistema.

28

9.Aplicar cuotasde50MBparatodoslosusuarioslocalesyremotos(Estaesuncuotamuybaja yesusadasoloparafinesacadmicos) Para aplicar esta cuota, nos dirigimos a Computer Configuration > Administrative Templates > Credentials Delegation> Disk Quoutas, este ajuste determina la cantidad de espacio en disco puede ser utilizado por cada usuario en cada uno de los volmenes del sistema de archivos NTFS en un equipo, en este caso, ser tan solo de 50 MB, pulsamos OK para guardar los cambios.

Directivasdeconfiguracindeusuario. 1. La pgina principal que se cargar para cada usuario cuando abra su navegador ser: http://www.sudominio.com(Pginainstitucionaldesuempresa) Para que la pgina de inicio del navegador sea una especficamenteseguimosla siguienteruta User Configuration > Windows Settings > Internet Explorer Maintenance > URLs, en esta ventana se configuran los aspectos pertinentes a URLs en el navegador, para establecer una pgina de inicio ingresamos aImportantURLsyenel recuadrodeconfiguracindeHomepage URL ingresamos la pgina institucional delaempresa. PulsamosOKparaaceptarloscambios yfinalizarelasistente.

29

2.Elservidorproxyparatodoslosusuarioslocalesser172.20.49.51:80. Para establecer un servidor proxy para todos los usuarios de la mquina local nos vamos a User Configuration > Windows Settings > Internet Explorer Maintenance >Connection,enesta ventana se encuentran las opcionespara configurarelementosrelacionadosconlaconexinde Internet Explorer, para configurar el servidor proxy del navegador, damos clic derecho sobre Proxy Settings y Properties, en el recuadro, escribimos, en este caso, la direccin IP del servidorproxy,pulsamosOKparafinalizar.

30

3.Restringir desde el navegador el acceso a los siguientes sitios: www.facebook.com y www.youtube.com por URL, para todos los usuarios. El administrador ser el nico con la contraseadesupervisorparaelAsesordeContenidos. Para cambiar la directiva de restriccin de sitios web nos dirigimos a User Configuration > Windows Settings > Internet Explorer Maintenance > Security > Security Zones and Content Ratings, en este recuadro encontramos las opciones de Zonas de seguridad y privacidad y clasificacionesdecontenido,pararestringirelaccesousamoslasclasificacionesdecontenido.

Dado que la configuracin del equipo local se importa para que la poltica se cumpla, la configuracin de IE ESC debe coincidir con el de los sistemas cliente. Usted puede apagar IE ESC en el sistema deedicin o simplemente editar la poltica desde un sistema clientequeno tieneIEESCactivado.

31

En la pestaa de General creamos la contrasea de supervisor, slo con esta password se podraccederalossitiosderestriccin.

32

33

En la pestaa de Approved Sites ingresamos los sitios que no podrn ser accedidos en la mquinalocal,losagregamosconNeverparaquenoseanaccesiblesyguardamosconOK.

34

4.OcultarlaunidadC:\(NOTA:Estonorestringirelaccesoadichaunidad) Para ocultar la unidad C:\ nos dirigimos a User Configuration > Windows Components > Windows Explorer > Hide these specified drivesinMyComputer,habilitamosladirectivacon la opcin EnabledyenelrecuadroPickoneofthefollowingcombinationsseleccionamoslaunidad C:\yfinalizamosconOKparaguardarloscambios.

5. Ocultar la men opciones de carpeta del men de herramientas. Esto con el fin de que los usuariosnopuedanverarchivosocultosocambiaralgunasconfiguracionesdelascarpetas. En la ruta User Configuration > Windows Components > Windows Explorer > Removes the Folder Options menu Items from the Tools menu, estaopcineliminaelelementoOpcionesde carpeta en todos los mens del Explorador de Windows y elimina el elemento Opciones de carpeta en el Panel de control. Como resultado, los usuarios no pueden utilizar el cuadro de dilogoOpcionesdecarpeta,habilitamosmedianteEnabledyfinalizamosconOK.

35

6.RestringirelaccesoalaunidadE:\desdemiPC Para restringir el acceso a la unidad User Configuration > Windows Components >Windows Explorer >Hide these specified drives in My Computer, habilitamosyaceptamoscambioscon OK.

36

7.Limitareltamaodelapapeleradereciclajea100MB. Este parmetro lo configuramos a travsdelarutaUserConfiguration>WindowsComponents > WindowsExplorer >MaximumallowedRecycleBinSizeEstadirectivalimitaelporcentajede espacioendiscodeunvolumenquesepuedeutilizarparaalmacenararchivoseliminados.

8. No permitir que se ejecute messenger User Configuration > Windows Components > Windows Messenger > Do not allow Windows Messenger tobe run y habilitamos para que los usuarios notenganaccesoaMessengerenlamquinalocal,aunqueesteserviciofueremovido delafamilaWindows.

37

9.Ocultartodosloselementosdelescritorioparatodoslosusuarios. Nos dirigimos a User Configuration > Administrative Templates > Desktop > Hide and disable all items on the desktop, habilitamos esta opcin para que los usuarios no tengan acceso a Eliminar iconos, accesos directos y otros por omisin y los elementos definidos por el usuario desdeelescritorio,incluyendoMaletn,Papeleradereciclaje,PCyubicacionesdered.

10.Bloquearlabarradetareas

38

11.ProhibirelaccesodelLectoescrituraacualquiermediodealmacenamientoextrable. Para la prohibicin de de el acceso a lectura y escritura en cualquier dispositivo de almacenamiento seguimos User Configuration > Windows Templates > System> Removable Storage Access > Removable Disks: Deny read access y Removable Disk : Deny write access. Prohibicindelectura.

39

Prohibicindeescritura.

40

Conclusiones. Ladirectivasdegrupolocalessehabilitansloparalamquinalocal. Las directivas ayudan a tener control sobre el contenidoal que los usuarios pueden tener o no acceso,ayudandoasalaseguridaddelamquina. La mayora de polticas se aplican a todos los usuarios de la mquina incluyendo el administradordelsistema,porende,sedebetenersumocuidadoalmanejarestasdirectivas.

41