Grupo 5 UEES

http://sinthiameza.wordpress.com/2013/03/12/creacion-de-politicas-para-usuarios-del-active-directory/

This WordPress.com site is the bee's knees Main menu

Skip to content

Home

About

SEARCH

GO

March 12, 2013

Creación de Políticas para Usuarios del Active Directory

Leave a comment

Antecedentes

Con el paso del tiempo se ha podido comprobar que la mayor cantidad de problemas en empresas

respecto a configuraciones a nivel de Hardware y Software son producidos por los usuarios.

Estos problemas se deben a que los usuarios no tienen restricciones para modificar e instalar programas

y lo hacen libremente perjudicando al equipo de trabajo lo que hace tener costos de tiempo y muchas

veces monetarios. Sin culpar totalmente a los usuarios también ha sido una costumbre por parte del área

de sistemas crear usuarios estándar sin establecer políticas para cada uno.

Este blog explica cómo realizar 3 políticas para usuarios en las cuales el usuario no podrá cambiar la

vista del panel de control, agregar impresoras e incluso no modificara la resolución de la pantalla.

Objetivos

Crear políticas a nivel de unidad organizacional que incluya al usuario y al equipo.

Restringir al usuario de modificaciones para evitar cambios no deseados.

Tareas

Aplicar Vista Clasica del Panel de Control

Con esta restricción como su nombre lo indica el usuario solo podrá observar la vista clásica del panel de

control, lo que significa que los cambios que se pueden realizar en el equipo ya no están clasificados por

categorías.

Quitar Elemento Pantalla Al Panel de Control

Al momento de quitar el elemento pantalla del panel de control lo que sucede es que aunque el usuario

puede ver el elemento en dicho panel no podrá realizar cambios en el mismo sin la clave del

administrador.

No poder Agregar Impresoras

Con esta restricción como su nombre lo indica el usuario no va a estar autorizado a agregar ninguna

impresora sin el consentimiento del administrador.

Guía de pasos para la creación y configuración de Políticas para Usuarios del Active Directory

A continuación estableceremos políticas a nivel de usuario y equipo, realizando los siguientes pasos:

NOTA: Se debe tener usuarios creados para poder realizar este proceso.

Vamos a Inicio–>Herramientas administrativas–>Usuarios y equipos de Active Directory.

Encontraremos el nombre del dominio creado por ejemplo: smeza.local ( como se muestra en la figura).

Eligiéremos el dominio smeza.local (click derecho ) seleccionamos crear unidad organizativa, una

vez creada la unidad organizativa podremos añadir en ella usuarios y equipos que a su vez nos permite

asignar políticas a nivel de grupo, es decir que todos los equipos y usuarios que estén agregados al grupo

tendrán las mismas prioridades o restricciones de esta manera nos evitamos aplicar las políticas de

forma individual.

Daremos un nombre a la unidad ejemplo: finanzas, marcaremos la opción de proteger contenedor contra

eliminaciones accidental, de esta forma protegemos a la unidad en caso de que se borre o elimine por

error, daremos click en aceptar.

Cuando este creada la unidad organizacional iremos a la opción de usuarios para poder elegir los usuario

y equipos, los cuales serán agregados a la unidad finanzas (grupo) y aplicaremos las políticas

respectivas.

Vamos Inicio–>herramientas administrativas–>usuarios y equipos del active directory –

>users elegimos a un usuario ya creado en este caso Emily Jerez (ejerez), lo seleccionamos con el

cursor y lo arrastramos hacia la unidad de finanzas (carpeta en el menú del lado izquierdo de la pantalla).

Nos aparecerá un cuadro de dialogo de advertencia que nos pregunta si deseamos mover el objeto, ya

que al moverlo podemos manipular las políticas creadas sobre el usuario o unidad organizativa, a cuadro

de dialogo de advertencia damos click en la opción Si.

De la misma forma en que buscamos la carpeta users, buscamos la carpeta de computers, donde nos

muestra todos los equipos que se encuentran logeados (registrados) al servidor en este momento, para

este caso práctico elegimos la opción EJEREZ.

Marcamos el equipo que deseamos agregar a la unidad organizativa y lo arrastramos hacia la unidad

finanzas.

Aparecerá el mensaje de advertencia, elegimos la opción Si.

Como resultado debemos tener al equipo EJEREZ y al usuario Emily Jerez dentro de la unidad

finanzas.

Creando políticas a la unidad organizativa

Vamos a Inicio–>herramientas administrativas–>administración de directivas de grupo.

Se nos abrirá una ventana donde nos muestra el bosque smeza.local.

Expandimos la opción de bosque smeza.local–>smeza.local.

Seleccionamos la unidad que creamos finanzas, click derecho y elegimos: crear un GPO en este

dominio y vincularlo aquí.

GPO (Objeto de directiva de Grupo): es dentro de este objeto donde incluiremos las políticas de la

unidad organizativa finanzas.

Damos un nombre al GPO

Como ejemplo en esta práctica le daremos el nombre de LEY SECA y daremos aceptar.

Buscamos el GPO creado (Ley Seca) damos click derecho y elegimos editar.

Se abrirá una ventana llamada Editor de administración de directivas de grupo, buscamos la opción

de configuración de usuarios.

Política: Aplicar vista Clásica en el panel de control

Esta política hará que el usuario Emily Jerez al entrar al panel de control tenga la vista clásica.

Configuración de usuario–> DirectivasàPlantillas Administrativas definiciones de directiva–> Panel de

control. En el lado derecho de la pantalla aparece un cuadro con varias opciones, elegimos Aplicar vista

clásica del panel de control que actualmente está con la opción de no configurada, la marcamos.

Luego hacemos click derecho y aparecerá una ventana donde nos muestra las opciones de no

configurada, habilitada y deshabilitada.

Elegimos la opción Habilitada y damos aceptar

Podemos observar que el estado de no configurada cambia

a Habilitada.

Política de Pantalla

En esta política haremos que el usuario no tenga acceso para poder manipular la resolución de la

pantalla.

Configuración de usuario–>Directivas–>Plantillas Administrativas definiciones de directiva–

>Panel de control–>Pantalla . Nos mustra en el cuadro derecho varias opciones de configuracion,

elegimos Quitar el elemento pantalla en el panel de control que actualmente se encuentra No

configurada.

Hacemos click derecho, aparecerá una ventana donde nos muestra las opciones de no configurada,

habilitada y deshabilitada.

Elegimos la opción Habilitada y damos aceptar

Observamos que el estado ha cambiado a Habilitada.

Política de No poder agregar impresoras

Esta política quita los privilegios al usuario de poder agregar impresoras en su equipo.

Configuración de usuario–>Directivas–>Plantillas Administrativas definiciones de directiva–

>Panel de control–>Impresoras. Nos muestra en el cuadro derecho varias opciones de configuracion,

elegimos Impedir la agregacion de impresoras que actualmente se encuentra No configurada.

Hacemos click derecho, aparecerá una ventana donde nos muestra las opciones de no configurada,

habilitada y deshabilitada.

Elegimos la opción Habilitada y damos aceptar.

Podemos observar que el estado de no configurada cambia a Habilitada

Con el usuario ejerez que está dentro del grupo hacemos las pruebas de las políticas configuradas.

Logeamos el usuario ejerez bajo el dominio smeza, introducimos la contraseña.

Hacemos las pruebas sobre las políticas realizadas

Política: Aplicar vista clásica del panel de control

Vamos a Inicio–>Panel de control.

Resultado: Debido a la configuración de políticas podemos observar que las herramientas dentro del

Panel de control se alistan dela forma Vista Clásica.

Política : Quitar el elemento pantalla en el panel de control

Vamos a Inicio–>Panel de control.

Dentro de los elementos de Panel de control, elegimos la opción Pantalla.

Nos muestra un mensaje indicando que el administrador del sistema gestiono algunas de las

configuraciones y no se le permite hacer cambios a la resolución.

Otra forma que se podría probar esta política es haciendo lo siguiente: click derecho sobre el escritorio

de Windows–>Configuración de pantalla.

Nos vuelve a mostrar el mensaje que el Administrador del sistema gestiono algunas de las

configuraciones y no podrá hacer cambios a la resolución.

Política: Impedir la agregacion de impresoras

Vamos a Inicio->Panel de control.

Estando dentro de la ventana del Panel de control buscamos y elegimos la opción dedispositivos e

impresoras.

Una vez dentro de Dispositivos e impresoras, Damos click sobre la opción agregar una impresora.

Aparecerá un mensaje de Restricción, el cual indica que no se puede agregar impresora debido a que

esta operación se canceló por medio de las restricciones configuradas. Póngase en contacto con el

administrador del sistema.

Para poder validar desde el usuario si las políticas fueron aplicadas sin realizar las pruebas anteriores

podemos hacerlo de la siguiente forma:

Ejecutamos el comando cmd del usuario y escribimos el siguiente comando:

gpresult /H reporte.html

El cual emitirá un reporte en formato html con las políticas configuradas para este usuario y equipo.

Buscamos el reporte en la ruta del usuario que lo realizamos, ejmeplo:

C:\users\ejerez

Lo encontramos con el nombre de reporte, lo abrimos.

Una vez abierto el archivo nos muestra las configuraciones de usuarios realizadas que en este caso

fueron:

- Panel de control.

- Panel de control/Impresoras.

- Panel de Control/Pantalla.

Para observar las políticas con mayor detalle, podemos dar click en la opción de mostrar y se desplegara

un submenú con la información de la configuración.

Conclusion

Con la práctica se puede concluir que aunque existan capacitaciones para la utilización adecuada de los

dispositivos y programas esta opción no es 100% segura; lo ideal es elaborar políticas a usuarios

/equipos que permitan tener la seguridad de que no se realicen cambios no esperados en las

configuraciones.

Si las políticas existen se puede brindar un mejor servicio a los usuarios se logrará tener un mejor

control por parte del administrador evitando mantenimientos constantes y costos ocultos