DIRECTIVAS DE GRUPO LOCALES

GESTION DE REDES DE DATOS

INTRODUCCION
Cada una de las polticas del sistema establece una configuracin del objeto
al que afecta. Un objeto de directiva de grupo es un conjunto de una o ms
polticas del sistema.
En este trabajo vamos a dar a conocer los siguientes procedimientos sobre
las directivas de grupo en Windows Server para prohibir o administrar
algunas caractersticas, servicios, herramientas, etc. que nos ayudaran a
mejorar la seguridad y la privacidad de nuestro equipo, nuestros grupos y
nuestros usuarios permitiendo al administrador el control total del equipo.

CONTENIDO
1

...Introduccin

...crear usuarios

..................Los usuarios deben loquearse solamente de 7:00

am a 8:00 pm.

...Los usuarios no deben tener acceso al

panel de control

.............Debe usarse el papel tapiz de la empresa,

no debe poder cambiarse

...Los usuarios deben cambiar su

contrasea cada 30 das

...La carpeta documentos de todos los

usuarios a apuntar a una carpeta independiente por usuario que est
dentro de la carpeta compartida.\\controladordominio\publica

...Solo los administradores pueden apagar la

mquina.

...Solo los administradores pueden cambiar

la hora del sistema.

10 ......Todas las mquinas tendrn permanente

la unidad H: que apuntar a la ruta\\controladordominio\compartida

QUE ES UNA DIRECTIVA DE GRUPO

Un objeto de directiva de grupo (GPO: Group Policy Object) es un conjunto de
una o ms polticas del sistema. Cada una de las polticas del sistema
establece una configuracin del objeto al que afecta. Por ejemplo, tenemos
polticas para:
Establecer el ttulo del explorador de Internet
1: Ocultar el panel de control
2: Deshabilitar el uso de REGEDIT.EXE y REGEDT32.EXE
3: Establecer qu paquetes MSI se pueden instalar en un equipo
4: Etc

PROCEDIMIENTO
2. Cree los siguientes usuarios y grupos en Windows Server 2008.
Grupo: Administrativos
Mnica Bran
Juan Prez
Grupo: Directivos
Claudia lozano
Bruno de Jess
Efran Valera
Grupo: Operarios
Estefany Orjuela
Camilo Lpez
Cesar Carvajal
John Gmez
Andrs Gonzlez
NOTA: Cada usuario creado deber cambiar su password al siguiente inicio
de sesin.

1. Para crear los usuarios vamos a inicio, herramientas administrativas,

usuarios y equipos de active directory

Ahora en nuestro dominio le damos clic izquierdo y seleccionamos nuevo,

unidad organizativa (en este caso se llama Call Center)

Nuevamente creamos otras tres unidades organizativas (ADMINISTRADORES,

DIRECTIVOS, OPERADORES)

En cada una de estas unidades organizativas creamos los usuarios

correspondientes

Seleccionamos la primera casilla para que el usuario tenga que cambiar la

contrasea en el prximo inicio de sesin

Y as sucesivamente repetimos con todos los otros usuarios en cada unida

organizativa

Implemente las siguientes polticas o directivas

locales:
Para implementar polticas tenemos que ir ejecutar
All digitamos gpedit.msc , ok.

All podemos cambiar las directivas del equipo y del usuario

Directivas de configuracin de equipo:

3: Los usuarios deben loquearse solamente de 7:00 am a 8:00 pm.
Esta poltica se la (aplicaremos a los operarios) escogemos los usuario
(masivamente) y nos paramos en propiedades

Nos paramos en (cuanta) habilitamos las siguientes casillas

Ya habilitado (hora de sesin) damos clic a esta, y rellenamos las horas

pedidas para loquearse, aceptamos y listo

4: Los usuarios no deben tener acceso al panel de control

Esta poltica se la aplicaremos a (Directivos y operadores). Abrimos nuestro
administrador de directivas de grupo.

En Directivos crearemos una nueva GPO. Estando en administracin de

directivas de grupo vamos a compras clic derecho y crear una nueva GPO

Nombre de la GPO

Vamos a la GPO que se cre y damos clic en editar, Ahora restringir el panel de
control vamos al a siguiente ruta: configuracin de
usuario>directivas>plantillas administrativas>panel de control. Damos clic
derecho sobre prohibir el acceso al panel de control > propiedades.

Habilitamos y aplicamos los cambios y clic en aceptar

5: Debe usarse el papel tapiz de la empresa, no debe poder

cambiarse:
Creamos un GPO o todo Call Center con su nombre respetivo,
aceptamos

Editamos la GPO, en el editor de administracin de directivas de grupo nos

paramos configuracin de usuario, directivas, plantillas administrativas,
escritorio, escritorio; nos paramos en habilitar active desktop y le damos
propiedades

La habilitamos, aplicar y aceptar

Nos paramos en (no permitir cambios) le damos propiedades, e igual esta

habitamos, aplicar y aceptar.

Nuevamente nos paramos tapiz del escritorio y damos en propiedades,

habilitamos, introducimos la ruta donde la imagen corporativa se encuentra
(todos los computadores que dependan del servidor deben de tener la imagen
corporativa guardada en la misma ruta), por ultimo aplicar y aceptar.

6: Los usuarios deben cambiar su contrasea cada 30 das:

Esta poltica la deben tener todos los usuarios del dominio. Editamos
nuevamente la GPO ya existente de Call Center (GPO call canter), en el editor
de administracin de directivas de grupo nos paramos en configuracin de
equipo > directivas > configuracin de Windows > configuracin de seguridad
> directivas de cuenta > directiva de contrasea. Luego le damos clic derecho
sobre vigencia mxima de contrasea > propiedades

Definimos la configuracin de directiva y configuramos que las contraseas

expiren despus de 30 das damos clic en aplicar y luego aceptar

El sistema debe recordar las tres ltimas contraseas cambiadas por el usuario.
La poltica de contraseas debe estar habilitada para usar un password seguro.
Para este caso usamos la misma ruta configuracin de equipo > directivas >
configuracin de Windows > configuracin de seguridad > directivas de cuenta
> directiva de contrasea. Damos clip derecho en almacenar contrasea con
cifrado reversible > propiedades

Habilitamos la configuracin de directiva clic en aplicar luego aceptar

Ahora si podemos configurar, para que el sistema recuerde las tres ltimas
contraseas cambiadas por el usuario y lo hacemos mediante la siguiente ruta:
Configuracin de equipo > directivas > configuracin de Windows >
configuracin de seguridad > directivas de cuenta > directiva de contrasea
Damos clic derecho sobre exigir historial de contrasea, clic en propiedades

Habilitamos la configuracin de directivas y especificamos el nmero de

contraseas a recordar, aplicamos los cambios y luego aceptar

7: la carpeta documentos de todos los usuarios a apuntar a una carpeta

independiente por usuario que est dentro de la carpeta
compartida.\\controladordominio\publica:

Primero que todo creamos la carpeta publica que se va a conectar a las

carpetas (documentos) De todos los usuarios que se le aplique la poltica.

A esta carpeta la compartimos de la siguiente manera, clic derecho en la

carpeta , propiedades y nos paramos en la pestaa compartir

Luego clic en usos compartidos avanzados y sealamos compart esta

carpeta, luego en permisos, aplicamos y aceptar

Le decimos que quite el grupo todos

Cuando no se encuentre ningn grupo nos dirigimos a agregar uno.

Damos en avanzadas, buscamos ahora, y seleccionamos el grupo Domain user

y aceptamos

Con esto le dimos control a Domain users de la carpeta compartida; nos

dirigimos nuevamente a la carpeta C:, de nuevo clic derecho en la carpeta
escogemos compartir , cambiar permisos de usos compartidos

Compartir, listo vemos que la carpeta est perfectamente compartida hora

procedemos a configurar y aplicar la poltica adecuada. (Terminamos dando clic
en (listo)

Estamos en el administracin de directivas de grupo nos dirigimos a nuestra

GPO principal (Call Center),clic derecho editar y procedemos a configurarla.
Configuracin de usuario > directivas >configuracin de Windows >redireccin
de carpeta > documentos

Clic derecho sobre documentos y seleccionamos propiedades, en la pestaa

Destino modificamos esto y buscamos la ruta de la carpeta a compartir

Listo solo falta aplicar y aceptar

8: Solo los administradores pueden apagar la mquina:

Esta poltica se la vamos a aplicar a los (Directivos, operadores)

Editamos nuevamente la GPO ya existente de Directivos y Operadores, en el

editor de administracin de directivas de grupo nos paramos en configuracin
de usuario > directivas > plantillas administrativas > men inicio y barra de
tareas >Luego le damos clic derecho sobre quitar y evitar el acceso a los
comandos apagar, etc. > propiedades

Habilitamos, aplicamos y aceptamos

9: Solo los administradores pueden cambiar la hora del sistema:

Esta poltica ser aplicada a la GPO de Call center
Ingresamos a administracin de directivas de grupo, editamos la GPO, nos
dirigimos a la siguiente ruta, configuracin de equipo > directivas >
configuracin de Windows > configuracin de seguridad > directivas locales >
asignacin de derechos de usuario > cambiar la hora del sistema

Agregaremos quienes pueden (agregar usuario o grupo)

Hacemos una busqueda avanzada de este usuario o grupo

Clic en Buscar ahora y escogemos a administradores, aplicar y aceptar

Vemos que ya quedo, solo queda aplicar y aceptar.

10: Todas las mquinas tendrn permanente la unidad H: que

apuntar a la ruta\\controladordominio\compartida.
Procedemos a crear una carpeta compartida en la unidad C: de nuestro server,
llamada (carpeta H)

La vamos a compartir, clic derecho en propiedades, en la pestaa conpartir

escojemos la opcion (uso compartido avanzado)

Vamos a compartir la carpeta, cdamos clic derecho en la opcion

compartir,luego cambiar permisos de uso compartido

Seleccionamos compartir con Domain users

Como vemos ya esta perfectamente compartidad

Ahora le apricaremo una politica de usuario para que pueda quedar a todos las
maquinas del dominio. Editamos nuestra GPO de Call Center, configuracion de
usuario > preferencias > configuracion de windows > asignacion de unidades

Creamos una nueva unidad asignada, la configuramos de la siguiente manera

Nos dirigimos a la pestaa comune, destinatario

Final mente aplicammos y aceptamos

Vemos que se creo exitosamente

Al renicial el usuario del dominio podemos ver que ya tiene una unidad H