Administracin de dominios con Windows 2000 Server.

Ejercicios de Directivas de Grupo. Estructura a crear en el HD del servidor .CONFIG-------PERFILES |-----DATOS------------------FONDOS | |----PROTECCIONES |-----CONFIGURACIONES |-----PROGRAMAS PLANIFICAR E IMPLEMENTAR UN ENTORNO PERSONALIZADO DE USUARIO EN UN DOMINIO QUE TENGA EN CUENTA LO SIGUIENTE: - PERFIL MOVIL/OBLIGATORIO PARA 2 USUARIOS CON ACCESO ADEMAS A CARPETAS DE DATOS EN EL SERVIDOR A TRAVES DE PERMISOS DE ACCESO DE CONTROL TOTAL POR GRUPO GLOBAL. - PERSONALIZACION DE FONDO DE ESCRITORIO DE LA EMPRESA, Y REDIRECCIN DE DOCUMENTOS Y ESCRITORIO A LA UBICACIN ANTERIOR - APARICION DE MENSAJE DE INICIO AL INICIAR SESION - LIMITACIN DE TAMAO DE PERFIL Y AVISO PREDEFINIDO PARA VALORES ASIGNADOS SEGN ALUMNO. - SIN ACCESO NI VISTA DE UNIDADES LOCALES - DESACTIVACION DE SERVICIOS: TEMAS - MENU INICIO RESTRINGIDO - SIN ACCESO A EDITORES DE CONFIGURACION - SIN ACCESO A LINEA DE COMANDOS - LIMITE DE CUOTA DE DISCO EN EL SERVIDOR AISGNADO POR EL ALUMNO EN SU UBICACIN DE DATOS - SIN POSIBILIDAD DE MANEJO DE CONFIGURACION DE PANTALLA EN PANEL DE CONTROL - SIN POSIBILIDAD DE MANEJO EN PANEL DE CONTROL - SE EJECURARA UN PROGRAMA OBLIGADO AL INICIAR LA SESION - TENDRA ACCESO A UNA UBICACIN COMPARTIDA EN EL SERVIDOR CON OTRO GRUPO DE DOS USUARIOS DEL DOMINIO QUE TENDRAN LA MISMA CONFIGURACION A TRVES DE ANIDAMIENTO DE GRUPOS LOCALES Y GLOBALES - EL SEGUNDO GRUPO POSEERA LAS MISMAS RESTRICIONES E IMPLEMENTACIONES ADEMAS DE UNA PUBLICACIN DE SW PARA ADOBE ACROBAT Y OTRO PROGRAMA A ELEGIR POR EL ALUMNO. - SE IMPLEMENTARA EL PUNTO ANTERIOR USANDO VINCULACION DE GPO. Ejercicio 1.-Entorno, apariencia y panel de control ANTES DE NADA, EN "USUARIOS Y EQUIPOS DE ACTIVE DIRECTORY", EN EL SERVIDOR NUESTRO CREAREMOS UN CONTENEDOR CON EL QUE HAREMOS LAS PRUEBAS SIGUIENTES. Preparar un papel tapiz obligatorio para un usuario que sea .jpg almacenado en nuestro servidor. Dentro de la extructura creada anteriormente, en Config-Datos-Fondos,

introducimos los fondos de pantalla que vamos a utilizar posteriormente. Para activar las directivas correspondientes para poder activar el fondo de pantalla haremos lo siguiente: - En el contenedor anteriormente creado, pulsamos botn secundario sobre el y "propiedades". Vamos a la pestaa "Directiva de Grupo" y creamos un Nuevo "Vnculo de objetos de directiva de grupo", seleccionamos este vnculo creado y pulsamos en la pestaa "Modificar". Haciendo esto ya estamos en la pantalla de "Directiva de grupo", donde encontraremos todas las directivas que podemos activar o desactivar organizadas en carpetas. En "Configuracin del usuario" pulsaremos en "Plantillas Administrativas" para expandir esta rama, expandiremos tambin "Escritorio" y seleccionaremos "Active Desktop", en el cual aplicaremos dos directivas: Habilitar active desktop Papel tapiz activo del escritorio En esta ltima directiva, adems de HABILITARLA, pulsando sobre ella (botn secundario), tambin le especificaremos la ubicacin y el nombre donde hemos ubicado los fondos, (que estn en la extructura anteriormente creada) en la casilla "Nombre de papel tapiz". ej. \\SERVER-DES\FONDOS\Ola de mar.jpg Ejercicio 2.Ocultar la pestaa apariencia y protector de pantalla de las propiedades de pantalla del usuario. Para aplicar esta directiva: Configuracin del usuario Plantillas administrativas Panel de control Mostrar En esta pestaa, HABILITAMOS las directivas "Ocultar ficha de Apariencia" y "Ocultar la ficha de protector de pantalla". Ejercicio 3.a) Para el mismo usuario ocultar la pgina para agregar nuevos programas en "Agregar o quitar programas" en el Panel de Control. Probar anteriormente a denegar a un usuario Agregar programas desde un CD-rom o Diskette extraible. Por ltimo denegar el acceso a cualquiera de las dos opciones de "Agregar o Quitar programas". Para activar estas directivas: - Configuracin del usuario - Plantillas administrativas -

- Panel de control - Agregar o quitar programas Activar la directiva "Deshabilitar agregar o quitar programas", "ocultar la pgina cambiar o quitar programas", "ocultar la pgina agregar nuevos programas" y "ocultar la opcin "Agregar un programa desde un CD-ROM o disco de 3 1/2". b) Prohibir el acceso al panel de control. Para activar esta directiva: - Configuracin del usuario - Plantillas administrativas - Panel de control Habilitar la directiva "Deshabilitar panel de control" Ejercicio 4.Para un usuario de la unidad organizativa donde estamos poniendo directivas, denegarle en el men inicio la bsqueda, ayuda, ejecucin de programas, y favoritos. Deseamos tambin que el usuario vea en su men inicio el cierre de sesin y por lo contrario denegaremos el acceso de inicio para apagar el equipo. Para activar esta directiva: - Configuracin del usuario - Plantillas administrativas - Menu Inicio y barra de tareas Habilitar: "quitar el men favoritos del men inicio" "quitar el men buscar del men inicio" "quitar el men ayuda del men inicio" "agregar cierre de sesin del men inicio" "deshabilitar y quitar el comando apagar" Ejercicio 5.Para un nuevo usuario deseamos activarle exclusivamente un entorno clsico del shell en el que tampoco tenga acceso a poder modificar las opciones de carpeta ni al men archivo de un explorador. Intentaremos eliminar tambin aquellos mens de contexto para el usuario. en: Para activar el entorno clsico del shell, activaremos la directiva situada - Herramientas administrativas - Usuarios y equipos de active directory - Botn secundario sobre nuestro contenedor y Propiedades

de web)

Directiva de grupo (previamente creada) Modificar Configuracin del usuario Plantillas administrativas Componentes de windows Explorador de windows - Habilitar la directiva: "Activar Shell clsico" (no trabaja con temas

Para impedir el acceso a las opciones de carpeta, y al men archivo de un explorador activaremos las directivas siguientes en la misma ruta anterior: - "Quita el men Opciones de carpeta del men Herramientas" - "Quitar el men Archivo del Explorador de Windows" Tambin tenemos que habilitar las directivas: - "Deshabilitar el men contextual predeterminado del explorador de Windows" - "Oculta el elmento Administrar del men contextual del Explorador de Windows Ejercicio 6.-Ficheros y unidades Para otro nuevo usuario, ocultar e impedir el acceso a todas las unidades. Para ello necesitaremos llevar al usuario a una carpeta compartida dentro de datos en la extructura de directorios preparada en el servidor (extructura de arriba), en una carpeta con el nombre del usuario, y que intentaremos hacerle llegar a travs de una unidad de red a su PC, usando para ello la pestaa de su perfil de usuario. En caso de no ser posible optaremos por lo siguiente: Preparar un sitio de red que apunte a dicha organizacin a la ubicacin anterior en el servidor. Creamos un nuevo usuario dentro de nuestro contenedor en "Usuarios y equipos de active directory", y hacer botn derecho sobre el nuevo usuario y eleguir propiedades. Dentro de la ventana de las propiedades de usuario, seleccionar la pestaa "Perfil", y asignar la ruta de la siguiente manera: En "Directorio principal": Seleccionar "Conectar" y eleguir una unidad de red. En "A": introducir la ruta de red: ej. \\server-des\tty (\\nombre_equipo\nombre_usuario) Para restringuir las unidades: - Herramientas administrativas - Usuarios y equipos de active directory - Botn secundario sobre nuestro contenedor y Propiedades - Directiva de grupo (previamente creada) - Modificar - Configuracin del usuario

- Plantillas administrativas - Componentes de windows - Explorador de windows - Habilitar las directivas: "Ocultar estas unidades especificadas en Mi PC" "Impedir acceso a las unidades desdes mi PC" En el servidor, crear una carpeta con el nombre del usuario y compartirla, esta carpeta ser el lugar en donde va a trabajar el usuario desde el cliente, a travs de una ruta de red hecha desde el servidor. Para hacer la ruta de red: Ejercicio 7.-Aplicaciones y registro Comprobar desde un usuario las restricciones para el "MMC" en modo "AUTOR" y para "Agregar complementos". Ejercicio 8.Denegar todas las opciones posibles a un usuario cuando pulse Ctrl+Alt+Supr. Que slo queda el botn "cancelar". Aprovechar para deshabilitar el "Smbolo del sistema". Ejercicio 9.Deshabilitar las herramientas que puedan modificar el registro, comprobar las herramientas de Windows y alguna externa: Pooledit, regedit, regedit32, msconfig (externa e interna) y Tweak-ui. Ejercicio 10.Denegar la ejecucin de al menos 2 aplicaciones de Windows, recordando lo siguiente: Qu ocurre si se renombra la aplicacin?. Cmo protegeras con seguridad los ficheros ejecutables?. Ejercicio 11.-Perfiles mviles de usuario Con otro usuario nuevo que incluiremos en otra nueva unidad organizativa, preparar en la extructura de carpeta del servidor un perfil de usuario mvil y usar el perfil. No olvidar los permisos y seguridad (administradores de dominio y el usuario). Limitar el tamao del perfil. As mismo, para otro usuario, asignar como que no me interesa al menos tres directorios del perfil mvil de usuario. Ejercicio 12.Para el perfil del usuario del ejercicio anterior, activar la posibilidad de que cuando el usuario cierre su seccin y se haya actualizado su perfil mvil en la ubicacin del servidor, se elimine su perfil local en "Documents and settings". No olvidar reiniciar el equipo para aplicar directivas de mquina.

Ejercicio 13.- Redireccin de Carpetas Preparar dentro de "Datos", en la ubicacin de carpetas del servidor, una carpeta para cada usuario. Dentro de esta, iremos creando y compartiendo a la vez para cada usuario otras carpetas, cada una de las cuales contendr la ubicacin para redireccionar carpetas. CONFIG-------DATOS-----USUARIO1 L____USUARIO2 L____USUARIO3 L____USUARIO4 Redireccionar para un usuario al que se le ha eliminado la cach local en directivas anteriores y que usa un perfil OBLIGATORIO, su carpeta "Mis documentos" a la nueva ubicacin. Ejercicio 14.Repetir el ejercicio anterior, considerando que usaremos un perfil mvil para otro nuevo usuario. Adems esta vez deseamos redireccionar el escritorio y comprobar como la cach de perfil mviles desaparece del perfil local. Aadir adems la NO actualizacin del "Men Inicio" del usuario en la ubicacin del perfil mvil. Ejercicio 15.-Cuotas de disco Activar las cuotas de disco en la maquina cliente, para un usuario limitada a 2 meguillas na mas. Ojo, comprobar el funcionamiento desde el usuario tras reiniciar el equipo, y si afecta a los inicios de sesin desde otras particiones-sistemas de la maquina. Botn derecho en el disco c de la maquina cliente. Pestaa cuota. Normalmente esta desactivada, se activa para usuarios nuevos, o tambin podemos activarla para usuarios que ya estn creados. Es una limitacin al espacio en disco. Cuando llegue a mi pc propiedades, va a ver un disco de dos megiyas y ya est. En c botn derecho cuota, habilitamos la administracin de cuotas aplicar aceptar. Seguimos configurando la ventana. Denegar espacio de disco a usuarios que . Clicamos La cuota de disco se hace antes de que entre el usuario de primeras. Limitar espacio en disco a 10 mb Establecer el nivel de advertencia en 7 mb. Los sucesos son los otros dos cuadraditos, y estn dirigidos al administrador. No marcamos ninguna. Aplicar. Valores de cuotas saca una lista en la que yo voy a poder ir agregando usuarios para ir asignndoles cuotas de disco. Creamos una nueva entrada de cuota. Si en vez de dominio tuviramos grupo de trabajo, apareceran los usuarios de ese equipo local. Mi pc administrar, creamos una cuenta local de usuario. (como siempre) Lo probamos en la maquina cliente. Quitamos el dominio y entramos en local.

Entramos. Disco c botn derecho propiedades, 10 mg. Ya esta!. () La cuenta de la maquina tiene que estar en el contenedor, porque si no, no se le aplica la directiva. Las cuotas de disco son para nuevos usuarios. Luego lo quitamos para que no se quede ah puesto! Ejercicio 16.-Seguridad de contraseas Activar el apagado de sistema si no se puede registrar auditoria de seguridad. Activar esto desde las directivas de auditoria correspondientes: Auditar el acceso a objetos Ejercicio 17.Bloquear la cuenta del usuario despues de cuatro intentos de inicio de sesion incorrectos y desactivarlo despues Ejercicio 18.-Instalacin de software Eliminar contenedor, usuario y paquete asignado (todo), que se ha realizado en la explicacion. Realizar una publicacion del kit de recursos para un usuario en el equipo cliente. Asignar permisos para administradores y el usuario en el punto de publicacion. Reubicar el subdirectorio y eliminarlo de tal forma que las aplicaciones queden compartidas directamente en el recurso. Ejercicio 19.Asignar a otro usuario la instalacion de norton ghost con sus opciones por defecto. Incluirlo en otra categoria de la del ejercicio anterior. Ejercicio 20.Deseamos asignar a un grupo de usuarios el programa winzip basandonos en su programa de instalacion ejecutable y autodescomprimible. Intentar generar para dicha asignacion un fichero de extension ZAP BRANNIGAN usando el codigo modicado que entrega Enrique Ejercicio 21.Usando de nuevo el kit de recursos de windows 2000 y el programa de seguridad, asignar ambos a otro nuevo usuario y comprobar que el usuario se lo encuentra instalado. Comprobar tambien que el usuario los pierde al activar la casilla en la directiva correspondiente Ejercicio 22.Antes de nada, desinstalar eliminando de la lista de publicacin aquellos programas asignados o publicados a travs de los usuarios en ejercicios anteriores; con la finalidad de comprobar los siguientes ejercicios:

Ejercicio 23.Limpiar toda la configuracin existente en el servidor referente a las directivas de software realizadas Ejercicio 24.Asignar a la mquina cliente para que se instale automticamente durante su inicio el kit de recursos de windows 2000. Comprobar que as ha sido, entrando como Administrador De Dominio. Ejercicio 25.Asignar el programa Baseline Security al equipo cliente, y, tras comprobar su funcionamiento, probar a desinstalarlo, usando la directiva Ejemplo del cdigo de creacin de un fichero Zap Create a .zap file for the program based on the following sample file: [Application] ; Only FriendlyName and SetupCommand are required, ; everything else is optional. ; FriendlyName is the name of the program that ; will appear in the software installation snap-in ; and the Add/Remove Programs tool. ; REQUIRED FriendlyName = "Microsoft Excel 97" ; ; ; ; ; ; ; ; ; ; SetupCommand is the command line used to Run the program's Setup. If it is a relative path, it is assumed to be relative to the location of the .zap file. Long file name paths need to be quoted. For example: SetupCommand = "long folder\setup.exe" /unattend or SetupCommand = "\\server\share\long _ folder\setup.exe" /unattend REQUIRED

SetupCommand = "setup.exe" ; Version of the program that will appear ; in the software installation snap-in and the ; Add/Remove Programs tool. ; OPTIONAL DisplayVersion = 8.0 ; Version of the program that will appear ; in the software installation snap-in and the ; Add/Remove Programs tool. ; OPTIONAL Publisher = Microsoft Ejercicio 26.-

Deseamos publicar para un usuario el Adobe Acrobat Reader y el WinZip. Localizarlos en el servidor F.T.P. (172.16.9.36), en "Utiles". Para publicar a un usuario un programa haremos lo siguiente: - Crearemos una carpeta compartida y dentro de ella situaremos los programas que desde el cliente podr instalar posteriormente, (cada programa en una carpeta independiente). - Dentro de las carpetas de cada uno de los programas tendremos que crear el fichero .zap con el nombre del programa (ej. winamp.zap) y configurarlo (la configuracin la podemos ver en el .zap de ejemplo que tenemos). - Una vez hecho esto, pulsaremos botn secundario - propiedades sobre las carpetas que contienen los programas a instalar y la pestaa "Seguridad" agregaremos al usuario con el que entraremos desde la mquina cliente. - Para terminar, en "Usuarios y equipos de active directory - botn secundario sobre el contenedor con el que estamos trabajando - propiedades elegimos una directiva creada y pulsamos en el botn "Modificar". - Una vez dentro de la Directiva de grupo, nos vamos a "Configuracin del usuario" - "Configuracin de Software" y pulsamos botn secundario sobre "Instalacin de Software" y "Nuevo paquete". - Una vez aqu, elegiremos la ruta donde hemos ubicado los programas y buscaremos los archivos .zap, elegiremos los que queremos publicar y en la ventana que se nos muestra a continuacin "Instalar Software" pulsaremos la opcin "Publicada" y pulsamos "Aceptar". Con esto ya hemos publicado las aplicaciones que podr instalar posteriormente el cliente en Inicio-Configuracin-Panel de control-Agregar o quitar programas, seleccionando dentro de esta ventana la opcin "Agregar nuevos programas", podemos tambin elegir la "Categora" a la que pertenece el programa si la hemos asignado antes. Ejercicio 27.En un nuevo contenedor, asignar una directiva para un nuevo usuario que elimine la posibilidad de usar la linea de comandos (commando) y editores de registro. Para otro contenedor que contiene dos usuarios, los cuales, mediante directivas, tienen restringido todo tipo de acceso a la configuracin de pantalla y escritorio, les sern vinculadas las anteriores directivas. Ejercicio 28.Coordinndose con los administradores de un dominio cercano, usar la vinculacin de objetos de directivas, de tal forma que al equipo cliente del otro dominio, se le instale uno de los dos paquetes MSI de los ejercicios anteriores (24 y 25). Para ello, establecer las relaciones de confianza bidireccionales-explcitas necesarias para tomar el control administrativo de los equipos clientes que necesitemos del otro dominio.

Configuracin de Seguridad
Ejercicio 29.Activar el cierre de sesion al usuario que sobrepasa el limite de tiempo de su sesion.

Ejercicio 30.Desabilitar ctrl+alt+supr al iniciar sesion. Mostrar un mensaje al inicio de sesion para todos los usuarios.

Ejercicio 31.Implementar la caducidad de la contrasea de cuenta de usuario a un maximo de 5 dias y a un minimo de 1. Recordarle desde 2 dias antes al usuario que cambie su contrasea antes de que caduque.

Ejercicio 32.-

Permitir apagar un grupo de servidores miembros de nuestro dominio sin tener que iniciar la sesin.

Ejercicio 33.Ejercicio 34.-

Prohibir mostrar el ultimo nombre de usuario que uso la maquina.

Restringir al usuario que usa el equipo localmente, el uso del cd-rom.

Ejercicio 35.Ejercicio 36.-

Preparar una ventana con titulo y mensaje a los usuarios que se intenten conectar.

Definir una longitud minima de contrasea a partir de 9 caracteres

Ejercicio 37.-

Bloquear la cuenta de los usuarios despues de 4 intentos de inicio de sesion incorrectos. Establecer un tiempo hasta su reactivacion.

Ejercicio 38.-

Desabilitar en los equipos cliente del dominio el telnet, el administrador de discos, el programador de tareas y el examinador de equipos.

Ejercicio 39.-

Aunque active directory permite la publicacion de objetos como impresoras, y esta pensado para que los usuarios se conecten a las mismas, no impide que puedan instalarse otras. Denegar esto ultimo.

Ejercicio 40.Efectuar una modificacion masiva de permisos ntfs en la estructura drive:\permisos\varios\.... de todos los equipos cliente de un departamento de nuestro dominio. Incluir ademas una auditoria para dos ficheros del directorio de primer nivel.