Directivas de grupos locales GPO

Directivas De Grupo Local - GPO -Windows

Directivas de grupo en Windows Server 2008.

En esta entrada vamos a configurar directivas de grupo local a 4 usuarios los cuales son: Bruno, Benji, Carlos y Manuel. Vamos a utilizar estos 4 usuarios para explicar algunas de las muchas politicas que podemos implementar. el sistema operativo a utilizar puede ser cualquiera windows, en este caso utilizaremos Windows server 2008.

La primera politica que vamos a asignar es que la vigencia maxima de la contraseña para los usuarios sea de maximo 15 dias. se configura:

  • Primero: ejecutamos ya sea en ejecutar o dentro de la consola cmd o DOS, el siguiente comando secpol.msc.

Cuando lo ejecutamos nos aparecera una ventana como la siguiente. Allí entraremos Directivas de cuenta > Directiva de contraseñas > Vigencia maxima de la contraseña. alli es donde pondremos cuanto es lo maximo que queremos que un usuario cambie de contraseña.



 
  • Segundo: Vamos a hacer que las contraseñas cumplan con los requisitos de complejidad por defecto de Windows server y luego veremos cuales son estos requisitos.
 Lo vamos a habilitar desde Directivas de seguridad local >> Directivas de cuenta> Directivas de contraseña > La contraseña debe cumplir con los requisitos de complejidad.  Habilitar.
 
Los requisitos de complejidad Son los siguientes:

  • Tercero: vamos a hacer que los usuarios cuando vayan a cambiar su contraseña no puedan cambiarla, a menos de que sea diferente de sus 2 ultimas contraseñas usadas.
Lo habilitamos desde Directiva de seguridad local >> Directiva de contraseñas > Exigir historial de contraseñas. Habilitamos y ponemos que vamos a guardar las ultimas 2 contraseñas para que el usuario no pueda ponerlas de nuevo.
 
   



  • Cuarto: Los usuarios del grupo Killers pueden apagar la máquina una vez hayan iniciado
    sesión, pero los usuarios del grupo ventas no podrán apagar el equpo (Desde el
    sistema operativo). Primero creamos los grupos y entre ellos, en el grupo killers estaran los usuarios Carlos y Manuel y en otro grupo llamado Timers estaran Bruno y Benji. quedaria algo asi:


Luego de haber añadido a las usuarios a su respectivo grupo, vamos entonces a hacer que solo el grupo Killers puedan apagar la maquina tras haber iniciado sesion. Podemos activar esta politica entrando en Configuracion de seguridad local >> Directivas locales > Asignacion de derechos de usuario > Apagar el sistema, luego agregar el grupo Killers dentro del los grupos que tienen permitido apagar el sistema.



  • Quinto: Ahora, los usuarios del grupo Timers podran cambiar la hora del sistema, mientras que el grupo Killers no.
Esto se puede hacer desde la siguiente directiva. Cconfiguracion de seguridad local >> Directiva locales > Asignacion de derechos de usuario > Cambiar la hora del sistema. alli colocaremos a los grupos que pueden apagar el sistema.






  • Sexto: Todos los usuarios tendran las siguiente restricciones al usar el navegador Internet explorer. No podrán eliminar el historial de navegación, No se permitirá el cambio de proxy ya que todos los usuarios usarán el mismo proxy (172.20.49.51:80), Configuración del historial deshabiltada, no permitir el cambio de las directivas de seguridad del navegador.  Lo anterios lo podemos realizar desahibilitando varias directiva.
No permitir el borrado del historial de navegacion, se configura desde:  Editor de directivas de grupo local >> configuracion de equipo > Componentes de windows > Internet explorer > Deshabilitar la configuracion del historial. y seleccionamos Habilitar.

 Configurar el mismo proxy para todos los usuarios, se puede configurar desde: Editor de directivas de grupo local >> configuracion de equipo > Componentes de windows > Internet explorer > Configuracion de proxy por equipo y no por usuario. Lo habilitamos, luego nos vamos hacia Editor de directivas de grupo local >> configuracion de usuario > Configuracion de windows > Mantenimiento de internet explorer > Conexion > Configuracion de los servidores proxy. Y alli ponemos el proxy que va a utilizar el sistema.


Deshabilitar la configuracion del historial, lo vamos a hacer desde Editor de directivas de grupo local >> configuracion de equipo > Componentes de windows > Panel de control internet > Internet explorer > Deshabilitar la pagina general, Y la habilitamos.


Directivas de seguridad deshabilitadas, la habilitamos desde Editor de directivas de grupo local >> configuracion de equipo > Componentes de windows > Panel de control internet > Internet explorer > Deshabilitar la pagina Seguridad. Y habilitar.



  • Septimo: Deshabilitar la ventana emergende de reproduccion automatica. Lo podemos realizar desde. Editor de directivas de grupo local >> configuracion de equipo > Componentes de windows > Directivas de reproducción > Desactivar Reproduccion Automatica. Y habilitar.
















  • Octavo: Deshabilitar el apagado remoto de la maquina, lo haremos desde Editor de directivas de grupo local >> configuracion de equipo > Componentes de windows > Opciones de apagado> Desactivar interfaz de apagado remoto heredada. Y habilitar.

  • Noveno: Aplicar cuotas de 50MB para todos los usuarios locales y remotos (Esta es un cuota muy baja y es usada solo para fines académicos). lo habilitamos desde: Editor de directivas de grupo local >> configuracion de equipo > Sistema > Cuotas de disco > Habilitar cuotas de disco, y lo habilitamos.


Luego aplicamos un limite de cuota de disco, desde: Editor de directivas de grupo local >> configuracion de equipo > Sistema > Cuotas de disco > Aplicar limite de cuota de disco. y habilitar.



Luego le damos cuanto va a hacer la cuota para casa usuario, desde: Editor de directivas de grupo local >> configuracion de equipo > Sistema > Cuotas de disco > Limite de cuota y nivel de aviso predeterminada. Alli nos aparecera una ventana en la cual pondremos cuanto va a ser la cuota del disco.




DIRECTIVAS DE CONFIGURACIÓN DE USUARIO


  • Primero: La página principal que se cargará para cada usuario cuando abra su navegador será: http://www.sudominio.com (Página institucional de su empresa), lo habilitamos de la siguiente manera, vamos a ir a: Editor de directivas de grupo local >> configuracion de Usuario > Configuracion de windows > Mantenimiento de internet explorer > Direcciones url >Direcciones url importantes. Y alli agregamos nuestra pagina inicial.

  • Segundo: Restringir desde el navegador el acceso a los siguientes sitios: www.facebook.com y www.youtube.com por URL, para todos los usuarios. El administrador será el único con la contraseña de supervisor para el Asesor de Contenidos. Lo podemos lograr desde. Editor de directivas de grupo local >> configuracion de Usuario > Configuracion de windows > Mantenimiento de internet explorer > Seguridad > Zonas de seguridad y clasificadas. Alli vamos a ir a la pestaña General y vamos a crear una contraseña.

Luego vamos a la pestaña Sitios aprobados, alli pondremos los sitios que queremos que nunca se vean o que siempre se puedan ver.