3

Administración de directivas de grupo (GPO) sobre MS Windows Server 2008 R2

Hola a todos.

En este post vamos a ver la Administración de directivas de grupo (GPO) sobre Microsoft Windows Server 2008 R2, iremos realizando unos cuantos ejemplos y espero que así quede todo un poco más claro.

  • Crearemos en nuestro Controlador de dominio el siguiente esquema:

GPOWS2008R2_1

 

  • Vamos a crear primero las Unidades Organizativas, para ello nos abrimos la consola “Usuarios y equipos de Active Directory” y creamos las UO:

GPOWS2008R2_2

GPOWS2008R2_3

  • Para la segunda Unidad Organizativa seguimos el mismo proceso, como podemos ver ya tenemos las dos UO creadas, anidadas dentro del dominio:

GPOWS2008R2_4

  • Ahora sobre cada UO vamos a crear los grupos, primero los haremos sobre la UO avanza_01:

GPOWS2008R2_5

GPOWS2008R2_6

  • Como podemos ver ya tenemos el grupo creado:

GPOWS2008R2_7

  • Para la segunda UO seguiremos el mismo proceso:

GPOWS2008R2_8

  • Ahora vamos a crear los usuarios y cada uno se ubicará en su grupo correspondiente:

GPOWS2008R2_9

GPOWS2008R2_10

GPOWS2008R2_11

GPOWS2008R2_12

  • Para la creación de los demás usuarios vamos a seguir el mismo proceso, y como podemos ver ya tenemos todos los usuarios creados:

GPOWS2008R2_13

GPOWS2008R2_14

  • Ahora introducimos los usuarios en su grupo correspondiente:

GPOWS2008R2_15

GPOWS2008R2_16

  • Ahora vamos a compartir en el Domain Controller una carpeta llamada “Docs” con permisos totales para administradores y usuarios del dominio:

GPOWS2008R2_17

GPOWS2008R2_18

  • En los permisos del recurso compartido le asigno control total a “todos”, para después aplicar los permisos más restrictivos sobre NTFS:

GPOWS2008R2_19

  • Ahora vamos a aplicar los permisos NTFS que comentamos anteriormente:

GPOWS2008R2_20

GPOWS2008R2_21

  • Como podemos ver ya están los permisos asignados:

GPOWS2008R2_22

GPOWS2008R2_23

  • Ahora vamos a compartir en el DC una carpeta llamada “Cosas” con permisos totales para los administradores y sólo lectura para el resto de usuarios del dominio.
  • Para este punto seguiremos el mismo proceso que anteriormente, por lo tanto solo mostraré que la carpeta está compartida y los permisos están asignados:

GPOWS2008R2_24

GPOWS2008R2_25

GPOWS2008R2_26

  • Ahora colocaremos en la carpeta «cosas» una imagen cualquiera  que usaremos para fondo de pantalla:

GPOWS2008R2_27

  • Descargamos el paquete MSI de Firefox y lo guardamos en la carpeta compartida «cosas»:

GPOWS2008R2_28

  • Creamos una directiva para la unidad organizativa avanza_01 llamada “directivaAV01”.
  • Para crear la directiva nos abrimos la consola “Administración de directivas de grupo” ubicada en las “Herramientas Administrativas” y damos clic sobre “Nuevo”:

GPOWS2008R2_29

GPOWS2008R2_30

  • Como podemos ver ya tenemos la GPO creada:

GPOWS2008R2_31

  • Ahora la tenemos que vincular sobre la Unidad Organizativa “avanza_01”:

GPOWS2008R2_32

  • Como podemos ver ya está la GPO vinculada:

GPOWS2008R2_33

  • Ahora la modificamos en Configuración de usuarioDirectivasPlantillas administrativas para:
  • Quitar del Escritorio el icono “Papelera de Reciclaje” :

GPOWS2008R2_34

  • Establecer el tiempo de espera del protector de pantalla en 300 segundos:

GPOWS2008R2_35

  • Fijar como tapiz del Escritorio la imagen que hemos colocado en la carpeta compartida:

GPOWS2008R2_36

  • Quitar el icono Red del menú de Inicio:

GPOWS2008R2_37

  • Prohibir el acceso al Panel de control:

GPOWS2008R2_38

  • Desactivar los gadgets de escritorio:

GPOWS2008R2_39

  • No permitir la ejecución de Windows Messenger:

GPOWS2008R2_40

  • Desactivar la funcionalidad de “Eliminar el historial de exploración” en Internet Explorer:

GPOWS2008R2_41

  • Impedir el acceso al símbolo del sistema:

GPOWS2008R2_42

  • Comprobamos la configuración entrando en una máquina del dominio con Windows 7 y con los usuarios joseramonA1 y joseramonB1.
  • Al hacer logon en la máquina Windows 7 del dominio con el usuario joseramonA1, todas las directivas de grupo que hemos configurado se harán efectivas, ya que este usuario está ubicado en la Unidad Organizativa “avanza_01” que es dónde hemos vinculado la GPO configurada llamada “directivaAV01”, cuando hacemos logon en la máquina Windows 7 del dominio con el usuario joseramonB1, estas directivas no serán aplicadas ya que no está vinculada sobre la Unidad Organizativa “avanza_02”, que es donde se encuentra este usuario.
  • Como podemos ver con el usuario joseramonA1, se han aplicado correctamente las directivas, como por ejemplo, el icono de papelera de reciclaje ha desaparecido, el papel tapiz ha cambiado con la imagen jpg que hemos configurado, el símbolo del sistema está deshabilitado:

GPOWS2008R2_43

  • Como podemos ver con el usuario joseramonB1, nada de esto se ha aplicado:

GPOWS2008R2_44

  • Ahora crearemos otra directiva para la unidad organizativa avanza_02 llamada “directivaAV02”.
  • Modificaremos esta directiva dentro de Configuración de usuarioDirectivas → Configuración de software para que instale (despliegue de software) el paquete MSI de Firefox que se encuentra en la carpeta compartida «cosas».
  • Para ello nos abrimos la Administración de directivas de grupo:

GPOWS2008R2_45

  • Creamos una nueva GPO:

GPOWS2008R2_46

  • Le indicamos el nombre:

GPOWS2008R2_47

  • Ahora vamos a editar la GPO creada:

GPOWS2008R2_48

  • Desplegamos las configuraciones hasta Configuración de usuario > Directivas > Configuración de software > Instalación de software :

GPOWS2008R2_49

  • Clic sobre botón derecho de ratón y seleccionamos “Nuevo > Paquete”:

GPOWS2008R2_50

  • Escribimos la ruta para acceder al fichero msi que queremos desplegar, damos clic sobre Abrir:

GPOWS2008R2_51

  • Seleccionamos el método de implantación, en este caso asignada:

GPOWS2008R2_52

  • Esperamos unos segundos y como podemos ver ya tenemos el paquete implementado:

GPOWS2008R2_53

  • Ahora vamos a vincular la nueva GPO creada sobre una de nuestras Unidades Organizativas, en este caso, sobre “avanza02”:

GPOWS2008R2_54

GPOWS2008R2_55

  • Como podemos ver ya la tenemos vinculada:

GPOWS2008R2_56

  • Cuando los usuarios de esta Unidad Organizativa inicien sesión en cualquier máquina del dominio, este software (Mozilla Firefox) será desplegado.
  • Ahora modificaremos esta directiva en Configuración del equipoDirectivasConfiguración de WindowsConfiguración de seguridad para que no pueda cambiar la hora del sistema:

GPOWS2008R2_57

  • Modificamos esta directiva en Configuración del equipoDirectivasConfiguración de WindowsConfiguración de seguridadDirectivas locales para que esté habilitada la auditoría de los inicios de sesión (de los correctos y los incorrectos):

GPOWS2008R2_58

  • La Configuramos para que se bloquee la cuenta cuando el usuario haga 3 intentos fallidos de introducción de contraseña. Hazlo en Configuración del equipoDirectivasConfiguración de seguridadDirectivas de cuenta :

GPOWS2008R2_59

  • Iniciamos sesión con los dos usuarios de avanza_02 y comprobamos en auditoría qué inicios se han registrado.
  • Iniciamos sesión con el usuario joseramonb1 de la UO avanza_02:

GPOWS2008R2_60

  • Iniciamos sesión con el usuario joseramonb2 de la UO avanza_02:

GPOWS2008R2_61

  • Nos abrimos las Herramientas administrativas > Visor de eventos:

GPOWS2008R2_62

  • Como podemos ver se ha iniciado sesión correctamente con el usuario 1 de la UO avanza_02:

GPOWS2008R2_63

  • Como podemos ver se ha iniciado sesión correctamente con el usuario 2 de la UO avanza_02:

GPOWS2008R2_64

 

Saludos y espero que este post os sea de utilidad 😉

 

Jose Ramon Ramos Gata

Técnico Superior STI

3 comentarios

  1. Hola buenos Días, el presente es para solicitarles apoyo sobre un problema que tengo con una GPO en Windows 2008 R2

  2. Hola cómo activo los iconos de escritorio en equipos clientes por gpo. Por ejemplo equipo, red, carpeta de usuarios (la que lleva el nombre del usuario).
    Eh podido hacerlo mediante accesos directos pero no es la forma q estoy buscando. Desde ya muchas gracias

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.