CONFIGURACIN DE POLTICAS O

DIRECTIVAS PARA USUARIOS CLIENTES

GESTIN DE REDES DE DATOS

SERVICIO NACIONAL DE APRENDIZAJE

DIEGO LEON GIL BARRIENTOS
Instructora: ISABEL CRISTINA YEPES OCAMPO
Ficha: 464327

Qu son las GPO, polticas de grupo

en Windows Server?
Vamos a tratar de comprender que son las polticas de grupo o GPO de Windows
Server, una herramienta fundamental que nos da Microsoft para administrar la
infraestructura de nuestro dominio.
Bsicamente las polticas nos dan el control de los equipos de la red, pudiendo
establecer configuraciones para los distintos componentes de sistema operativo,
para poder lograrlo vamos a necesitar un Windows Server que tenga el servicio o
rol de active directory, y podremos aplicar la configuracin a sitios, dominios,
unidades organizativas. Tambin debemos tener en claro que las polticas pueden
aplicarse a equipos y usuarios.

Las GPOs, en el dominio son heredadas; las aplicadas a un contenedor padre,

son aplicadas a su vez a sus hijos, es decir:
Las OUs de primer nivel heredan del Dominio
Las OUs hijas heredan de las de primer nivel
Las OUs de nivel 3 heredan de las hijas
Vamos a familiarizarnos con algunos conceptos fundamentales sobre las GPO:

Herencia de GPOs: si aplico una poltica en el nivel ms alto del dominio,

bosque o sitio, se distribuir a los equipos o usuarios que estn en los niveles
inferiores.
Bloqueo de Herencia de GPOs: sirve para evitar que se apliquen
configuraciones a determinados equipos o usuarios del dominio, por lo general
se usa para no aplicarle a los administradores de dominio o equipos puntuales.

CONFIGURACION DE POLITICAS O DIRECTIVAS PARA

USUARIOS CLIENTES
Para realizar la configuracin de las polticas de Usuarios y Maquinas debemos
organizar en un mismo contenedor ambos elementos.
Contenedor=Pruebas
>Computador Operario01 > REDES
> Usuario Operario01 > Operario 01
Donde REDES es el computador, y Operador01 es el usuario como tal.
NOTA: al unir el cliente al dominio el Computador se va por defecto a la carpeta
Computers el cual lo debemos mover a la carpeta deseada (pruebas).

Finalmente queda organizado de la siguiente manera:

- Computador Operario01

Usuario Operario01

Ahora podemos crear y aplicar las polticas para el usuario o el computador.

Para esto debemos ir al Server Manager > Tools > Group Policy Management.

Desglosamos Forest>Domains>sena.com.

Dentro del dominio como tal le damos clic derecho a la carpeta llamada Group
Policy Objects y le damos New.

NOTA: Como las polticas de Usuario y Maquina son diferentes, por organizacin
y comodidad de administracin crearemos una poltica para el usuario y otra
poltica para la Maquina.

Le damos OK, y repetimos el mismo procedimiento para crear una nueva poltica
ya para las maquinas.

Como podemos ver a continuacin se crearon 2 nuevas polticas en la carpeta

Group Policy Objects.

La poltica como tal ya est creada, pero no est activa en ningn contenedor, por
lo tanto procedemos a enlazarlas.
Para ello, en la misma interfaz de Group Policy Management, buscaremos nuestra
carpeta creada y organizada con los sub contenedores, para ello la desglosamos.

Como podemos ver en el contenedor Pruebas, se encuentras los 2 sub

contenedores creados previamente, pero ninguno de estos tiene enlazado poltica
alguna.
Para enlazar una poltica le damos clic derecho al sub contenedor y
seleccionamos Link an Existing GPO.

En este ejemplo enlazaremos la poltica Politica Maquina en el contenedor

Computador Operario01.

Damos OK y podremos ver que se enlazo la poltica.

Ahora hacemos lo mismo pero con la poltica Politica Usuario al contenedor

Usuario Operario01.

Ya as quedaron enlazadas nuestras 2 polticas de ejemplo, podemos proceder a

configurarlas.

PRACTICA 1
-

Los Usuarios deben loguearse solamente de 7:00 AM 8:00 PM.

Para esta prctica no utilizaremos una configuracin de poltica como tal, pero
haremos una configuracin especfica del usuario para que tenga una restriccin
de logueo.
Empezamos por la interfaz Server Manager > Tools > Active Directory Users and
Computers.

Le daremos clic derecho al usuario > Propiedades.

Entramos en la pestaa Account.

En esta seccin seleccionaremos Logon Hours

Donde, las casillas en blanco son las horas donde no permite logueo.

POLITICA DE USUARIO PRACTICA 2

-

Los usuarios no deben tener acceso al panel de control.

Para empezar vamos Server Manager > Group Policy Management.

En el sub contenedor de Usuario Operario01 de damos clic y nos mostrar la
poltica enlazada previamente.

Esta procedemos a editarla. Para esto damos clic derecho > Edit.

Esta es una poltica de Usuario por lo tanto entramos a User Configuration y

desglosamos de la siguiente forma.
User Configuration > Policies > Administrative Templates > Control panel.

10

Le damos clic a carpeta Control panel y veremos en la parte derecha las politicas
generalizadas del panel de control, la cual especficamente solicitada la vimos en
la imagen anterior resaltada.
Para configurarla le damos clic derecho > Edit.

La habilitamos y le damos OK.

11

Como podemos ver la poltica de Control Panel ya aparece establecida.

Ahora verificaremos con el cliente logueado con el Operario01 y no debe permitir
entrar al panel de control.
NOTA: Se recomienda por velocidad y practicidad utilizar el comando gpupdate
/force en la interfaz de comandos del cliente (en este caso Windows 8).
Si en el cliente tratamos de ingresar al panel de control debe verse una
notificacin similar a la siguiente:

12

POLITICA USUARIO PRACTICA 3

-

Debe usarse el papel tapiz de la empresa y no debe poder cambiarse.

Primero ubicamos el logo o la imagen que queremos de papel tapiz para los
equipos de los usuarios, recomendable de la siguiente forma:
C:\\Pantalla\Imagen.jpg
Nota: Se crea la carpeta Pantalla en el disco C del cliente y pegamos el logo o la
imagen.

Ahora vamos al Servidor a configurar nuestra poltica de usuario.

Para ello vamos a Server Manager > Tools > Group Policy Management.
En el sub contenedor de Usuario Operario01 de damos clic y nos mostrar la
poltica enlazada previamente. Procedemos a editarla.
Desglosamos el men de edicin de la poltica de la siguiente manera:
User Configuration > Policies > Administrative Templates > Desktop > Desktop.
Damos clic y veremos las polticas a nuestra derecha.

13

Procedemos a editar la poltica Desktop Wallpaper.

NOTA: Habilitamos, escribimos la ruta donde est el archivo y escogemos fill para
que expanda el papel tapiz.
Ahora vamos a editar la poltica de Enabled Active Desktop y la habilitamos.

14

Nos deben quedar establecidas ambas:

15

Ahora verificamos que la poltica de Wallpaper haya sido aplicada en el cliente.

NOTA: Se recomienda por velocidad y practicidad utilizar el comando gpupdate
/force en la interfaz de comandos del cliente (en este caso Windows 8). Una vez
ejecutado este comando se recomienda reiniciar la mquina.

La imagen fue establecida exitosamente y no permite cambiarla.

16

POLITICA MQUINA PRACTICA 4

-

Los usuarios deben cambiar su contrasea cada 30 das.

Para esto vamos a Server Manager > Tools > Group Policy Management
Justo ah buscamos nuestro contenedor Pruebas y como es una politica de
computador buscamos la politica creada previa y exclusivamente para equipos
fsicos, llamada Poltica Maquina.

En Poltica de mquina damos botn derecho> Editar y se nos abre la ventana

Group Policy Management Editor.

Aqu vamos a la siguiente ruta: Computer Configuration > Policies > Windows
Settings > Security Settings > Account Policies > Password Policy.
Observaremos las diversas polticas, solo necesitamos habilitar y configurar solo
una.

17

Luego vamos y abrimos la ventana de Maximum password age properties, doble

clic y definimos la poltica a 30 das y damos ok.

18

Luego definimos en la ventana de Minimum password age properties por 1 da.

Con esto, ya tendramos aplicada esta poltica.

Listo, le damos aceptar y salimos del group policy management.

Ahora procedemos a demostrar que la poltica se aplica perfectamente en los
clientes.
Para esto vamos a modificar la fecha de la maquina anfitriona.
NOTA: Para efectuar sincronizadamente el cambio de fecha, los 2 sistemas
virtuales deben tener instalado el VirtualBox Additions.
Esta es la fecha y hora actual de la maquina anfitriona sincronizada con la
mquina virtual.

19

Procedemos a modificar la fecha 30 das, para comprobar que la contrasea

caduca.

Al modificar la fecha en la maquina anfitriona inmediatamente cambia tambin en

el cliente, en este caso Windows 8.
Procedemos a reiniciar la maquina cliente para verificar que efectivamente
caduc.

Como podemos observar en esta imagen con fecha del 10 de abril, dice que la
contrasea expirar en 2 das, sin embargo nos damos cuenta que han pasado 33
das, lo que nos hace pensar que debemos adelantar an ms la fecha y
procedemos a hacerlo.

20

La hemos adelantado hasta el 15 de abril y reiniciamos nuevamente el cliente.

Al reiniciar y tratar de volver a ingresar al usuario, vemos que la contrasea

efectivamente expir.

21

POLITICA USUARIO PRACTICA 5

-

La carpeta Documentos de todos los usuarios, apuntar a una carpeta

independiente por usuario que este dentro de la carpeta compartida
\\Controladordominio\Publica.

Primero creamos la carpeta Pblica que va a contener las carpetas Documentos

de todos los usuarios a los que les aplique la poltica.
NOTA: se crea en el Disco C del Windows Server.

A esa carpeta creada llamada Publica procedemos a compartirla de la siguiente

manera:
Clic derecho a la carpeta, propiedades y la pestaa Sharing.

22

Advanced Sharing

Seleccionamos Share this floder y le damos clic a Permissions

23

Procedemos a eliminar el grupo Everyone, lo seleccionamos y lo removemos.

Cuando no se encuentre ningn grupo, procedemos a aadir un nuevo grupo.

24

Buscamos el grupo Domain Users y lo seleccionamos.

Aceptamos

25

Le damos control total al grupo Domain Users de la carpeta Publica.

Aceptamos todo y volvemos al Disco C.

De nuevo le daremos clic derecho a la carpeta y le damos Share With > Specific
People

26

En esta interfaz observamos que los administradores son los nicos con
permisos, procedemos a agregar los usuarios por medio del grupo Domain
Users.
Para esto seleccionamos Find People

27

Buscamos el grupo Domain Users y lo seleccionamos.

Aceptamos

28

Como vemos el grupo aparece perfectamente, solo debemos darle permiso de

lectura y escritura y ahora si podemos darle compartir.

La carpeta est perfectamente creada y compartida, ahora procedemos a

configurar y aplicar la poltica adecuada.

29

Entramos al Server Manager >Tools > Group Policy Management.

NOTA: Como la poltica a configurar es de usuario, en nuestro ejemplo vamos al
contenedor que contiene la poltica respectiva.

Clic derecho editar y procedemos a configurarla de la siguiente manera:

Entramos a : User Configuration > Policies > Windows Settings > Folder
Redirection > Documents.

30

Clic derecho a Documents y seleccionamos propiedades.

Lo configuramos de la siguiente manera:

NOTA; en Root path, escribimos el nombre de nuestro servidor completo con el

dominio y la carpeta creada anteriormente.
Aceptamos
La poltica ya est configurada y perfectamente redireccionada, vamos a
comprobarlo:
NOTA: En el cliente ejecutamos el comando gpupdate y cerramos sesin.
Ahora observamos en el cliente la carpeta Documentos.

31

Aparecen carpetas estndar y compartidas con sus sub carpetas.

Ahora veremos la carpeta Publica en el servidor.

Se cre una nueva ruta de carpetas dentro de Publica, con el respectivo nombre
de usuario, al cual dentro de este se encuentra la carpeta Documentos de l, la
cual no es accesible por el administrador.

Para Poder verla y modificarla siendo administradores simplemente agregamos el

grupo Administrators en opciones de compartir.

32

POLITICA MQUINA PRACTICA 6

-

Solo los administradores pueden apagar la mquina.

Ingresamos a Server Manager > Tools > Group Policy Management.

Buscamos nuestro contenedor con la respectiva poltica de mquina.

Procedemos a editarla.
Clic derecho, edit y seguimos la siguiente ruta:
Computer Configuration > Policies > Windows Settings > Security Settings > Local
Policies > User Rights Assignment.

Damos clic y en la parte derecha vemos las polticas y seleccionamos Shut down
the system.

33

Al selecionarla le damos clic derecho, propiedades y lo configuramos de la

siguiente forma:

Buscamos el respectivo grupo, seleccionamos Browse.

34

Buscamos los grupos y usuarios y escogemos el grupo Administrators.

Aceptar

Aceptamos Todo

35

NOTA: Hasta este punto la politica esta configurada para que solo los
administradores logueados puedan apagar la maquina , sin embargo en la
consola de inicio de sesin aun aparece el botn de apagar, y permite apagar, por
lo tanto configuraremos una segunda politica que permite deshabilitar dicho botn
y por ningn motivo puede ser apagada sin estar logueados.
Vamos a Server Manager > Tools > Group Policy Management.
Dentro de este buscamos el contenedor nuevamente con la politica de maquina y
procedemos a editarla siguiendo esta ruta:
Computer Configuration > Policies > Windows Settings > Security Settings > Local
Policies > Security Options.

Al darle clic veremos las polticas de las cuales configuraremos Shut Down Allow
System to be shut down without having to log on.

36

La editamos, la definimos como politica y seleccionamos disabled.

Aceptamos

Ahora procedemos a comprobar, para esto reiniciamos la maquina cliente y

verificamos que puede ser apagada solo por el administrador.

37

POLITICA MQUINA PRACTICA 7

-

Solo los administradores pueden cambiar la hora del sistema.

Ingresamos a Server Manager > Tools > Group Policy Management.

Buscamos nuestro contenedor con la respectiva poltica de mquina.

Procedemos a editarla siguiendo esta ruta:

La seleccionamos y al lado derecho buscamos esta politica Change the system

time.
Clic derecho, propiedades, escogemos el grupo administradores y nos quedar
as:

38

Aceptar
Ahora comprobamos con el cliente, tratando de modificar la hora y nos debe salir
esta restriccin.

39

POLITICA USUARIO PRACTICA 8

-

Todas las maquinas tendrn permanente la unidad H que apuntar a la

ruta \\ControladorDominio\Compartida.

Empezaremos creando la carpeta Compartida que contendr los datos de la

unidad H.
La creamos igualmente en el Disco C de nuestro server.

40

El mismo procedimiento de prcticas anteriores.

41

Seleccionamos compartir con Specific People.

Ahora procedemos a configurar la poltica de usuario para crear y organizar

nuestra unidad H.

Vamos a Server Manager > Tools > Group Policy Management.

Buscamos nuestro contenedor con la respectiva poltica de usuario.

42

Clic derecho editar y seguimos esta ruta:

Damos clic y nos sale esta interfaz.

Clic derecho, seleccionamos New > Mapped Drive.

43

Configuramos de la siguiente manera:

Ahora ingresamos a la pestaa Common.

Seleccionamos Item-Level Targeting y previamente se habilitar el botn

Targetting, damos clic.

44

Buscamos Security Group.

45

Y seguimos el mismo procedimiento para agregar el grupo Domain Users.

46

Aceptamos y listo.

47

Ahora podemos ver que se cre exitosamente en el drive maps.

Para comprobar crearemos en la carpeta compartida desde nuestro servidor un
archivo cualquiera de texto y debemos reiniciar nuestro cliente y veremos una
nueva UNIDAD H llamada Compartida con este archivo de Texto.

Como vemos en nuestro cliente nos aparece la Unidad H, llamada Compartida.

48

Comprobamos viceversa creando desde el cliente un archivo cualquiera en la

unidad H y debe aparecer sin problema en la carpeta Compartida del servidor.

Ahora observamos en el Server.

Nuestra Unidad H funciona perfectamente.

49