Directivas de grupo
Enviado por Programa Chuletas y clasificado en Otras materias
Escrito el en 
español con un tamaño de 12,87 KB
Capitulo 9
Directivas de grupo
1. ¿Qué tipo de funciones realizan principalmente las directivas de grupo? ¿sobre qué se aplican?
Gracias a estas directivas de grupo es posible restringir el escritorio de los usuarios, aplicar directivas de cuenta y contraseña, distribuir aplicaciones, configurar las seguridad, ejecutar secuencias de comandos, implantar auditorias, cambiar los derechos de los usuarios…
En resumen las directivas de grupo ofrecen la posibilidad de disponer de una herramienta de administración que permite reducir el coste total de posesión ( TCO) gestionando el estado de trabajo de los usuarios. Dichas directivas de grupo quedan representadas como objetos de Active Directory.
2.¿que es un contenedor? ¿Qué relación existe entre una directiva de grupo y un contenedor?
Cuando creamos una directiva de grupo, creamos un objeto de active directory que vinculara a un contenedor. Se puede vincular una misma GPO a varias contenedores y vincular varias GPO a un mismo contenedor.
3. En un dominio Active directory. ¿ Se aplica de forma predeterminada algún tipo de directiva?
De modo predeterminado Active directory implementa dos objetos de directiva: -default domain policy (vinculada a nivel del dominio) Por este motivo, los parámetros definidos en esta directiva se aplican a todos los usuarios y equipos del dominio. - default domain controllers policy ( vinculada a nivel de la unidad organizativa) las directivas definidas aquí conciernen a los controladores de dominio. Una cuenta cualquiera de equipo miembro colocada a este contenedor, se verá sujeta por tanto a las mismas directivas que un contenedor de dominio.
4. ¿A que se aplican habitualmente los parámetros de seguridad: a nivel de usuario o a nivel de equipo?
Aunque esta sección esté disponible a nivel de usuario, pocos paramentaros de seguridad conciernan directamente a este ultimo, los parámetros de seguridad están principalmente asociados al equipo, esta sección permite definir la seguridad aplicada al equipo o la seguridad especifica al usuario.
5. ¿ Que supone una des habilitación parcial del vinculo en las directivas de grupo?
Una marca en forma de V aparece frente al vinculo para indicar que esta esta deshabilitado pero dicha marca solo influye a este y no al objeto de directiva en si. Por lo tanto, al contrario que la desactivación de los conjuntos de parámetros esta sección no tiene ningún efecto sobre los demás vínculos que pueda tener esta directiva en otros contenedores.
6. ¿Cual es el orden de aplicación de las directivas de grupo? En caso de conflicto ¿ que directiva es la que se acaba aplicando?
Cuando se inicia una sesión se aplicaran los parámetros definidos para dicho equipo, asi como las secuencias de comando de inicio. A continuación, cuando un usuario inicia una sesión se aplicaran los parámetros del usuario seguidos de las secuencias de comandos de inicio de sesión. Una ves aplicadas las directivas se actualizan cada una hora y media de modo predeterminado.
Los conmutadores opcionales \\\\Force y \\\\Enforce permiten imponer la aplicación de todos los parámetros de las directivas. De otro modo, solo se aplican los parámetros modificados. Las directivas pueden aplicarse en distintos niveles. En primer lugar se aplican las directivas definidas a nivel de sitio, luego las directivas a nivel del dominio y finalmente las directivas a nivel de OU. Las directivas se acumulan mientras no se presente ningún conflicto. Sin embargo en casa de que lo haya se aplicaran las directivas más próximas al usuario, es decir a nivel de la OU. Al contrario si no hay ningún conflicto se acumulan todas las directivas.
7. ¿Que condición se debe cumplir para que se aplique un directiva de grupo a un usuario? De forma predeterminada, ¿existe algún tipo de usuario a quienes no les afectan la imposición de directivas?
Para que una directiva se aplique a los usuarios de un contenedor, es necesario que estos dispongan al menos de los permisos leer y Aplicar directiva de grupo en el objeto de directiva. De modo predeterminado estos permisos se aplican al grupo usuarios autentificados. De este modo si se deniega el permiso Aplicar directivas de grupo a un usuario o a un grupo al que pertenezca, este grupo se verá afectado por el objeto de directiva sea cual sea el vinculo de esta. De forma predefinida los administradores no están sometidos a las directivas.
8. ¿Qué ventaja proporciona la distribución de aplicaciones mediante una directiva de grupo frente a la instalación por parte de un usuario, en cuanto a la administración de seguridad de los usuarios?
Una de las principales ventajas de la distribución de programas mediante una directiva de grupo es que simplifica la administración de seguridad de los usuarios. En efecto cuando un usuario instala un programa por sus propios medios es necesario asignarle derechos, a menudo excesivos para que pueda efectuar la operación. Cuando el programa se distribuye mediante una directiva de grupo, la operación resulta posible para un simple usuario, ya que la directiva emplea los derechos del sistema y no los de la sesión.
9. Optamos por configuración del equipo si se desea distribuir los programas a los equipos, independientemente de la persona que los utilice. Al contrario, seleccionado configuración del usuario para distribuir los programas a algunos usuarios independientemente del equipo que utilicen. En función de conjunto de parámetros elegido (equipo usuario) se dispone de varias opciones: publicada, asignada y avanzada.
Publicadas-. Solo disponible para los usuarios, este método permite agrupar el programa el programa en la sección agregar o quitar programas del panel de control, para que los usuarios puedan instalarlo en caso de necesidad. En efecto cuando un usuario solicita una archivo que lleve una extensión desconocida y haya sido publicado un programa adecuado el sistema efectúa la instalación de este último y luego abre con el él archivo secundario.
Asignada: Disponible para los usuarios o los equipos, este método permite agregar un acceso directo a la aplicación en el menú inicio.
Avanzada: esta opción no representa ningún método en particular sino que permite personalizar la instalación de los productos, manipulando directamente la ventana de propiedades. Las opciones anteriormente citadas presentan (pulicán o asignan) el paquete de modo predeterminado.
11.……..
Creamos el usuario <> y después la GPO utilizando en menú acción- propiedades-directiva de grupo-nueva. Lo siguiente es darle derecho a iniciar sesión local en el servidor principal a través de las directivas de seguridad del controlador de dominio, asignando derechos de usuario y agregar a dicho usuario en: permitir iniciar sesión local. Al crear el nuevo usuario ya no hará falta agregarle al grupo usuarios del dominio ya que cualquier usuario creado posteriormente permanece automáticamente a dicho grupo y por lo tanto se permitirá iniciar sesión sin efectuar otro tipo de configuraciones. Al iniciar sesión con <> se permite ya que anteriormente fue asignado a los permisos para iniciar sesión localmente
12.……
Creamos la GPO tal y como fue creada anteriormente y dándole a editar en configuración del equipo, nos dirigimos a las directivas de cuenta y desde ellas accedemos a la directiva de contraseña. Después de esto deshabilitamos la directiva: las contraseñas deben cumplir los requerimientos de complejidad. De todos modos viene bien mencionar que para que se apliquen estos paramentos deben estar definidos en un objeto de directiva de grupo vinculado a nivel de dominio.
13.…..
Accediendo a la GPO creada anteriormente dándole a editar el configuración del equipo- configuración de seguridad- directivas de cuentas-directivas de bloqueo de cuentas. En umbral de bloqueos de la cuenta introducimos tres intentos de inicio de. Mediante esto, la cuenta quedara bloqueada tras tres intentos erróneos. Por defecto la duración de bloque de cuenta y su restablecion es de 30 minutos, por lo tanto se desbloqueara automáticamente una ves transcurridos el intervalo mencionado aunque esto puede configurarse manualmente.
14. ……
Después de a ver creado la nueva GPo en asignación de derechos de usuarios, nos dirigimos a la directiva cambiar la hora del sistema, activamos definir esta configuración de directiva y agregamos el grupo de usuarios del dominio.
-como estamos tratando con controlador de dominio y es en el donde realizaremos los cambios los realizaremos desde la configuración de seguridad predeterminada del dominio (controlador). Las GPO que se configuran en equipos y usuarios de Active direcory suelen emplearse más bien para los demás usuarios del dominio, los demás equipos pertenecientes al dominio. -De este modo la GPO queda modificada.
15.…..
Después de haber realizado los cambios, se nos esta denegando el acceso, a la hora de intentar efectuar los cambios citados. Ello se ajusta en modo configuración de usuario - pantallas administrativas - panel de control - pantalla.
16.….
Comando: net send nom-equipo mensaje
Lo fundamental de esto es que el servicio Messenger tiene que estar iniciado de lo contrario no se nos permitirá el envio de mensajes. Por defecto no lo viene y lo tendremos que iniciar nosotros. Después de haberlo hecho (en servicios) en teoría debería ir bien pero en nuestro caso interviene el firewall del centro.
17.….
Creamos la GPO y en el apartado de directivas de restricción de software (configuración de usuario) en reglas adicionales creamos una nueva regla de ruta, seleccionamos en archivo y le damos al no permitir. La directiva tiene que estar vinculada a la a unidad organizativa usuarios1 conforme a las exigencias del ejercicio.
18. …después de ser creado la nueva GPO, en configuración del equipo -configuración de Windows - configuración de seguridad - directivas locales - directivas de auditoría, en la directiva auditar sucesos de inicio de sesión, encojemos los apartados correcto y erróneo. Una vez iniciado sesión en otro equipo del dominio y actualizada la GPO podemos observar en el visor de sucesos los inicios de sesión del usuario que la haya iniciado. Al igual modo, desde el visor se nos ofrece la posibilidad de guardar la consulta en un archivo.
19. ….
Después de crear la directiva nos dirigimos al apartado de re direccionamiento de carpetas que está en configuración del usuario. Una vez allá clickeamos botón acción en mis documentos y en el cuadro de dialogo que aparece introducimos los parámetros que exige el ejercicio.
Esta directiva permite redirigir las carpetas personales de los usuarios. Esta funcionalidad es particularmente interesante cuando los usuarios no dispones de un equipo asignado a título personal o cuando desean disponer de sus documentos desde cualquier equipo que utilizan. Además es posible aplicar esta directiva a los perfiles móviles.
20.….
Procedemos a la descarga de la aplicación <> desde la siguiente página: http:\\\\www.microsoft.com\\\\windowsserver2003\\\\GPmc\\\\gpmcintro.mspx. A continuación con los conceptos tratados en este capítulo bastara para familiarizarse rápidamente con ella.
La herramienta lleva un funcionamiento correcto ya que he creado varias directivas, las edite y pude comprobar su correcto funcionamiento.
“LO primero después de descargarlo la instale sin reiniciar el equipo. Luego me dirigí a la GPO creada y en configuración de equipo - configuración de software, la agregue y cuando reinicie el equipo con la pantalla de carga del sistema salió que se esta instalando <> de este modo la herramienta fue programada para ser instalada automáticamente al iniciar el equipo”
*también hize lo de los diagnósticos de directivas de grupo tal y como viene en el libro.
21….
El informe lo realizamos con la herramienta tratada en el ejercicio anterior. Sobre las GPO s que aparecen el dominio con el botón secundario del mouse, seleccionamos <> y guardamos el archivo.
Directivas de grupo
1. ¿Qué tipo de funciones realizan principalmente las directivas de grupo? ¿sobre qué se aplican?
Gracias a estas directivas de grupo es posible restringir el escritorio de los usuarios, aplicar directivas de cuenta y contraseña, distribuir aplicaciones, configurar las seguridad, ejecutar secuencias de comandos, implantar auditorias, cambiar los derechos de los usuarios…
En resumen las directivas de grupo ofrecen la posibilidad de disponer de una herramienta de administración que permite reducir el coste total de posesión ( TCO) gestionando el estado de trabajo de los usuarios. Dichas directivas de grupo quedan representadas como objetos de Active Directory.
2.¿que es un contenedor? ¿Qué relación existe entre una directiva de grupo y un contenedor?
Cuando creamos una directiva de grupo, creamos un objeto de active directory que vinculara a un contenedor. Se puede vincular una misma GPO a varias contenedores y vincular varias GPO a un mismo contenedor.
3. En un dominio Active directory. ¿ Se aplica de forma predeterminada algún tipo de directiva?
De modo predeterminado Active directory implementa dos objetos de directiva: -default domain policy (vinculada a nivel del dominio) Por este motivo, los parámetros definidos en esta directiva se aplican a todos los usuarios y equipos del dominio. - default domain controllers policy ( vinculada a nivel de la unidad organizativa) las directivas definidas aquí conciernen a los controladores de dominio. Una cuenta cualquiera de equipo miembro colocada a este contenedor, se verá sujeta por tanto a las mismas directivas que un contenedor de dominio.
4. ¿A que se aplican habitualmente los parámetros de seguridad: a nivel de usuario o a nivel de equipo?
Aunque esta sección esté disponible a nivel de usuario, pocos paramentaros de seguridad conciernan directamente a este ultimo, los parámetros de seguridad están principalmente asociados al equipo, esta sección permite definir la seguridad aplicada al equipo o la seguridad especifica al usuario.
5. ¿ Que supone una des habilitación parcial del vinculo en las directivas de grupo?
Una marca en forma de V aparece frente al vinculo para indicar que esta esta deshabilitado pero dicha marca solo influye a este y no al objeto de directiva en si. Por lo tanto, al contrario que la desactivación de los conjuntos de parámetros esta sección no tiene ningún efecto sobre los demás vínculos que pueda tener esta directiva en otros contenedores.
6. ¿Cual es el orden de aplicación de las directivas de grupo? En caso de conflicto ¿ que directiva es la que se acaba aplicando?
Cuando se inicia una sesión se aplicaran los parámetros definidos para dicho equipo, asi como las secuencias de comando de inicio. A continuación, cuando un usuario inicia una sesión se aplicaran los parámetros del usuario seguidos de las secuencias de comandos de inicio de sesión. Una ves aplicadas las directivas se actualizan cada una hora y media de modo predeterminado.
Los conmutadores opcionales \\\\Force y \\\\Enforce permiten imponer la aplicación de todos los parámetros de las directivas. De otro modo, solo se aplican los parámetros modificados. Las directivas pueden aplicarse en distintos niveles. En primer lugar se aplican las directivas definidas a nivel de sitio, luego las directivas a nivel del dominio y finalmente las directivas a nivel de OU. Las directivas se acumulan mientras no se presente ningún conflicto. Sin embargo en casa de que lo haya se aplicaran las directivas más próximas al usuario, es decir a nivel de la OU. Al contrario si no hay ningún conflicto se acumulan todas las directivas.
7. ¿Que condición se debe cumplir para que se aplique un directiva de grupo a un usuario? De forma predeterminada, ¿existe algún tipo de usuario a quienes no les afectan la imposición de directivas?
Para que una directiva se aplique a los usuarios de un contenedor, es necesario que estos dispongan al menos de los permisos leer y Aplicar directiva de grupo en el objeto de directiva. De modo predeterminado estos permisos se aplican al grupo usuarios autentificados. De este modo si se deniega el permiso Aplicar directivas de grupo a un usuario o a un grupo al que pertenezca, este grupo se verá afectado por el objeto de directiva sea cual sea el vinculo de esta. De forma predefinida los administradores no están sometidos a las directivas.
8. ¿Qué ventaja proporciona la distribución de aplicaciones mediante una directiva de grupo frente a la instalación por parte de un usuario, en cuanto a la administración de seguridad de los usuarios?
Una de las principales ventajas de la distribución de programas mediante una directiva de grupo es que simplifica la administración de seguridad de los usuarios. En efecto cuando un usuario instala un programa por sus propios medios es necesario asignarle derechos, a menudo excesivos para que pueda efectuar la operación. Cuando el programa se distribuye mediante una directiva de grupo, la operación resulta posible para un simple usuario, ya que la directiva emplea los derechos del sistema y no los de la sesión.
9. Optamos por configuración del equipo si se desea distribuir los programas a los equipos, independientemente de la persona que los utilice. Al contrario, seleccionado configuración del usuario para distribuir los programas a algunos usuarios independientemente del equipo que utilicen. En función de conjunto de parámetros elegido (equipo usuario) se dispone de varias opciones: publicada, asignada y avanzada.
Publicadas-. Solo disponible para los usuarios, este método permite agrupar el programa el programa en la sección agregar o quitar programas del panel de control, para que los usuarios puedan instalarlo en caso de necesidad. En efecto cuando un usuario solicita una archivo que lleve una extensión desconocida y haya sido publicado un programa adecuado el sistema efectúa la instalación de este último y luego abre con el él archivo secundario.
Asignada: Disponible para los usuarios o los equipos, este método permite agregar un acceso directo a la aplicación en el menú inicio.
Avanzada: esta opción no representa ningún método en particular sino que permite personalizar la instalación de los productos, manipulando directamente la ventana de propiedades. Las opciones anteriormente citadas presentan (pulicán o asignan) el paquete de modo predeterminado.
11.……..
Creamos el usuario <
12.……
Creamos la GPO tal y como fue creada anteriormente y dándole a editar en configuración del equipo, nos dirigimos a las directivas de cuenta y desde ellas accedemos a la directiva de contraseña. Después de esto deshabilitamos la directiva: las contraseñas deben cumplir los requerimientos de complejidad. De todos modos viene bien mencionar que para que se apliquen estos paramentos deben estar definidos en un objeto de directiva de grupo vinculado a nivel de dominio.
13.…..
Accediendo a la GPO creada anteriormente dándole a editar el configuración del equipo- configuración de seguridad- directivas de cuentas-directivas de bloqueo de cuentas. En umbral de bloqueos de la cuenta introducimos tres intentos de inicio de. Mediante esto, la cuenta quedara bloqueada tras tres intentos erróneos. Por defecto la duración de bloque de cuenta y su restablecion es de 30 minutos, por lo tanto se desbloqueara automáticamente una ves transcurridos el intervalo mencionado aunque esto puede configurarse manualmente.
14. ……
Después de a ver creado la nueva GPo en asignación de derechos de usuarios, nos dirigimos a la directiva cambiar la hora del sistema, activamos definir esta configuración de directiva y agregamos el grupo de usuarios del dominio.
-como estamos tratando con controlador de dominio y es en el donde realizaremos los cambios los realizaremos desde la configuración de seguridad predeterminada del dominio (controlador). Las GPO que se configuran en equipos y usuarios de Active direcory suelen emplearse más bien para los demás usuarios del dominio, los demás equipos pertenecientes al dominio. -De este modo la GPO queda modificada.
15.…..
Después de haber realizado los cambios, se nos esta denegando el acceso, a la hora de intentar efectuar los cambios citados. Ello se ajusta en modo configuración de usuario - pantallas administrativas - panel de control - pantalla.
16.….
Comando: net send nom-equipo mensaje
Lo fundamental de esto es que el servicio Messenger tiene que estar iniciado de lo contrario no se nos permitirá el envio de mensajes. Por defecto no lo viene y lo tendremos que iniciar nosotros. Después de haberlo hecho (en servicios) en teoría debería ir bien pero en nuestro caso interviene el firewall del centro.
17.….
Creamos la GPO y en el apartado de directivas de restricción de software (configuración de usuario) en reglas adicionales creamos una nueva regla de ruta, seleccionamos en archivo y le damos al no permitir. La directiva tiene que estar vinculada a la a unidad organizativa usuarios1 conforme a las exigencias del ejercicio.
18. …después de ser creado la nueva GPO, en configuración del equipo -configuración de Windows - configuración de seguridad - directivas locales - directivas de auditoría, en la directiva auditar sucesos de inicio de sesión, encojemos los apartados correcto y erróneo. Una vez iniciado sesión en otro equipo del dominio y actualizada la GPO podemos observar en el visor de sucesos los inicios de sesión del usuario que la haya iniciado. Al igual modo, desde el visor se nos ofrece la posibilidad de guardar la consulta en un archivo.
19. ….
Después de crear la directiva nos dirigimos al apartado de re direccionamiento de carpetas que está en configuración del usuario. Una vez allá clickeamos botón acción en mis documentos y en el cuadro de dialogo que aparece introducimos los parámetros que exige el ejercicio.
Esta directiva permite redirigir las carpetas personales de los usuarios. Esta funcionalidad es particularmente interesante cuando los usuarios no dispones de un equipo asignado a título personal o cuando desean disponer de sus documentos desde cualquier equipo que utilizan. Además es posible aplicar esta directiva a los perfiles móviles.
20.….
Procedemos a la descarga de la aplicación <
La herramienta lleva un funcionamiento correcto ya que he creado varias directivas, las edite y pude comprobar su correcto funcionamiento.
“LO primero después de descargarlo la instale sin reiniciar el equipo. Luego me dirigí a la GPO creada y en configuración de equipo - configuración de software, la agregue y cuando reinicie el equipo con la pantalla de carga del sistema salió que se esta instalando <
*también hize lo de los diagnósticos de directivas de grupo tal y como viene en el libro.
21….
El informe lo realizamos con la herramienta tratada en el ejercicio anterior. Sobre las GPO s que aparecen el dominio con el botón secundario del mouse, seleccionamos <