Administración de Usuarios, Grupos y Directivas en Windows Server

Publicado: 27 de mayo de 2013 en SIRL

Continuando con las últimas entradas del blog sobre Windows Server, hoy vamos a hablar sobre la administración de usuarios, grupos y directivas en Windows Server.

Para explicar este tema, vamos a realizar una practica sencilla, creando varios usuarios, grupos y configurando algunas directivas en Windows Server sobre estos grupos y usuarios que crearemos.

Un objeto de directiva de grupo (Group Policy Object) es un conjunto de una o más políticas del sistema. Cada una de las políticas del sistema establece una configuración del objeto al que afecta, más adelante ya lo veremos con ejemplos mejor.

¡Empecemos!

Para la primera tarea vamos a crear la siguiente estructura de grupos y usuarios en nuestro servidor:

  • ATHLETIC:
    • Iraola
    • Gurpegi
  • ERREALA:
    • Ilarramendi
    • Zurutuza

En el siguiente vídeo, grabado por mi compañero de grupo David Moro,  os mostramos paso a paso como crear usuarios, grupos y cómo meter a estos usuarios dentro de los diferentes grupos.

Antes de pasar a configurar las distintas directivas, debemos crear una unidad organizativa en nuestro dominio.

A esta unidad organizativa debemos mover todos aquellos usuarios, grupos y equipos que se les vayan a aplicar las directivas. En el siguiente vídeo, grabado por mi compañero de grupo David Moro,  os mostramos paso a paso como hacer este paso:

Una vez hecho este paso podemos empezar a configurar las directivas de grupo, las directivas se habilitan de la siguiente forma:

Empezaremos con implementando las siguientes directivas de configuración de equipo, para ello, una vez estamos en la última pantalla del video anterior, deberemos hacer click derecho sobre la opción “Default Domain Policy” y darle a editar.

  • La vigencia máxima de la contraseña para todos los usuarios de la máquina será de15 días.

Directivas → Configuración de Windows → Configuración de seguridad → Directivas de cuenta → Directivas de contraseña → Vigencia máxima de la contraseña

  • Los usuarios que requieran cambiar su contraseña no podrán usar un password que se haya usado antes por lo menos desde los 2 últimos cambios.

Directivas → Configuración de Windows →Configuración de seguridad → Directivas de cuenta→ Directivas de contraseña → Exigir historial de contraseñas.

  • Los usuarios del grupo ATHLETIC pueden apagar la máquina una vez hayan iniciado sesión, pero los usuarios del grupo ERREALA no podrán apagar el equpo (Desde el sistema operativo)

Directivas → Configuración de windows → Configuración de seguridad → Directivas locales → Asignación de derechos de usuario → Apagar el sistema

  • Los usuarios del grupo ATHLETIC podrán cambiar la hora de la máquina local

Directivas → Configuración de windows → Configuración de seguridad → Directivas locales → Asignación de derechos de usuario → Cambiar la hora del sistema

  • Todos los usuarios tendrán las siguientes restricciones al usar el navegador Internet Explorer:

– No podrán eliminar el historial de navegación

Directivas → Plantillas administrativas → Componentes de Windows → Internet Explorer → Desactivar la funcionalidad “Eliminar el historial de exploración”

– Configuración del historial deshabiltada.

Directivas → Plantillas administrativas → Componentes de Windows → Internet Explorer → Panel de control Internet → Deshabilitar la página general

– No permitir el cambio de las directivas de seguridad del navegador.

Directivas → Plantillas administrativas → Componentes de Windows → Internet Explorer → Panel de control Internet → Deshabilitar la página seguridad

  • Desactivar la ventana emergente de reproducción automática.

Directivas → Plantillas Administrativas → Componentes de Windows → Directivas de reproducción automática → Desactivar reproducción automática

  • No permitir el apagado remoto de la máquina.

Directivas → Plantillas administrativas → Componentes de Windows → Opciones de apagado → Desactivar interfaz de apagado remoto heredada

  • Aplicar cuotas de 50 MB para todos los usuarios locales y remotos.

Directivas → Plantillas administrativas → Sistema → Cuotas de disco → Habilitar, aplicar y límite de la cuota de disco

Ahora continuamos implementando las siguientes directivas de configuración de usuario:

Directivas → Configuración de Windows → Mantenimiento de Internet Explorer → Direcciones URL-Direcciones URL importantes

  • Restringir desde el navegador el acceso a los siguientes sitios: www.facebook.com y www.youtube.com por URL, para todos los usuarios. El administrador será el único con la contraseña de supervisor para el Asesor de Contenidos.

Directivas → Configuración de Windows → Mantenimiento de Internet Explorer → Seguridad → Zonas de seguridad y clasificación de contenido

  • Ocultar la unidad C:\ (NOTA: Esto no restringirá el acceso a dicha unidad)

Directivas → Plantillas administrativas → Componentes de Windows → Explorador de Windows → Ocultar estas unidades especificadas en mi PC

  • Ocultar la menú opciones de carpeta del menú de herramientas. Esto con el fin de que los usuarios no puedan ver archivos ocultos o cambiar algunas configuraciones de las carpetas.

Directivas → Plantillas administrativas → Componentes de Windows → Explorador de Windows → Quita el menú Opciones de carpeta del menú Herramientas

  • Limitar el tamaño de la papelera de reciclaje a 100MB.

Directivas → Plantillas administrativas → Componentes de Windows → Explorador de Windows → Tamaño máximo permitido de la papelera de reciclaje

  • No permitir que se ejecute el solitario y el buscaminas.

Directivas → Plantillas administrativas → Sistema → No ejecutar aplicaciones de Windows especificadas

  • Ocultar todos los elementos del escritorio para todos los usuarios.

Directivas → Plantillas administrativas → Escritorio → Ocultar y deshabilitar todos los elementos del escritorio

  • Bloquear la barra de tareas.

Directivas → Plantillas administrativas → Escritorio → Impedir la adición, arrastre, colocación y cierre de las barras de herramientas de la Barra de tareas

  • Prohibir el acceso del Lecto-escritura a cualquier medio de almacenamiento extraible.

Directivas → Plantillas administrativas → Sistema → Acceso de almacenamiento extraíble → Discos extraíbles: denegar acceso de lectura y denegar acceso de escritura

Existen muchas directivas que podemos habilitar dependiendo de nuestras necesidades, como por ejemplo no guardar la configuración al apagar la sesión, prohibir la conexión y desconexión de una conexión de acceso remoto, prohibir la eliminación de conexiones por acceso remoto, etc.

Espero que os haya gustado la entrada, un saludo.

 
Anuncios
comentarios
  1. […] Fuente: https://daviddgs.wordpress.com/2013/05/27/administracion-de-usuarios-grupos-y-directivas-en-windows-s… […]

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s