Administración de Usuarios, Grupos y Directivas en Windows Server 2008

En esta actividad doy a conocer las directivas de grupo GPO (Group Policy Object), conjunto de reglas o políticas del sistema, permitiendo o denegando al sistema; estas políticas podrían ser, configuración del equipo (configuración de software, configuración de Windows y plantillas administrativas) configuración del usuario, (configuración de software, configuración de Windows, y plantillas administrativas). Para la realización de esta actividad, utilice el sistema operativo Windows server 2008, en español, también puede aplicar para sistemas operativos Windows XP, Windows server 2003, Windows vista y windows 7).

Lo primero que debemos hacer antes de crear un usuario es pensar qué función va a tener en el servidor y por consiguiente que permisos (grupos) se le pondrán a dicho usuario.
Una vez que tenemos todo eso pensado, nos vamos a la zona de “Administración de Equipos” que la podremos encontrar en “Inicio-Programas-Herramientas Administrativas-Administración de Equipos”.
Seleccionamos la carpeta de Usuarios, damos a botón derecho–>Nuevo Usuario.

Creamos los  usuarios y grupos en tu servidor

ATHLETIC: Iraola,Gurpegi
ERREALA:Ilarramendi,Zurutuza

¿Cómo creo un grupo nuevo?
Al igual que hicimos con la creación de un usuario, a la hora de crear un grupo también pensamos que función va a tener, que permisos (ya que un grupo puede pertenecer a su vez a otros grupos) y sobretodo que usuario pertenecerán al nuevo grupo.
Para crear uno nuevo, nos vamos a la carpeta “grupo”, justo debajo de la carpeta “usuarios” damos a botón derecho, nuevo grupo.
Aquí le debemos suministrar solo dos campos:
Nombre del grupo: Sera el nombre que le demos a nuestro grupo nuevo.
Descripción: Un texto que lo describa y que diga que funciones tiene
Ahora bien, aun no hemos acabado por que todavía no le hemos dicho que usuarios pertenecerán a este grupo. Si nos fijamos vemos que abajo hay un botón que dice “Agregar” será ahí donde debemos pinchar para añadir usuarios.
Damos en ”Avanzadas…” y después en “Buscar Ahora”. Vemos que debajo de la ventana sale un listado de los usuarios y grupos que hay en el sistema.
Ya hemos creado nuestro grupo y le hemos añadido una serie de usuarios, pero a los días necesitamos introducir nuevos usuarios a nuestro grupo, para hacer eso, en la carpeta “grupos“  buscamos el grupo que le queremos introducir mas usuarios, damos a botón derecho, propiedades.

Implementa las siguientes directivas de configuración de equipo.

Se pueden crear los usuarios y los grupos pero el server solo puede crear sesión en el server con el administador .El server cuanto menos se toque mejor ,habría que iniciar sesión en el cliente para hacer todas las pruebas.En esta actividad doy a conocer las directivas de grupo GPO (Group Policy Object), conjunto de reglas o políticas del sistema, permitiendo o denegando al sistema; estas políticas podrían ser:

La vigencia máxima de la contraseña para todos los usuarios de la máquina será de15 días.

Clic en directiva equipo local-configuración del equipo-configuración de Windows-configuración de seguridad-directiva de cuenta-directiva de contraseña-vigencia máxima de la contraseña.-doble clic.

Las contraseñas deben cumplir con los requisitos de complejidad por defecto de Windows server ¿Cuáles son estos requerimientos?
Las contraseñas deben cumplir con los requisitos de complejidad por defecto, habilitamos dichos requerimientos.
El uso del valor Las contraseñas deben cumplir el requisito de complejidad determina si las contraseñas deben cumplir una serie de instrucciones consideradas de importancia para una contraseña segura.
Para habilitar esta directiva, es necesario que las contraseñas cumplan los siguientes requisitos:
La contraseña tendrá una longitud de al menos seis caracteres.
La contraseña contendrá caracteres de tres de las cuatro categorías siguientes:
Caracteres en mayúsculas (A–Z)
Caracteres en minúsculas (a–z)
Base de 10 dígitos (0–9)
Caracteres no alfanuméricos (por ejemplo: !, $, #, o %)

La contraseña no incluirá tres o más caracteres del nombre de cuenta del usuario. Si el nombre de cuenta tiene una longitud inferior a tres caracteres, esta comprobación no se llevará a cabo, dado que el porcentaje de contraseñas rechazadas sería demasiado alto. A la hora de comprobar el nombre completo del usuario, existen varios caracteres que se consideran como delimitadores que dividen el nombre en tokens individuales: comas, puntos, guiones, caracteres de subrayado, espacios, signos de número y tabulaciones. Por cada token con una longitud de tres o más caracteres, se busca el token en cuestión en la contraseña y, si está presente, el cambio de la contraseña se rechaza. Por ejemplo, el nombre “Sandra I. Martínez” se dividiría en tres tokens: “Sandra”, “I” y “Martínez”. Puesto que el segundo token tiene una longitud de un solo carácter, se omitiría, de manera que este usuario no podría tener una contraseña que contuviese “sandra” ni “martínez” como subcadena. En todas estas comprobaciones no se distingue entre mayúsculas y minúsculas.

Estos requisitos de complejidad son de aplicación forzosa al cambiar una contraseña o al crear una nueva.

Los usuarios que requieran cambiar su contraseña no podrán usar un password que se haya usado antes por lo menos desde los 2 últimos cambios.

Clic en directiva equipo local-configuración del equipo-configuración de Windows-configuración de seguridad-directivas de cuenta-directivas de contraseña-exigir historial de contraseñas-escribimos -aceptar.

Todos los usuarios tendrán las siguientes restricciones al usar el navegador Internet Explorer:

Restringir desde el navegador el acceso a las páginas web que desees: ingresamos a la aplicación configuración de usuario>seguridad y seleccionamos la opción de zonas de seguridad y clasificación de contenido, dentro de esta alternativa damos clic al botón modificar configuración y nos aparecerá un asistente en el cual especificáremos las páginas que

Usuarios que requieran cambiar su contraseña no podrán usar un password que se haya usado antes por lo menos desde los 2 últimos cambios.

Clic en directiva equipo local-configuración del equipo-configuración de Windows-configuración de seguridad-directivas de cuenta-directivas de contraseña-exigir historial de contraseñas-escribimos 2-aceptar.

Los usuarios del grupo pueden apagar la máquina una vez hayan iniciado sesion,pero los usuarios del grupo XXXX no podrán apagar el equipo (Desde el sistema operativo)

Clic en directiva equipo local  .configuración del equipo configuración de Windows configuraciónde seguridad directivas locales asignación de derechos de usuario apagar el sistema

Los usuarios del grupo ATHLETIC podrán cambiar la hora de la máquina local

Directiva equipo local-configuración del equipo-configuración de Windows-configuración de seguridad-directivas locales-asignación de derechos de usuario-cambiar la hora del sistema-agregar usuario o grupo.

No podrán eliminar el historial de navegación

Directiva equipo local-configuración del equipo-plantillas administrativas-componentes de Windows-internet Explorer-desactivar la funcionalidad “eliminar el historial de exploración”.

No se permitirá el cambio de proxy

Esta configuración de directiva impide que los usuarios realicen la acción “eliminar el historial de exploración” en internet Explorer. Al habilitarla, los usuarios no pueden realizar la acción “eliminar el historial de exploración”.Directiva equipo local-configuración de usuario-configuración de Windows-configuración de seguridad-mantenimiento de internet Explorer-conexión-configuración de los servidores proxy.

Configuración del historial deshabiltada.

Directiva equipo local-configuración del equipo-plantillas administrativas-componentes de Windows-internet Explorer-deshabilitar el cambio de configuración de proxy.

Desactivar la ventana emergente de reproducción automática.

Directiva equipo local-configuración del equipo-plantillas administrativas-componentes de Windows-directivas de reproducción automática-desactivar reproducción automática

No permitir el apagado remoto de la máquina

Directiva equipo local-configuración del equipo-plantillas administrativas-componentes de Windows-opciones de apagado-desactivar interfaz de apagado remoto heredada.

Aplicar cuotas de 50 MB para todos los usuarios locales y remotos (Esta es un cuotamuy baja y es usada solo para los fines de esta práctica).

Directiva equipo local-configuración del equipo-plantillas administrativas-sistema-cuotas de disco-limite de cuota y nivel de aviso predeterminados.

Implementa las siguientes directivas de configuración de usuario:

Ocultar la menú opciones de carpeta del menú de herramientas. Esto con el fin de que los usuarios no puedan ver archivos ocultos o cambiar algunas configuraciones de las carpetas.

Limitar el tamaño de la papelera de reciclaje a 100MB
No permitir que se ejecute el solitario y el buscaminas
Ocultar todos los elementos del escritorio para todos los usuarios.
Bloquear la barra de tareas
Prohibir el acceso del Lecto-escritura a cualquier medio de almacenamiento extraible.
La página principal que se cargará para cada usuario cuando abra su navegador será: http://www.txorierri.net

Directiva equipo local-configuración de usuario-configuración de Windows-mantenimiento de internet Explorer-direcciones URL-direcciones URL importantes

Restringir desde el navegador el acceso a los siguientes sitios: http://www.facebook.com ywww.youtube.com por URL, para todos los usuarios. El administrador será el único con la contraseña de supervisor para el Asesor de Contenidos.

Directiva equipo local-configuración de usuario-configuración de Windows-mantenimiento de internet Explorer-direcciones URL-direcciones URL importantesAñadimos las URL que no accederán, sin una contraseña que solamente el administrador
Creamos la contraseña de supervisor

Ocultar la unidad C:\

NOTA: Esto no restringirá el acceso a dicha unidad)Ocultar la menú Opciones de carpeta del menú de herramientas. Esto con el fin de que los usuarios no puedan ver archivos ocultos o cambiar algunas configuraciones de las carpetas.
Se configura en: Configuración de usuario – Plantillas Administrativas – Componentes de Windows – Explorador de Windows – Impedir acceso a las unidades desde “Mi PC”.

Ocultar la menú opciones de carpeta del menú de herramientas. Esto con el fin de que los usuarios no puedan ver archivos ocultos o cambiar algunas configuraciones de las carpetas.
Se configura en: Configuración de usuario – Plantillas Administrativas – Componentes de Windows – Explorador de Windows – Quita el menú opciones de carpeta del menú Herramientas.

Eliminar la opción “Opciones de carpeta” del menú “Herramientas”.
Se configura en: Configuración de usuario – Plantillas Administrativas – Componentes de Windows – Explorador de Windows – Quita el menú opciones de carpeta del menú Herramientas.

Limitar tamaño de la papelera de reciclaje.
Se configura en: Configuración de usuario – Plantillas Administrativas – Componentes de Windows – Explorador de Windows – Tamaño de la papelera de reciclaje.

No permitir que se ejecute Messenger.
Se configura en: Configuración de usuario – Plantillas Administrativas – Sistema – No ejecutar aplicaciones de Windows especificadas – msnmsgr.exe.

Ocultar elementos del escritorio para los usuarios.
Se configura en: Configuración de usuario – Plantillas Administrativas – Escritorio – Ocultar y deshabilitar todos los elementos del escritorio.

Bloquear Barra de tareas.
Se configura en: Configuración de usuario – Plantillas Administrativas – Escritorio – Menú Inicio y barra de tareas – Bloquear barra de tareas.

Prohibir el acceso del Lecto-escritura a cualquier medio de almacenamiento extraible.
Se configura en: Configuración de usuario – Plantillas Administrativas -Sistema – Acceso de almacenamiento extraíble – Discos extraíbles: Denegar el acceso de escritura – Discos extraíbles: Denegar el acceso de lectura.

Son muchas las directivas que se pueden utilizar propón y explica el funcionamiento de las tres directivas que consideres más importantes desde el punto de vista de la seguridad y que no se hayan implementado en los puntos anteriores:

Antes de usar el Administrador de servidores, se recomienda estar familiarizado con las funciones, la terminología, los requisitos y las tareas de administración diarias de cualquier función que se piense instalar en el servidor.

Tb  tenemos:

1.- Copia de seguridad de Windows: Es un componente importante en windows server 2008 , ofrece una solucion de copia de seguridad y recuperación para el servidor en que esta instalada, diseñada con una mejor tecnologia reemplazando a la copia de seguridad que tenia las versiones anteriores de Windows Server.
2.-  Configuración segura y confiable: DHCP evita los errores de configuración que se producen por la necesidad de escribir los valores manualmente en cada equipo. Así mismo, DHCP ayuda a evitar los conflictos de direcciones que se producen al configurar un equipo nuevo en la red con una dirección IP ya asignada.
La utilización de servidores DHCP puede reducir significativamente el tiempo necesario para configurar y modificar la configuración de los equipos de la red. Los servidores se pueden configurar para que suministren un conjunto completo de valores de configuración adicionales al asignar concesiones de direcciones. Estos valores se asignan mediante opciones DHCP.

Respecto al tema de ficheros incluyes las siguientes directivas de seguridad:

Directivas de cuentas: directiva de contraseñas, directiva de bloqueo de cuentas y directiva Kerberos
Directivas locales: directiva de auditoría, asignación de derechos de usuarios y opciones de seguridad
Registro de eventos: opciones de configuración del registro de eventos de seguridad, sistema y aplicaciones
Grupos restringidos: pertenencia a grupos críticos para la seguridad
Servicios del sistema: inicio y permisos para servicios del sistema
Registro: permisos para claves del Registro
Sistema de archivos: permisos para carpetas y archivos

Su funcionamiento es en tema directorios y permite políticas de seguridad de ficheros donde se pueden dar y quitar permisos a usuarios y grupos correspondientes por lo que podemos crear nuestra propia red en función a nuestras necesidades.

3.- Lo mas interesante que me parece es la Instalación de copias de seguridad en Windows Server 2008:

Las copias de seguridad son sin duda esenciales para cualquier situación en la que se manejen datos de cualquier tipo, por esto siempre se invierten mucho esfuerzos en realizar las copias, algo que más o menos todos sabemos hacer, el problema viene cuando tenemos el problema, nos ponemos nerviosos, nos bloqueamos y nos cegamos y no conseguimos solucionar los problemas adecuadamente.

Windows Server 2008 – Restaurar Copias de seguridad  :  https://www.youtube.com/watch?v=FvB8nV1-tuE&feature=player_embedded#!

Artículos relacionados y consultados:

Manual-Windows-2008-Server.rar en castellano: http://www.divshare.com/download/17194110-f76

Para obtener más información acerca del Administrador de servidores, consulte TechCenter de Windows Server (http://go.microsoft.com/fwlink/?LinkId=48541) (puede estar en inglés). También puede de obtener información sobre la ejecución de operaciones concretas en el Administrador de servidores en la Ayuda del Administrador de servidores, al presionar F1 en una ventana abierta de la consola del Administrador de servidores.

Anuncios

Los comentarios están cerrados.