Politicas en active directory
description
Transcript of Politicas en active directory
08 DE ABRIL DE 2014
POLÍTICAS EN ACTIVE
DIRECTORY GESTIÓN DE REDES DE DATOS INSTRUCTORA: ISABEL YEPES
Gelier Moreno
SERVICIO NACIONAL DE APRENDIZAJE
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
POLÍTICAS EN ACTIVE DIRECTORY
08 DE ABRIL DE 2014
POLÍTICAS EN ACTIVE DIRECTORY 1
POLÍTICAS EN ACTIVE DIRECTORY
Con esta guía aprenderemos asignar políticas en el Active Directory. Aplicaremos en
concreto 10 políticas entre políticas de usuario y políticas de máquina.
Se debe tener en cuenta que existe políticas de configuración para usuarios y políticas de
configuración para máquina. Es decir que son dos tipos de políticas para dos objetos
diferentes del AD.
Por lo tanto y para no mezclar políticas de un objeto u otro, se recomienda crear dos grupos
de políticas uno para cada objeto.
Actividad
Crearemos 10 cuentas para el departamento de diseño de una empresa, a las cuales se les
deberán aplicar las siguientes políticas (nota algunas pueden ser políticas de máquina)
POLÍTICAS PARA EL DEPARTAMENTO DE DISEÑO:
Los usuarios deben loguearse solamente de 7:00 am a 8:00 pm
Los usuarios no deben tener acceso al panel de control
Debe usarse el papel tapiz de la empresa, no debe poder cambiarse
Los usuarios deben cambiar su contraseña cada 30 días
La carpeta documentos de todos los usuarios a apuntará a una carpeta
independiente por usuario que esté dentro de la carpeta compartida.
\\controladordominio\publica
Solo los administradores pueden apagar la máquina
Solo los administradores pueden cambiar la hora del sistema
Todas las máquinas tendrán permanente la unidad H: que apuntará a la ruta
\\controladordominio\compartida
1 ORGANIZACIÓN DE LOS USUARIOS Y LAS MAQUINAS
Lo ideal para la aplicar políticas es agrupar los usuarios en un contendor, las maquinas en
otro y estos dos contenedores dentro de uno solo.
Esto permite mayor organización y facilidad de trabajo y búsqueda en la organización del
dominio.
Así mismo permite aplicar las políticas por separado, es decir políticas de usuarios y
políticas de máquina.
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
POLÍTICAS EN ACTIVE DIRECTORY
08 DE ABRIL DE 2014
POLÍTICAS EN ACTIVE DIRECTORY 2
Entramos al “Active Directory Users and Computers”
NOTA: Para la creación de usuarios y contenedores organizacionales visiten
mi antigua entrada “Union de cliente al active directory”. En el paso 2 se
especifica cómo hacer esto. Además se explica más detalladamente.
1.1 CONTENEDOR PADRE Crearemos este contendedor para almacenar los otros contenedores que mantienen
organizados y separados los usuarios y las maquinas.
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
POLÍTICAS EN ACTIVE DIRECTORY
08 DE ABRIL DE 2014
POLÍTICAS EN ACTIVE DIRECTORY 3
a. Clic en crear nuevo contenedor
b. Asignamos nombre
c. Verificamos contenedor
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
POLÍTICAS EN ACTIVE DIRECTORY
08 DE ABRIL DE 2014
POLÍTICAS EN ACTIVE DIRECTORY 4
1.2 CONTENEDOR DE LOS USUARIOS Y CREACIÓN DE USUARIOS Ahora organizaremos los usuarios en contenedores estratégicamente llamados, de tal forma
que sea para el SYSADMIN su fácil localización.
1.2.1 Contenedor para los usuarios
a. Teniendo seleccionado nuestro contenedor padre, creamos uno nuevo dentro de él.
b. Le asignamos nombre
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
POLÍTICAS EN ACTIVE DIRECTORY
08 DE ABRIL DE 2014
POLÍTICAS EN ACTIVE DIRECTORY 5
c. Verificamos
1.2.2 Creación de usuarios en el contenedor “DiseñoUsuarios”
Ahora vamos a crear los usuarios dentro del contenedor diseño usuarios.
a. Para ello seleccionamos el contendor en cuestión y luego en icono de nuevo usuarios.
Este icono en una persona con un asterisco.
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
POLÍTICAS EN ACTIVE DIRECTORY
08 DE ABRIL DE 2014
POLÍTICAS EN ACTIVE DIRECTORY 6
b. Llenamos datos, contraseña y aceptamos. Yo hice 5 usuarios
c. Verificamos
NOTA: Para la creación de usuarios y contenedores organizacionales visiten
mi antigua entrada “Unión de cliente al Active Directory”. En el paso 2 se
especifica cómo hacer esto. Además se explica más detalladamente.
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
POLÍTICAS EN ACTIVE DIRECTORY
08 DE ABRIL DE 2014
POLÍTICAS EN ACTIVE DIRECTORY 7
1.3 ORGANIZACIÓN DE LAS MAQUINAS
NOTA: Para agregar las maquinas al AD se necesita que un usuario se
conecte al mismo. Esto lo enseño en el manual “Unión de cliente al Active
Directory”.
1.3.1 Contenedor para las maquinas
a. Ahora, al igual que antes creamos un contenedor para las maquinas, dentro del
contenedor padre “Departamento de diseños”.
b. Asignamos nombre
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
POLÍTICAS EN ACTIVE DIRECTORY
08 DE ABRIL DE 2014
POLÍTICAS EN ACTIVE DIRECTORY 8
c. Verificamos
1.3.2 Agrupación de maquinas
Las maquinas NO se crean como los usuarios. Las maquinas se crean o agregan
automáticamente al AD en el momento que se conecta con el mismo servidor.
NOTA: Para agregar las maquinas al AD se necesita que un usuario se
conecte al mismo. Esto lo enseño en el manual “Unión de cliente al active
directory”.
Al conectarse con el AD, la maquina se agrega automáticamente en el contenedor
computers.
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
POLÍTICAS EN ACTIVE DIRECTORY
08 DE ABRIL DE 2014
POLÍTICAS EN ACTIVE DIRECTORY 9
Para agruparlas en el contenedor “Diseño Maquinas”:
a. Arrastramos la maquina al contenedor deseado, en este caso “DiseñoMaquinas”.
Este error nos advierte que al mover el objeto a ese nuevo contenedor se le aplicara las
políticas que estén enlazadas con esa unidad organizacional.
Aceptamos.
b. Verificamos
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
POLÍTICAS EN ACTIVE DIRECTORY
08 DE ABRIL DE 2014
POLÍTICAS EN ACTIVE DIRECTORY 10
2 CREACIÓN DE GPO
GPO, por sus siglas en inglés “Group Policy Object”, que significa “Grupo de policas para un
objeto”, es quien permite la edición de un grupo de politicas que s ele aplicaran a un objeto
u objetos en particular.
Una GPO se enlaza con un contenedor, es decir, que nosotros crearemos dos GPO, una para
el contenedor de los usuarios “DiseñoUsuarios”, donde solo editaremos y aplicaremos
políticas específicas para usuarios.
Crearemos una segunda GPO para el contenedor “DiseñoMaquinas”, donde editaremos y
aplicaremos políticas exclusivas de máquina.
a. Abrimos el Group Policy Manager
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
POLÍTICAS EN ACTIVE DIRECTORY
08 DE ABRIL DE 2014
POLÍTICAS EN ACTIVE DIRECTORY 11
2.1 GPO PARA “DISEÑOUSUARIOS”. Ahora vamos a crear la GPO para los usuarios. Entonces damos clic derecho en el contendor
de “DiseñoUsuarios”. Luego clic en “Create a GPO in this domain, and Link it here…”
Básicamente lo que estamos haciendo es crear una GPO en el dominio y enlazarlo con ese
contenedor.
Verificamos
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
POLÍTICAS EN ACTIVE DIRECTORY
08 DE ABRIL DE 2014
POLÍTICAS EN ACTIVE DIRECTORY 12
2.2 GPO PARA “DISEÑOMAQUINAS”. Hacemos lo mismo que antes
Verificamos
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
POLÍTICAS EN ACTIVE DIRECTORY
08 DE ABRIL DE 2014
POLÍTICAS EN ACTIVE DIRECTORY 13
DESARROLLO DE LA ACTIVIDAD
De aquí en adelante comenzaremos aplicar las politicas propuestas en el Active Directory.
Para la configuración de estas se debe tener en cuenta que es en el Group Policy
Management.
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
POLÍTICAS EN ACTIVE DIRECTORY
08 DE ABRIL DE 2014
POLÍTICAS EN ACTIVE DIRECTORY 14
3 POLÍTICAS DE USUARIO
A continuación realizaremos las políticas que se pueden aplicar en la configuración de
usuario, es decir, son políticas de usuario.
Todas se realizaran dentro de la GPO “Politicas DiseñoUsuarios”
a. Clic derecho en la GPO “Politicas DiseñoUsuarios” y luego en “Edit…”
b. Se abre el “Group Policy Management Editor”.
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
POLÍTICAS EN ACTIVE DIRECTORY
08 DE ABRIL DE 2014
POLÍTICAS EN ACTIVE DIRECTORY 15
Nosotros solo utilizaremos en esta sección “User Configuration”, que son las políticas de
usuario.
De aquí en hasta que se acabe la sección 3, solo utilizaremos User Configuration, por lo
tanto deben entender que los pasos 3.a. y 3.b. Son los primeros pasos de cada política
estudiaremos adelante. Con excepción de la política 3.1., que no necesita del “Group Policy
Management Editor”.
3.1 LOS USUARIOS DEBEN LOGUEARSE SOLAMENTE DE 7:00 AM A 8:00 PM Como explique anteriormente, solo esta política no necesita de “Group Policy Management
Editor”. Sin embargo es una política de usuario por que se aplica directamente sobre las
cuentas creadas.
a. Entramos al contenedor donde están nuestros usuarios, desde el “Active Directory
Users and Computers”.
Si no recuerdan como entrar allí, lean el paso 1
Dentro de este contenedor deben aparecer nuestro usuarios, allí los seleccionamos
todos.
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
POLÍTICAS EN ACTIVE DIRECTORY
08 DE ABRIL DE 2014
POLÍTICAS EN ACTIVE DIRECTORY 16
Clic derecho y propiedades
b. Clicc en “Account”>Selecciona “Logon hours”>Clic en “Logon hours…”
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
POLÍTICAS EN ACTIVE DIRECTORY
08 DE ABRIL DE 2014
POLÍTICAS EN ACTIVE DIRECTORY 17
c. Seleccionamos las horas que no deseamos que los usuarios se conecte.
Al seleccionar, si nos fijamos abajo nos dice los días y las horas de conexión que uno
ha seleccionado. Si estamos seguros, chuleamos en la parte izquierda el permiso o la
negación en la conexión.
Lo blanco son las horas y días que no se conectaran.
Aceptamos los cambios.
3.2 LOS USUARIOS NO DEBEN TENER ACCESO AL PANEL DE CONTROL a. Dentro del Group Policy Management Editor
User Configuration>Polices>Administrave Templtes>Control Panel.
Allí Clic derecho en la política y luego en “Edit”.
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
POLÍTICAS EN ACTIVE DIRECTORY
08 DE ABRIL DE 2014
POLÍTICAS EN ACTIVE DIRECTORY 18
Acá activamos la política y aceptamos
3.3 DEBE USARSE EL PAPEL TAPIZ DE LA EMPRESA, NO DEBE PODER CAMBIARSE En este caso debemos tener en cuenta el lugar donde vamos almacenar la imagen que
utilizaremos. Siempre debe estar disponible el lugar que elijamos. Tenemos dos
opciones, guardarla en el servidor o guardarla en el cliente.
¿Dónde guardar la imagen del papel tapiz?
SERVIDOR
Ventajas Desventajas
No se debe copiar una a una la imagen
en cada pc.
Se recomienda utilizar esta opción de
almacenamiento cuando las imágenes
cambian periódicamente.
Si la imagen permanecerá mucho tiempo, al
momento del encendido de los PC gastara
ancho de banda al enviar la imagen a varios
clientes
CLIENTE
Ventajas Desventajas
Si la imagen permanecerá un tiempo
considerable, esta es la mejor opción,
ya que no afectara el ancho de banda
de la infraestructura de red.
Se debe copiara una a una la imagen en
cada PC. Y Si esta cambia periódicamente
será tediosa la tarea
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
POLÍTICAS EN ACTIVE DIRECTORY
08 DE ABRIL DE 2014
POLÍTICAS EN ACTIVE DIRECTORY 19
En este caso la guardaremos en el cliente.
a. Guardar la imagen en un lugar accesible por cualquier usuario. En este caso será el
disco del sistema en el CLIENTE.
b. Ahora desde el servidor nos dirigimos donde nos dice la imagen
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
POLÍTICAS EN ACTIVE DIRECTORY
08 DE ABRIL DE 2014
POLÍTICAS EN ACTIVE DIRECTORY 20
c. Activamos “Enable Active Desktop”
d. Configuramos “Desktop Wallpaper”
Activamos, escribimos la ruta y aceptamos.
NOTA: Si guardan la imagen en el servidor deben comenzar la ruta asi
“\\server\...”
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
POLÍTICAS EN ACTIVE DIRECTORY
08 DE ABRIL DE 2014
POLÍTICAS EN ACTIVE DIRECTORY 21
b. Comprobamos en el cliente si efectivamente cambio.
3.4 LA CARPETA DOCUMENTOS DE TODOS LOS USUARIOS A APUNTARÁ A UNA CARPETA INDEPENDIENTE POR USUARIO QUE
ESTÉ DENTRO DE LA CARPETA COMPARTIDA EN EL SERVIDOR: \\CONTROLADORDOMINIO\PUBLICA
3.4.1 Creando y compartiendo la carpeta
a. Creamos la carpeta en el servidor y la compartimos
b.
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
POLÍTICAS EN ACTIVE DIRECTORY
08 DE ABRIL DE 2014
POLÍTICAS EN ACTIVE DIRECTORY 22
c. Buscamos personas, ya que vamos agregar nuevos usuarios
d. Seguimos pasos
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
POLÍTICAS EN ACTIVE DIRECTORY
08 DE ABRIL DE 2014
POLÍTICAS EN ACTIVE DIRECTORY 23
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
POLÍTICAS EN ACTIVE DIRECTORY
08 DE ABRIL DE 2014
POLÍTICAS EN ACTIVE DIRECTORY 24
e. Ahora compartimos desde opciones avanzadas
Se siguen pasos
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
POLÍTICAS EN ACTIVE DIRECTORY
08 DE ABRIL DE 2014
POLÍTICAS EN ACTIVE DIRECTORY 25
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
POLÍTICAS EN ACTIVE DIRECTORY
08 DE ABRIL DE 2014
POLÍTICAS EN ACTIVE DIRECTORY 26
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
POLÍTICAS EN ACTIVE DIRECTORY
08 DE ABRIL DE 2014
POLÍTICAS EN ACTIVE DIRECTORY 27
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
POLÍTICAS EN ACTIVE DIRECTORY
08 DE ABRIL DE 2014
POLÍTICAS EN ACTIVE DIRECTORY 28
Eliminamos los otros usuarios:
Y nos queda algo asi:
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
POLÍTICAS EN ACTIVE DIRECTORY
08 DE ABRIL DE 2014
POLÍTICAS EN ACTIVE DIRECTORY 29
c. Añadimos permisos total y guardamos todo.
3.4.2 Editando la GPO
a. Vamos a hacia donde nos dice la imagen
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
POLÍTICAS EN ACTIVE DIRECTORY
08 DE ABRIL DE 2014
POLÍTICAS EN ACTIVE DIRECTORY 30
b. Llenamos como nos dice la imagen
En el Root Path, escribimos la ruta de nuestra carpeta, que debe ir con el nombre del
servidor completo.
c. Aceptamos. Es una advertencia que nos indica que esta política no es compatible con
el Windows mencionado.
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
POLÍTICAS EN ACTIVE DIRECTORY
08 DE ABRIL DE 2014
POLÍTICAS EN ACTIVE DIRECTORY 31
3.4.3 Verificación
Nos conectamos en nuestra maquina o actualizamos las políticas de nuestro cliente desde el
CMD, con el comando gpupdte.
Cuando entramos otra vez a publica esta creada nuestra carpeta para ese usuario.
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
POLÍTICAS EN ACTIVE DIRECTORY
08 DE ABRIL DE 2014
POLÍTICAS EN ACTIVE DIRECTORY 32
3.5 TODAS LAS MÁQUINAS TENDRÁN PERMANENTE LA UNIDAD H: QUE APUNTARÁ A LA RUTA
\\CONTROLADORDOMINIO\COMPARTIDA
3.5.1 Creamos la carpeta y compartimos como en la carpeta Publica.
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
POLÍTICAS EN ACTIVE DIRECTORY
08 DE ABRIL DE 2014
POLÍTICAS EN ACTIVE DIRECTORY 33
Acá dejamos los demás grupos de usuarios
3.6 EDITAMOS GPO
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
POLÍTICAS EN ACTIVE DIRECTORY
08 DE ABRIL DE 2014
POLÍTICAS EN ACTIVE DIRECTORY 34
a. Llenamos datos
b. Ahora en la pestaña Common, y luego clic en “Targeting…”
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
POLÍTICAS EN ACTIVE DIRECTORY
08 DE ABRIL DE 2014
POLÍTICAS EN ACTIVE DIRECTORY 35
Dentro del Targeting Editor, seleccionamos Security Groups.
Ahora agregamos el grupo Domain Users como lo hemos venido haciendo.
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
POLÍTICAS EN ACTIVE DIRECTORY
08 DE ABRIL DE 2014
POLÍTICAS EN ACTIVE DIRECTORY 36
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
POLÍTICAS EN ACTIVE DIRECTORY
08 DE ABRIL DE 2014
POLÍTICAS EN ACTIVE DIRECTORY 37
4 POLÍTICAS DE MAQUINA
Las políticas de máquina se realizaran en la GPO correspondiente.
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
POLÍTICAS EN ACTIVE DIRECTORY
08 DE ABRIL DE 2014
POLÍTICAS EN ACTIVE DIRECTORY 38
4.1 LOS USUARIOS DEBEN CAMBIAR SU CONTRASEÑA CADA 30 DÍAS Vamos a la política que necesitamos.
a. En esta especificamos cuanto será el tiempo máximo que un usuario podrá conservar
una contraseña.
Editamos a nuestro gusto y guardamos
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
POLÍTICAS EN ACTIVE DIRECTORY
08 DE ABRIL DE 2014
POLÍTICAS EN ACTIVE DIRECTORY 39
b. Ahora vamos a especificar el tiempo mínimo que un usuario debe tener una
contraseña.
Editamos a nuestro gusto y guardamos
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
POLÍTICAS EN ACTIVE DIRECTORY
08 DE ABRIL DE 2014
POLÍTICAS EN ACTIVE DIRECTORY 40
4.2 SOLO LOS ADMINISTRADORES PUEDEN APAGAR LA MÁQUINA a. Vamos a la política que necesitamos
b. Chuleamos y agregamos al Administrador como único usuario que puede apaga r el
sistema.
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
POLÍTICAS EN ACTIVE DIRECTORY
08 DE ABRIL DE 2014
POLÍTICAS EN ACTIVE DIRECTORY 41
Agregamos y guardamos
NOTA: Si usted desea solo esto, está bien. Pero con esta política si nos
fijamos en la pantalla de inicio de sesión aún se puede apagar el sistema.
Por lo tanto y si deseamos también la agregamos así la UNICA forma de
apagar el sistema es conectándose como ADMINISTRADOR. Para ello:
c. Entramos a la política necesaria y configuramos
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
POLÍTICAS EN ACTIVE DIRECTORY
08 DE ABRIL DE 2014
POLÍTICAS EN ACTIVE DIRECTORY 42
Activamos y guardamos
4.3 SOLO LOS ADMINISTRADORES PUEDEN CAMBIAR LA HORA DEL SISTEMA
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
POLÍTICAS EN ACTIVE DIRECTORY
08 DE ABRIL DE 2014
POLÍTICAS EN ACTIVE DIRECTORY 43
Editamos y agregamos solo al administrador como usuario permitido para cambiar la hora.
SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS
POLÍTICAS EN ACTIVE DIRECTORY
08 DE ABRIL DE 2014
POLÍTICAS EN ACTIVE DIRECTORY 44
5 VERIFICACIÓN DE POLÍTICAS ACTIVADAS
Para ver que políticas están activadas seleccionamos nuestra GPO y luego en la pestaña
Settings del panel derecho: