Prctica Nro 12

Presentacin de la
Configuracin de Directivas
de Grupo
1. Abre Administracin de directivas de grupo desde el
men Inicio Herramientas Administrativas.

2. Fjate en la directiva Default Domain Policy esta directiva

se crea cuando se crea el dominio. Esta directiva es necesaria
para definir los requerimientos de seguridad del dominio, lo
larga que debe ser una contrasea, etc.
3. La siguiente directiva que puedes encontrar en la consola est
bajo Domain Controllers. Seleccinala y vers cmo sale un
mensaje de aviso.

4. El mensaje de aviso nos informa de que esto no es ms que un

vnculo o enlace a una directiva de grupo, es decir, podramos

considerarlo como una especie de acceso directo al objeto de

directiva de grupo original.
5. Si haces clic en Objetos de directiva de grupo y lo expandes
vers que ah es donde realmente se encuentran los objetos de
directiva de grupo y dnde realmente debes crearlos.

6. Haz clic con el botn derecho Nuevo GPO vamos a ponerle un

nombre descriptivo de esta nueva directiva. Cuando lo
tengamos hacemos clic en aceptar. Si te das cuenta tambin
podemos tomar una GPO existente de plantilla. En principio
solamente vamos a crear un nuevo as que lo dejamos tal cual.

7. Ahora vamos a editar el objeto, para ello hacemos clic con el

botn derecho y le damos a editar. Nos saldr esta ventana, si
nos fijamos est dividida en dos partes Configuracin del
equipo y Configuracin del usuario. Los cambios que
hagamos en configuracin del equipo afectar al equipo
independientemente del usuario que inicie sesin, mientras que
las del usuario afectarn al usuario en concreto.

8. Si por ejemplo hacemos clic en Configuracin de usuario

Plantillas Administrativas, Todos los valores, veremos las
ms de 1453 directivas.

9. Si quiero buscar una directiva en concreto siempre puedo

hacer clic con el botn derecho y seleccionar filtro activado.

10.
Volvemos a hacer clic con el botn derecho y
seleccionamos Opciones de filtro nos mostrar esta
ventana.

11.
Si la opcin Administrado est activada quiere decir
que nos mostrar directivas que podemos aplicar y que si algn
da dejamos de usarlas los cambios pueden revertirse. Lo
contrario quiere decir que nos mostrar directivas que no
reviertan los cambios automticamente al ser eliminadas. En un
entorno antiguo es normal encontrarse muchas directivas sin
administrar, esto es porque antiguamente cuando aparecieron
las GPO no eran administradas. En un entorno Windows 2008 la
mayora son administradas y es raro encontrase alguna que no
lo est.
12.
Configurado:
configurado o no.

quiere

decir

si

esa

directiva

se

ha

13.
Comentado: nos indica si se han aadido comentarios a
la directiva describiendo lo que hace.
14.
Habilitar filtros de palabra clave me permite buscar una
directiva por palabras clave relacionadas con esa directiva.
15.
Antes de aplicar una directiva, lee con atencin el
texto descriptivo de las modificaciones que har, y sobre
todo a partir de que versiones de cliente est destinada (si es
solo compatible con Windows 7 o tambin con versiones
anteriores).

RETO NRO 1
1. Averigua que directiva tengo que usar para impedir que los
usuarios de ventas puedan acceder al panel de control. La
directiva se llamar bloquear_panel_de_control

2. Una vez lo hayas averiguado cerramos esta consola y volvemos

a la anterior.
3. Sin embargo, esta directiva no se va a aplicar inmediatamente
a los usuarios de ventas, ahora tendremos que vincularla a una
unidad organizativa. Para ello vamos a la unidad organizativa
de Ventas y hacemos clic con el botn derecho y
seleccionamos vincular un GPO existente

4. Esperamos a que replique y una vez lo tengamos iniciamos

sesin con nuestro usuario de la UO de ventas en un
cliente Windows 7 unido al dominio. Al iniciar sesin
podremos comprobar que el usuario no tiene acceso al panel de
control.

Efectivamente la operacin a sido cancelada para todos los

usuarios de ventas
5. (Opcional). Si en algn momento queremos quitar esta GPO de
nuestra unidad organizativa, simplemente tendremos que
quitar el vnculo de la UO, de esta manera la directiva no se
aplicar ms pero el objeto seguir existiendo en Objetos de
Directivas de Grupo esperando a ser utilizado donde
queramos. Incluso podemos vincular una GPO en varias UO.

6. Haz clic en la unidad organizativa de ventas y ve a la

pestaa Herencia de directivas de grupo.

En la ventana veremos las directivas que se estn aplicando segn el

nivel en el que estn.

RETO NRO 2
Segn lo que hemos aprendido En qu orden se aplicarn las
directivas? Razona la respuesta.
Cuando se habilita una directiva de grupo, el orden en que la misma
es aplicada es el siguiente:
En primer lugar se aplica el objeto de Directiva de Grupo local
nico.
En segundo lugar se aplican los Objetos de Directiva de Grupo
del Sitio, en el orden especificado administrativamente.
En tercer lugar los Objetos de Directiva de Grupo del Dominio,
en el orden especificado administrativamente.
En cuarto lugar los Objetos de Directiva de Grupo de las
Unidades Organizativas, de Unidad Organizativa principal a
secundaria, y en el orden especificado administrativamente en
el nivel de cada Unidad Organizativa.
Finalmente, de forma predeterminada, las directivas aplicadas
posteriormente sobrescriben las directivas aplicadas con
anterioridad cuando las directivas son incoherentes, es decir,
hay contradicciones entre varias directivas. Sin embargo, si no
hay incoherencias de configuracin, tanto las directivas
anteriores como las posteriores contribuyen a la directiva
efectiva, es decir, se suman las configuraciones de las distintas
directivas asociadas al objeto en cuestin

RETO NRO 3
1. Continuamos, imagina ahora que deseo bloquear que las
directivas del dominio se apliquen a la UO de Ventas.
Para ello simplemente tendramos que hacer clic con el botn
derecho y seleccionar bloquear herencia.

Al hacer esto la nica directiva que se aplicara en ventas es

la que hemos creado dentro de esa UO.

RETO NRO 4 PRACTICANDO

DIRECTIVAS
1.- Desactivar el regedit.exe para todos los usuarios a excepcin para
el departamento de Administracin.

Bloqueamos a los grupos que indican asi:

2.- Establecer que paquetes msi se pueden instalar a un equipo y

que esa instalacin se lleve a cabo x usuario despus del prximo
login.

Se puede ver que si se cumple las restricciones

Cumple con los usuarios de administracion

3.- El fondo de pantalla sea el mismo para todos los usuarios.

Hacemos la prueba con los usuarios y vemos que cumple las reglas

4.- La contrasea de todos los usuarios deben ser renovados cada 30

das.

5.- Los usuarios no pueden repetir la misma contrasea durante 4

meses.

6.- La contrasea de los usuarios de ventas debe de tener una

longitud mnimas de 5 caracteres.

RETO NRO 5 OPCIONAL

POR 5 PUNTOS
1.- Cuando usted realiza el apagado del servidor Windows Server
2008 R2, Windows le pregunta por qu esta apagando el equipo.
Busque como desactivar esta caracterstica.
Deshabilitar / Habilitar mediante Directiva de grupo
Para deshabilitar o habilitar el Rastreador de sucesos de apagado
mediante la Directiva de grupo seguiremos los siguientes pasos,
desde "Inicio" - "Ejecutar", escribiremos "gpedit.msc" y pulsaremos
"Aceptar":
Desde el "Editor de objetos de directiva de grupo" seleccionaremos en
la parte izquierda "Directiva Equipo local" - "Configuracin del equipo"
- "Plantillas administrativas" - "Sistema". En la parte derecha
pulsaremos con el botn derecho del ratn sobre "Rastreador de
sucesos de apagado" y seleccionaremos "Propiedades":

3.- En la empresa Serpetrol est dividida en diferentes departamentos

como dpto. de Ventas y dpto. de Compras donde sus usuarios utilizan
perfiles mviles ya que constantemente utilizan los diferentes equipos
de la empresa.
Los usuarios de compras son usuarios responsables que en sus
perfiles guardan solo las cosas necesarias y no sobrecargan la red.
Pero los usuarios de Ventas tienes demasiadas cosas guardadas y han
sobrecargado la red y el almacenamiento del equipo. El administrador
de sistemas ha detectado que la carpeta mis documentos est
sobrecargando la red y el almacenaje del servidor por lo cual esta
carpeta dejara de ser parte del perfil mvil. Realizar el paso a paso de
como realizara estas acciones.
Para crear un perfil de usuario mvil
Cree una carpeta en el servidor en el que se almacenarn los perfiles
de usuario. sta ser la carpeta de nivel superior que contendr todos
los perfiles de usuario individuales.
Configure la carpeta como carpeta compartida y conceda a todos los
usuarios el permiso Control total.

Abra Usuarios y equipos de Active Directory y vaya al objeto Usuario

en cuestin.
Haga clic con el botn secundario del mouse (ratn) en el nombre del
usuario y, a continuacin, haga clic en Propiedades.
Haga clic en la ficha Perfil. Para la ruta de acceso del perfil, escriba la
ruta de acceso a la carpeta compartida en la que debe almacenarse
el perfil del usuario. Por ejemplo, para un usuario cuyo nombre de red
es pwest, la ruta de acceso \\NetworkShare\Profiles\%username%
creara un directorio denominado pwest en la carpeta Profiles en el
servidor utilizado para almacenar perfiles de usuario.