Administración de Directivas de Grupo – Windows Server 2008
En esta ocasión haremos una practica para aprender a administrar Directivas de Grupo Local. Para esta practica usaremos un Sistema Operativo Windows Server 2008R2 .
En el siguiente link se encuentra la guía:
Actividad Directivas de grupos locales
Paso A Paso.
1. Creación de usuarios y grupos. Vamos a crear los siguientes usuarios y grupos:
- Grupo: Killers
o carlos o manuel
- Grupo: Timers
o bruno o benji
Abrimos entonces el panel de control. presionamos start(inicio) y luego panel control(panel de control).
Se abrirá una ventana en la cual damos clic sobre User Accounts(Cuentas de Usuario)
Luego damos clic en Add or remove user accounts(Agregar o eliminar cuentas de usuario)
En la suguiente ventana damos clic en Create a new account(Crear una nueva cuenta)
En la nueva ventana de dialogo ingresamos el nombre del usuario, definimos si es un usuario estándar o Administrador y presionamos el botón Create Account(Crear Cuenta).
Para ponerle contraseña a cada una de las cuentas que acabamos de crear simplemente damos clic en la ventana de cada usuario.
y seleccionamos la opcion Create a password(Crear una contraseña).
En el nuevo cuadro de dialogo definimos la contraseña y presionamos el botón
Create password(Crear contraseña).
De esta forma con los demás usuarios.
Ahora crearemos los grupos killers(manuel, carlos) y timers(bruno, benji). Para ello vamos a Start(Inicio), luego damos clic derecho sobre Computer(Equipo) y seleccionamos la opcion Manage(Administrar).
Se abrira el administrador de el equipo, alli nos dirigimos a Configuration > Local User and Groups > Groups.
Estando en Configuration>Local User and Groups>Groups, damos clic derecho sobre el area de trabajo y seleccionamos la opcion New Group…
Se abrirá una ventana de dialogo en la cual definimos Nombre y miembros de el grupo. Para añadir un miembro damos clic en Add(Agregar).
Se abrirá una nueva ventana en la cual escribimos el nombre de el usuario que será parte de el grupo en este caso carlos y presionamos OK.
Asi mismo añadimos a el grupo killers el usuario manuel y presionamos el boton Create(Crear).
Creamos de la misma manera el grupo timers y añadiremos a los usuarios benji y bruno.
Administrar Directivas Locales De Grupo.
La administracion de las directivas de grupo locales se hace desde Local Group Policity Editor(Editor de politicas de grupo locales), para abrirlo nos dirigimos a Start(Inicio)>Run(Ejecutar).
Se abrira entonces la ventana Run…Alli digitamos gpedit.msc
Podemos ver que hay dos tipos de niveles de configuracion de GPOs.
Computer Confuration(Configuración De Equipo)
User Configuration(Configuración De Usuario)
Primero implementaremos entonces directivas de configuracion de equipo.
Vamos a aplicar una directiva para que la vigencia máxima de la contraseña para todos los usuarios de la máquina sea de 15 días. Para ello vamos a navegar por las GPOs de Configuración de equipo. Vamos entonces a Computer Confiration(Configuración de Equipo)>Windows Settings(Configuración de Windows)>Security Settings(Configuración de Seguridad)>Account Policies(Directivas de Cuenta)>Password Policy(Directivas de Contraseña), damos doble clic sobre Maximum password age(Vigencia máxima de la contraseña), por defecto son 42 dias.
Se abrira una ventana de dialogo en la cual podemos vamos a definir que la contraseña va a tener una vigencia de 15 dias. Luego oprimimos el botonOK(Aceptar).
Las contraseñas deben cumplir con los requisitos de complejidad por defecto de Windows server ¿Cuáles son estos requerimientos?
Los Requerimientos son:
No contener el nombre de cuenta del usuario o partes del nombre completo del usuario en más de dos caracteres consecutivos No contener el nombre de la cuenta o nombre completo. Incluir caracteres de tres de las siguientes categorías: Mayúsculas (de la A a la Z) Minúsculas (de la a a la z) Dígitos de base 10 (del 0 al 9) Caracteres no alfanuméricos (por ejemplo, !, $, #, %) Estos requisitos de complejidad se exigen al cambiar o crear contraseñas.
Para habilitar el cumplimiento de los parametros para las contraseñas vamos a navegar por las GPOs de Configuración de equipo. Vamos entonces a Computer Confiration(Configuración de Equipo)>Windows Settings(Configuración de Windows)>Security Settings(Configuración de Seguridad)>Account Policies(Directivas de Cuenta)>Password Policy(Directivas de Contraseña), damos doble clic sobre Password must meetcomplexity requirements(La contraseña debe cumplir los requisitos de complejidad).
Se abrira una ventana de dialogo en la cual podemos habilitar o desabilitar el cumplimiento de los requerimientos de complejidad de las contraseñas. Seleccionamos la opcion Enable(Habilitar) y luego oprimimos el boton OK(Aceptar).
Procedemos entonces a aplicar la directiva para que cuando los usuarios necesiten cambiar la contraseña, no puedan usar un password que se haya usado antes, por lo menos desde los últimos dos cambios.
Para ellos nos dirigimos entonces a Computer Confiration(Configuración de Equipo)>Windows Settings(Configuración de Windows)>Security Settings(Configuración de Seguridad)>Account Policies(Directivas de Cuenta)>Password Policy(Directivas de Contraseña), damos doble clic sobre Enforce password history(Exigir historial de contraseñas).
Se abrira una ventana de dialogo en la cual podemos configurar cuantas contraseña se guardaran en el historial entre las mas recientes configuradas. En este caso configuraremos para que guarde las dos ultimas contraseñas utilizadas. Oprimimos el botón OK.
Ahora aplicaremos una directiva para que los usuarios del grupo Killers puedan apagar la máquina una vez hayan iniciado sesión, pero los usuarios del grupo Timers no puedan apagar el equipo (Desde el sistema operativo).
Para ello nos dirigimos a Computer Confiration(Configuración de Equipo)>Windows Settings(Configuración de Windows)>Security Settings(Configuración de Seguridad)>Local Policies(Directivas locales)>User rights Assignments(Asignacion de derechos de usuario), damos doble clic sobre Shutdown the system(Apagar el sistema).
Se abrirá una ventana en la cual podemos definir los usuarios a los cuales vamos a permitir que apaguen el sistema. Presionamos entonces el boton Add User Or Group…
Se abrira una ventana en la cual podemos simplemente copiar el nombre de los usuarios o los grupos a los cuales vamos a permitir el apagado de el sistema, por ende permitiremos a todos los usuarios menos a el grupo Timers. Por ende solo agregaremos a el grupo killers y dejaremos los administradores de el sistema. Presionamos el boton OK.
Aplicamos los cambios.
Cambiamos la seccion de usuario y entramos como el usuario benji que pertenece al grupo timers que no debe poder apagar el equipo.
Al iniciar el sistema, presionamos Start>log off y podemos ver que el botón de apagado(Shut down) y reinicio(Restart) de el sistema estan desactivados.
Ahora vamos a permitirle a los usuarios de el grupo timers cambiar la hora de la maquina local.
Para ello nos dirigimos a Computer Confiration(Configuración de Equipo)>Windows Settings(Configuración de Windows)>Security Settings(Configuración de Seguridad)>Local Policies(Directivas locales)>User rights Assignments(Asignacion de derechos de usuario), damos doble clic sobre Change the system time(Cambiar la hora de el sistema).
Se abrirá una ventana en la cual incluiremos a los usuarios y/o grupos a los cuales les permitiremos que cambien la hora, en este caso timers. Presionamos el boton Add user or group…
…escribimos entonces timers y presionamos el boton OK.
Aplicamos los cambios a las GPO.
Cambiamos de usuario, iniciamos entonces sesion con el usuario benji que pertenece al grupo timers.
Damos clic en la barra de herramientas a el icono de la hora y seleccionamos la opción cambiar la configuración de fecha y hora, intentamos hacer cambios y efectivamente el usuario tiene permisos de hacerlo.
Vamos a aplicar políticas que afectan el uso de Internet Explorer. Primero vamos a restringir a los usuarios en general la posibilidad de eliminar el historial de navegación. Para ello vamos a Configuración del equipo>Plantillas administrativas>Componentes de windows>Internet explorer y damos doble clic en la opción Desactivar la funcionalidad”Eliminar el historial de exploración”.
Se abrirá una ventana de dialogo en la cual seleccionamos la opción Habilitada y presionamos el botón aceptar.
Ahora desactivaremos la configuración de el historial.
Vamos a aplicar políticas que afectan el uso de Internet Explorer. Primero vamos a restringir a los usuarios en general la posibilidad de eliminar el historial de navegación. Para ello vamos a Configuración del equipo>Plantillas administrativas>Componentes de windows>Internet explorer y damos doble clic en la opción Deshabilitar la configuración de el historial.
Se abrirá una ventana de dialogo en la cual seleccionamos la opción Habilitada y presionamos el botón aceptar.
Ahora aplicaremos una política para que los usuarios no puedan cambiar el proxy. Para ello primero configuraremos el proxy, vamos a User Configuration(Configuración de usuario)>Windows Settings( Configuración de windows)>Internet explorer Maintenance(Mantenimiento de Internet explorer)>Connection(Conexión) y damos doble clic en Proxy Settings(Configuracion de los servidores proxy).
Se abrirá una ventana de dialogo en la cual seleccionamos la casilla Enable proxy settings(Habilitar configuracion de proxy) y configuramos el proxy y los puertos. Al terminar presionamos el botón OK(aceptar).
Para impedir que los usuarios cambien la configuración anterior vamos a Computer Configuration(Configuración del equipo)>Administrative templates(Plantillas administrativas)>Windows components(Componentes de windows)>Internet Explorer(Internet Explorer) y damos doble clic en Disable changing proxy settings(Desabilitar el cambio de configuracion de proxy).
Se abrirá una nueva ventana de dialogo en la cual seleccionamos la opcion Enable(Habilitar) y luego el botón OK(Aceptar).