Creación de GPO's o Directivas de Grupo. ¡Mantén a raya a tus usuarios!

21:13

 Ahora vamos a ver como tener GPO's, estos directivas de grupo, estas se utilizan para que todos los clientes de un dominio, tengan una serie de características comunes sin tener que aplicarlas una a una. 

En esta ocasión vamos a ejecutar una directiva de restricción para evitar que los usuarios de nuestro dominio no puedan entrar en ciertas partes del sistema y tocarnos ajustes tan importantes como puedan ser la dirección IP, el DNS o la hora del sistema que como sabéis son cosas críticas de cara a estar en una estructura de Active Directory.

Partimos con un servidor y un cliente con W10 al que le aplicaremos las políticas.

1. Creación de la unidad organizativa:

Lo primero para aplicar una GPO es tener un grupo donde aplicarla, para esto se crean las unidades organizativas, aunque también se pueden aplicar a usuarios específicos.

Para su creación:
  • En el administrador del servidor nos vamos a "Usuarios y Equipos de Active Directory"
  • Nos ponemos sobre el nombre de nuestro dominio y damos botón derecho
  • Buscamos "Nuevo..." y crear "Unidad Organizativa"

Una vez que la tengamos creada, añadimos a los usuarios o equipos que queramos que estén bajo la influencia de nuestra directiva. En mi caso añadiré el equipo que tengo como cliente y al usuario que he creado.


2. Creación de la GPO

Ahora una vez preparado vamos a aplicar las GPO's correspondientes, para esto nos vamos al administrador del servidor y nos vamos a "Administración de Directivas de Grupo"


Tendremos un árbol de carpetas como este, donde iremos bajando hasta llegar a nuestra unidad organizativa.
  • Una vez en ella haremos click derecho sobre ella y crearemos una nueva GPO.
  • Botón derecho sobre lo que hemos creado y le damos a editar. Nos saldrá algo así.
 

 Aquí tenemos varias opciones, procedemos a desglosarlas brevemente:
  • En configuración de equipos tenemos las directivas que afectan a directamente al equipo, aquí están las que se refieren a acceso a determinadas carpetas, que servicios están activos o cuales estarán desactivados ...
  • Mientras en la configuración de usuario tenemos lo que se refiere a la redirección de carpetas del usuario, QoS...
 En mi caso que voy a añadir una directiva para que el usuario no pueda, a partes del sistema y cambiar las configuraciones del sistema, haré los siguiente pasos:
  • Dentro de configuración de equipo  >>  Directivas
  •  Configuración de Windows  >>  Configuración de seguridad
  • Directivas locales  >>  Opciones de seguridad
Una vez aquí nos aparecerán todas las directivas qeu podremos establecer a nuestros usuarios, tendremos una pantalla como esta:


Para aplicar una política con hacerle doble click lo tenemos ya hecho. Ahora voy a enseñar, las políticas que yo he aplicado a mis clientes, de momento solo he utilizado unas cuantas, pero deberían de ser muchas más.



 Explico algunas de ellas:
  • No permito el cambio de hora ni de la zona horaria, esto es debido a que los controladores de dominio tienen muy presente la hora con sus clientes, si tenemos un desfase de más de 5 minutos el controlador dejará fuera al cliente del dominio. Esto es algo crítico.
  • Para cualquier instalación pido elevación de permisos, para que solo los administradores puedan instalar software en las máquinas.
He puesto algunas más, pero creo que las más importantes eran estas, en caso de cualquier duda aquí abajo está el cajón de comentarios.

También podría interesarte

0 comentarios