View
44
Download
1
Category
Preview:
Citation preview
DIRECTIVAS Windows Server 2008 1
DIRECTIVAS DE GRUPO
Proporcionan a los administradores el control
central sobre los privilegios, permisos y
capacidades de los usuarios y los equipos.
Se usan para definir configuraciones
automatizadas para grupos de usuarios y
equipos, incluyendo opciones de configuración del
registro, secuencias de comandos de inicio de
sesión o fin, opciones de seguridad, etc.
Son un conjunto de reglas y configuraciones que
ayudan a administrar usuarios y equipos, y que
rigen las acciones que pueden realizar los
usuarios con un objeto. 2
DIRECTIVAS DE GRUPO
Permiten:
– Controlar el acceso a los componentes de Windows, recursos del sistema, recursos de red, utilidades del panel de control, el escritorio y el menú de inicio.
– Configurar las directivas para el bloqueo de cuentas y contraseñas, auditorías, asignación de derechos a los usuarios y seguridad.
• En un Dominio de Active Directory se pueden aplicar a sitios, a dominios, a unidades organizativas (a un subgrupo dentro de un dominio) o a sistemas individuales.
• En un equipo independiente, que NO pertenece a un dominio, se aplicarán las directivas de grupo local, que se definen y guardan en el sistema local. 3
DIRECTIVAS DE GRUPO
Un equipo independiente dispone de tres niveles de directivas:
– Directiva de grupo local: Aplicar a todos los usuarios del sistema las mismas opciones de configuración tanto de Equipo como de Usuario.
– Directiva de grupo local para administradores y no administradores: Sólo contiene configuración de usuario. Se define una directiva (y se aplica) para los usuarios que pertenecen al grupo Administradores y otra para los que no pertenecen.
– Directiva de grupo local para usuarios: Sólo contiene configuración de usuario. Se define una directiva para un usuario o grupo concreto, y sólo se aplica a él/ellos. 4
DIRECTIVAS DE GRUPO
La configuración de las directivas de grupo se divide en dos categorías, según el momento de aplicación:
– Configuración de Equipo:
• Agrupan todos los parámetros de configuración que pueden establecerse a nivel de equipo.
• Se aplican durante el inicio del sistema, con independencia del usuario que vaya a iniciar la sesión.
– Configuración de Usuario:
• Agrupan parámetros de configuración que pueden establecerse a nivel de usuario.
• Se aplican durante el inicio de sesión del usuario, con independencia del equipo en el que haya iniciado la sesión.
5
DIRECTIVAS DE GRUPO
Cada categoría de las directivas de grupo se divide:
– Configuración de Software. Contiene la configuración, del equipo o del usuario, de la instalación automática de software.
– Configuración de Windows. Contiene la configuración de ciertos parámetros de Windows, como parámetros de seguridad o scripts, para el equipo o el usuario.
– Plantillas administrativas. Contiene las políticas y configuraciones que se guardan en el registro de Windows, para el equipo o el Usuario .
La misma directiva puede existir para equipos y para usuarios, aunque, generalmente, con significados y parámetros distintos. Si hay conflicto al aplicar una directiva, la última en aplicar válida.
6
DIRECTIVAS DE GRUPO
Configuración software.
– Configura las directivas para la configuración e instalación de software.
– Contiene el objeto Instalación del software, que es usado para distribuir SW y actualizaciones de SW a los usuarios.
– Al asignar una aplicación a los usuarios, se le avisa la próxima vez que inicie la sesión, pero se instalará la primera vez que la ejecute.
– Si la asignación es a un equipo, la aplicación se anuncia y se instala automáticamente cuando el equipo se reinicie o un usuario inicie la sesión.
– Sólo en directivas de dominio. 7
CONFIGURACIÓN DE WINDOWS
– Configura las directivas para redirección de carpetas, ficheros de comandos y seguridad.
– Se tienen las opciones:
• Archivos de comandos (inicio/apagado)
• Configuración de seguridad
– Archivos de comandos (inicio/apagado)
• Se indican los ficheros que se ejecutarán automáticamente durante el inicio o apagado del equipo o durante el inicio o cierre de sesión del usuario.
• En Configuración del equipo → inicio/apagado del equipo.
• En Configuración del usuario → el inicio/cierre de sesión por un usuario.
8
ARCHIVOS DE COMANDOS
– Archivos de comandos para Inicio/Apagado de equipos:
• Los ficheros a utilizar se deben almacenar en el directorio:%SystemRoot%\System32\GroupPolicy\Machine\Scripts\
– Dentro del subdirectorio Startup para el inicio
– En el subdirectorio Shutdown para el apagado
– Archivos de comandos para Inicio/Cierre de sesión de usuario:
• Los ficheros a usar se deben almacenar en el directorio:%SystemRoot%\System32\GroupPolicy\User\Scripts
– Dentro del subdirectorio Logon para el inicio de sesión
– En el subdirectorio Logoff para el cierre de sesión 9
CONFIGURACIÓN DE SEGURIDAD
– Las directivas de Configuración de seguridad
permiten configurar los aspectos referentes a la
seguridad del sistema. Se definen fundamentalmente
a nivel de equipo. Los tipos de directivas de
Configuración de seguridad son:
• Directivas de cuentas: que permiten configurar
directivas sobre las cuentas de los usuarios. Se tienen
2 grupos:
– Directiva de contraseña, restricciones relacionadas
con el tamaño y duración temporal de las contraseñas.
– Directiva de bloqueo de cuentas, duración, umbral y
contador de restablecimiento de bloqueo. 10
CONFIGURACIÓN DE SEGURIDAD
– Directiva de auditoría, permite fijar los parámetros de observación del sistema para realizar el control del mismo, activando/desactivando el registro de sucesos específicos
– Asignación de derechos de usuario, define derechos tales como “inicio de sesión local”, “el acceso a la red”, “crear ficheros de paginación”, “denegar el inicio de sesión localmente”, etc.
– Opciones de seguridad, permite modificar valores del registro específicos relacionados con la seguridad, p.e. “Comportamiento ante la instalación de un controlador no firmado” o “Pedir al usuario que cambie la contraseña antes de que caduque”, o “Estado de la cuenta invitado”, etc.
11
PLANTILLAS ADMINISTRATIVAS
– Proporcionan una manera sencilla de acceder a
las configuraciones de las directivas basadas en
registro que puede configurar.
– Cada directiva tiene una explicación detallada de
la misma.
– Las configuraciones se guardan en el registro en
HKEY_LOCAL_MACHINE y HKEY_CURRENT_USER
12
PLANTILLAS ADMINISTRATIVAS
– Contiene todas las configuraciones de políticas
basadas en el registro de W2008, incluyendo las
que controlan el funcionamiento del sistema
operativo, de los componentes y de algunas
aplicaciones, la apariencia del escritorio, etc.
– Se configuran con los ficheros de plantillas, que
se pueden agregar o eliminar, según se quiera
configurar o no los detalles de esa plantilla.
– Podemos modificar cada plantilla para habilitar o
deshabilitar sus directivas.
13
PLANTILLAS ADMINISTRATIVAS
• Componentes de Windows que permiten
configurar los componentes del sistema operativo,
como Internet Explorer o Windows Update.
• Sistema que ayudan a controlar funcionalidades
del sistema, como los perfiles de usuario, las
cuotas de disco, detalles del inicio de sesión:
– P.e., dentro de Inicio de sesión, “Permitir sólo
perfiles de usuario locales” o “Cerrar la sesión de
los usuarios cuando hay un error en el perfil
móvil”. 14
PLANTILLAS ADMINISTRATIVAS
– Dentro de Cuotas, “Habilitar las cuotas de disco” o “Límite de cuota o nivel de aviso predeterminado”.
• Red para ajustar los componentes del sistema operativo que conectan un equipo cliente a la red, por ejemplo, cómo trabajar con los archivos de red sin conexión.
• Impresoras contiene configuraciones para administrar impresoras de red y la publicación de opciones. Por ejemplo:
– Permitir que se publiquen impresoras.
– Publicar automáticamente impresoras nuevas en Active Directory. 15
PLANTILLAS ADMINISTRATIVAS
– En la configuración del usuario hay plantillas para:
• Componentes de Windows que permiten configurar los componentes del sistema operativo, como Internet Explorer o Windows Update. P.e., en Explorador de Windows se tiene “Quitar el menú Opciones de carpeta del menú Herramientas”.
• Menú de Inicio y barra de tareas para agregar, eliminar y deshabilitar partes del menú de Inicio y la barra de tareas. P.e., “Quitar el menú Favoritos del menú Inicio” o “Deshabilitar Cerrar sesión en el menú Inicio”. 16
PLANTILLAS ADMINISTRATIVAS
• Panel de control que permite ajustar el panel de
control y detalles sobre las impresoras, la
pantalla, la acción de Agregar o quitar programas
etc.
P.e., “Deshabilitar el panel de control” o
“Protectores de pantalla”
• Sistema para controlar aspectos como los perfiles
de usuario, aspectos de inicio de sesión, o de las
opciones de Ctrl+Alt+Supr. P.e.: Dentro de
“Opciones de Ctrl+Alt+Supr” está “Quitar el
bloqueo de equipos” 17
PLANTILLAS ADMINISTRATIVAS
Administración de directivas de grupo local:
– Abrir la Consola de administración de equipos
(con la orden mmc).
– A continuación, agregar el complemento Editor
de objetos de directiva de grupo
• Puede seleccionar el equipo local o uno remoto
• Puede seleccionar un usuario/grupo o
Administradores/No administradores.
18
PLANTILLAS ADMINISTRATIVAS
– Dos nodos principales:
• Configuración de Equipo.
• Configuración de Usuario.
– Ambos tendrán los subnodos:
• Configuración software.
• Configuración de Windows.
• Plantillas administrativas.
19
DIRECTIVAS DE GRUPO
A las directivas de Configuración de seguridad,
también se puede acceder desde el menú
Herramientas administrativas, con Directivas de
seguridad local.
• La actualización de las directivas de grupo se realiza:
– Cada vez que se arranca el sistema, las directivas de
equipo.
– Cuando un usuario inicia una sesión, las de usuario.
– Durante la actualización en segundo plano de la
directiva de grupo, que se realiza cada 90 minutos,
con un desplazamiento aleatorio entre 0 y 30 minutos.
– De forma manual, al ejecutar la herramienta
gpupdate.exe. 20
EJERCICIO
Prohíbe que los usuarios puedan bloquear el
equipo.
Configura el sistema para que NO se pueda usar
el protector de pantalla. Nota: lee la descripción
de la directiva para saber qué opción concreta
hay que seleccionar.
Entra con el usuario usuario01 y comprueba que
las directivas establecidas están funcionando.
21
EJERCICIO
Para el usuario usuario02 establece además que
no pueda usar el Panel de control. Para ello sigue
los siguientes pasos:
a) Abre la Consola de Administración, ejecutando
la orden mmc.exe.
b) Agreda el componente Editor de Objetos
Directiva.
c) A continuación, en el cuadro de diálogo
selecciona “Examinar” y a continuación en la
ficha Usuarios selecciona usuario02.
d) Localiza la directiva indicada y actívasela. 22
EJERCICIO
Entra al sistema con el usuario usuario02 y
comprueba que además de las directivas
anteriores, esta también se le aplica.
Entra al sistema con el usuario usuario01 y
comprueba que la nueva directiva no se le aplica.
23
Recommended