Administracin de Servidores

Investigacin: Polticas de Grupo para Directorio Activo

Jenniffer Cujil Goya

6to redes

Administracin de Servidores

Active Directory (AD) es una implementacin de servicio de directorio en una red distribuida de computadores. Su estructura jerrquica permite mantener una serie de componentes de una red, como usuarios, grupos de usuarios, permisos y asignacin de recursos y polticas de acceso. Permite a los administradores establecer polticas, desplegar programas en muchos ordenadores y aplicar actualizaciones crticas a una organizacin interna. Almacena la informacin sobre los recursos de red y proporciona mecanismos unificados de acceso a dicha informacin. Las polticas de grupo de Directorio Activo de Windows Server 2003 Permiten controlar y limitar el comportamiento de los usuarios al acceder los recursos tales como: 1. Panel control 2. Configuracin de red, 3. Instalacin de software 4. Configuracin del escritorio (fondo, protector de pantalla etc.) 5. configuracin del Internet Explorer 6. las opciones disponibles en los mens, etc.

Las polticas a nivel dominio afectan a todos los objetos (usuarios y/o equipos) dentro de un dominio. Las polticas a nivel OU afectan solo a los usuarios y/o equipos que se encuentren contenidos en dicha.

Jenniffer Cujil Goya

6to redes

Administracin de Servidores

El Rol de Directorio Activo

Gestin de identidad
Repositorio central de usuarios, servidores y puestos Reduce el nmero de repositorios y contraseas Establece polticas de seguridad, validacin y autorizacin Identificar de manera unvoca a cualquier persona de la organizacin. Establecer polticas de seguridad, validacin y autorizacin. Consolidar/agregar la informacin disponible de esos usuarios en repositorios heterogneos Automatizarlos cambios en los diferentes repositorios de informacin

Seguridad
Automatiza el bloqueo de sistemas Windows Refuerza el uso de contraseas y credenciales fuertes Permite la delegacin de tareas administrativas Organizar y simplificar la localizacin y el acceso a los diferentes recursos de red Aplicar polticas de administracin y seguridad a travs de una herramienta de gestin unificada

Gestin de Configuracin
Permite gestin uno a muchos de usuarios y mquinas Automatiza el forzado de polticas Implementacin eficiente de configuraciones estndar para grupos de usuarios y mquinas

Jenniffer Cujil Goya

6to redes

Administracin de Servidores

Las polticas de grupo son una de las herramientas e instrumento que sirve para administrar entornos de usuarios y mquinas, aplicar polticas, simplificar tareas administrativas e implementar configuraciones de seguridad. En los distintos sistemas operativos de Microsoft, ya sea XP, Windows Server 2000/2003/2008, Windows Vista o 7, todos poseen polticas de grupo. De acuerdo al mbito de aplicacin se pueden catalogar de la siguiente manera:

Active Directory: GPO (Group Policy Object) Equipo Local: LGPO (Local Group Policy Object)

Por medio de ellas podemos controlar y limitar la conducta de los usuarios en la utilizacin de los recursos y dispositivos de la red. Objetivo de las polticas de grupo En definitiva, las polticas permiten controlar y configurar centralizadamente diversos aspectos de la configuracin que reciben los distintos usuarios al conectarse a la PC. Dentro de estos aspectos se encuentran las configuraciones de seguridad, ejecucin de scripts, configuraciones de escritorios, configuraciones del Internet Explorer, instalacin automtica de software, etc. Como podemos observar en la figura 1, las polticas se encuentran categorizadas en dos segmentos: una modifica la configuracin del equipo y otra modifica el ambiente de los usuarios.

Jenniffer Cujil Goya

6to redes

Administracin de Servidores

En la seccin Computer Configuration se pueden configurar todo lo referido a la seguridad del equipo (seccin Security Settings) como ser Account Policies (polticas de password y de bloqueo ante reiterados passwords invalidos), Local Policies (polticas de auditora , derechos de usuarios y opciones de seguridad), entre otras configuraciones. En la seccin User Configuration se pueden configurar lo referido al ambiente de trabajo de los usuarios, como ser si se habilita o no el panel de control o alguno de sus componentes, la configuracin del Internet Explorer y sus distintas configuraciones de seguridad y dems. Como se aplican Las polticas se pueden aplicar en distintos niveles del Active Directory, a nivel de Site, a nivel de Domain y a nivel de Organization Unit (OU) como podemos ver en la figura 2. Aqu podemos observar en el margen derecho cmo un sitio contiene a los distintos dominios, y stos las unidades organizativas que contienen los usuarios y dispositivos, y sobre el margen derecho de la imagen Jenniffer Cujil Goya 6to redes

Administracin de Servidores

observamos cmo aplican las polticas o directivas. La directiva 2 aplica al sitio, por ende aplica en el dominio y todos sus elementos. La directiva 1 aplica al dominio y sus elementos (Unidad Organizativa 1 y Unidad Organizativa 2) y la directiva 3 solo aplica a la Unidad Organizativa 2. Las polticas a nivel de OU slo afectan a los equipos y usuarios que contienen. Las Ous pueden anidarse y a su vez se heredan de los niveles superiores, salvo que se indique lo contrario. No suelen aplicarse polticas a nivel de sitios ya que no es una prctica recomendad a. Las polticas se aplican cuando un usuario inicia su cada 90 podemos sera la

sesin o cuando se inicia el equipo, y por defecto minutos, aunque este valor puede ser modificado. De acuerdo con lo visto hasta este momento afirmar que la aplicacin de las polticas de grupo siguiente:

Las polticas realizan cambios de configuracin de parmetros que aplican sobre usuarios o sobre equipos. Una poltica se vincula (link) a un Sitio, a un Dominio o a una Unidad Organizativa, aplicndose a todos los elementos que contengan (ya sean equipos o usuarios). Las polticas se heredan de los niveles superiores.

En definitiva, las polticas no slo se van heredando sino que tambin se acumulan, tal como puede verse en la figura 2. Debido a esto, las polticas se van aplicando en un orden determinado, para evitar conflictos entre ellas. Este orden es el siguiente: 1. 2. 3. 4. Local Group Policy Object (LGPO). GPOs vinculados a sitios. GPOs vinculados a dominios. GPOs vinculados a Organization Units de primer nivel. En su caso, posteriormente se aplicaran GPOs vinculadas a OUs de segundo nivel, de tercer nivel, etc. 6to redes

Jenniffer Cujil Goya

Administracin de Servidores

Tambin se pueden configurar las opciones de reemplazar y de heredar una poltica, pudiendo as manejar de esta forma su comportamiento. Asimismo, como todo elemento de Active Directory, las polticas de grupo poseen una solapa de seguridad en donde se pueden definir distintos permisos (a qu usuarios y/o grupos no aplican, quienes pueden leer o modificar dicha poltica, etc.) Entre otras alternativas de la administracin de las GPOs, se encuentra la de delegar la administracin a un grupo o usuario determinado, es decir que si un usuario tiene permisos de control total va a poder administrarla. Como vimos anteriormente las polticas incluidas en una GPO (Group Policy Object) se encuentran divididas en dos grandes grupos: Computer Configuration y User Configuration. A su vez cada uno se divide en tres nuevos grupos:

Software Settings: aqu se encuentran todos las configuraciones correspondientes a la instalacin de software automtica. Windows Settings: contienen las configuraciones de algunos de los parmetros (de seguridad, scripts, etc.) de Windows. Administrative Templates: contiene las polticas y configuraciones que se guardan dentro del registro de Windows.

Con esta explicacin, damos por finalizada la primera parte. El da viernes estar publicado la segunda. Espero que les sirva para aclarar algunos conceptos. Saludos, Roberto Di Lello.

Jenniffer Cujil Goya

6to redes

Administracin de Servidores

Como crear usuarios con y sin privilegios en Windows 2003 Server1.- Abrimos el Administrador de equipos Que se encuentra en Inicio>Herramientas administrativas>Administracin de equipos. En la opcin de Herramientas del sistema seleccionamos Usuarios y gruposlocales y abrimos la carpeta de Usuarios.

Jenniffer Cujil Goya

6to redes

Administracin de Servidores

Para crear un usuario nuevo podemos dar clic derecho sobre la carpeta Usuarios O abrir las opciones de la pestaa de Accin En la barra de tareas y seleccionamosUsuario nuevo En la ventana que se nos despliega se le escoge un Nombre al usuario, una descripcin la cual puede ser el tipo de usuario que ser o el nombre del encargado de esa cuenta, y una contrasea de acceso a su cuenta, al igual que la condicin relacionada con la modificacin de la contrasea.

Jenniffer Cujil Goya

6to redes

Administracin de Servidores

Despus de dar en la opcin Crear, podemos ver que el o los nuevos usuarios ya aparecen enlistados en la carpeta de usuarios.6.- Si se quiere eliminar un usuario, por cualquier razn, solo se tiene que seleccionar el usuario, un clic derecho y seleccionamos Eliminar Si lo que se quiere es cambiar el perfil del un usuario, un clic derecho y seleccionamos Propiedades

Jenniffer Cujil Goya

6to redes

Administracin de Servidores

Jenniffer Cujil Goya

6to redes