viernes, 7 de noviembre de 2014

¿Qué es una GPO en el sistema operativo Windows Server 2012?

La directiva de grupo (GPO) es un conjunto de políticas de seguridad del sistema. Estas permiten implementar determinadas configuraciones para los diferentes usuarios y equipos que estén siendo utilizados. Estas políticas brindan la gestión centralizada y configuración de aplicaciones, sistemas operativos y configuraciones en los usuarios pertenecientes a un entorno active directory (permite el control de las acciones realizadas por los usuarios y determinar que pueden y que no pueden hacer en el sistema. Implementar esto en nuestro sistema es de gran ayuda ya que al restringir ciertas aplicaciones previene riesgos de seguridad, restringe el acceso a determinadas carpetas, y puede deshabilitar la descarga de archivos ejecutables.

 Explique cuál es el procedimiento con sus fases para definir e implementar una Solución de directiva de grupo (GPO) para una empresa.


Para realizar la implementación de una solución de directiva de grupo (GPO) debemos planear la solución, diseñar  e implementar y administrar una solución adecuada teniendo en cuenta cada una  de las acciones a realizar.
Al realizar  el diseño de la solución de la directiva de grupo debemos diseñar la estructura de la unidad organizativa para que al realizar la implementación nos sea de más facilidad la administración de la directiva de grupo y que esta cumpla con los acuerdos del nivel de nuestro servicio. Además debemos asegurarnos de tener claros los problemas que presenta la directiva de grupo y determinar si realizaremos la implementación de software durante el diseño para esto debemos:
  • Definir el ámbito de aplicación de la directiva de grupo.
  • Determinar los valores de configuración de la directiva que son aplicables a todos los usuarios corporativos. 
  • Clasificar a los usuarios y equipos según sus funciones y ubicaciones. 
  • Planear las configuraciones de escritorio en función de los requisitos de los usuarios y equipos.
Un diseño bien planeado contribuirá a garantizar una correcta implementación de la directiva de grupo.
La fase de implementación comienza con un ensayo en un entorno de prueba. El proceso incluye:
  • Creación de configuraciones de escritorio estándar. 
  • Filtrado del ámbito de aplicación de objetos GPO. 
  • Especificación de excepciones a la herencia predeterminada de la directiva de grupo. 
  • Delegación de la administración de la directiva de grupo. 
  • Evaluación de una configuración de directiva efectiva usando Modelado de directivas de grupo. 
  • Evaluación de los resultados mediante Resultados de directivas de grupo.

3. ¿Porque crees que es importante definir una directiva de grupo de forma local? ¿En qué casos aplicaría? De un ejemplo concreto de una situación en que sería importante definir una GPO.

Porque la directiva de grupo local (LGP) puede configurar la directiva de grupo para un equipo local único pero no puede realizar políticas para usuarios individuales o grupos esta contiene menos opciones que Active Directory Group Policy. 
Podemos entender las directivas del sistema como un mecanismo mediante el cual múltiples parámetros del entorno de trabajo son configurados por el administrador del sistema, de modo que todos los usuarios deberán asumir dichas configuraciones con independencia de sus preferencias; esto es así hasta el punto que aunque un usuario cambie en su sesión de trabajo dicho cambio no será tenido en cuenta, volviendo a asociársele la configuración impuesta por la directiva de grupo del sistema.
Comúnmente aplica en diversos casos   ya que este nos permite realizar la restricción de acceso a ciertas páginas o sitios web además de realizar diferentes políticas de seguridad a diversas aplicaciones y configuraciones. Esto es usado en algunos colegios y empresas para prevenir el uso inadecuado o indebido de la red.

4. ¿Cuál es la diferencia entre una directiva de grupo GPO y una Unidad Organizativa OU?

Las unidades organizativas son contenedores donde se aloja las cuentas de usuario y equipo, entre otras cosas. Las GPO se crean exclusivamente en unidades organizativas, y se aplican sólo a las cuentas que están en ellas.
Los grupos de usuarios sirven para agrupar listas de usuarios a efectos de dar permisos o enviar correo.
En cuanto a las GPO, se aplica sólo a las cuentas, no a los grupos, pero se puede editar la seguridad de la GPO y en lugar de que se aplique a todas las cuentas del ámbito, se hagan solo de esas, a las que pertenezcan a determinados grupos de usuarios. Pero no se aplicará entonces a todo el grupo, sino sólo a las cuentas de ese grupo que estén colocadas bajo esa unidad organizativa. 
Actividad 2: Procedimiento

1. Cree los siguientes usuarios y grupos en Windows Server 2012

Grupo: Networkers 
·         Nombre_aprendiz1
·         Nombre_aprendiz2 
Grupo: CESGE 
·         Nombre_aprendiz3
·         Nombre_aprendiz4


 Ilustración 1: administrar equipos.

Ilustración 2: opción de usuarios y grupos.


Ilustración 3: agregar usuarios.


Ilustración 4: configuración de los usuarios.


Ilustración 5: configuración de los grupos.


Ilustración 6: nuevos grupos.


Ilustración 7: agregar miembros al grupo.


Ilustración 8: selección de usuarios.


Ilustración 9: crear el nuevo grupo con sus miembros


Ilustración 10: configuración segundo grupo.


Ilustración 11: lista de usuarios creados.


Ilustración 12: información del cambio  contraseña en el inicio de sesión.


Ilustración 13: configurar la nueva contraseña para cada usuario.


Ilustración 14: cambio de contraseña correcto.


Ilustración 15: configuración de la vigencia máxima de la contraseña.


Ilustración 16: cambiar la vigencia máxima de la contraseña.


Ilustración 17: tiempo de expiración de la contraseña.

• Las contraseñas deben cumplir con los requisitos de complejidad por defecto de Windows server ¿Cuáles son estos requerimientos?

Las contraseñas deben cumplir los siguientes requerimientos mínimos de complejidad
·         No deben contener partes significativas del nombre de cuenta del usuario o nombre completo.
·         Tener seis caracteres de longitud como mínimo
·         Estar compuesta por caracteres de las siguientes tres categorías:
o   Letras mayúsculas, de la “A” a la “Z”
o   Letras minúsculas , de la “a” a la “z”
o   Dígitos en base 10, de 0 a 9
o   Caracteres no alfabéticos (¡,$,%,#)

Ilustración 18: habilitar los requisitos de complejidad de la contraseña.


• Los usuarios que requieran cambiar su contraseña no podrán usar un Password que se haya usado antes por lo menos desde los 2 últimos cambios.


Ilustración 19: configurar el historial de contraseñas durante 2 contraseñas.


Ilustración 20: configurar el grupo Networkers para que puedan apagar la maquina al iniciar sesión.


Ilustración 21: explicación de apagar el sistema.


Ilustración 22: configurar los usuarios o grupos.


Ilustración 23: configurar la selección de grupos o usuarios.


Ilustración 24: marcar todas las opciones de los tipos de objetos a buscar.


Ilustración 25: selección del primer grupo.

los usuarios del grupo CESGE no podrán apagar el equipo (Desde el sistema operativo).

Ilustración 26: aceptar la opción del primer grupo.

• Los usuarios del grupo CESGE podrán cambiar la hora de la máquina local.


Ilustración 27: configurar el grupo CESGE para que pueda cambiar la maquina local.


Ilustración 28: información de cambiar la hora del sistema.


Ilustración 29: seleccionar el grupo que realizara esta acción.


Ilustración 30: seleccionar los diferentes tipos de objeto.


Ilustración 31: buscar el grupo que deseamos configurar para realizar este trabajo.

Ilustración 32: aceptar la configuración y el grupo que usaremos.


• Todos los usuarios tendrán las siguientes restricciones al usar el navegador Internet Explorer:



Ilustración 33: ingresar desde ejecutar a la opción gpedit.msc para realizar las diferentes configuraciones.

ü  No podrán eliminar el historial de navegación.


Ilustración 34: buscar la carpeta internet Explorer.


Ilustración 35: seleccionar eliminar el historial de exploración.


Ilustración 36: impediremos el acceso para eliminar el historial de exploración.


Ilustración 37: habilitaremos la configuración de directiva para que el usuario no tenga acceso a la opción de eliminar el historial de exploración.


ü  No se permitirá el cambio de proxy ya que todos los usuarios usarán el mismo proxy (172.20.49.51:80 o proxy2.sena.edu.co:80).




Ilustración 38: configurar el proxy en el navegador.


Ilustración 39: ingresar a los componentes de Windows.


Ilustración 40: ingresar a la carpeta internet Explorer para realizar los diversos cambios.


Ilustración 41: impediremos el cambio de configuración del proxy por los usuarios.


Ilustración 42: habilitar el cambio de configuración del proxy para que el usuario no pueda establecer alguna configuracion.


Ilustración 43: confirmamos que el cambio de configuración de proxy.

üConfiguración del historial deshabilitada


Ilustración 44: ingresaremos a la carpeta eliminar el historial de exploración.


Ilustración 45: seleccionamos la opción de deshabilitar la configuración del historial.


Ilustración 46: seleccionar la opción deshabilitar.


Ilustración 47: confirmaremos que  la configuración se haya realizado.

ü  No permitir el cambio de las directivas de seguridad del navegador


Ilustración 48: realizaremos la respectiva configuración para que los usuarios no puedan cambiar las directivas de seguridad del navegador.


Ilustración 49: seleccionaremos internet Explorer.


Ilustración 50: modificar la zona de seguridad para que los usuarios no cambien las directivas.


Ilustración 51: habilitaremos para denegar el acceso a la configuración por parte de los usuarios.


Ilustración 52: confirmar.

·         Desactivar la ventana emergente de reproducción automática


Ilustración 53: desactivar la reproducción automática.


Ilustración 54: configuraremos la reproducción automática.


Ilustración 55: marcar la opción habilitada para poder lograr la deshabilitacion de reproducción automática.


Ilustración 56: confirmar la desactivación de la reproducción automática.

·         No permitir el apagado remoto de la maquina


Ilustración 57: configurar el apagado remoto de la máquina para no permitir que los usuarios realicen dicha acción.


Ilustración 58: habilitar la opción y el sistema no creara la interfaz de apagado remoto de canalización con nombre.


Ilustración 59: confirmar la configuración.


Ilustración 60: realizaremos cuotas de 50MB para todos y cada uno de los usuarios locales y remotos.


Ilustración 61: ingresar al editor de directivas de grupo local seleccionando cuotas de discos.


Ilustración 62: habilitaremos las cuotas de discos.


Ilustración 63: especificaremos el límite de cuota y nivel de aviso predeterminado.


Ilustración 64: habilitamos la opción y seleccionamos el valor del límite de cuota predeterminado en MB.


Ilustración 65: confirmar la configuración correcta de nuestra cuota de discos.


DIRECTIVAS DE CONFIGURACION DE USUARIO

La página principal que se cargará para cada usuario cuando abra su navegador será: http://www.sudominio.com (Página institucional de su empresa)



Ilustración 66: configurar la página principal al abrir el navegador.


Ilustración 67: ingresar al cambio de configuración de la página principal.


Ilustración 68: habilitar y configurar la página principal.


Ilustración 69: ingresar  desde nuestro navegador y confirmar que se abra nuestra pagina.


Ilustración 70: configurar el proxy para todos los usuarios locales.

• Restringir desde el navegador el acceso a los siguientes sitios: www.facebook.com y www.youtube.com por URL, para todos los usuarios. El administrador será el único con la contraseña de supervisor para el Asesor de Contenidos.


Ilustración 71: configurar la restricción de acceso a diversos sitios y solo el administrador tendrá acceso a la contraseña de supervisor para el asesor de contenidos.


Ilustración 72: modificar el contenido de la página de contenido.


Ilustración 73: configurar el acceso de contenido en opciones de internet.


Ilustración 74: confirmar que se encuentre habilitada la opción.


Ilustración 75: ingresar a opciones de internet  y dentro daremos clic en habilitar el asesor de contenido.


Ilustración 76: crearemos la contraseña de supervisor la cual permite cambiar la configuración de asesor de contenido.


Ilustración 77: configuraremos la nueva contraseña para evitar que los usuarios no autorizados modifiquen la configuración del asesor de contenido.


Ilustración 78: modificar los sitios aprobados y configurarlos para que no se pueda ingresar.


Ilustración 79: al tratar de ingresar desde nuestro navegador se mostrara una ventana en la cual nos informa que el asesor de contenido no permite ver el sitio web.


Ilustración 80: modificar en el explorador de archivos la opción de ocultar unidades específicas en mi pc.


Ilustración 81: habilitar la configuración seleccionando una unidad a restringir.


Ilustración 82: observar que se haya habilitado la configuración.


Ilustración 83: observar en el equipo las unidades y podemos observar que la c: se encuentra oculta.

 

• Ocultar el menú opciones de carpeta del menú de herramientas. Esto con el fin de que los usuarios no puedan ver archivos ocultos o cambiar algunas configuraciones de las carpetas.

Ilustración 84: seleccionar la opción de ocultar el menú opciones de carpeta del menú herramientas.


Ilustración 85: habilitar la opción para no permitir que el usuario pueda cambiar la forma en la que se abren los archivos.


Ilustración 86: impedir el acceso a la unidad A:


 Ilustración 87: modificar el acceso a determinadas unidades desde mi pc.

Ilustración 88: habilitar para impedir el acceso y seleccionar las respectivas unidades.


Ilustración 89: verificar que la opción está habilitada.


Ilustración 90: tratar de acceder a la unidad mostrara la restricción.

• Limitar el tamaño de la papelera de reciclaje a 100MB.


Ilustración 91: modificar el tamaño de la papelera de reciclaje.


Ilustración 92: habilitar la configuración y seleccionar el tamaño máximo de la papelera de reciclaje.


Ilustración 93: confirmar que fue correcta la configuración y esta se encuentra habilitada.


Ilustración 94: configurar la carpeta  messinger para no permitir.


Ilustración 95: configurar para no permitir la ejecución


Ilustración 96: habilitamos la opción para no permitir la ejecución.


Ilustración 97: verificar la configuración.


Ilustración 98: configurar los elementos del escritorio para ocultarlos de los usuarios.


Ilustración 99: seleccionar la opción que nos permitirá  ocultar y deshabilitar todos los elementos del escritorio.


Ilustración 100: habilitar la opción  para ocultar los elementos.


Ilustración 101: confirmar la habilitación de dicho elemento.


Ilustración 102: seleccionar la opción para bloquear la barra de tareas.


Ilustración 103: marcamos la opción habilitar para que los usuarios no puedan agregar o quitar barras de herramientas del escritorio.


Ilustración 104: visualizar la configuración.


Ilustración 105: ingresamos a sistema para poder encontrar los elementos necesarios para la respectiva configuración de almacenamientos extraíbles.


Ilustración 106: seleccionar la opción de acceso de almacenamiento extraíble.


Ilustración 107: denegaremos el acceso de lectura y escritura de medios extraíbles.


Ilustración 108: habilitar para denegar el acceso de lectura.


Ilustración 109: habilitar para denegar el acceso de escritura.

Ilustración 110: confirmación de que tanto el acceso de lectura como el de escritura estén correctamente denegados para los usuarios.



Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)