(Ejercicio práctico)
Como administrar en windows server 2008 los
usuarios, grupos y directivas.
Un objeto de directiva de grupo (GPO: Group
Policy Object) es un conjunto de una o más políticas del sistema. Cada una de
las políticas del sistema establece una configuración del objeto al que afecta.
Por ejemplo, tenemos políticas para:
§ Establecer el título del explorador de
Internet
§ Ocultar el panel de control
§ Deshabilitar el uso de REGEDIT.EXE y REGEDT32.EXE
§ Establecer qué paquetes MSI se pueden instalar
en un equipo.
§ Etc. …
Las directivas configuradas pueden hacer
referencia al equipo o al usuario.
Hay que tener cuidado al aplicar las
directivas de grupo locales ya que se aplicarán a todos los usuarios locales,
incluyendo el administrador del sistema.
Lo primero es crear los siguientes usuarios y
grupos en el servidor:
§ ATHLETIC:
§ Iraola
§ Gurpegi
§ ERREALA:
§ Ilarramendi
§ Zurutuza
En usuarios y
equipos de Active Directory, en Users, crear un nuevo grupo en el contenedor
actual ( hay que poner ámbito de grupo dominio local). Crear los usuarios, que
ya explique esto en la entrada de “ Instalación y configuración de una red con
dominio (Directorio Activo)” y después añadir los usuarios a los grupos
creados.
Después, pondremos
las siguientes directivas a las configuraciones de equipo. Lo primero, crear
una unidad organizativa, después, meter los equipos y los usuarios a esa
unidad.
La
vigencia máxima de la contraseña para todos los usuarios de la máquina será
de15 días.
Para ello, en el editor de administración de
directivas de grupo, configuración de equipo, directivas, configuración de
windows, configuración de seguridad, directivas locales, opciones de seguridad,
propiedades de miembro de dominio, “duración máxima de contraseña” y aquí
ponemos 15 días.
Las contraseñas deben cumplir
con los requisitos de complejidad por defecto de Windows server ¿Cuáles son
estos requerimientos?
Estos requisitos vienen activados por defecto
son:
No contener el nombre de cuenta del usuario o
partes del nombre completo del usuario en más de dos caracteres consecutivos.
Tener una longitud mínima de seis caracteres.
Incluir caracteres de tres de las siguientes
categorías:
Mayúsculas (de la A a la Z)
Minúsculas (de la a a la z)
Dígitos de base 10 (del 0 al 9)
Caracteres no alfanuméricos ( por ejemplo ! $
# %)
Estos requisitos de complejidad se exigen al
cambiar o crear contraseñas.
Los usuarios que requieran cambiar su
contraseña no podrán usar un password que se haya usado antes por lo menos
desde los 2 últimos cambios.
Esto se configura en configuración de equipo,
configuración de windows, configuración de seguridad, configuración de cuenta,
directivas de contraseñas en exigir historial de contraseñas.
Los usuarios del grupo ATHLETIC pueden apagar
la máquina una vez hayan iniciado sesión, pero los usuarios del grupo ERREALA
no podrán apagar el equipo (Desde el sistema operativo)
Esto se configura en configuración del equipo,
directivas, configuración de windows, directivas locales, asignación de
derechos de usuarios, apagar el sistema.
Los usuarios del grupo ATHLETIC podrán cambiar
la hora de la máquina local.
En configuración del equipo, directivas,
configuración de windows, configuración de seguridad, directivas locales,
asignación de derechos de usuarios, cambiar la hora del sistema. Entonces, a
los del grupo ERREALA no les va a dejar.
Después, nos pondremos a configurar unas cosas
en el navegador Internet Explorer:
No podrán eliminar el historial de navegación
Esto se puede poner si entramos en
configuración de equipo, plantillas administrativas, componentes de windows,
internet explorer, deshabilitar la configuración del historial, doble clic para
abrir y aplicar y aceptar.
Configuración del historial deshabiltada.
Se configura desde la ruta configuración del
equipo, plantillas administrativas, componentes de windows, internet explorer,
panel de control de internet, y deshabilitar la página general.
No permitir el cambio de las directivas de
seguridad del navegador.
Iremos a configuración del equipo, plantillas
administrativas, componentes de windows, internet explorer, panel de control
internet, deshabilitar la página de seguridad.
Desactivar la ventana emergente de reproducción
automática.
Se configura desde la ruta Configuración del
equipo, Plantillas Administrativas, Componentes de Windows, Directivas de
reproducción automática, Desactivar Reproducción automática.
No permitir el apagado remoto
de la máquina
Se configura desde Configuración del equipo,
plantillas administrativas, componentes de Windows, opciones de apagado,
desactivar interfaz de apagado remoto.
Aplicar cuotas de 50 MB para todos los
usuarios locales y remotos (Esta es un cuota muy baja y es usada solo para los
fines de esta práctica).
Se configura en: Configuración del equipo,
Plantillas administrativas, Sistema, Cuotas de disco. En esta pestaña se
pueden configurar las diferentes opciones para la cuota de disco.
Implementa las siguientes directivas de
configuración de usuario.
§ La página principal que se cargará para cada
usuario cuando abra su navegador será: http://www.txorierri.net
Se configura en: Configuración de usuario,
Configuración de Windows, Mantenimiento de Internet Explorer, Direcciones URL,
Personalizar URL de la página principal.
Restringir desde el navegador el acceso a los
siguientes sitios:www.facebook.com ywww.youtube.com por URL, para todos los
usuarios. El administrador será el único con la contraseña de supervisor para
el Asesor de Contenidos.
Se configura en: Configuración de usuario,
Configuración de Windows, Mantenimiento de Internet Explorer, Seguridad,
Clasificación de contenidos (Importar la configuración actual de restricciones
de contenido), General (cambiamos la contraseña del supervisor) – Sitios
aprobados (ingresamos el sitio WEB a denegar) – clic en “NUNCA”.
Ocultar la unidad C:\ (NOTA: Esto no
restringirá el acceso a dicha unidad)
Se configura en: Configuración de usuario,
Plantillas Administrativas, Componentes de Windows, Explorador de Windows,
Impedir acceso a las unidades desde “Mi PC”.
Ocultar el menú opciones de carpeta del menú
de herramientas. Esto con el fin de que los usuarios no puedan ver archivos
ocultos o cambiar algunas configuraciones de las carpetas.
Se configura en: Configuración de usuario,
Plantillas Administrativas, Componentes de Windows, Explorador de Windows,
Quita el menú opciones de carpeta del menú Herramientas.
Limitar el tamaño de la papelera de reciclaje
a 100MB
Se configura en: Configuración de usuario,
Plantillas Administrativas, Componentes de Windows, Explorador de Windows,
Tamaño de la papelera de reciclaje.
No permitir que se ejecute el solitario y el
buscaminas
Se configura en: Configuración de usuario,
Plantillas Administrativas, Sistema, No ejecutar aplicaciones de Windows
especificadas, solitario y buscaminas.
Ocultar todos los elementos del escritorio
para todos los usuarios.
Configuración del equipo, directivas,
escritorio, ocultar y deshabilitar todos los elementos del escritorio.
Bloquear la barra de tareas
Desde configuración del equipo, directivas,
menú de inicio y barra de tareas, bloquear la barras de tareas habilitado.
Prohibir el acceso del Lecto-escritura a
cualquier medio de almacenamiento extraíble.
Configuración del equipo, directivas, Sistema,
Acceso de almacenamiento extraíble, discos extraíbles denegar acceso de
escritura y lectura (deshabilitar), todas las clases de almacenamiento
extraíble: deshabilitado.
