Escolar Documentos
Profissional Documentos
Cultura Documentos
ACTIVE DIRECTORY
10. El administrador, para optimizar el funcionamiento de la empresa, decide incluir alguna directiva de grupo en el sistema. Son las siguientes:
a. Para el dominio pretendes que los usuarios puedan solicitar la
asistencia remota de alguien del departamento de sistema por alguna incidencia (cuidado con el firewall de windows), deshabilitar Windows Messenger, deshabilitar el uso de pendrives y poner un fondo de escritorio corporativo para evitar posibles distracciones:
i.
En Usuario y Equipos de Active Directory pulsamos con el botn derecho sobre el dominio y seleccionamos propiedades y directiva de grupo:
Como vemos ya viene creada por defecto una directiva, hacemos doble clic sobre ella y nos aparecer:
Para habilitar la asistencia remota seleccionamos en el men de la derecha Plantillas administrativas > Sistema > Asistencia remota:
ii.
De nuevo accedemos a la directiva del dominio y el men de la derecha seleccionamos Plantillas Administrativas > Componentes de Windows > Windows Messenger:
Ahora si probamos a acceder a un usuario del dominio y a ejecutar Windows Messenger veremos como no nos deja ejecutarlo por mucho que intentemos hacer clic:
iii.
Primero vamos a iniciar sesin con cualquier usuario del dominio y vamos a establecer un fondo de pantalla:
Como podemos ver he accedido con el usuario emple1 y he seleccionado un fondo de pantalla para comprobar que al seleccionar un fondo de pantalla obligatorio para todos los usuarios con dicha directiva se aplica correctamente:
Bien, para configurar esta directiva sobre el dominio pulsamos botn derecho y Propiedades nuevamente para editar la directiva que viene por defecto:
Una vez habilitada seleccionaremos la otra directiva necesaria para establecer el fondo a todos los usuarios :Papel tapiz de Active Desktop en Configuracin de Usuario > Plantillas Administrativas > Escritorio:
Una vez aplicado un fondo comprobaremos que se ha aplicado correctamente en el usuario (emple1) que establecimos un fondo anteriormente:
Como vemos se ha aplicado correctamente el fondo . Lo podemos comprobar con cualquier usuario del dominio.
iv.
Primero nos descargaremos un programa que nos informe acerca de la ip de nuestro equipo. El programa que usaremos es Monitorapp.
Una vez descargado y extrado en un directorio concreto ( en mi caso he elegido \\Nombre-Servidor\NETLOGON) configuraremos la directiva de grupo necesaria para que se inicie el programa automticamente al iniciar sesin en la mquina. De nuevo accedemos a la directiva del dominio:
En Configuracin de usuario > Plantillas administrativas >Sistema > Inicio de sesin, hacemos doble clic en la opcin que aparece en el men de la derecha Ejecutar estos programas cuando el usuario inicie sesin:
Agregamos el programa:
10
Ahora si probamos a acceder con cualquier usuario del dominio ya que se lo hemos aplicado a la directiva del dominio, debera iniciar sesin y aparecer automticamente dicha aplicacin:
Tal y como vemos me he logueado en la mquina cliente con el usuario emple2 y podemos comprobar como se ha aplicado la directiva correctamente y el programa nos muestra el usuario con el que hemos iniciado sesin y su direccin IP.
v.
Para llevar a cabo esta accin seguiremos una gua de la pgina oficial de Microsoft:
- http://support.microsoft.com/kb/823732/es
Debemos crear un grupo nuevo en Active Directory al cual llamaremos ProhibirUSB y en l insertaremos los usuarios a los que denegaremos el uso de las memorias USB:
11
12
Todos los empleados, encargados y gerente. Una vez creado el grupo y asignados los usuarios prohibiremos a este grupo los siguientes archivos:
- %SystemRoot%\Inf\Usbstor.pnf - %SystemRoot%\Inf\Usbstor.pnf
13
14
Ahora aplicamos los cambios y comprobaremos en un cliente si funciona la restriccin que hemos puesto a los usuarios anteriores. Vamos a acceder con el usuario emple1:
Tal y como podemos comprobar hemos introducido el pendrive en el equipo, y este ha sido reconocido por la mquina y conectado a ella pero no nos lo muestra.
asistencia remota a los usuarios sin necesidad de que estos la soliciten antes (como alternativa al escritorio remoto). El usuario puede aceptar o rechazar ese ofrecimiento (cuidado con el firewall de windows).
Primero crearemos la directiva Sistemas, para ello pulsamos con el botn sobre el dominio midominio.local y seleccionamos Nueva unidad organizativa:
15
Una vez creada la Unidad Organizativa moveremos a ella el grupo Sistema que almacenaba los miembros de dicho departamento:
16
Una vez almacenado el grupo en la Unidad Organizativa correspondiente crearemos una unidad organizativa para permitir a estos usuarios la realizacin de unas acciones determinadas en el sistema:
Pulsamos botn derecho sobre la Unidad Organizativa Sistemas y seleccionamos Propiedades, a continuacin pulsamos en la pestaa Drectiva de Grupo y crearemos una nueva:
Una vez creada pulsaremos en Editar para definir en ella los siguientes objetivos:
17
i.
18
Con esta directiva en la unidad organizativa Sistemas slo permitiremos a los usuarios de dicha Unidad Organizativa (encargado_1, encargado_2) poder ayudar u ofrecer asistencia remota al resto de los usuarios del sistema.
Vamos a comprobar cmo sera ofrecer asistencia remota.Por ejemplo emple2 solicita a encargado1 asistencia remota: Desde el usuario emple9 pulsamos en Ayuda y soporte tcnico.
19
Ahora seleccionaremos el tiempo que estar abierta esa invitacin, y pulsamos en Continuar:
20
Ahora escribimos una contrasea a travs de la cual se conectar un pc al otro. Y guardamos la invitacin entonces la enviaramos al otro equipo (ya sea por correo) al que le ofrecemos la asistencia remota, en este caso es encargado_1.
21
Una vez introducida la password que seleccionamos para crear la invitacin necesitaremos que el usuario emple9 acepte la peticin del usuario encargado_1 para que se conecte a su escritorio:
Una vez aceptemos ya podremos acceder al escritorio del usuario emple9 de forma remota desde encargado_1:
22
Encargado_1:
Tal y como vemos en el men superior se nos da las opciones de Tomar el Control de la mquina del usuario emple9, Enviarle un archivo, Iniciar una charla, que como podemos ver ya estamos estableciendo en la parte izquierda de la pantalla,etc.
Emple9:
23
El usuario emple9 decidir si el usuario encargado_1 toma el control de su equipo. Si pulsamos en la pantalla del encargado_1 Tomar el Control del equipo del usuario emple9, ste deber aceptar:
perfiles de usuarios no se vuelvan muy pesados, la carpeta Mis Documentos se ubicar en una unidad de red. Se almacenar en el servidor (en una particin diferente a la del sistema operativo) llamada personales. El recurso debe ser oculto para el resto. Como consecuencia de esto, se le habilitar una cuota de disco de 100 Mb, ya que estos ficheros personales no estarn asociados al perfil.
Ahora crearemos una nueva directiva que almacenar a los usuarios del departamento Software y al departamento ya que como sabemos a un grupo no se le pueden aplicar directivas:
24
Primero creamos una carpeta en la unidad (E:) junto a las tres que ya tenamos y a la cual vamos a llamar personales.
25
Una vez creada accedemos en la directiva a Configuracin del usuario>Configuracin de Windows>Redireccionamiento de carpetas>Mis documentos y pulsamos Propiedades, nos aparecer la siguiente imagen:
26
Nosotros no la hemos ocultado tal y como dice el ejercicio, para ocultarla simplemente basta con poner $ cuando le damos a compartir y despus en la ruta de redireccionamiento tambin debemos ponerlo. No la hemos ocultado porque queremos comprobar que funciona y para ello debe estar visible.
Ahora si accedemos con un usuario se nos crear una carpeta automticamente del usuario en la carpeta personales y en su interior podremos observar los ficheros que tiene este usuario en Mis Documentos. Como vemos a continuacin he accedido con el usuario emple2 y si accedemos a la carpeta personales del servidor comprobaremos que se ha creado el directorio emple2:
Ahora si accedemos a la carpeta emple2 veremos un acceso directo para ver los archivos que tiene en su directorio Mis documentos:
27
ii.
Ahora para limitar el tamao de los perfiles, accedemos a configuracin de usuario>Plantillas administrativas>Sistema>Perfiles de usuario:
28
Ahora comprobaremos si funciona, para ello accedemos con el usuario emple2, por ejemplo, y si copiamos un archivo mayor a 10 MB nos aparecer el siguiente error:
29
Si ignoramos el mensaje e intentamos cerrar sesin en el equipo nos aparecer el siguiente mensaje de error:
Debemos eliminar archivos del sistema para no sobrepasar el tamao mximo de perfil.
pendrives cuando le de la gana y que quiere el windows messenger que le niega al resto de sus empleados (no hay nada como ser el jefe). Recuerda la jerarqua de aplicacin de las directivas de grupo. Primero crearemos la unidad organizativa Director y en ella incluiremos dicho usuario:
30
Ahora crearemos una directiva para determinar algunas de las acciones que podr realizar en el sistema:
31
i.
32
33
Como podemos ver podemos ejecutar perfectamente Windows Messenger desde el usuario Administrador.
ii.
Anteriormente tuvimos que denegar el uso del pendrive para los usuarios del departamento Software y para ello creamos un grupo ProhibirUSB. Para que el director pueda usar los pendrives basta con no insertarlo en dicho grupo.
otro ms amigable.
Podemos instalar la consola de Administracin de Directivas de Grupo, para descargarla lo podemos hacer de la pgina oficial de Microsoft, en el siguiente enlace:
- http://www.microsoft.com/download/en/details.aspx?id=21895
34
Una vez descargado e instalado, podremos acceder a l desde Active Directory seleccionando las Propiedades de cualquier Unidad Organizativa que vayamos a definir una directiva. Nos aparecer la siguiente pantalla:
Ahora si pulsamos en Abrir se nos abrir una nueva interfaz para la configuracin de las directivas:
En esta nueva interfaz se nos muestran ms claros las directivas aplicadas a cada Unidad Organizativa, por ejemplo, si queremos ver las directivas aplicadas a la Unidad organizativa de director:
35
Si queremos dejar de usar esta aplicacin para la administracin de las directivas de grupo basta con dirigirnos a Inicio > Panel de Control > Agregar o quitar programas y desinstalamos la Consola de administracin de directivas de grupo con SP1 de Microsoft:
36