Mdulo 1:

Administracin centralizada usando

Directivas de Grupo del dominio
Sistemas Operativos 2 - Rev. 1.0-2015

Configuracin Laboratorio de SO2

Uruguay
(sisop.ort.edu.uy)
192.168.1.100

Windows 2008 R2 (Server)

Uruguay
(sisop.ort.edu.uy)
192.168.1.100

Windows 8.1 (host)

Usuario

Windows 8.1

EstudianteSO2

Windows 2008 r2
Dominio: ACME.COM

Administrator

Contrasea

Sistemas Operativos 2 - Rev. 1.0-2015

Repaso Sistemas Operativos 1

Base de datos
de Directorios

Creacin de
usuarios
Grupos

Local
Dominio
Administracin centralizada
Computer Management (Administracin Equipo)

Active Directory Users & Computers

Predefinidos Local / Built-In / del sistema
Del Dominio
Propiedades Miembro y Member of

Sistemas Operativos 2 - Rev. 1.0-2015

Repaso Sistemas Operativos 1

File System

Permisos
NTFS

Carpetas
compartidas

FAT
NTFS
Standard / Especiales
Permisos efectivos

Herencia Bloqueo de herencia

Permisos:
Nomenclatura UNC
Permisos carpetas compartidas & Permisos NTFS

Sistemas Operativos 2 - Rev. 1.0-2015

Laboratorio 1.1 : Repaso Sistemas Operativos 1

1. Iniciar sesin en Servidor Windows 2008 como Administrator

2. Crear una MMC con Active Directory Users and Computers

y Computer Management- Guardarla en el
escritorio con el nombre Consola Rapida
3. Crear las siguientes OU en el dominio:
4. Crear un grupo EMPLEADOS y los usuarios
JEFE, EMPLE01, EMPLE02 y EMPLE03 (Todos con clave: Clave01)
5. Sin cerrar sesin, abrir otra sesin con el usuario EMPLE01.
porqu no puede? Solucionarlo

6. Agregar a JEFE al grupo Domain Admins

Qu efecto tiene sobre los equipos cliente del dominio?
Sistemas Operativos 2 - Rev. 1.0-2015

Laboratorio 1.2 : Repaso Sistemas Operativos 1

1. Como administrator, crear la carpeta DATOS y
las subcarpetas siguientes:
2. Asignar a EMPLEADOS los permisos R,LF,RX,W
sobre la carpeta DATOS.

3. Compartir la carpeta DATOS como

DOCUMENTOS con los permisos por defecto
Cules son las UNC para acceder remotamente a DATOS y a PUBLICOS?
4. Iniciar sesin como EMPLE01

5. Accediendo desde la UNC, crear un archivo en la carpetas compartida

DOCUMENTOS
porqu no puede? Solucionarlo
6. Cerrar sesin como EMPLE01 y volver a la sesin como Administrator

Sistemas Operativos 2 - Rev. 1.0-2015

Configuracin del sistema operativo Windows

El sistema operativo Windows y las aplicaciones que se ejecutan en su
ambiente se configuran en base a ciertos parmetros que se almacenan en
una base de datos LOCAL A CADA EQUIPO conocida como REGISTRY.

El registry se compone de varios archivos,

almacenados en varias carpetas del equipo.
Por ejemplo: c:\Windows\System32\Config\

SAM

El registry se modifica:
Editndolo directamente con REGEDIT
Modificando opciones de men en las aplicaciones
Aplicando Directivas de Grupo (Group Policies)

System

Security
Software
Default

Sistemas Operativos 2 - Rev. 1.0-2015

Estructura del REGISTRY

5 Secciones (Hives):
Classes Root
Users

Clave Tipo Valor

Current User

Local Machine
Current Config

Sistemas Operativos 2 - Rev. 1.0-2015

Tutorial 1.1 : Composicin del Registry

A partir del video presentado conteste las siguientes preguntas:
1. Cul es la utilidad de los archivos .reg? cmo se crean?
2. Cuando el usuario da doble click sobre el archivo carta.pdf, automticamente
se ejecuta el programa Acrobat. En qu seccin del Registry se configura
esta relacin?
3. Se va a cambiar una clave de la seccin HKEY_LOCAL_MACHINE. Ante la
posiblidad de un error, se desea tener un respaldo
1. Indique opciones y que tems debe seleccionar para realizar el respaldo.
Especifique un nombre de archivo de respaldo como ejemplo

2. Suponiendo que el sistema fall y no levanta automticamentequ

pasos, teclas y comandos debe considerar para reconstruir los valores del
registry anterior?
Sistemas Operativos 2 - Rev. 1.0-2015

Configuracin de Windows con Directivas de Grupo)

Los parmetros del Registry de Windows pueden ser alterados
aplicando una o ms directivas de grupo
Mtodo ms seguro y sencillo para el usuario

No modifican realmente el Registry

Existen parmetros adicionales a los provista por herramientas
de Windows y las aplicaciones

Aplican solo a los objetos Computer y User

Sistemas Operativos 2 - Rev. 1.0-2015

Configuracin de Windows con Directivas de Grupo)

En cada equipo Windows, existe un objeto de Directiva de Grupo
Local (Local Computer Policy)
Si el equipo pertenece a un dominio se aplican tambin directivas de
que se encuentran definidas en un Objeto de Grupo de Dominio
(Group Policy Object) - GPO

Los GPOs se pueden aplicar en:

Sitios (Sites)
Dominio
OU

Sistemas Operativos 2 - Rev. 1.0-2015

Creacin de objetos de directivas de dominio GPO

Forest,
Dominio
Site
Contenedor que
incluye a todos
los GPOs

GPOs por defecto

para Dominio y para
Domain Controllers

Sistemas Operativos 2 - Rev. 1.0-2015

Configuracin de las directivas en un GPO

Sistemas Operativos 2 - Rev. 1.0-2015

Configuracin de las directivas en un GPO

Aplicacin de directivas:
Directivas de Equipo se aplican al arranque/ apagado equipo
Directivas de Usuario se aplican al iniciar/cerrar sesin
Cada 90 minutos (+/- unos minutos)
Aplicacin forzada:

GPUPDATE /FORCE

Sistemas Operativos 2 - Rev. 1.0-2015

Aplicar las directivas del GPO : Vnculos (Links)

Las GPOs de dominio y
de Domain Controllers
ya estn vinculadas por
defecto
En una OU o Dominio
puede haber ms de un
vnculo
Una GPO puede tener
vnculos a ms de una
OU o al Dominio

Sistemas Operativos 2 - Rev. 1.0-2015

Orden de aplicacin de las GPOs

Al encender el
equipo
se aplican
solamente
las directivas de
Equipo de los GPO
que afectan al
objeto equipo

Luego, al iniciar
sesin se aplican
las directivas de
usuario que
afectan al
objeto usuario

GPO1
Local policy

GPO2
Site
GPO3
GPO4
Domain
GPO5
OU

OU

OU

Sistemas Operativos 2 - Rev. 1.0-2015

Orden de aplicacin de las GPOs

Permite cambiar el
orden de aplicacin

El lugar 1 es el ltimo en
aplicarse, y por lo tanto el que
prevalece si hay conflicto de
directivas

Sistemas Operativos 2 - Rev. 1.0-2015

Herencia y bloqueo de directivas

Dominio
Produccin
Objetos GPO

Ventas
No se aplica la
configuracin del
objeto GPO

Sistemas Operativos 2 - Rev. 1.0-2015

Herencia y bloqueo de directivas

Luego del bloqueo:

Sistemas Operativos 2 - Rev. 1.0-2015

Aplicacin forzada de una GPO (link enforced)

Efectos sobre la herencia:

Sistemas Operativos 2 - Rev. 1.0-2015

10

Administrar aplicacin de GPOs - links

Sistemas Operativos 2 - Rev. 1.0-2015

Laboratorio 1.3 : Crear GPO del Dominio

Parte 1: preparacin

Agregar el complemento Group Policy

Management a la MMC creada
anteriormente
Desde Group Policy Management,
crear una OU llamada ANEXOS
Crear tres GPOs llamadas GPO1,
GPO2 y GPO3
Linkear GPO1 al dominio y GPO2 &
GPO3 a la OU LUGARES
Linkear GPO3 a la OU ANEXOS

Sistemas Operativos 2 - Rev. 1.0-2015

11

Laboratorio 1.3 : Crear GPO del Dominio

Parte 2: resolver:
Cules GPO se aplican en la OU
LUGARES?
Hacer que Default Domain Policy
no se aplique en LUGARES, pero
GPO1 s se aplique siempre.

Qu GPO se aplican en EQUIPOS?

Suponiendo que el orden de aplicacin
de GPO no sea importante en otras OU,
pero s para EQUIPOS, Cmo hara
para que GPO3 se aplique luego que
GPO2?
Temporalmente la GPO3 no deber
aplicarse en ANEXOS
Sistemas Operativos 2 - Rev. 1.0-2015

Administrar aplicacin de GPOs: Filtro de seguridad

Sistemas Operativos 2 - Rev. 1.0-2015

12

Administrar aplicacin de GPOs : Delegar permisos

Sobre Group Policy Objects la

opcin Delegation permite
definir quines son los owners
por defecto de las GPOs

Sistemas Operativos 2 - Rev. 1.0-2015

Administrar aplicacin de GPOs : Details

Sistemas Operativos 2 - Rev. 1.0-2015

13

Visualizar la configuracin de la GPO

Sistemas Operativos 2 - Rev. 1.0-2015

Laboratorio 1.4 : Aplicar filtros de seguridad

Parte 1: preparacin

En ANEXOS, crear un grupo

Supervisores. Luego crear 3
usuarios todos con clave Clave01.
Agregar al grupo Supervisores 2
de los usuarios creados
.
Agregar al usuario EMPLE01 a dicho
grupo (creado en Lab 1.1)
Crear una GPO4 aplicada a ANEXOS
que tenga habilitada la directiva: Remove
programas on Setting Menu

Asegurarse que dicha directiva fue

activada (listado en opcin Settings de
GPO4)
Sistemas Operativos 2 - Rev. 1.0-2015

14

Laboratorio 1.4 : Aplicar filtros de seguridad

Parte 2: resolver:

Se pretende que la directiva

configurada en GPO4 aplique
solamente al grupo Supervisores.
Probar que efectivamente se cumple
para uno de los usuarios creados y
que pertenece al grupo
Probar que no se aplica para el
usuario creado que no pertenece al
grupo

Probar si se aplica al usuario

EMPLE01Porqu no se aplica
siendo que Emple01 pertenece al
grupo?

Sistemas Operativos 2 - Rev. 1.0-2015

Tutorial 1.2 : Administrar los objetos GPO

VIDEO EN INGLS
RESPALDAR directivas del GPO
RECUPERAR RESPALDO del GPO
IMPORTAR directivas desde un GPO respaldado
COPIAR un GPO a partir de otro GPO

Sistemas Operativos 2 - Rev. 1.0-2015

15

RESUMEN DE LA UNIDAD
Las directivas de grupo permiten
configurar Windows en forma
sencilla y segura. Hay menos
riesgo al no modificar realmente el
Registry.
Existen GPO locales y GPO en el
Dominio. Las directivas en una
GPO se agrupan en Configuracin
de Usuario y Configuracin de
Equipo.
Las GPOs se aplican (links) en
cierto orden: Local, Sitio, Dominio,
OUs. En una misma OU el orden
es configurable. Primero se aplican
directivas de equipo y luego de
usuario.

En directivas iguales, prevalece el

valor de la directiva de la OU que se
aplica ltimo.

La herencia de directivas se puede

bloquear, salvo que se hubiera
aplicado un GPO con link forzado
El filtro de seguridad permite que las
directivas del GPO apliquen solo a
ciertos grupos, usuarios o equipos.
La propiedad Delegation permite
asignar permisos. Para ejecutar un
GPO se requiere que el usuario
tenga el permiso Read
Se recomienda respaldar las GPO
ms crticas
Sistemas Operativos 2 - Rev. 1.0-2015

16