Directivas de grupo locales (GPL) Windows Server 2008 R2
kwmitasdvf
53,506 views
41 slides
Dec 11, 2013
Slide 1 of 41
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
About This Presentation
No description available for this slideshow.
Slide Content
GPL (DIRECTIVAS DE GRUPO LOCALES) EN WINDOWS SERVER 2008 R2.
ANGIE VIVIANA LONDOÑO ÁLVAREZ.
NILSON ANDRÉS LONDOÑO HERNANDEZ.
CAMILA MARTÍNEZ LÓPEZ.
Tecnología en Gestión de Redes de Datos.
Ficha: 455596.
Instructor.
Mauricio Ortiz Morales.
SERVICIO NACIONAL DE APRENDIZAJE (SENA)
CENTRO DE SERVICIOS Y GESTIÓN EMPRESARIAL (CESGE)
MEDELLÍN ANTIOQUIA.
2013
1
ANGIE VIVIANA LONDOÑO ÁLVAREZ.
NILSON ANDRÉS LONDOÑO HERNANDEZ.
CAMILA MARTÍNEZ LÓPEZ.
Tecnología en Gestión de Redes de Datos.
Ficha: 455596.
Instructor.
Mauricio Ortiz Morales.
SERVICIO NACIONAL DE APRENDIZAJE (SENA)
CENTRO DE SERVICIOS Y GESTIÓN EMPRESARIAL (CESGE)
MEDELLÍN ANTIOQUIA.
2013
1
Indice.
Introducción......................................................................................................................................3
Creación de usuarios y grupos........................................................................................................4
Creación de usuarios.......................................................................................................................4
Creación de grupos e integración de usuarios................................................................................6
Directivas de configuración de equipo...........................................................................................11
Directivas de configuración de usuario.........................................................................................29
Conclusiones.................................................................................................................................40
2
Introducción......................................................................................................................................3
Creación de usuarios y grupos........................................................................................................4
Creación de usuarios.......................................................................................................................4
Creación de grupos e integración de usuarios................................................................................6
Directivas de configuración de equipo...........................................................................................11
Directivas de configuración de usuario.........................................................................................29
Conclusiones.................................................................................................................................40
2
Introducción.
Lasdirectivasdegrupo(GPO)esuncomponentequeposeelafamiliadesistemasoperativos
Windowsenelcualsedefinenlasreglasopolíticasquecompondráocompartirátodoun
ambientedecuentasdeusuarioenunsistemainformático;estetipodereglascontrolanel
contenidoalquelosusuariospuedenaccederonodeacuerdoalaconfiguraciónaplicaday
medianteunsistemaoperativoWindowsServersedeterminacuálespolíticasdelsistemaserán
aplicadasacadausuarioy/oequipoqueseencuentreenundominio,sitioounidadorganizativa.
Generalmentelagestióncentralizada,configuracióndesistemasoperativosygestiónde
usuarios se lleva a cabo bajo un Active Directory (Directorio Activo).
Lasdirectivasdegrupolocales(GPL)sondirectivasdegrupoquesóloseaplicanparaunhost
local único.
3
Lasdirectivasdegrupo(GPO)esuncomponentequeposeelafamiliadesistemasoperativos
Windowsenelcualsedefinenlasreglasopolíticasquecompondráocompartirátodoun
ambientedecuentasdeusuarioenunsistemainformático;estetipodereglascontrolanel
contenidoalquelosusuariospuedenaccederonodeacuerdoalaconfiguraciónaplicaday
medianteunsistemaoperativoWindowsServersedeterminacuálespolíticasdelsistemaserán
aplicadasacadausuarioy/oequipoqueseencuentreenundominio,sitioounidadorganizativa.
Generalmentelagestióncentralizada,configuracióndesistemasoperativosygestiónde
usuarios se lleva a cabo bajo un Active Directory (Directorio Activo).
Lasdirectivasdegrupolocales(GPL)sondirectivasdegrupoquesóloseaplicanparaunhost
local único.
3
Creación de usuarios y grupos en Windows Server 2008.
●Grupo: Killers.
Usuarios: Carlos, Manuel.
●Grupo: Timers.
Usuarios: Bruno, Benji.
NOTA: Cada usuario deberá cambiar su contraseña al inicio de sesión.
Paralacreacióndeusuariosygruposdebemosingresaralpaneldeadministracióndelos
mismos,paraesto,seguimoslasecuencia,Start>Allprograms>AdministrativeTools>
Computer Management.
4
●Grupo: Killers.
Usuarios: Carlos, Manuel.
●Grupo: Timers.
Usuarios: Bruno, Benji.
NOTA: Cada usuario deberá cambiar su contraseña al inicio de sesión.
Paralacreacióndeusuariosygruposdebemosingresaralpaneldeadministracióndelos
mismos,paraesto,seguimoslasecuencia,Start>Allprograms>AdministrativeTools>
Computer Management.
4
EnelmenúLocalUsersandGroupssepuedenobservardoscarpetasUsersyGroups,en
estos menús, configuramos los aspectos pertinentes a los usuarios del sistema y los grupos.
Creación de usuarios.
Paraagregarunnuevousuario,damosclicsobreelmenúUsers>Action>NewUser...(Otras
opcionesparaaccederacrearnuevosusuariospuedenserlassiguientes:clicderechosobreel
paneldeadministracióndelosusuariosyNewUseróclicderechosobrelapestañaUsersy
New User)
5
estos menús, configuramos los aspectos pertinentes a los usuarios del sistema y los grupos.
Creación de usuarios.
Paraagregarunnuevousuario,damosclicsobreelmenúUsers>Action>NewUser...(Otras
opcionesparaaccederacrearnuevosusuariospuedenserlassiguientes:clicderechosobreel
paneldeadministracióndelosusuariosyNewUseróclicderechosobrelapestañaUsersy
New User)
5
Acontinuación,rellenamoselsiguienteformularioconlosdatosdeelnuevousuarioque
deseemoscrearyhabilitamoslasopcionessegúnlasnecesidadesquesetengan,eneste
caso,sólosenecesitaquecadausuariocambiesucontraseñaaliniciarsesiónporprimera
vez,paraesto,marcamoslacasillaUsermustchangepasswordatnextlogon(Elusuariodebe
cambiarlacontraseñaenelsiguienteiniciodesesión).Repetimoselprocesoparalosdemás
usuarios.
Al finalizar la creación de usuarios podemos observar los usuarios actuales del sistema.
6
deseemoscrearyhabilitamoslasopcionessegúnlasnecesidadesquesetengan,eneste
caso,sólosenecesitaquecadausuariocambiesucontraseñaaliniciarsesiónporprimera
vez,paraesto,marcamoslacasillaUsermustchangepasswordatnextlogon(Elusuariodebe
cambiarlacontraseñaenelsiguienteiniciodesesión).Repetimoselprocesoparalosdemás
usuarios.
Al finalizar la creación de usuarios podemos observar los usuarios actuales del sistema.
6
Creación de grupos e integración de usuarios.
Lacreacióndegruposesmuysimilaraladeusuarios,aunquecambianalgunosaspectosya
quesedebenagregarusuariosaunoovariosgrupos,paraefectuarlacreacióndelosgrupos
nos dirigimos a la pestaña de Groups > Action > New Group.
Rellenamoselsiguienteformulario;enelcampoGroupNameinsertamoselnombrequetendrá
elgrupoyenelcampoDescriptionagregamosladescripciónquetendráelgrupo.Paraagregar
los miembros del grupo nos vamos a la pestaña Add y damos clic sobre ella.
7
Lacreacióndegruposesmuysimilaraladeusuarios,aunquecambianalgunosaspectosya
quesedebenagregarusuariosaunoovariosgrupos,paraefectuarlacreacióndelosgrupos
nos dirigimos a la pestaña de Groups > Action > New Group.
Rellenamoselsiguienteformulario;enelcampoGroupNameinsertamoselnombrequetendrá
elgrupoyenelcampoDescriptionagregamosladescripciónquetendráelgrupo.Paraagregar
los miembros del grupo nos vamos a la pestaña Add y damos clic sobre ella.
7
Enestaventana,seleccionamoslosusuariosqueperteneceránalgrupomediantelapestaña
Advanced..
8
Advanced..
8
Aprimeravista,noaparecenlosusuariosdelsistemaquedeseemosagregaralgrupo,para
buscar los usuarios damos clic sobre Find Now, posteriormente seleccionamos los usuarios.
9
buscar los usuarios damos clic sobre Find Now, posteriormente seleccionamos los usuarios.
9
Ahora,losusuariosCarlosyManuel,yahacenpartedelgrupoKillers,paraconcretarlacreación
de grupo damos clic sobre Create.
10
de grupo damos clic sobre Create.
10
Podemos observar que los grupos han sido creados.
Políticas o directivas locales a implementar.
Paraabrirelpaneldeconfiguracióndelaedicióndepolíticaslocalesydegruporealizamoslo
siguiente: Abrimos la opción de ejecutar mediante Start > Run.
11
Políticas o directivas locales a implementar.
Paraabrirelpaneldeconfiguracióndelaedicióndepolíticaslocalesydegruporealizamoslo
siguiente: Abrimos la opción de ejecutar mediante Start > Run.
11
Dentrodelcuadrodeejecución,insertamoselcomandogpedit.mscparaabrirelmenúgestor
de las directivas de grupo y usuarios, pulsamos sobre OK.
Directivas de configuración de equipo.
1. La vigencia máxima de la contraseña para todos los usuarios de la máquina será de 15 días.
Paraconfigurarlosparámetrosdecontraseñadeusuariosenlamáquinanosvamosa
Computerconfiguration>WindowsSettings>SecuritySettings>AccountPolicies>Password
Policies,enestaventanapodemosobservarlasdiferentesopcionesparalaspolíticasde
contraseñadelosusuarioslocales,algunasdeestasopcionestrasciendenenEnforcing
passwordhistory(forzarelhistorialdecontraseña),hacequelascontraseñasantiguasnose
reutilicennuevamenteluegodeunnúmerodeterminadodecambiosdecontraseña,Maximum
passwordage(Vigenciamáximadelacontraseña),estaopciónpermitedeterminarelperiodode
endíaseltiempoquetendrávigenciaunacontraseñaestablecidaaunusuarioantesdequeel
sistemalepidaalusuarioquelacambie,Minimumpasswordage(Vigenciamínimadela
contraseña),estableceelnúmeromínimoendíasenlaqueexpiraráunacontraseña,sila
vigenciamáximaesdeentre1y999días,laedadmínimadelacontraseñadebeserinferiorala
edadmáximadelacontraseña,Passwordmustmecomplexityrequirements(Lacontraseña
debecumplirlosrequerimientosdecomplejidad)yStorepasswordsusingreversibleencryption
(Almacenarcontraseñasusandoelcifradoreversible)proporcionacompatibilidadalas
aplicacionesqueutilizanprotocolosquenecesitanconocerlacontraseñadelusuarioparala
autenticación.
12
de las directivas de grupo y usuarios, pulsamos sobre OK.
Directivas de configuración de equipo.
1. La vigencia máxima de la contraseña para todos los usuarios de la máquina será de 15 días.
Paraconfigurarlosparámetrosdecontraseñadeusuariosenlamáquinanosvamosa
Computerconfiguration>WindowsSettings>SecuritySettings>AccountPolicies>Password
Policies,enestaventanapodemosobservarlasdiferentesopcionesparalaspolíticasde
contraseñadelosusuarioslocales,algunasdeestasopcionestrasciendenenEnforcing
passwordhistory(forzarelhistorialdecontraseña),hacequelascontraseñasantiguasnose
reutilicennuevamenteluegodeunnúmerodeterminadodecambiosdecontraseña,Maximum
passwordage(Vigenciamáximadelacontraseña),estaopciónpermitedeterminarelperiodode
endíaseltiempoquetendrávigenciaunacontraseñaestablecidaaunusuarioantesdequeel
sistemalepidaalusuarioquelacambie,Minimumpasswordage(Vigenciamínimadela
contraseña),estableceelnúmeromínimoendíasenlaqueexpiraráunacontraseña,sila
vigenciamáximaesdeentre1y999días,laedadmínimadelacontraseñadebeserinferiorala
edadmáximadelacontraseña,Passwordmustmecomplexityrequirements(Lacontraseña
debecumplirlosrequerimientosdecomplejidad)yStorepasswordsusingreversibleencryption
(Almacenarcontraseñasusandoelcifradoreversible)proporcionacompatibilidadalas
aplicacionesqueutilizanprotocolosquenecesitanconocerlacontraseñadelusuarioparala
autenticación.
12
13
Laopciónquecumpleelrequerimientodevigenciamáximadelacontraseñade15díaspara
todoslosusuariosdelamáquinaesMaximumpasswordage(Vigenciamáximadela
contraseña),damosclicderechosobrelaopciónquerequirámos,seleccionamosPropertiesy
enlacasilla,ingresamoselnúmerodedíasmáximosenlosquelacontraseñaexpira,pulsamos
sobre OK.
14
todoslosusuariosdelamáquinaesMaximumpasswordage(Vigenciamáximadela
contraseña),damosclicderechosobrelaopciónquerequirámos,seleccionamosPropertiesy
enlacasilla,ingresamoselnúmerodedíasmáximosenlosquelacontraseñaexpira,pulsamos
sobre OK.
14
2.Lascontraseñasdebencumplirconlosrequerimientosdecomplejidadpordefectode
Windows Server ¿Cuáles son estos requerimientos?
LosrequerimientospordefectoparaunacontraseñaenWindowsServerdebenserlos
siguientes:
Nocontenerelnombreopartedelnombrecompletodelusuarioyquetenganmásdedos
caracteres consecutivos la cuenta del usuario.
Tener por lo menos seis caracteres de longitud.
Contenercaracteresdetresdelassiguientescuatrocategorías:Caracteresenmayúsculasen
inglés (A a Z), caracteres en minúsculas en inglés (A a Z), base de 10 dígitos (del 0 al 9)
y los caracteres no alfabéticos (por ejemplo,!, $, #,%).
ParahabilitarestaopciónseguimoslarutaComputerconfiguration>WindowsSettings>
SecuritySettings>AccountPolicies>PasswordPoliciesyclicderechosobrePasswordmust
meetcomplexityrequirements.SeleccionamosenelcuadrodediálogoEnabled(Habilitado)y
pulsamos OK para finalizar.
15
Windows Server ¿Cuáles son estos requerimientos?
LosrequerimientospordefectoparaunacontraseñaenWindowsServerdebenserlos
siguientes:
Nocontenerelnombreopartedelnombrecompletodelusuarioyquetenganmásdedos
caracteres consecutivos la cuenta del usuario.
Tener por lo menos seis caracteres de longitud.
Contenercaracteresdetresdelassiguientescuatrocategorías:Caracteresenmayúsculasen
inglés (A a Z), caracteres en minúsculas en inglés (A a Z), base de 10 dígitos (del 0 al 9)
y los caracteres no alfabéticos (por ejemplo,!, $, #,%).
ParahabilitarestaopciónseguimoslarutaComputerconfiguration>WindowsSettings>
SecuritySettings>AccountPolicies>PasswordPoliciesyclicderechosobrePasswordmust
meetcomplexityrequirements.SeleccionamosenelcuadrodediálogoEnabled(Habilitado)y
pulsamos OK para finalizar.
15
3.Losusuariosquerequierancambiarsucontraseñanopodránusarunpasswordquesehaya
usado antes por lo menos desde los 2 últimos cambios.
Paracambiaresteparámetro,nosdirigimosalaopciónMinimumpasswordage(Vigencia
mínimadecontraseña),clicderecho,Properties,yenelrecuadromarcamoselnúmerode
cambios mínimos para usar una nueva contraseña, damos clic en OK para finalizar.
4.LosusuariosdelgrupoKillerspuedenapagarlamáquinaunavezhayaniniciadosesión,pero
los usuarios del grupo ventas no podrán apagar el equipo (Desde el sistema operativo).
16
usado antes por lo menos desde los 2 últimos cambios.
Paracambiaresteparámetro,nosdirigimosalaopciónMinimumpasswordage(Vigencia
mínimadecontraseña),clicderecho,Properties,yenelrecuadromarcamoselnúmerode
cambios mínimos para usar una nueva contraseña, damos clic en OK para finalizar.
4.LosusuariosdelgrupoKillerspuedenapagarlamáquinaunavezhayaniniciadosesión,pero
los usuarios del grupo ventas no podrán apagar el equipo (Desde el sistema operativo).
16
NosdirigimosaComputerConfiguration>WindowsSettings>SecuritySettings>Local
Policies>UserRightsAssignment>Shutdownthesystem,damosclicderechoPropertiesy
Add User or Group.
Enlanuevaventanaseleccionaremoslosusuariosogruposqueperteneceránoseránpartede
esta política, seleccionamos Advanced para buscar específicamente el grupo Killers.
17
Policies>UserRightsAssignment>Shutdownthesystem,damosclicderechoPropertiesy
Add User or Group.
Enlanuevaventanaseleccionaremoslosusuariosogruposqueperteneceránoseránpartede
esta política, seleccionamos Advanced para buscar específicamente el grupo Killers.
17
Enlanuevaventana,seleccionaremoselgrupoquepodránapagarelsistemaoperativo,
debemosespecificareltipodeobjetosquedeseemosbuscar,paraello,damosclicsobre
Object Types...
18
debemosespecificareltipodeobjetosquedeseemosbuscar,paraello,damosclicsobre
Object Types...
18
Seleccionamos Groups y damos clic sobre Find Now.
Buscamos a el grupo Killers en la lista y damos OK.
Ahora, tenemos al grupo Killers como parte de la política de seguridad, pulsamos OK
19
Buscamos a el grupo Killers en la lista y damos OK.
Ahora, tenemos al grupo Killers como parte de la política de seguridad, pulsamos OK
19
20
5. Los usuarios del grupo Timers podrán cambiar la hora de la máquina local.
ParaejercerestapolíticasobreelgrupoTimersnosvamosaComputerConfiguration>
WindowsSettings>SecuritySettings>LocalPolicies>UserRightsAssignment>Changethe
systemtime,clicderechoProperties.EnlanuevaventanadedialogoseleccionamosAddUser
orGroupparaseleccionarelgrupoqueserápartedelapolíticaparacambiarlahoradela
máquinalocal,yaquepordefectosólolosadministradoresylacuentaLOCALSERVICE,esta
cuenta es usada por el sistema para el control administrativo de los servicios, podrán hacer.
Seleccionamos Object Types
21
ParaejercerestapolíticasobreelgrupoTimersnosvamosaComputerConfiguration>
WindowsSettings>SecuritySettings>LocalPolicies>UserRightsAssignment>Changethe
systemtime,clicderechoProperties.EnlanuevaventanadedialogoseleccionamosAddUser
orGroupparaseleccionarelgrupoqueserápartedelapolíticaparacambiarlahoradela
máquinalocal,yaquepordefectosólolosadministradoresylacuentaLOCALSERVICE,esta
cuenta es usada por el sistema para el control administrativo de los servicios, podrán hacer.
Seleccionamos Object Types
21
SeleccionamoseltipodeobjetoGroupsparabuscarodetectarnombressóloporgrupos,
pulsamos OK.
Ingresamoselnombredelgrupoolosgruposqueseránpartedelapolíticaydamosclicsobre
CheckNames(Comprobarnombres),esimportantelabuenaescrituradelnombreparaqueel
sistema lo acepte correctamente, pulsamos OK para finalizar este asistente.
22
pulsamos OK.
Ingresamoselnombredelgrupoolosgruposqueseránpartedelapolíticaydamosclicsobre
CheckNames(Comprobarnombres),esimportantelabuenaescrituradelnombreparaqueel
sistema lo acepte correctamente, pulsamos OK para finalizar este asistente.
22
6.TodoslosusuariostendránlassiguientesrestriccionesalusarelnavegadorInternetExplorer:
Nopodráneliminarelhistorialdenavegación,Nosepermitiráelcambiodeproxyyaquetodos
losusuariosusaránelmismoproxy(172.20.49.51:80),configuracióndelhistorialdeshabilItada,
no permitir el cambio de las directivas de seguridad del navegador.
23
Nopodráneliminarelhistorialdenavegación,Nosepermitiráelcambiodeproxyyaquetodos
losusuariosusaránelmismoproxy(172.20.49.51:80),configuracióndelhistorialdeshabilItada,
no permitir el cambio de las directivas de seguridad del navegador.
23
Todos los usuarios no podrán eliminar el historial de navegación.
Paraqueningunodelosusuariosdelamáquinalocalpuedaeliminarelhistorialdenavegación
nosdirigimosaLocalComputerPolicy>UserConfiguration>AdministrativeTemplates>
WindowsComponents>InternetExplorer>DeleteBrowsingHistory,enestaventana,se
encuentrantodaslasopcionespertinentesalaeliminacióndelhistorialdenavegaciónenel
navegadorInternetExplorer,esimportanteasegurarsedequenoexistenotrosnavegadores
instaladosenelsistema,yaquelosusuariospodríanevadirestadirectivafacilmente.Para
inhabiltarlaopcióndeborrarhistorialdenavegación,acudimosaladirectivaTurnoff“Delete
BrowsingHistory”functionality.(Desactivarlafuncionalidaddeeliminarhistorialdelnavegador)y
clic Edit.
24
Paraqueningunodelosusuariosdelamáquinalocalpuedaeliminarelhistorialdenavegación
nosdirigimosaLocalComputerPolicy>UserConfiguration>AdministrativeTemplates>
WindowsComponents>InternetExplorer>DeleteBrowsingHistory,enestaventana,se
encuentrantodaslasopcionespertinentesalaeliminacióndelhistorialdenavegaciónenel
navegadorInternetExplorer,esimportanteasegurarsedequenoexistenotrosnavegadores
instaladosenelsistema,yaquelosusuariospodríanevadirestadirectivafacilmente.Para
inhabiltarlaopcióndeborrarhistorialdenavegación,acudimosaladirectivaTurnoff“Delete
BrowsingHistory”functionality.(Desactivarlafuncionalidaddeeliminarhistorialdelnavegador)y
clic Edit.
24
MarcamoslaopciónEnabledparaquelosusuariosnopuedanteneraccesoalaventanade
diálogo de eliminación de historial de navegación y pulsamos OK, para finalizar el asistente.
25
diálogo de eliminación de historial de navegación y pulsamos OK, para finalizar el asistente.
25
Nosepermitiráelcambiodeproxyyaquetodoslosusuariosusaránelmismoproxy
(172.20.49.51:80).
Paraestablecerunservidorproxyparatodoslosusuariosdelamáquinalocalnosvamosa
UserConfiguration>WindowsSettings>InternetExplorerMaintenance>Connection,enesta
ventanaseencuentranlasopcionesparaconfigurarelementosrelacionadosconlaconexiónde
InternetExplorer,paraconfigurarelservidorproxydelnavegador,damosclicderechosobre
ProxySettingsyProperties,enelrecuadro,escribimos,enestecaso,ladirecciónIPdel
servidor proxy, pulsamos OK para finalizar.
Configuración del historial deshabilItada.
26
(172.20.49.51:80).
Paraestablecerunservidorproxyparatodoslosusuariosdelamáquinalocalnosvamosa
UserConfiguration>WindowsSettings>InternetExplorerMaintenance>Connection,enesta
ventanaseencuentranlasopcionesparaconfigurarelementosrelacionadosconlaconexiónde
InternetExplorer,paraconfigurarelservidorproxydelnavegador,damosclicderechosobre
ProxySettingsyProperties,enelrecuadro,escribimos,enestecaso,ladirecciónIPdel
servidor proxy, pulsamos OK para finalizar.
Configuración del historial deshabilItada.
26
No permitir el cambio de las directivas de seguridad del navegador.
7. Desactivar la ventana emergente de reproducción automática.
ParadesactivarlaventanadediálogodereproducciónautomáticanosvamosaUser
Configuration>AdministrativeTemplates>WindowsComponents>AutoPlayPolicies,
seleccionamosTurnoffAutoPlayhacequesedeshabilitelareproducciónautomáticayaquese
empiezaaleerdesdeunaunidadtanprontocomoseinsertalatarjetaenlaunidad.Como
resultado,elarchivodeinstalacióndelosprogramasylamúsicaenlosmediosde
comunicación de audio comienzan inmediatamente, pulsamos OK para finalizar.
27
7. Desactivar la ventana emergente de reproducción automática.
ParadesactivarlaventanadediálogodereproducciónautomáticanosvamosaUser
Configuration>AdministrativeTemplates>WindowsComponents>AutoPlayPolicies,
seleccionamosTurnoffAutoPlayhacequesedeshabilitelareproducciónautomáticayaquese
empiezaaleerdesdeunaunidadtanprontocomoseinsertalatarjetaenlaunidad.Como
resultado,elarchivodeinstalacióndelosprogramasylamúsicaenlosmediosde
comunicación de audio comienzan inmediatamente, pulsamos OK para finalizar.
27
8. No permitir el apagado remoto de la máquina
Paraaplicarlapolíticadenohabilitarelapagadodelsistemaenformaremota,nosvamosa
ComputerConfiguration>WindowsSettings>SecuritySettings>LocalPolicies>UserRights
Assignment>Forceshutdownfromremotesystem.Enlaspropiedadesdeestaopción
observamosquesólolosadministradoresseránpartedeestaregla,esdecir,losusuariosque
tenemos creados actualmente y que no pertenecen a los usuarios del sistema.
28
Paraaplicarlapolíticadenohabilitarelapagadodelsistemaenformaremota,nosvamosa
ComputerConfiguration>WindowsSettings>SecuritySettings>LocalPolicies>UserRights
Assignment>Forceshutdownfromremotesystem.Enlaspropiedadesdeestaopción
observamosquesólolosadministradoresseránpartedeestaregla,esdecir,losusuariosque
tenemos creados actualmente y que no pertenecen a los usuarios del sistema.
28
9.Aplicarcuotasde50MBparatodoslosusuarioslocalesyremotos(Estaesuncuotamuybaja
y es usada solo para fines académicos)
Paraaplicarestacuota,nosdirigimosaComputerConfiguration>AdministrativeTemplates>
CredentialsDelegation>DiskQuoutas,esteajustedeterminalacantidaddeespacioendisco
puedeserutilizadoporcadausuarioencadaunodelosvolúmenesdelsistemadearchivos
NTFSenunequipo,enestecaso,serátansolode50MB,pulsamosOKparaguardarlos
cambios.
Directivas de configuración de usuario.
1.Lapáginaprincipalquesecargaráparacadausuariocuandoabrasunavegadorserá:
http://www.sudominio.com (Página institucional de su empresa)
Paraquelapáginadeiniciodelnavegadorseaunaespecíficamenteseguimoslasiguienteruta
UserConfiguration>WindowsSettings>InternetExplorerMaintenance>URLs,enesta
ventanaseconfiguranlosaspectospertinentesaURLsenelnavegador,paraestableceruna
páginadeinicioingresamosaImportantURLsyenelrecuadrodeconfiguracióndeHomepage
URLingresamoslapáginainstitucionaldelaempresa.PulsamosOKparaaceptarloscambios
y finalizar el asistente.
29
y es usada solo para fines académicos)
Paraaplicarestacuota,nosdirigimosaComputerConfiguration>AdministrativeTemplates>
CredentialsDelegation>DiskQuoutas,esteajustedeterminalacantidaddeespacioendisco
puedeserutilizadoporcadausuarioencadaunodelosvolúmenesdelsistemadearchivos
NTFSenunequipo,enestecaso,serátansolode50MB,pulsamosOKparaguardarlos
cambios.
Directivas de configuración de usuario.
1.Lapáginaprincipalquesecargaráparacadausuariocuandoabrasunavegadorserá:
http://www.sudominio.com (Página institucional de su empresa)
Paraquelapáginadeiniciodelnavegadorseaunaespecíficamenteseguimoslasiguienteruta
UserConfiguration>WindowsSettings>InternetExplorerMaintenance>URLs,enesta
ventanaseconfiguranlosaspectospertinentesaURLsenelnavegador,paraestableceruna
páginadeinicioingresamosaImportantURLsyenelrecuadrodeconfiguracióndeHomepage
URLingresamoslapáginainstitucionaldelaempresa.PulsamosOKparaaceptarloscambios
y finalizar el asistente.
29
2. El servidor proxy para todos los usuarios locales será 172.20.49.51:80.
Paraestablecerunservidorproxyparatodoslosusuariosdelamáquinalocalnosvamosa
UserConfiguration>WindowsSettings>InternetExplorerMaintenance>Connection,enesta
ventanaseencuentranlasopcionesparaconfigurarelementosrelacionadosconlaconexiónde
InternetExplorer,paraconfigurarelservidorproxydelnavegador,damosclicderechosobre
ProxySettingsyProperties,enelrecuadro,escribimos,enestecaso,ladirecciónIPdel
servidor proxy, pulsamos OK para finalizar.
30
Paraestablecerunservidorproxyparatodoslosusuariosdelamáquinalocalnosvamosa
UserConfiguration>WindowsSettings>InternetExplorerMaintenance>Connection,enesta
ventanaseencuentranlasopcionesparaconfigurarelementosrelacionadosconlaconexiónde
InternetExplorer,paraconfigurarelservidorproxydelnavegador,damosclicderechosobre
ProxySettingsyProperties,enelrecuadro,escribimos,enestecaso,ladirecciónIPdel
servidor proxy, pulsamos OK para finalizar.
30
3.Restringirdesdeelnavegadorelaccesoalossiguientessitios:www.facebook.comy
www.youtube.comporURL,paratodoslosusuarios.Eladministradorseráelúnicoconla
contraseña de supervisor para el Asesor de Contenidos.
ParacambiarladirectivaderestriccióndesitioswebnosdirigimosaUserConfiguration>
WindowsSettings>InternetExplorerMaintenance>Security>SecurityZonesandContent
Ratings,enesterecuadroencontramoslasopcionesdeZonasdeseguridadyprivacidady
clasificaciones de contenido, para restringir el acceso usamos las clasificaciones de contenido.
Dadoquelaconfiguracióndelequipolocalseimportaparaquelapolíticasecumpla,la
configuracióndeIEESCdebecoincidirconeldelossistemascliente.UstedpuedeapagarIE
ESCenelsistemadeediciónosimplementeeditarlapolíticadesdeunsistemaclientequeno
tiene IE ESC activado.
31
www.youtube.comporURL,paratodoslosusuarios.Eladministradorseráelúnicoconla
contraseña de supervisor para el Asesor de Contenidos.
ParacambiarladirectivaderestriccióndesitioswebnosdirigimosaUserConfiguration>
WindowsSettings>InternetExplorerMaintenance>Security>SecurityZonesandContent
Ratings,enesterecuadroencontramoslasopcionesdeZonasdeseguridadyprivacidady
clasificaciones de contenido, para restringir el acceso usamos las clasificaciones de contenido.
Dadoquelaconfiguracióndelequipolocalseimportaparaquelapolíticasecumpla,la
configuracióndeIEESCdebecoincidirconeldelossistemascliente.UstedpuedeapagarIE
ESCenelsistemadeediciónosimplementeeditarlapolíticadesdeunsistemaclientequeno
tiene IE ESC activado.
31
EnlapestañadeGeneralcreamoslacontraseñadesupervisor,sóloconestapasswordse
podrá acceder a los sitios de restricción.
32
podrá acceder a los sitios de restricción.
32
33
EnlapestañadeApprovedSitesingresamoslossitiosquenopodránseraccedidosenla
máquina local, los agregamos con Never para que no sean accesibles y guardamos con OK.
34
máquina local, los agregamos con Never para que no sean accesibles y guardamos con OK.
34
4. Ocultar la unidad C:\ (NOTA: Esto no restringirá el acceso a dicha unidad)
ParaocultarlaunidadC:\nosdirigimosaUserConfiguration>WindowsComponents>
WindowsExplorer>HidethesespecifieddrivesinMyComputer,habilitamosladirectivaconla
opciónEnabledyenelrecuadroPickoneofthefollowingcombinationsseleccionamoslaunidad
C:\ y finalizamos con OK para guardar los cambios.
5.Ocultarlamenúopcionesdecarpetadelmenúdeherramientas.Estoconelfindequelos
usuarios no puedan ver archivos ocultos o cambiar algunas configuraciones de las carpetas.
EnlarutaUserConfiguration>WindowsComponents>WindowsExplorer>Removesthe
FolderOptionsmenuItemsfromtheToolsmenu,estaopcióneliminaelelementoOpcionesde
carpetaentodoslosmenúsdelExploradordeWindowsyeliminaelelementoOpcionesde
carpetaenelPaneldecontrol.Comoresultado,losusuariosnopuedenutilizarelcuadrode
diálogo Opciones de carpeta, habilitamos mediante Enabled y finalizamos con OK.
35
ParaocultarlaunidadC:\nosdirigimosaUserConfiguration>WindowsComponents>
WindowsExplorer>HidethesespecifieddrivesinMyComputer,habilitamosladirectivaconla
opciónEnabledyenelrecuadroPickoneofthefollowingcombinationsseleccionamoslaunidad
C:\ y finalizamos con OK para guardar los cambios.
5.Ocultarlamenúopcionesdecarpetadelmenúdeherramientas.Estoconelfindequelos
usuarios no puedan ver archivos ocultos o cambiar algunas configuraciones de las carpetas.
EnlarutaUserConfiguration>WindowsComponents>WindowsExplorer>Removesthe
FolderOptionsmenuItemsfromtheToolsmenu,estaopcióneliminaelelementoOpcionesde
carpetaentodoslosmenúsdelExploradordeWindowsyeliminaelelementoOpcionesde
carpetaenelPaneldecontrol.Comoresultado,losusuariosnopuedenutilizarelcuadrode
diálogo Opciones de carpeta, habilitamos mediante Enabled y finalizamos con OK.
35
6. Restringir el acceso a la unidad E:\ desde mi PC
PararestringirelaccesoalaunidadUserConfiguration>WindowsComponents>Windows
Explorer>HidethesespecifieddrivesinMyComputer,habilitamosyaceptamoscambioscon
OK.
36
PararestringirelaccesoalaunidadUserConfiguration>WindowsComponents>Windows
Explorer>HidethesespecifieddrivesinMyComputer,habilitamosyaceptamoscambioscon
OK.
36
7. Limitar el tamaño de la papelera de reciclaje a 100MB.
EsteparámetroloconfiguramosatravésdelarutaUserConfiguration>WindowsComponents
>WindowsExplorer>MaximumallowedRecycleBinSize;Estadirectivalimitaelporcentajede
espacio en disco de un volumen que se puede utilizar para almacenar archivos eliminados.
8.NopermitirqueseejecutemessengerUserConfiguration>WindowsComponents>
WindowsMessenger>DonotallowWindowsMessengertoberunyhabilitamosparaquelos
usuariosnotenganaccesoaMessengerenlamáquinalocal,aunqueesteserviciofueremovido
de la famila Windows.
37
EsteparámetroloconfiguramosatravésdelarutaUserConfiguration>WindowsComponents
>WindowsExplorer>MaximumallowedRecycleBinSize;Estadirectivalimitaelporcentajede
espacio en disco de un volumen que se puede utilizar para almacenar archivos eliminados.
8.NopermitirqueseejecutemessengerUserConfiguration>WindowsComponents>
WindowsMessenger>DonotallowWindowsMessengertoberunyhabilitamosparaquelos
usuariosnotenganaccesoaMessengerenlamáquinalocal,aunqueesteserviciofueremovido
de la famila Windows.
37
9. Ocultar todos los elementos del escritorio para todos los usuarios.
NosdirigimosaUserConfiguration>AdministrativeTemplates>Desktop>Hideanddisable
allitemsonthedesktop,habilitamosestaopciónparaquelosusuariosnotenganaccesoa
Eliminariconos,accesosdirectosyotrosporomisiónyloselementosdefinidosporelusuario
desde el escritorio, incluyendo Maletín, Papelera de reciclaje, PC y ubicaciones de red.
10. Bloquear la barra de tareas
38
NosdirigimosaUserConfiguration>AdministrativeTemplates>Desktop>Hideanddisable
allitemsonthedesktop,habilitamosestaopciónparaquelosusuariosnotenganaccesoa
Eliminariconos,accesosdirectosyotrosporomisiónyloselementosdefinidosporelusuario
desde el escritorio, incluyendo Maletín, Papelera de reciclaje, PC y ubicaciones de red.
10. Bloquear la barra de tareas
38
11. Prohibir el acceso del Lectoescritura a cualquier medio de almacenamiento extraíble.
Paralaprohibicióndedeelaccesoalecturayescrituraencualquierdispositivode
almacenamientoseguimosUserConfiguration>WindowsTemplates>System>Removable
StorageAccess>RemovableDisks:DenyreadaccessyRemovableDisk:Denywrite
access.
Prohibición de lectura.
39
Paralaprohibicióndedeelaccesoalecturayescrituraencualquierdispositivode
almacenamientoseguimosUserConfiguration>WindowsTemplates>System>Removable
StorageAccess>RemovableDisks:DenyreadaccessyRemovableDisk:Denywrite
access.
Prohibición de lectura.
39
Prohibición de escritura.
40
40
Conclusiones.
La directivas de grupo locales se habilitan sólo para la máquina local.
Lasdirectivasayudanatenercontrolsobreelcontenidoalquelosusuariospuedentenerono
acceso, ayudando así a la seguridad de la máquina.
Lamayoríadepolíticasseaplicanatodoslosusuariosdelamáquinaincluyendoel
administrador del sistema, por ende, se debe tener sumo cuidado al manejar estas directivas.
41
La directivas de grupo locales se habilitan sólo para la máquina local.
Lasdirectivasayudanatenercontrolsobreelcontenidoalquelosusuariospuedentenerono
acceso, ayudando así a la seguridad de la máquina.
Lamayoríadepolíticasseaplicanatodoslosusuariosdelamáquinaincluyendoel
administrador del sistema, por ende, se debe tener sumo cuidado al manejar estas directivas.
41
Tags
Categories
TechnologyDownload
Download Slideshow Get the original presentation fileQuick Actions
Statistics
- Views 53,506
- Slides 41
- Favorites 11
- Age 4375 days
Related Slideshows
11
8-top-ai-courses-for-customer-support-representatives-in-2025.pptx
JeroenErne2
48 views
10
7-essential-ai-courses-for-call-center-supervisors-in-2025.pptx
JeroenErne2
47 views
13
25-essential-ai-courses-for-user-support-specialists-in-2025.pptx
JeroenErne2
37 views
11
8-essential-ai-courses-for-insurance-customer-service-representatives-in-2025.pptx
JeroenErne2
35 views
21
Know for Certain
DaveSinNM
23 views
17
PPT OPD LES 3ertt4t4tqqqe23e3e3rq2qq232.pptx
novasedanayoga46
26 views