Administración de Usuarios, Grupos y Directivas en Windows Server

Aupa, en esta práctica voy a  comentar como se administran los usuarios, grupos y directivas de Windows Server.

Hay que tener cuidado al aplicar las directivas de grupo locales ya que se aplicarán a todos los usuarios locales,incluyendo el administrador del sistema. Por lo tanto en esta práctica no aplicaremos ciertas políticas como son: desactivar el menú ejecutar, ocultar panel de control, entre muchas otras.

1.- Creamos los siguientes usuarios y grupos en nuestro servidor:
• (Grupo) ATHLETIC:
(Usuario) Iraola
◦ (Usuario) Gurpegi
•(Grupo) ERREALA:
◦(Usuario) Ilarramendi
◦(Usuario )Zurutuza

1- Abrimos el Server y creamos los grupos Althetic y erreala.Para hacer esto entramos en Inicio/herramientas administrativas/administración de equipo/usuarios y grupos locales.En la “pantallita” que nos sale tenemos a los usuarios y a los grupos.

Para crear los Usuarios hacemos clic derecho en usuarios- usuario nuevo-nombre de  usuario-contraseña-confirmar contraseña y le damos a crear.
Esto lo hacemos para crear los cuatro usuarios de los dos grupos Iraola,Gurpegui.Ilarramendi y Zurutuza.

vvvv

Para crear los Grupos hacemos clic derecho en grupo- grupo nuevo, nombre de el grupo y en miembros le damos a agregar  pones el nombre de el usuario anteriormente  creado y le das comprobar, aceptar y por ultimo crear asi agregas los usuarios a cada grupo. Esto mismo lo hacemos para crear ambos grupos.

vvvv

imagen atlhetic

2.- Implementa las siguientes directivas de configuración de equipo.

No nos deja modificar las directivas estan en gris con una candado, ni aun siendo el administrador. Tenemos un problema de herencia de directivas que estan bloqueadas para mantener la seguridad del sistema. Se pueden crear unidades organizativas dentro del dominio donde podemos meter equipos y usuarios.Y dentro de esas unidades si deja modificar. Generamos una unidad  y metemos a los usuarios y hay nos deja modificar las directivas.

Estos son los pasos a seguir entramos en herramientas administrativas-administración de directivas de grupo-práctica 91.net-práctica 94 unidad de prueba-herencia de las directivas de grupo y en Default Domain Policy hacemos doble click nos da un aviso y aceptar.

aaa

Después en Default Domain Policy-configuración -en directiva boton derecho y seleccionamos edición y ahi estan todas las directivas de equipo y usuario.Al dia siguiente nos pedirá contraseña para entrar a la práctica 91/Administrador.El snashop esta bien para no liarla con las directivas.

rrrr

eeee

-La vigencia máxima de la contraseña para todos los usuarios de la máquina será de15 días.

Para hacer esta tarea vamos a Configuración del equipo-Configuración de Windows-Configuración de seguridad-Directivas de cuenta-Directivas de contraseña-Vigencia máxima de la contraseña. En este caso la configuraremos de 15 días de vigencia.

-Las contraseñas deben cumplir con los requisitos de complejidad por defecto de Windows server.¿Cuáles son estos requerimientos?

Para activar esta opción entrarmos en configuración de equipo-configuración de Windows-directivas de seguridad local-directivas de cuenta-directivas de contraseña y habilitamos que las contaseñas deben seguir los requisitos de complejidad,como se puede observar en esta imagen:

ccccc

Si activamos que las contraseñas deben cumplir con los requisitos de complejidad deberemos cumplir unos requisitos:

-El nombre de usuario no puede tener dos caracteres consecutivos.

-El nombre tiene que ser mayor de 6 caracteres.

-Incluir caracteres de tres de las siguientes categorías:

  • Mayúsculas (de la A a la Z)
  • Minúsculas (de la a a la z)
  • Dígitos de base 10 (del 0 al 9)
  • Caracteres no alfanuméricos (por ejemplo,!, $, #, %)
Todos estos requisitos se exigen cuando creamos una contraseña o la cambiamos.
Valor predeterminado:

  • Habilitada en controladores de dominio.
  • Deshabilitada en servidores independientes.
Nota: de forma predeterminada, los equipos miembros usan la configuración de suscontroladores de dominio.

-Los usuarios que requieran cambiar su contraseña no podrán usar un password que se haya usado antes por lo menos desde los 2 últimos cambios.

Para realizar esta tarea vamos a configuración de equipo,configuración de Windows,directivas de seguridad local,directivas de cuenta,direcivas de contraseña y pinchamos en exigir historial de contraseñas.Nos sale esta pantalla y en guardar el historial de contraseñas ponemos 2 y aceptar.

-Los usuarios del grupo ATHLETIC pueden apagar la máquina una vez hayan iniciado sesión, pero los usuarios del grupo ERREALA no podrán apagar el equpo (Desde el sistema operativo).

Para hacer esta tarea entramos en Configuración de equipo-configuración de Windows-configuración de seguridad-directivas de cuenta-directivas locales-asignación de derechos de usuarios y elegimos apagar sistema.

-Los usuarios del grupo ATHLETIC podrán cambiar la hora de la máquina local.

Para que los usuarios del Athletic puedan cambiar la hora de la maquina local vamos a Configuración de equipo-configuración de Windows-configuración de seguridad-directivas de cuenta-directivas locales-asignación derechos de usuario-cambiar la hora del sistema y hacemos doble click y agregamos a los usuarios o grupos.Nosotros en nuestra práctica  agregaremos a Iraola y Gurpegi  y les damos a comprobar nombres,aceptar los usuarios del grupo Athletic,aplicar y aceptar.

-Todos los usuarios tendrán las siguientes restricciones al usar el navegador Internet Explorer:

  • No podrán eliminar el historial de navegación

Para activar esta restricción entramos en Configuración de equipo-plantillas administrativas-componentes de Windows-Internet Explorer-deshabilitar la configuración del historial, hacemos doble clic y  escogemos deshabilitada.Seguidamente le damos a aplicar y aceptar.

  • No se permitirá el cambio de proxy

Para activar esta restricción entramos en Configuración de usuario-configuración de Windows-configuración de seguridad-mantenimiento de Internet Explorer-conexión-configuración de los servidores proxy hacemos doble clic y escogemos habilitar configuración de proxy ponemos el proxy y el puerto también escogemos utilizar el mismo servidor proxy para todas la direcciones aplicar y aceptar.

  • Configuración del historial deshabiltada.

Para activar esta restricción entramos en Configuración de equipo-plantillas administrativas-componentes de Windows -Internet Explorer-panel de control de internet-deshabilitar la pagina general y hacemos doble click y escogemos deshabilitada y le damos a aplicar y aceptar.

  • No permitir el cambio de las directivas de seguridad del navegador

Para activar esta restricción entramos en Configuración de equipo-plantillas administrativas-componentes de Windows-Internet Explorer-panel de control de internet-deshabilitar la pagina seguridad y hacemos doble clic y escogemos deshabilitada y le damos a aplicar y aceptar

-Desactivar la ventana emergente de reproducción automática.

Para hacer esta tarea entramos en Configuración de equipo-plantillas administrativas-componentes de Windows-directivas de reproducción automática y hacemos doble clic y escogemos deshabilitada  y le damos a aplicar y aceptar.

-No permitir el apagado remoto de la máquina.

Para hacer esta tarea entramos en Configuración de equipo-plantillas administrativas-componentes de Windows-opciones de apagado-desactivar interfaz de apagado remoto heredada y hacemos doble clic para abrir escoger deshabilitada y le damos a aplicar y aceptar.

-Aplicar cuotas de 50 MB para todos los usuarios locales y remotos (Esta es un cuota muy baja y es usada solo para los fines de esta práctica).

Para realizar esta tarea entramos en Configuración de equipo-plantillas administrativas-sistema-cuota de disco-limite de cuota y nivel de aviso predeterminados doble clic para abrir propiedades de limite de cuota y nivel de aviso predeterminados y escogemos habilitada en valor poner 50 unidades MB y le damos a aplicar y aceptar.

-La página principal que se cargará para cada usuario cuando abra su navegador será: http://www.txorierri.net

Para que la página principal se cargue para cada usuario cuando abramos el navegador entramos en Configuración de usuario-configuración de Windows-mantenimiento de Internet Explorer-direcciones URL-direcciones URL importantes y hacemos doble clic y escogemos personalizar URL de la pagina principal. Escribimos http://www.txorierri.net y le damos a aplicar y aceptar.

-Restringir desde el navegador el acceso a los siguientes sitios: www.facebook.com ywww.youtube.com por URL, para todos los usuarios. El administrador será el único con la contraseña de supervisor para el Asesor de Contenidos.

Para restringir estos accesos entramos en Configuración de usuario-configuración de Windows-mantenimiento de Internet Explorer-seguridad-zonas de seguridad y  clasificación de contenido y hacemos doble clic.Nos sale una pantalllita y entramos en clasificación de contenido y metemos las dos direcciones de facebook y youtube y aplicar y aceptar.

dddd

-Ocultar la unidad C:\ (NOTA: Esto no restringirá el acceso a dicha unidad)

Para ocultar la unidad C entramos en Configuración de usuario-plantillas administrativas-Componentes de Windows-Explorador de Windows-Impedir acceso a las unidades desde Mi PC hacemos doble clic y escogemos deshabilitada aplicar y aceptar.

-Ocultar la menú opciones de carpeta del menú de herramientas. Esto con el fin de que los usuarios no puedan ver archivos ocultos o cambiar algunas configuraciones de las carpetas.

Para ocultar el menu de opciones de carpeta del menu de herramientas entramos en Configuración de usuario-Plantillas Administrativas-Componentes de Windows -Explorador de Windows-Quitar el menú opciones de carpeta del menú Herramientas  hacemos doble clic y escogemos deshabilitada y le damos a aplicar y aceptar.

-Limitar el tamaño de la papelera de reciclaje a 100MB

Para limitar el tamaño de la papelera de reciclaje a 100MB entramos en Configuración de usuario-Plantillas Administrativas-Componentes de Windows-Explorador de Windows -Tamaño de la papelera de reciclaje hacemos doble clic y elegimos habilitada.Seguidamente  ponemos 100MB y le damos a aplicar y aceptar.

-No permitir que se ejecute el solitario y el buscaminas

Para no permitir que se ejecute esta tarea entramos en Configuración de usuario-Plantillas Administrativas-Sistema-No ejecutar aplicaciones de Windows especificadas hacemos doble clic y escogemos habilitada. Seguidamente hacemos clic en mostrar agregar solitario y buscaminas agregar aplicar y aceptar.

-Ocultar todos los elementos del escritorio para todos los usuarios.

Para ocultar esta tarea entramos en Configuración de usuario-Plantillas Administrativas-Escritorio-Ocultar deshabilitar todos los elementos del escritorio hacemos doble clic y escogemos habilitada y le damos a aplicar y aceptar.

-Bloquear la barra de tareas

Para bloquear la barra de tareas entramos en Configuración de usuario-Plantillas Administrativas-Menú Inicio y barra de tareas-Bloquear barra de tareas hacemos doble click y escogemos habilitada y le damos a aplicar y aceptar.

Prohibir el acceso del Lecto-escritura a cualquier medio de almacenamiento extraible

Para prohibir esta tarea entramos en Configuración de usuario-Plantillas Administrativas-Sistema-Acceso de almacenamiento extraíble-Discos extraíbles: Denegar el acceso de escritura-Discos extraíbles: Denegar el acceso de lectura a cada hacemos doble clic y escogemos habilitada y le damos a aplicar y aceptar.

Valoración personal:

Esta práctica me a parecido muy interesante ya que es muy útil si quieres configurar por ejemplo los equipos de una empresa y con las directivas podemos hacer muchas restricciones para los usuarios o grupos.

Fuentes consultadas:

http://xabiamezaga.wordpress.com/

http://gis322.blogspot.com.es/2011/03/directivas-de-grupo-en-windows-server.html

http://es.scribd.com/doc/49850173/DIRECTIVAS-DE-GRUPO-GPO-EN-WINDOWS-SERVER-2008

 

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s