Mod 1-Directivas de Grupo

1

Sistemas Operativos 2 - Rev. 1.0-2015

Mdulo 1:

Administracin centralizada usando

Directivas de Grupo del dominio


Configuracin Laboratorio de SO2

Uruguay

(sisop.ort.edu.uy)

192.168.1.100

Windows 2008 R2 (Server)

Windows 8.1 (host)

Usuario Contrasea

Windows 8.1 EstudianteSO2

Windows 2008 r2

Dominio: ACME.COM

Administrator

Uruguay

(sisop.ort.edu.uy)

192.168.1.100

2


Repaso Sistemas Operativos 1

Base de datos

de Directorios Local

Dominio

Administracin centralizada

Creacin de

usuarios Computer Management (Administracin Equipo)

Active Directory Users & Computers

Grupos Predefinidos Local / Built-In / del sistema

Del Dominio

Propiedades Miembro y Member of


Repaso Sistemas Operativos 1

File System FAT

NTFS

Permisos

NTFS Standard / Especiales

Permisos efectivos

Herencia Bloqueo de herencia

Carpetas

compartidas Permisos:

Nomenclatura UNC

Permisos carpetas compartidas & Permisos NTFS

3


Laboratorio 1.1 : Repaso Sistemas Operativos 1

1. Iniciar sesin en Servidor Windows 2008 como Administrator

2. Crear una MMC con Active Directory Users and Computers

y Computer Management- Guardarla en el

escritorio con el nombre Consola Rapida

3. Crear las siguientes OU en el dominio:

4. Crear un grupo EMPLEADOS y los usuarios

JEFE, EMPLE01, EMPLE02 y EMPLE03 (Todos con clave: Clave01)

5. Sin cerrar sesin, abrir otra sesin con el usuario EMPLE01. porqu no puede? Solucionarlo

6. Agregar a JEFE al grupo Domain Admins Qu efecto tiene sobre los equipos cliente del dominio?


1. Como administrator, crear la carpeta DATOS y

las subcarpetas siguientes:

2. Asignar a EMPLEADOS los permisos R,LF,RX,W

sobre la carpeta DATOS.

3. Compartir la carpeta DATOS como

DOCUMENTOS con los permisos por defecto Cules son las UNC para acceder remotamente a DATOS y a PUBLICOS?

4. Iniciar sesin como EMPLE01

5. Accediendo desde la UNC, crear un archivo en la carpetas compartida

DOCUMENTOS

porqu no puede? Solucionarlo

6. Cerrar sesin como EMPLE01 y volver a la sesin como Administrator

Laboratorio 1.2 : Repaso Sistemas Operativos 1

4


Configuracin del sistema operativo Windows

El sistema operativo Windows y las aplicaciones que se ejecutan en su

ambiente se configuran en base a ciertos parmetros que se almacenan en

una base de datos LOCAL A CADA EQUIPO conocida como REGISTRY.

El registry se compone de varios archivos,

almacenados en varias carpetas del equipo.

Por ejemplo: c:\Windows\System32\Config\

El registry se modifica:

Editndolo directamente con REGEDIT

Modificando opciones de men en las aplicaciones

Aplicando Directivas de Grupo (Group Policies)

SAM

Security

Software

System

Default


Estructura del REGISTRY

5 Secciones (Hives):

Classes Root

Users

Current User

Local Machine

Current Config

Clave Tipo Valor

5


A partir del video presentado conteste las siguientes preguntas:

1. Cul es la utilidad de los archivos .reg? cmo se crean?

2. Cuando el usuario da doble click sobre el archivo carta.pdf, automticamente

se ejecuta el programa Acrobat. En qu seccin del Registry se configura

esta relacin?

3. Se va a cambiar una clave de la seccin HKEY_LOCAL_MACHINE. Ante la

posiblidad de un error, se desea tener un respaldo

1. Indique opciones y que tems debe seleccionar para realizar el respaldo.

Especifique un nombre de archivo de respaldo como ejemplo

2. Suponiendo que el sistema fall y no levanta automticamentequ pasos, teclas y comandos debe considerar para reconstruir los valores del

registry anterior?

Tutorial 1.1 : Composicin del Registry


Configuracin de Windows con Directivas de Grupo)

Los parmetros del Registry de Windows pueden ser alterados aplicando una o ms directivas de grupo

Mtodo ms seguro y sencillo para el usuario

No modifican realmente el Registry

Existen parmetros adicionales a los provista por herramientas de Windows y las aplicaciones

Aplican solo a los objetos Computer y User

6


En cada equipo Windows, existe un objeto de Directiva de Grupo Local (Local Computer Policy)

Si el equipo pertenece a un dominio se aplican tambin directivas de

que se encuentran definidas en un Objeto de Grupo de Dominio

(Group Policy Object) - GPO

Los GPOs se pueden aplicar en:

Sitios (Sites)

Dominio

OU

Configuracin de Windows con Directivas de Grupo)


Creacin de objetos de directivas de dominio GPO

GPOs por defecto

para Dominio y para

Domain Controllers Contenedor que

incluye a todos

los GPOs

Forest,

Dominio Site

7


Configuracin de las directivas en un GPO


Aplicacin de directivas:

Directivas de Equipo se aplican al arranque/ apagado equipo

Directivas de Usuario se aplican al iniciar/cerrar sesin

Cada 90 minutos (+/- unos minutos)

Aplicacin forzada:

GPUPDATE /FORCE

Configuracin de las directivas en un GPO

8


Aplicar las directivas del GPO : Vnculos (Links)

Las GPOs de dominio y de Domain Controllers

ya estn vinculadas por

defecto

En una OU o Dominio puede haber ms de un

vnculo

Una GPO puede tener

vnculos a ms de una

OU o al Dominio


Orden de aplicacin de las GPOs

Site

Domain

OU OU

OU

GPO2

GPO3

GPO4

GPO5

GPO1

Local policy Al encender el equipo se aplican solamente las directivas de Equipo de los GPO que afectan al objeto equipo

Luego, al iniciar sesin se aplican las directivas de usuario que afectan al objeto usuario

9


Orden de aplicacin de las GPOs

Permite cambiar el

orden de aplicacin

El lugar 1 es el ltimo en

aplicarse, y por lo tanto el que

prevalece si hay conflicto de

directivas


Herencia y bloqueo de directivas

Ventas

Produccin

Dominio

Objetos GPO

No se aplica la

configuracin del

objeto GPO

10


Herencia y bloqueo de directivas

Luego del bloqueo:


Aplicacin forzada de una GPO (link enforced)

Efectos sobre la herencia:

11


Administrar aplicacin de GPOs - links


Parte 1: preparacin

Agregar el complemento Group Policy Management a la MMC creada anteriormente

Desde Group Policy Management, crear una OU llamada ANEXOS

Crear tres GPOs llamadas GPO1, GPO2 y GPO3

Linkear GPO1 al dominio y GPO2 & GPO3 a la OU LUGARES

Linkear GPO3 a la OU ANEXOS

Laboratorio 1.3 : Crear GPO del Dominio

12


Parte 2: resolver:

Cules GPO se aplican en la OU LUGARES?

Hacer que Default Domain Policy no se aplique en LUGARES, pero GPO1 s se aplique siempre.

Qu GPO se aplican en EQUIPOS?

Suponiendo que el orden de aplicacin de GPO no sea importante en otras OU, pero s para EQUIPOS, Cmo hara para que GPO3 se aplique luego que GPO2?

Temporalmente la GPO3 no deber aplicarse en ANEXOS

Laboratorio 1.3 : Crear GPO del Dominio


Administrar aplicacin de GPOs: Filtro de seguridad

13


Administrar aplicacin de GPOs : Delegar permisos

Sobre Group Policy Objects la opcin Delegation permite

definir quines son los owners

por defecto de las GPOs


Administrar aplicacin de GPOs : Details

14


Visualizar la configuracin de la GPO


Parte 1: preparacin

En ANEXOS, crear un grupo Supervisores. Luego crear 3 usuarios todos con clave Clave01.

Agregar al grupo Supervisores 2 de los usuarios creados .

Agregar al usuario EMPLE01 a dicho grupo (creado en Lab 1.1)

Crear una GPO4 aplicada a ANEXOS que tenga habilitada la directiva: Remove programas on Setting Menu

Asegurarse que dicha directiva fue activada (listado en opcin Settings de GPO4)

Laboratorio 1.4 : Aplicar filtros de seguridad

15


Parte 2: resolver:

Se pretende que la directiva configurada en GPO4 aplique solamente al grupo Supervisores.

Probar que efectivamente se cumple para uno de los usuarios creados y que pertenece al grupo

Probar que no se aplica para el usuario creado que no pertenece al grupo

Probar si se aplica al usuario EMPLE01Porqu no se aplica siendo que Emple01 pertenece al grupo?

Laboratorio 1.4 : Aplicar filtros de seguridad


RESPALDAR directivas del GPO

RECUPERAR RESPALDO del GPO

IMPORTAR directivas desde un GPO respaldado

COPIAR un GPO a partir de otro GPO

Tutorial 1.2 : Administrar los objetos GPO

VIDEO EN INGLS

16


RESUMEN DE LA UNIDAD

Las directivas de grupo permiten configurar Windows en forma sencilla y segura. Hay menos riesgo al no modificar realmente el Registry.

Existen GPO locales y GPO en el Dominio. Las directivas en una GPO se agrupan en Configuracin de Usuario y Configuracin de Equipo.

Las GPOs se aplican (links) en cierto orden: Local, Sitio, Dominio, OUs. En una misma OU el orden es configurable. Primero se aplican directivas de equipo y luego de usuario.

En directivas iguales, prevalece el valor de la directiva de la OU que se aplica ltimo.

La herencia de directivas se puede bloquear, salvo que se hubiera aplicado un GPO con link forzado

El filtro de seguridad permite que las directivas del GPO apliquen solo a ciertos grupos, usuarios o equipos.

La propiedad Delegation permite asignar permisos. Para ejecutar un GPO se requiere que el usuario tenga el permiso Read

Se recomienda respaldar las GPO ms crticas

Documents

Mod 1-Directivas de Grupo