POLTICAS DE ESCRITORIO

Poltica para cambiar el fondo de escritorio en un Dominio (GPO)

1- Primero abrimos el administrador de polticas y creamos una nueva.

2- Ahora vamos a Configuracin de usuario Directivas Plantillas Administrativas

Escritorio Active Desktop

3- Y Habilitamos las opciones de Habilitar Active Desktop



4- Habilitamos No permitir cambios para que los usuarios no cambien el fondo de

escritorio.
5- Seleccionamos un archivo JPG o BMP. Se recomienda que este por ejemplo en una
carpeta accesible por todos los usuarios (se puede hacer con permisos de solo lectura),
especificamos la ruta del servidor y el nombre de la imagen con la extencin
correspondiente.

6-Ahora podemos agregar a los usuarios que queremos que se apliquen o a los grupos y
esperamos a que todos reinicien al otro da para que se le aplique a todos los usuarios.
Otra forma de probar rpidamente es usar el comando gpupdate /force en inicio ejecutar.
Administracin de directivas de grupo (GPO) sobre MS Windows Server 2008 R2

Crearemos en nuestro Controlador de dominio el siguiente esquema:

Vamos a crear primero las Unidades Organizativas, para ello nos abrimos la
consola Usuarios y equipos de Active Directory y creamos las UO:
 Para la segunda Unidad Organizativa seguimos el mismo proceso, como podemos
ver ya tenemos las dos UO creadas, anidadas dentro del dominio:

Ahora sobre cada UO vamos a crear los grupos, primero los haremos sobre la UO
avanza_01:
 Como podemos ver ya tenemos el grupo creado:

Para la segunda UO seguiremos el mismo proceso:

 Ahora vamos a crear los usuarios y cada uno se ubicar en su grupo
correspondiente:
 Para la creacin de los dems usuarios vamos a seguir el mismo proceso, y como
podemos ver ya tenemos todos los usuarios creados:
 Ahora introducimos los usuarios en su grupo correspondiente:
 Ahora vamos a compartir en el Domain Controller una carpeta llamada Docs con
permisos totales para administradores y usuarios del dominio:
 En los permisos del recurso compartido le asigno control total a todos, para
despus aplicar los permisos ms restrictivos sobre NTFS:
 Ahora vamos a aplicar los permisos NTFS que comentamos anteriormente:
 Como podemos ver ya estn los permisos asignados:
 Ahora vamos a compartir en el DC una carpeta llamada Cosas con permisos
totales para los administradores y slo lectura para el resto de usuarios del
dominio.

Para este punto seguiremos el mismo proceso que anteriormente, por lo tanto solo
mostrar que la carpeta est compartida y los permisos estn asignados:
 Ahora colocaremos en la carpeta cosas una imagen cualquiera que usaremos
para fondo de pantalla:
 Descargamos el paquete MSI de Firefox y lo guardamos en la carpeta compartida
cosas:

Creamos una directiva para la unidad organizativa avanza_01 llamada

directivaAV01.

Para crear la directiva nos abrimos la consola Administracin de directivas de

grupo ubicada en las Herramientas Administrativas y damos clic sobre Nuevo:
 Como podemos ver ya tenemos la GPO creada:

Ahora la tenemos que vincular sobre la Unidad Organizativa avanza_01:

 Como podemos ver ya est la GPO vinculada:

Ahora la modificamos en Configuracin de usuario Directivas Plantillas

administrativas para:

Quitar del Escritorio el icono Papelera de Reciclaje :

 Establecer el tiempo de espera del protector de pantalla en 300 segundos:

Fijar como tapiz del Escritorio la imagen que hemos colocado en la carpeta
compartida:
 Quitar el icono Red del men de Inicio:

Prohibir el acceso al Panel de control:

 Desactivar los gadgets de escritorio:

No permitir la ejecucin de Windows Messenger:

Desactivar la funcionalidad de Eliminar el historial de exploracin en

Internet Explorer:
 Impedir el acceso al smbolo del sistema:
EJEMPLO 2

Ahora crearemos otra directiva para la unidad organizativa avanza_02 llamada

directivaAV02.

Modificaremos esta directiva dentro de Configuracin de usuario Directivas

Configuracin de software para que instale (despliegue de software) el
paquete MSI de Firefox que se encuentra en la carpeta compartida cosas.

Para ello nos abrimos la Administracin de directivas de grupo:

 Creamos una nueva GPO:
 Le indicamos el nombre:

Ahora vamos a editar la GPO creada:

 Desplegamos las configuraciones hasta Configuracin de usuario > Directivas >
Configuracin de software > Instalacin de software :

Clic sobre botn derecho de ratn y seleccionamos Nuevo > Paquete:

 Escribimos la ruta para acceder al fichero msi que queremos desplegar, damos clic
sobre Abrir:

Seleccionamos el mtodo de implantacin, en este caso asignada:

 Esperamos unos segundos y como podemos ver ya tenemos el paquete
implementado:

Ahora vamos a vincular la nueva GPO creada sobre una de nuestras Unidades
Organizativas, en este caso, sobre avanza02:
 Como podemos ver ya la tenemos vinculada:

Cuando los usuarios de esta Unidad Organizativa inicien sesin en cualquier

mquina del dominio, este software (Mozilla Firefox) ser desplegado.

Ahora modificaremos esta directiva en Configuracin del equipo Directivas

Configuracin de Windows Configuracin de seguridad para que no
pueda cambiar la hora del sistema:
 Modificamos esta directiva en Configuracin del equipo Directivas
Configuracin de Windows Configuracin de seguridad Directivas
locales para que est habilitada la auditora de los inicios de sesin (de los
correctos y los incorrectos):
 La Configuramos para que se bloquee la cuenta cuando el usuario haga 3 intentos
fallidos de introduccin de contrasea. Hazlo en Configuracin del equipo
Directivas Configuracin de seguridad Directivas de cuenta :
 Iniciamos sesin con los dos usuarios de avanza_02 y comprobamos en auditora
qu inicios se han registrado.

Iniciamos sesin con el usuario joseramonb1 de la UO avanza_02:

 Iniciamos sesin con el usuario joseramonb2 de la UO avanza_02:
 Nos abrimos las Herramientas administrativas > Visor de eventos:
 Como podemos ver se ha iniciado sesin correctamente con el usuario 1 de la UO
avanza_02:
 Como podemos ver se ha iniciado sesin correctamente con el usuario 2 de la UO
avanza_02:
Saludos y espero que este post os sea de utilidad

Desarrollo

1.- Digitamos en el Windows Server 2008 desde el men Inicio gpmc.msc i para abrir el
Administrador de directivas de grupo
Le ponemos la nueva GPO y le damos el nombre de POLITICA PRUEBA.

Para configurar las nuevas polticas damos click derecho y seleccionamos Editar.

nos aparecer el Editor de administracin de directiva de grupo.

Nos enfocaremos en Configuracion de usuario -> Directivas ->Configuracion de
Windows.

Ahora procederemos a aplicar 5 directivas:

1.- Redireccionamiento de Carpetas: esta opcin nos da un men de carpetas a elegir,

para este ejemplo vamos a seleccionar la carpeta Descargas click derecho ->
Propiedades

Como podemos observar esta en la opcin de no configurado

En este caso, Desplegamos la configuracin y elegimos la opcin Basica: redirigir la
carpeta de todos a la misma ubicacin.

En el panel de Ubicacin de la carpeta destino, seleccionamos Redirigir a la ubicacin

siguiente

Y en Ruta de acceso a raz, seleccionaremos en este caso el escritorio

Damos click en aceptar y se nos desplegara en cuadro de advertencia

2.- Directivas de restriccin de software: esta esta dentro de la carpeta Configuracion
de Seguridad, en directiva de restriccin de software click derecho -> nueva directiva de
restriccin de software

En este caso vamos hacer uso de Niveles de seguridad aplicaremos el nivel no

permitido y lo establecemos como predeterminado para que los usuarios no puedan
acceder a programas determinados como por ejemplo un .exe..
3.- Titulo de explorador: esta esta dentro de la carpeta Mantenimiento de internet y
dentro de interfaz de usuario del explorador

Personalizamos la barra de titulo y le damos el nombre empresa

4.- Restringir Paginas: esta esta dentro de la carpeta Mantenimiento de internet y dentro
de Seguiridad

En zonas de seguridad y privacidad seleccionamos IMportar la configuracin actual de las

zonas de seguridad y privacidad,seleccionamos modificar configuracion

selecionamos sitios restrigidos

 +

ponemos la pagina arestringir y aceptamos

Para verificar nuestars directivas nos vamos al cliente lo reiniciamos y probamos

1.- redireccionamiento de carpetas

2.- Directivas de restriccin de software

 +

3.- Titulo de explorador

4.- Restringir Paginas

Gracias
Cmo ocultar la unidad C mediante directivas de grupo

19 mayo, 2013 MartaISO

Para ocultar la unidad C de unos equipos o a unos usuarios determinados de un dominio

debemos situarnos primeramente en la GPO que deseemos modificar, en mi caso: marta,
dentro del dominio marta2.local y abrir el editor de administracin de directivas de grupo.
Para ello, abrimos el Administrador del servidor > Caractersticas > Administracin de
directivas de grupo > Bosque: marta2.local > Dominios > marta2.local > Objetos de
directiva de grupo > marta (botn derecho) >> Editar

Una vez dentro del editor de administracin de directivas de grupo podemos elegir la
configuracin del equipo o la de usuario, como es en mi caso: Configuracin de usuario >
Directivas > Plantillas administrativas > Componentes de Windows > Explorador de
Windows >> Ocultar estas unidades especificadas en Mi PC.
Seleccionamos la opcin Habilitada y elegimos Restringir slo la unidad C, que lo que
nos peda el ejercicio, aunque podemos ver que esta directiva nos ofrece muchas otras
posibilidades.

Nota:

Esta directiva slo oculta los iconos de las unidades pero los usuarios seguirn teniendo
acceso al contenido de las mismas a travs de otros mtodos como puedan ser el escribir
la ruta de acceso en los cuadros de dilogo Conectar a la unidad de red o Ejecutar, o
tambin en una ventana de comandos.

Si queremos impedir tambin el acceso, deberamos utilizar la directiva Impedir acceso a

las unidades desde Mi PC, que se encuentra en la misma ruta que la directiva aplicada
anteriormente.

Finalmente, para que se aplique esta (o cualquier otra) directiva, debemos vincular a la
GPO aquellos equipos o usuarios que deseemos y una vez que se reinicie el PC o la
sesin ya tendrn oculta la unidad C.