Administrar las GPO en Windows Server 2008

Las GPO son usadas para poner permisos a los usarios que inician sesion en nuestro dominio. Estas
politicas se pueden poner tanto de forma individual como grupal. Durante el curso veremos
diferentes cosas que podemos hacer a los usuarios como son las siguientes:
Previo a la creacin de GPO
Creamos una unidad organizativa dentro del servidor zaragoza que se llamar Equipos. (debe
de estar dentro de la unidad organizativa las naves.
- Dentro de Equipos creamos una carpeta por cada SO que tenemos
- Arrastramos los Usuarios en la carpeta que hemos creado para cada uno de ellos. Los equipos los
tenemos en una carpeta llamada Computers.
Dentro de la carpte computers van a estar todos los usuairos que incian sesion en nuestro
sistemas operativos en red.

Informacin sobre las GPO

- Las GPO tienen por defecto herencias. Esto quiere decir que si aplicamos una GPO en una unidad
organizativa y esta tiene otras unidades organizativas por debajo tambien se las aplicacarn. Para
que una unidad organizativa no tenga herencias hacemos clic derecho>Bloquear herencia.
-Podemos ver todas las GPO que tenemos en el dominio en la carpeta Objetos de directiva de
grupos. Desde aqu podemos arrastrar GPO's a las unidades organizativas en el caso que queramos
ahorrarnos trabajo. En esta unidad se guardan las GPO originales, ya que las que aparecen en la
unidad organizativa son accesos directos a las GPO que tenemos en Objetos de directiva de
grupos.
- Si queremos usar en una unidad organizativa una GPO que tenemos en otro lugar podemos hacer
clic derecho>Vincular una gpo y con esto podemos seleccionarla para aplicarla.
- Los nombres de las GPO tienen que ser siempre identificativos de lo que van a hacer
- para modificar los permisos de una GPO hacemos clic derecho>editar
- Para ver todas las cosas que hace nuestra GPO damos clic a la GPO y damos a la pestaa
configuraciones y hacemos clic en show all y nos aparece debajo. En caso de que no se aplique
podemos dar al icono de actualizar para ver si nos aparecce.
- Hay 2 Gpo que vienen por defecto y una engloba a la otra. Debemos tener siempre la Default
Domain Police bloqueada la herencia para que las cosas funcionen bien.

GPO's que vamos a utilizar

Impedir acceso al panel de control
Conf. Usuario> Directivas> Plantillas Administrativas> Panel de control> Prohibir acceso al panel
de control.
- Damos doble clic sobre la politica y la modificamos a habilitada.
Cambiar ttulo del Explorador
Con esto cuando abrimos internet Explorer nos cambia el ttulo por el que nosotros queramos.
Config. Usuario> Directivas> Configur. De Widnows> mantenimiento de internet explorer>
interfaz del explorador> Ttulo del explorador
- Damos doble clic sobre la politica y la modificamos a habilitada y ponemos el mensaje que
queremos que aparezca.
Aadir favoritos en internet explorer
Con esto vamos a aadir pginas a favoritos y no se van a poder eliminar.
Config. Usuario> Directivas> Configur. De Widnows> mantenimiento de internet explorer>
Direccion url> Favoritos y vinculos
- Damos doble clic sobre la politica y la editamos dando en agregar url y ponemos la direccin
que queramos que salga. Aceoptamos y ya estara.
Bloquear la barra de tareas
Config. Usuario> Directivas> Plant.Administrativas> men inicio y barra de tareas> Bloquear la
barra de tareas
- clic derecho> editar y habilitamos la politica. Despues aceptamos y listo.
(Los juegos se desactivan desde este mismo sitio)
Evitar que se borre el Historial de internet Explorer
Conf. Usuario> Directivas> Plantillas administrativas> Componentes de windows> internet
epxlorer> Elilmianr el historial de exploracin
- clic derecho> editar y damos a Desactivar la funcionalidad y a eliminar el historial de
navegacin.
En caso de que no fucione damos a la que dice Impedir que se eliminen los sitios web que el
usuario elimin

Evitar que cierren las ventanas abiertas

Conf. Usuario> Directivas> Plantillas administrativas> Componentes de windows>Internet
explorer> Menus de explorador> menu archivo> deshabilitar el cierre de ventanas del explorador
web y el explorador de windows
- clic derecho> editar y le damos a habilitar.
Bloquear que se entre en las propiedades del Equipo
Con esto evitamso que se de clic derecho y ver las propiedades del equipo.
Conf. Usuario> Directivas> Plantillas Administrativas> Escritorio> Quitar elemento propiedades
del menu contextual
- clic derecho> editar y le damos a habilitar.
Bloquear fondo de Escritorio
- Para que funcione tenemos que ir al servidor y en (E:) vamos a crear una carpeta que se llame
Fondos y vamos a guardar la imagen que ser el fondo de escritorio de los ordenadores. Vamos a
compartir la carpeta con Todos dando permisos de lectura.
- Conf. Usuario> Directivas> Plantillas Administrativas> Escritorio> Active Desktop> Tapiz de
escitorio
- clic dercho> editar y ponemos la ruta de red de la carpeta que contiene el fondo que queremos
poner \\dc01\Fondos\bosco.jpg aplicamos y guardamos.
- Inicamos sesion y se tien que ver la imagen de fondo de escritorio.
Prohibir juego Buscaminas
- Crear carpeta en (E:) llamada juegos. La compartimos con Administrador y quitamos el grupo
Todos. Damos permiso total al Administrador.
- Iniciamos Windows xp y ponemos en el explorador de windows \\dc01\juegos. Sin cerrar este
explorador abrimos otro y vamos a la ruta C:\windows\system32\ y buscamos el archivo
winmite.exe que es el que corresponde al buscaminas. Lo copiamos y lo pegamos en la ruta de
red \\dc01\juegos. Tras esto cerramos sesion en windows xp
- Ahora vamos a crear la GPO y vamos a Conf. Usuario> Directivas> Confi. Windows> Config.
Seguridad> Directivas de restriccion de software> Reglas adicionales. Ahora damos clic
derecho>Regla de nuevo hash Damos a examinar y buscamos wimine.exe en la carpeta de red.
Aplicamos y acpetamos.
El hash que creamos no depende de la ruta, ni del nombre que tiene el archivo, es decir que si
cambiamos el nombre del arhivo o su ruta seguir bloqueado igualmente.

Bloquear apagado de Equipo

Conf. Usuario> Directivas> Plantillas Administrativas> menu inicio y barra de tareas> Quitar y
evitar el acceso a los comandos de apagar, reiniciar y suspender.
- Habilitamos la politica y listo.
Bloquear protector de pantalla
- Conf. Usuario> Directivas> Plantillas Administrativas> Panel de control> Personalizacin>
Impedir cambiar el protector de pantalla
- Habilitamos la politica y listo.
Si no nos funciona con esa politica podemos poner otra que dice Aplicar un fondo de pantalla
especfico
Instalar programas en todos los Equipos que se conecten a mi servidor
Para que podamos instalar programas en los equipos en red, estos programas tienen que estar en
extensin .msi o .mst.
- Creamos carpeta en (E:) con nombre de software. La compartimos con Todos, Administradores
y Usuarios del dominio. Damos control total solo a Administradores. Los arhivos que metamos
en la carpeta que hemos creado tiene que estar ya descomprimidos y para ello hay que hacerlo de la
siguiente manera:
- En la maquina virtual damos a Uniades Opticas> Chose disk image y seleccionamos la .iso
que queremos. Despues abrimos la carpeta que se genera, copiamos todo lo que hay en su interior,
creamos una carpeta con el nombre del arhivo que hemos descomprimido en (E:) software y
dentro pegamos todo.
En el caso de que no tengamos el archivo con la extensin .msi lo tenemos que crear.
- Ahora abrimos Administracin de directivas de grupo y vamos a la unidad organizativa
Equipos. Vamos a la GPO Default Domain Policy y lo editamos. Conf. Equipo> Directivas>
Plantilla Administrativa> Sistema> Inicio de sesin> Esperar siempre la deteccin de red al inico
del equipo (Esto sirve para que siempre que se inicie un SO en red, mire si tiene que instalar algo y
lo haga antes de que se registre el usuario)
- Ahora vamos a la Unidad Organizativa de wxp y creamos una nueva GPO y la vamos a llamar
Microsoft Office 2000 XP. La editamos y vamos a Conf. Equipo> Directivas> Config.
Software> Instalacin de Software damos clic derecho> nuevo> paquete y buscamos el
archivo .msi que corresponde al Office que queremos instalar. En la ruta de red ponemos
\\dc01\software\MSOffice-2000\DATA.msi. Cuando lo ponemos damos en abrir y en el menu que
nos sale damos a asignada y aceptamos. Ahora lo probamos metiendonos en Windows XP.
Cuando ponemos la ruta y aceptamo debemos mirar que salga siempre como ruta de red de no
ser as hay que borrarlo y volverlo a hacer. La ruta de red se pone siempre en la barra del
explorador de windows.

Instalar programas de forma personalizada en los Equipos en red

- Instalamos el ejecutable orktools.exe. Una vez instalado abrimos el programa generado Custom
Installations Wizard. En browse buscamos el Office que queremos modificar y seleccionamos el
archivo .msi y damos a siguiente. En el nombre del archivo que nos va a generar lo llamamos
igual que el .msi pero con la extensin nueva. Despues rellenamos lo que nos pide y cuando
llegamos al punto que nos pide las cosas que queremos instalar seleccionamos solo aquellas cosas
que queremos que se isntalen. Despues damos todo a siguiente y aceptamos. Con esto ya tenemos
nuestro Office con extensin .mst que es la que nos permite instalar las modificacines.
- Vamos a la GPO de windows XP, la editamos y damos a Conf. Equipo> Directivas> Config.
Software> Instalacin de Software damos clic derecho> nuevo> paquete y buscamos el .msi del
Office que queremos instalar. Despues le damos a la opcin de Avanzadas y en la pestaa
Modificacines buscamos el archivo con extensin .mst.
- Ahora abrimos Windows Xp y se nos tiene que instalar el Office solo con aquellas cosas que
hemos indicado cuando hemos creado el paquete.