WINDOWS 2003 SERVER

ACTIVE DIRECTORY

Miguel ngel Gonzlez Gonzlez

10. El administrador, para optimizar el funcionamiento de la empresa, decide incluir alguna directiva de grupo en el sistema. Son las siguientes:
a. Para el dominio pretendes que los usuarios puedan solicitar la

asistencia remota de alguien del departamento de sistema por alguna incidencia (cuidado con el firewall de windows), deshabilitar Windows Messenger, deshabilitar el uso de pendrives y poner un fondo de escritorio corporativo para evitar posibles distracciones:
i.

Habilitar Asistencia Remota Solicitada.

En Usuario y Equipos de Active Directory pulsamos con el botn derecho sobre el dominio y seleccionamos propiedades y directiva de grupo:

Miguel ngel Gonzlez Gonzlez

Como vemos ya viene creada por defecto una directiva, hacemos doble clic sobre ella y nos aparecer:

Para habilitar la asistencia remota seleccionamos en el men de la derecha Plantillas administrativas > Sistema > Asistencia remota:

Miguel ngel Gonzlez Gonzlez

Pulsamos sobre Asistencia remota solicitada y la habilitamos:

ii.

Habilitar no permitir que se ejecute windows messenger.

De nuevo accedemos a la directiva del dominio y el men de la derecha seleccionamos Plantillas Administrativas > Componentes de Windows > Windows Messenger:

Miguel ngel Gonzlez Gonzlez

Seleccionamos la primera opcin para habilitarla:

Ahora si probamos a acceder a un usuario del dominio y a ejecutar Windows Messenger veremos como no nos deja ejecutarlo por mucho que intentemos hacer clic:

Miguel ngel Gonzlez Gonzlez

Poner un fondo de pantalla corporativo que no pueda cambiarse.

iii.

Primero vamos a iniciar sesin con cualquier usuario del dominio y vamos a establecer un fondo de pantalla:

Como podemos ver he accedido con el usuario emple1 y he seleccionado un fondo de pantalla para comprobar que al seleccionar un fondo de pantalla obligatorio para todos los usuarios con dicha directiva se aplica correctamente:

Bien, para configurar esta directiva sobre el dominio pulsamos botn derecho y Propiedades nuevamente para editar la directiva que viene por defecto:

Miguel ngel Gonzlez Gonzlez

Ahora antes de nada habilitamos la directiva Habilitar Active Desktop:

Miguel ngel Gonzlez Gonzlez

Una vez habilitada seleccionaremos la otra directiva necesaria para establecer el fondo a todos los usuarios :Papel tapiz de Active Desktop en Configuracin de Usuario > Plantillas Administrativas > Escritorio:

Miguel ngel Gonzlez Gonzlez

Una vez aplicado un fondo comprobaremos que se ha aplicado correctamente en el usuario (emple1) que establecimos un fondo anteriormente:

Como vemos se ha aplicado correctamente el fondo . Lo podemos comprobar con cualquier usuario del dominio.

Ejecutar un programa que indique la ip del equipo y un usuario en el escritorio.

iv.

Primero nos descargaremos un programa que nos informe acerca de la ip de nuestro equipo. El programa que usaremos es Monitorapp.

Una vez descargado y extrado en un directorio concreto ( en mi caso he elegido \\Nombre-Servidor\NETLOGON) configuraremos la directiva de grupo necesaria para que se inicie el programa automticamente al iniciar sesin en la mquina. De nuevo accedemos a la directiva del dominio:

Miguel ngel Gonzlez Gonzlez

En Configuracin de usuario > Plantillas administrativas >Sistema > Inicio de sesin, hacemos doble clic en la opcin que aparece en el men de la derecha Ejecutar estos programas cuando el usuario inicie sesin:

Miguel ngel Gonzlez Gonzlez

Hacemos doble clic sobre la directiva para habilitarla:

Agregamos el programa:

10

Miguel ngel Gonzlez Gonzlez

Ahora si probamos a acceder con cualquier usuario del dominio ya que se lo hemos aplicado a la directiva del dominio, debera iniciar sesin y aparecer automticamente dicha aplicacin:

Tal y como vemos me he logueado en la mquina cliente con el usuario emple2 y podemos comprobar como se ha aplicado la directiva correctamente y el programa nos muestra el usuario con el que hemos iniciado sesin y su direccin IP.
v.

Deshabilitar el uso de pendrives.

Para llevar a cabo esta accin seguiremos una gua de la pgina oficial de Microsoft:

- http://support.microsoft.com/kb/823732/es

Debemos crear un grupo nuevo en Active Directory al cual llamaremos ProhibirUSB y en l insertaremos los usuarios a los que denegaremos el uso de las memorias USB:

11

Miguel ngel Gonzlez Gonzlez

En dicho grupo insertaremos los siguientes usuarios:

12

Miguel ngel Gonzlez Gonzlez

Todos los empleados, encargados y gerente. Una vez creado el grupo y asignados los usuarios prohibiremos a este grupo los siguientes archivos:

- %SystemRoot%\Inf\Usbstor.pnf - %SystemRoot%\Inf\Usbstor.pnf

Ahora modificaremos los permisos de los archivos anteriores de la siguiente manera:

13

Miguel ngel Gonzlez Gonzlez

14

Miguel ngel Gonzlez Gonzlez

Ahora aplicamos los cambios y comprobaremos en un cliente si funciona la restriccin que hemos puesto a los usuarios anteriores. Vamos a acceder con el usuario emple1:

Tal y como podemos comprobar hemos introducido el pendrive en el equipo, y este ha sido reconocido por la mquina y conectado a ella pero no nos lo muestra.

b. Para el Departamento de Sistemas. Que puedan ofrecer

asistencia remota a los usuarios sin necesidad de que estos la soliciten antes (como alternativa al escritorio remoto). El usuario puede aceptar o rechazar ese ofrecimiento (cuidado con el firewall de windows).

Primero crearemos la directiva Sistemas, para ello pulsamos con el botn sobre el dominio midominio.local y seleccionamos Nueva unidad organizativa:

15

Miguel ngel Gonzlez Gonzlez

Una vez creada la Unidad Organizativa moveremos a ella el grupo Sistema que almacenaba los miembros de dicho departamento:

16

Miguel ngel Gonzlez Gonzlez

Una vez almacenado el grupo en la Unidad Organizativa correspondiente crearemos una unidad organizativa para permitir a estos usuarios la realizacin de unas acciones determinadas en el sistema:

Pulsamos botn derecho sobre la Unidad Organizativa Sistemas y seleccionamos Propiedades, a continuacin pulsamos en la pestaa Drectiva de Grupo y crearemos una nueva:

Una vez creada pulsaremos en Editar para definir en ella los siguientes objetivos:

17

Miguel ngel Gonzlez Gonzlez

i.

Habilitar ofrecer asistencia remota.

18

Miguel ngel Gonzlez Gonzlez

Con esta directiva en la unidad organizativa Sistemas slo permitiremos a los usuarios de dicha Unidad Organizativa (encargado_1, encargado_2) poder ayudar u ofrecer asistencia remota al resto de los usuarios del sistema.
Vamos a comprobar cmo sera ofrecer asistencia remota.Por ejemplo emple2 solicita a encargado1 asistencia remota: Desde el usuario emple9 pulsamos en Ayuda y soporte tcnico.

Ahora pulsamos en Invitar a un amigo a conectarse a su equipo con Asistencia remota:

19

Miguel ngel Gonzlez Gonzlez

Ahora seleccionaremos Invitar a alguien que le ayude:

Ahora seleccionaremos el tiempo que estar abierta esa invitacin, y pulsamos en Continuar:

20

Miguel ngel Gonzlez Gonzlez

Ahora escribimos una contrasea a travs de la cual se conectar un pc al otro. Y guardamos la invitacin entonces la enviaramos al otro equipo (ya sea por correo) al que le ofrecemos la asistencia remota, en este caso es encargado_1.

21

Miguel ngel Gonzlez Gonzlez

Iniciamos la invitacin desde el encargado_1:

Una vez introducida la password que seleccionamos para crear la invitacin necesitaremos que el usuario emple9 acepte la peticin del usuario encargado_1 para que se conecte a su escritorio:

Una vez aceptemos ya podremos acceder al escritorio del usuario emple9 de forma remota desde encargado_1:

22

Miguel ngel Gonzlez Gonzlez

Encargado_1:

Tal y como vemos en el men superior se nos da las opciones de Tomar el Control de la mquina del usuario emple9, Enviarle un archivo, Iniciar una charla, que como podemos ver ya estamos estableciendo en la parte izquierda de la pantalla,etc.

Emple9:

23

Miguel ngel Gonzlez Gonzlez

El usuario emple9 decidir si el usuario encargado_1 toma el control de su equipo. Si pulsamos en la pantalla del encargado_1 Tomar el Control del equipo del usuario emple9, ste deber aceptar:

c. Para el Departamento de Software. Con idea de que los

perfiles de usuarios no se vuelvan muy pesados, la carpeta Mis Documentos se ubicar en una unidad de red. Se almacenar en el servidor (en una particin diferente a la del sistema operativo) llamada personales. El recurso debe ser oculto para el resto. Como consecuencia de esto, se le habilitar una cuota de disco de 100 Mb, ya que estos ficheros personales no estarn asociados al perfil.

Ahora crearemos una nueva directiva que almacenar a los usuarios del departamento Software y al departamento ya que como sabemos a un grupo no se le pueden aplicar directivas:

24

Miguel ngel Gonzlez Gonzlez

En la cual llevaremos a cabo las siguientes acciones:

i.

Redireccionamiento de Mis Documentos

Primero creamos una carpeta en la unidad (E:) junto a las tres que ya tenamos y a la cual vamos a llamar personales.

25

Miguel ngel Gonzlez Gonzlez

Le daremos todos los permisos para el departamento Software:

Una vez creada accedemos en la directiva a Configuracin del usuario>Configuracin de Windows>Redireccionamiento de carpetas>Mis documentos y pulsamos Propiedades, nos aparecer la siguiente imagen:

26

Miguel ngel Gonzlez Gonzlez

Nosotros no la hemos ocultado tal y como dice el ejercicio, para ocultarla simplemente basta con poner $ cuando le damos a compartir y despus en la ruta de redireccionamiento tambin debemos ponerlo. No la hemos ocultado porque queremos comprobar que funciona y para ello debe estar visible.

Ahora si accedemos con un usuario se nos crear una carpeta automticamente del usuario en la carpeta personales y en su interior podremos observar los ficheros que tiene este usuario en Mis Documentos. Como vemos a continuacin he accedido con el usuario emple2 y si accedemos a la carpeta personales del servidor comprobaremos que se ha creado el directorio emple2:

Ahora si accedemos a la carpeta emple2 veremos un acceso directo para ver los archivos que tiene en su directorio Mis documentos:

27

Miguel ngel Gonzlez Gonzlez

ii.

Limitar el tamao del perfil.

Ahora para limitar el tamao de los perfiles, accedemos a configuracin de usuario>Plantillas administrativas>Sistema>Perfiles de usuario:

28

Miguel ngel Gonzlez Gonzlez

Ahora comprobaremos si funciona, para ello accedemos con el usuario emple2, por ejemplo, y si copiamos un archivo mayor a 10 MB nos aparecer el siguiente error:

29

Miguel ngel Gonzlez Gonzlez

Si ignoramos el mensaje e intentamos cerrar sesin en el equipo nos aparecer el siguiente mensaje de error:

Debemos eliminar archivos del sistema para no sobrepasar el tamao mximo de perfil.

d. Para el director. Como es el jefe, dice que el puede usar

pendrives cuando le de la gana y que quiere el windows messenger que le niega al resto de sus empleados (no hay nada como ser el jefe). Recuerda la jerarqua de aplicacin de las directivas de grupo. Primero crearemos la unidad organizativa Director y en ella incluiremos dicho usuario:

30

Miguel ngel Gonzlez Gonzlez

Ahora crearemos una directiva para determinar algunas de las acciones que podr realizar en el sistema:

31

Miguel ngel Gonzlez Gonzlez

Deshabilitar no permitir que se ejecute windows messenger.

i.

No permitir que se ejecute Windows Messenger:

32

Miguel ngel Gonzlez Gonzlez

No ejecutar automticamente Windows Messenger al inicio:

Comprobaremos que el usuario director puede ejecutar Windows Messenger:

33

Miguel ngel Gonzlez Gonzlez

Como podemos ver podemos ejecutar perfectamente Windows Messenger desde el usuario Administrador.
ii.

Habilitar el uso de pendrives.

Anteriormente tuvimos que denegar el uso del pendrive para los usuarios del departamento Software y para ello creamos un grupo ProhibirUSB. Para que el director pueda usar los pendrives basta con no insertarlo en dicho grupo.

e. Cambia el modo en que Windows 2003 visualiza las GPO a

otro ms amigable.

Podemos instalar la consola de Administracin de Directivas de Grupo, para descargarla lo podemos hacer de la pgina oficial de Microsoft, en el siguiente enlace:

- http://www.microsoft.com/download/en/details.aspx?id=21895

34

Miguel ngel Gonzlez Gonzlez

Una vez descargado e instalado, podremos acceder a l desde Active Directory seleccionando las Propiedades de cualquier Unidad Organizativa que vayamos a definir una directiva. Nos aparecer la siguiente pantalla:

Ahora si pulsamos en Abrir se nos abrir una nueva interfaz para la configuracin de las directivas:

En esta nueva interfaz se nos muestran ms claros las directivas aplicadas a cada Unidad Organizativa, por ejemplo, si queremos ver las directivas aplicadas a la Unidad organizativa de director:

35

Miguel ngel Gonzlez Gonzlez

Si queremos dejar de usar esta aplicacin para la administracin de las directivas de grupo basta con dirigirnos a Inicio > Panel de Control > Agregar o quitar programas y desinstalamos la Consola de administracin de directivas de grupo con SP1 de Microsoft:

36