Politicas en active directory

08 DE ABRIL DE 2014

POLÍTICAS EN ACTIVE

DIRECTORY GESTIÓN DE REDES DE DATOS INSTRUCTORA: ISABEL YEPES

Gelier Moreno

SERVICIO NACIONAL DE APRENDIZAJE

SERVICIO NACIONAL DE APRENDIZAJE GESTIÓN DE REDES DE DATOS

POLÍTICAS EN ACTIVE DIRECTORY

08 DE ABRIL DE 2014

POLÍTICAS EN ACTIVE DIRECTORY 1


Con esta guía aprenderemos asignar políticas en el Active Directory. Aplicaremos en

concreto 10 políticas entre políticas de usuario y políticas de máquina.

Se debe tener en cuenta que existe políticas de configuración para usuarios y políticas de

configuración para máquina. Es decir que son dos tipos de políticas para dos objetos

diferentes del AD.

Por lo tanto y para no mezclar políticas de un objeto u otro, se recomienda crear dos grupos

de políticas uno para cada objeto.

Actividad

Crearemos 10 cuentas para el departamento de diseño de una empresa, a las cuales se les

deberán aplicar las siguientes políticas (nota algunas pueden ser políticas de máquina)

POLÍTICAS PARA EL DEPARTAMENTO DE DISEÑO:

Los usuarios deben loguearse solamente de 7:00 am a 8:00 pm

Los usuarios no deben tener acceso al panel de control

Debe usarse el papel tapiz de la empresa, no debe poder cambiarse

Los usuarios deben cambiar su contraseña cada 30 días

La carpeta documentos de todos los usuarios a apuntará a una carpeta

independiente por usuario que esté dentro de la carpeta compartida.

\\controladordominio\publica

Solo los administradores pueden apagar la máquina

Solo los administradores pueden cambiar la hora del sistema

Todas las máquinas tendrán permanente la unidad H: que apuntará a la ruta

\\controladordominio\compartida

1 ORGANIZACIÓN DE LOS USUARIOS Y LAS MAQUINAS

Lo ideal para la aplicar políticas es agrupar los usuarios en un contendor, las maquinas en

otro y estos dos contenedores dentro de uno solo.

Esto permite mayor organización y facilidad de trabajo y búsqueda en la organización del

dominio.

Así mismo permite aplicar las políticas por separado, es decir políticas de usuarios y

políticas de máquina.



08 DE ABRIL DE 2014


Entramos al “Active Directory Users and Computers”

NOTA: Para la creación de usuarios y contenedores organizacionales visiten

mi antigua entrada “Union de cliente al active directory”. En el paso 2 se

especifica cómo hacer esto. Además se explica más detalladamente.

1.1 CONTENEDOR PADRE Crearemos este contendedor para almacenar los otros contenedores que mantienen

organizados y separados los usuarios y las maquinas.



08 DE ABRIL DE 2014


a. Clic en crear nuevo contenedor

b. Asignamos nombre

c. Verificamos contenedor



08 DE ABRIL DE 2014


1.2 CONTENEDOR DE LOS USUARIOS Y CREACIÓN DE USUARIOS Ahora organizaremos los usuarios en contenedores estratégicamente llamados, de tal forma

que sea para el SYSADMIN su fácil localización.

1.2.1 Contenedor para los usuarios

a. Teniendo seleccionado nuestro contenedor padre, creamos uno nuevo dentro de él.

b. Le asignamos nombre



08 DE ABRIL DE 2014


c. Verificamos

1.2.2 Creación de usuarios en el contenedor “DiseñoUsuarios”

Ahora vamos a crear los usuarios dentro del contenedor diseño usuarios.

a. Para ello seleccionamos el contendor en cuestión y luego en icono de nuevo usuarios.

Este icono en una persona con un asterisco.



08 DE ABRIL DE 2014


b. Llenamos datos, contraseña y aceptamos. Yo hice 5 usuarios

c. Verificamos

NOTA: Para la creación de usuarios y contenedores organizacionales visiten

mi antigua entrada “Unión de cliente al Active Directory”. En el paso 2 se

especifica cómo hacer esto. Además se explica más detalladamente.



08 DE ABRIL DE 2014


1.3 ORGANIZACIÓN DE LAS MAQUINAS

NOTA: Para agregar las maquinas al AD se necesita que un usuario se

conecte al mismo. Esto lo enseño en el manual “Unión de cliente al Active

Directory”.

1.3.1 Contenedor para las maquinas

a. Ahora, al igual que antes creamos un contenedor para las maquinas, dentro del

contenedor padre “Departamento de diseños”.

b. Asignamos nombre



08 DE ABRIL DE 2014


c. Verificamos

1.3.2 Agrupación de maquinas

Las maquinas NO se crean como los usuarios. Las maquinas se crean o agregan

automáticamente al AD en el momento que se conecta con el mismo servidor.

NOTA: Para agregar las maquinas al AD se necesita que un usuario se

conecte al mismo. Esto lo enseño en el manual “Unión de cliente al active

directory”.

Al conectarse con el AD, la maquina se agrega automáticamente en el contenedor

computers.



08 DE ABRIL DE 2014


Para agruparlas en el contenedor “Diseño Maquinas”:

a. Arrastramos la maquina al contenedor deseado, en este caso “DiseñoMaquinas”.

Este error nos advierte que al mover el objeto a ese nuevo contenedor se le aplicara las

políticas que estén enlazadas con esa unidad organizacional.

Aceptamos.

b. Verificamos



08 DE ABRIL DE 2014


2 CREACIÓN DE GPO

GPO, por sus siglas en inglés “Group Policy Object”, que significa “Grupo de policas para un

objeto”, es quien permite la edición de un grupo de politicas que s ele aplicaran a un objeto

u objetos en particular.

Una GPO se enlaza con un contenedor, es decir, que nosotros crearemos dos GPO, una para

el contenedor de los usuarios “DiseñoUsuarios”, donde solo editaremos y aplicaremos

políticas específicas para usuarios.

Crearemos una segunda GPO para el contenedor “DiseñoMaquinas”, donde editaremos y

aplicaremos políticas exclusivas de máquina.

a. Abrimos el Group Policy Manager



08 DE ABRIL DE 2014


2.1 GPO PARA “DISEÑOUSUARIOS”. Ahora vamos a crear la GPO para los usuarios. Entonces damos clic derecho en el contendor

de “DiseñoUsuarios”. Luego clic en “Create a GPO in this domain, and Link it here…”

Básicamente lo que estamos haciendo es crear una GPO en el dominio y enlazarlo con ese

contenedor.

Verificamos



08 DE ABRIL DE 2014


2.2 GPO PARA “DISEÑOMAQUINAS”. Hacemos lo mismo que antes

Verificamos



08 DE ABRIL DE 2014


DESARROLLO DE LA ACTIVIDAD

De aquí en adelante comenzaremos aplicar las politicas propuestas en el Active Directory.

Para la configuración de estas se debe tener en cuenta que es en el Group Policy

Management.



08 DE ABRIL DE 2014


3 POLÍTICAS DE USUARIO

A continuación realizaremos las políticas que se pueden aplicar en la configuración de

usuario, es decir, son políticas de usuario.

Todas se realizaran dentro de la GPO “Politicas DiseñoUsuarios”

a. Clic derecho en la GPO “Politicas DiseñoUsuarios” y luego en “Edit…”

b. Se abre el “Group Policy Management Editor”.



08 DE ABRIL DE 2014


Nosotros solo utilizaremos en esta sección “User Configuration”, que son las políticas de

usuario.

De aquí en hasta que se acabe la sección 3, solo utilizaremos User Configuration, por lo

tanto deben entender que los pasos 3.a. y 3.b. Son los primeros pasos de cada política

estudiaremos adelante. Con excepción de la política 3.1., que no necesita del “Group Policy

Management Editor”.

3.1 LOS USUARIOS DEBEN LOGUEARSE SOLAMENTE DE 7:00 AM A 8:00 PM Como explique anteriormente, solo esta política no necesita de “Group Policy Management

Editor”. Sin embargo es una política de usuario por que se aplica directamente sobre las

cuentas creadas.

a. Entramos al contenedor donde están nuestros usuarios, desde el “Active Directory

Users and Computers”.

Si no recuerdan como entrar allí, lean el paso 1

Dentro de este contenedor deben aparecer nuestro usuarios, allí los seleccionamos

todos.



08 DE ABRIL DE 2014


Clic derecho y propiedades

b. Clicc en “Account”>Selecciona “Logon hours”>Clic en “Logon hours…”



08 DE ABRIL DE 2014


c. Seleccionamos las horas que no deseamos que los usuarios se conecte.

Al seleccionar, si nos fijamos abajo nos dice los días y las horas de conexión que uno

ha seleccionado. Si estamos seguros, chuleamos en la parte izquierda el permiso o la

negación en la conexión.

Lo blanco son las horas y días que no se conectaran.

Aceptamos los cambios.

3.2 LOS USUARIOS NO DEBEN TENER ACCESO AL PANEL DE CONTROL a. Dentro del Group Policy Management Editor

User Configuration>Polices>Administrave Templtes>Control Panel.

Allí Clic derecho en la política y luego en “Edit”.



08 DE ABRIL DE 2014


Acá activamos la política y aceptamos

3.3 DEBE USARSE EL PAPEL TAPIZ DE LA EMPRESA, NO DEBE PODER CAMBIARSE En este caso debemos tener en cuenta el lugar donde vamos almacenar la imagen que

utilizaremos. Siempre debe estar disponible el lugar que elijamos. Tenemos dos

opciones, guardarla en el servidor o guardarla en el cliente.

¿Dónde guardar la imagen del papel tapiz?

SERVIDOR

Ventajas Desventajas

No se debe copiar una a una la imagen

en cada pc.

Se recomienda utilizar esta opción de

almacenamiento cuando las imágenes

cambian periódicamente.

Si la imagen permanecerá mucho tiempo, al

momento del encendido de los PC gastara

ancho de banda al enviar la imagen a varios

clientes

CLIENTE

Ventajas Desventajas

Si la imagen permanecerá un tiempo

considerable, esta es la mejor opción,

ya que no afectara el ancho de banda

de la infraestructura de red.

Se debe copiara una a una la imagen en

cada PC. Y Si esta cambia periódicamente

será tediosa la tarea



08 DE ABRIL DE 2014


En este caso la guardaremos en el cliente.

a. Guardar la imagen en un lugar accesible por cualquier usuario. En este caso será el

disco del sistema en el CLIENTE.

b. Ahora desde el servidor nos dirigimos donde nos dice la imagen



08 DE ABRIL DE 2014


c. Activamos “Enable Active Desktop”

d. Configuramos “Desktop Wallpaper”

Activamos, escribimos la ruta y aceptamos.

NOTA: Si guardan la imagen en el servidor deben comenzar la ruta asi

“\\server\...”



08 DE ABRIL DE 2014


b. Comprobamos en el cliente si efectivamente cambio.

3.4 LA CARPETA DOCUMENTOS DE TODOS LOS USUARIOS A APUNTARÁ A UNA CARPETA INDEPENDIENTE POR USUARIO QUE

ESTÉ DENTRO DE LA CARPETA COMPARTIDA EN EL SERVIDOR: \\CONTROLADORDOMINIO\PUBLICA

3.4.1 Creando y compartiendo la carpeta

a. Creamos la carpeta en el servidor y la compartimos

b.



08 DE ABRIL DE 2014


c. Buscamos personas, ya que vamos agregar nuevos usuarios

d. Seguimos pasos



08 DE ABRIL DE 2014




08 DE ABRIL DE 2014


e. Ahora compartimos desde opciones avanzadas

Se siguen pasos



08 DE ABRIL DE 2014




08 DE ABRIL DE 2014


Eliminamos los otros usuarios:

Y nos queda algo asi:



08 DE ABRIL DE 2014


c. Añadimos permisos total y guardamos todo.

3.4.2 Editando la GPO

a. Vamos a hacia donde nos dice la imagen



08 DE ABRIL DE 2014


b. Llenamos como nos dice la imagen

En el Root Path, escribimos la ruta de nuestra carpeta, que debe ir con el nombre del

servidor completo.

c. Aceptamos. Es una advertencia que nos indica que esta política no es compatible con

el Windows mencionado.



08 DE ABRIL DE 2014


3.4.3 Verificación

Nos conectamos en nuestra maquina o actualizamos las políticas de nuestro cliente desde el

CMD, con el comando gpupdte.

Cuando entramos otra vez a publica esta creada nuestra carpeta para ese usuario.



08 DE ABRIL DE 2014


3.5 TODAS LAS MÁQUINAS TENDRÁN PERMANENTE LA UNIDAD H: QUE APUNTARÁ A LA RUTA

\\CONTROLADORDOMINIO\COMPARTIDA

3.5.1 Creamos la carpeta y compartimos como en la carpeta Publica.



08 DE ABRIL DE 2014


Acá dejamos los demás grupos de usuarios

3.6 EDITAMOS GPO



08 DE ABRIL DE 2014


a. Llenamos datos

b. Ahora en la pestaña Common, y luego clic en “Targeting…”



08 DE ABRIL DE 2014


Dentro del Targeting Editor, seleccionamos Security Groups.

Ahora agregamos el grupo Domain Users como lo hemos venido haciendo.



08 DE ABRIL DE 2014




08 DE ABRIL DE 2014


4 POLÍTICAS DE MAQUINA

Las políticas de máquina se realizaran en la GPO correspondiente.



08 DE ABRIL DE 2014


4.1 LOS USUARIOS DEBEN CAMBIAR SU CONTRASEÑA CADA 30 DÍAS Vamos a la política que necesitamos.

a. En esta especificamos cuanto será el tiempo máximo que un usuario podrá conservar

una contraseña.

Editamos a nuestro gusto y guardamos



08 DE ABRIL DE 2014


b. Ahora vamos a especificar el tiempo mínimo que un usuario debe tener una

contraseña.

Editamos a nuestro gusto y guardamos



08 DE ABRIL DE 2014


4.2 SOLO LOS ADMINISTRADORES PUEDEN APAGAR LA MÁQUINA a. Vamos a la política que necesitamos

b. Chuleamos y agregamos al Administrador como único usuario que puede apaga r el

sistema.



08 DE ABRIL DE 2014


Agregamos y guardamos

NOTA: Si usted desea solo esto, está bien. Pero con esta política si nos

fijamos en la pantalla de inicio de sesión aún se puede apagar el sistema.

Por lo tanto y si deseamos también la agregamos así la UNICA forma de

apagar el sistema es conectándose como ADMINISTRADOR. Para ello:

c. Entramos a la política necesaria y configuramos



08 DE ABRIL DE 2014


Activamos y guardamos

4.3 SOLO LOS ADMINISTRADORES PUEDEN CAMBIAR LA HORA DEL SISTEMA



08 DE ABRIL DE 2014


Editamos y agregamos solo al administrador como usuario permitido para cambiar la hora.



08 DE ABRIL DE 2014


5 VERIFICACIÓN DE POLÍTICAS ACTIVADAS

Para ver que políticas están activadas seleccionamos nuestra GPO y luego en la pestaña

Settings del panel derecho:

Politicas en active directory

Internet

Transcript of Politicas en active directory