Administración de dominios con Windows 2000 Server. Ejercicios de Directivas de Grupo. Estructura a crear en el HD del servidor .-
CONFIG-------PERFILES |-----DATOS------------------FONDOS | |----PROTECCIONES |-----CONFIGURACIONES |-----PROGRAMAS PLANIFICAR E IMPLEMENTAR UN ENTORNO PERSONALIZADO PERSONALIZADO DE USUARIO EN UN DOMINIO QUE TENGA EN CUENTA LO SIGUIENTE: - PERFIL MOVIL/OBLIGATORIO MOVIL/OBLIGATORIO PARA 2 USUARIOS CON ACCESO ADEMAS A CARPETAS DE DATOS EN EL SERVIDOR A TRAVES DE PERMISOS DE ACCESO DE CONTROL TOTAL POR GRUPO GLOBAL. - PERSONALIZACION PERSONALIZACION DE FONDO DE ESCRITORIO DE LA EMPRESA, Y REDIRECCIÓN DE DOCUMENTOS Y ESCRITORIO A LA UBICACIÓN ANTERIOR - APARICION DE MENSAJE DE INICIO AL INICIAR SESION - LIMITACIÓN DE TAMAÑO DE PERFIL Y AVISO PREDEFINIDO PARA VALORES ASIGNADOS SEGÚN ALUMNO. - SIN ACCESO NI VISTA DE UNIDADES LOCALES - DESACTIVACION DE SERVICIOS: TEMAS - MENU INICIO RESTRINGIDO - SIN ACCESO A EDITORES DE CONFIGURACION - SIN ACCESO A LINEA DE COMANDOS - LIMITE DE CUOTA DE DISCO EN EL SERVIDOR AISGNADO POR EL ALUMNO EN SU UBICACIÓN DE DATOS - SIN POSIBILIDAD DE MANEJO DE CONFIGURACION CONFIGURACION DE PANTALLA EN PANEL DE CONTROL - SIN POSIBILIDAD DE MANEJO EN PANEL DE CONTROL - SE EJECURARA UN PROGRAMA OBLIGADO AL INICIAR LA SESION - TENDRA ACCESO A UNA UBICACIÓN COMPARTIDA EN EL SERVIDOR CON OTRO GRUPO DE DOS USUARIOS DEL DOMINIO QUE TENDRAN LA MISMA CONFIGURACION CONFIGURACION A TRVES DE ANIDAMIENTO DE GRUPOS LOCALES Y GLOBALES - EL SEGUNDO GRUPO POSEERA LAS MISMAS RESTRICIONES E IMPLEMENTACIONES IMPLEMENTACIONES ADEMAS DE UNA PUBLICACIÓN DE SW PARA ADOBE ACROBAT Y OTRO PROGRAMA A ELEGIR POR EL ALUMNO. - SE IMPLEMENTARA EL PUNTO ANTERIOR USANDO VINCULACION DE GPO. Ejercicio 1º.-Entorno, apariencia y panel de control ANTES DE NADA, EN "USUARIOS Y EQUIPOS DE ACTIVE DIRECTORY", EN EL SERVIDOR NUESTRO CREAREMOS UN CONTENEDOR CON EL QUE HAREMOS LAS PRUEBAS SIGUIENTES. Preparar un papel tapiz obligatorio para un usuario que sea .jpg almacenado en nuestro servidor. Dentro de la extructura creada anteriormente, en Config-Datos-Fondos,
introducimos los fondos de pantalla que vamos a utilizar posteriormente. Para activar las directivas correspondientes para poder activar el fondo de pantalla haremos lo siguiente: - En el contenedor anteriormente creado, pulsamos botón secundario sobre el y "propiedades". Vamos a la pestaña "Directiva de Grupo" y creamos un Nuevo "Vínculo de objetos de directiva de grupo", seleccionamos este vínculo creado y pulsamos en la pestaña "Modificar". Haciendo esto ya estamos en la pantalla de "Directiva de grupo", donde encontraremos todas las directivas que podemos activar o desactivar organizadas en carpetas. En "Configuración del usuario" pulsaremos en "Plantillas Administrativas" para expandir esta rama, expandiremos también "Escritorio" y seleccionaremos "Active Desktop", en el cual aplicaremos dos directivas: Habilitar active desktop Papel tapiz activo del escritorio En esta última directiva, además de HABILITARLA, pulsando sobre ella (botón secundario), también le especificaremos la ubicación y el nombre donde hemos ubicado los fondos, (que están en la extructura anteriormente creada) en la casilla "Nombre de papel tapiz". ej. \\SERVER-DES\FONDOS\Ola de mar.jpg
Ejercicio 2º.Ocultar la pestaña apariencia y protector de pantalla de las propiedades de pantalla del usuario. Para aplicar esta directiva: - Configuración del usuario - Plantillas administrativas - Panel de control - Mostrar En esta pestaña, HABILITAMOS las directivas "Ocultar ficha de Apariencia" y "Ocultar la ficha de protector de pantalla".
Ejercicio 3º.a) Para el mismo usuario ocultar la página para agregar nuevos programas en "Agregar o quitar programas" en el Panel de Control. Probar anteriormente a denegar a un usuario Agregar programas desde un CD-rom o Diskette extraible. Por último denegar el acceso a cualquiera de las dos opciones de "Agregar o Quitar programas". Para activar estas directivas: - Configuración del usuario - Plantillas administrativas
- Panel de control - Agregar o quitar programas Activar la directiva "Deshabilitar agregar o quitar programas", "ocultar la página cambiar o quitar programas", "ocultar la página agregar nuevos programas" y "ocultar la opción "Agregar un programa desde un CD-ROM o disco de 3 1/2". b) Prohibir el acceso al panel de control.
Para activar esta directiva: - Configuración del usuario - Plantillas administrativas - Panel de control Habilitar la directiva "Deshabilitar panel de control"
Ejercicio 4º.Para un usuario de la unidad organizativa donde estamos poniendo directivas, denegarle en el menú inicio la búsqueda, ayuda, ejecución de programas, y favoritos. Deseamos también que el usuario vea en su menú inicio el cierre de sesión y por lo contrario denegaremos el acceso de inicio para apagar el equipo. Para activar esta directiva: - Configuración del usuario - Plantillas administrativas - Menu Inicio y barra de tareas Habilitar: "quitar el menú favoritos del menú inicio" "quitar el menú buscar del menú inicio" "quitar el menú ayuda del menú inicio" "agregar cierre de sesión del menú inicio" "deshabilitar y quitar el comando apagar"
Ejercicio 5º.Para un nuevo usuario deseamos activarle exclusivamente un entorno clásico del shell en el que tampoco tenga acceso a poder modificar las opciones de carpeta ni al menú archivo de un explorador. Intentaremos eliminar también aquellos menús de contexto para el usuario. Para activar el entorno clásico del shell, activaremos la directiva situada en: - Herramientas administrativas - Usuarios y equipos de active directory - Botón secundario sobre nuestro contenedor y Propiedades
- Directiva de grupo (previamente creada) - Modificar - Configuración del usuario - Plantillas administrativas - Componentes de windows - Explorador de windows - Habilitar la directiva: "Activar Shell clásico" (no trabaja con temas de web)
Para impedir el acceso a las opciones de carpeta, y al menú archivo de un explorador activaremos las directivas siguientes en la misma ruta anterior: - "Quita el menú Opciones de carpeta del menú Herramientas" - "Quitar el menú Archivo del Explorador de Windows" También tenemos que habilitar las directivas: - "Deshabilitar el menú contextual predeterminado del explorador de Windows" - "Oculta el elmento Administrar del menú contextual del Explorador de Windows
Ejercicio 6.-Ficheros y unidades Para otro nuevo usuario, ocultar e impedir el acceso a todas las unidades. Para ello necesitaremos llevar al usuario a una carpeta compartida dentro de datos en la extructura de directorios preparada en el servidor (extructura de arriba), en una carpeta con el nombre del usuario, y que intentaremos hacerle llegar a través de una unidad de red a su PC, usando para ello la pestaña de su perfil de usuario. En caso de no ser posible optaremos por lo siguiente: Preparar un sitio de red que apunte a dicha organización a la ubicación anterior en el servidor.
Creamos un nuevo usuario dentro de nuestro contenedor en "Usuarios y equipos de active directory", y hacer botón derecho sobre el nuevo usuario y eleguir propiedades. Dentro de la ventana de las propiedades de usuario, seleccionar la pestaña "Perfil", y asignar la r uta de la siguiente manera: En "Directorio principal": Seleccionar "Conectar" y eleguir una unidad de red. En "A": introducir la ruta de red: ej. \\server-des\tty (\\nombre_equipo\nombre_usuario)
Para restringuir las unidades: - Herramientas administrativas - Usuarios y equipos de active directory - Botón secundario sobre nuestro contenedor y Propiedades - Directiva de grupo (previamente creada) - Modificar - Configuración del usuario
- Plantillas administrativas - Componentes de windows - Explorador de windows - Habilitar las directivas: "Ocultar estas unidades especificadas en Mi PC" "Impedir acceso a las unidades desdes mi PC" En el servidor, crear una carpeta con el nombre del usuario y compartirla, esta carpeta será el lugar en donde va a trabajar el usuario desde el cliente, a través de una ruta de red hecha desde el servidor. Para hacer la ruta de red:
Ejercicio 7.-Aplicaciones y registro Comprobar desde un usuario las restricciones para el "MMC" en modo "AUTOR" y para "Agregar complementos".
Ejercicio 8.Denegar todas las opciones posibles a un usuario cuando pulse Ctrl+Alt+Supr. Que sólo queda el botón "cancelar". Aprovechar para deshabilitar el "Símbolo del sistema".
Ejercicio 9.Deshabilitar las herramientas que puedan modificar el registro, comprobar las herramientas de Windows y alguna externa: Pooledit, regedit, regedit32, msconfig (externa e interna) y Tweak-ui.
Ejercicio 10.Denegar la ejecución de al menos 2 aplicaciones de Windows, recordando lo siguiente: ¿Qué ocurre si se renombra la aplicación?. ¿Cómo protegerías con seguridad los ficheros ejecutables?.
Ejercicio 11.-Perfiles móviles de usuario Con otro usuario nuevo que incluiremos en otra nueva unidad organizativa, preparar en la extructura de carpeta del servidor un perfil de usuario móvil y usar el perfil. No olvidar los permisos y seguridad (administradores de dominio y el usuario). Limitar el tamaño del perfil. Así mismo, para otro usuario, asignar como que no me interesa al menos tres directorios del perfil móvil de usuario.
Ejercicio 12.Para el perfil del usuario del ejercicio anterior, activar la posibilidad de que cuando el usuario cierre su sección y se haya actualizado su perfil móvil en la ubicación del servidor, se elimine su perfil local en "Documents and settings". No olvidar reiniciar el equipo para aplicar directivas de máquina.
Ejercicio 13.- Redirección de Carpetas Preparar dentro de "Datos", en la ubicación de carpetas del servidor, una carpeta para cada usuario. Dentro de esta, iremos creando y compartiendo a la vez para cada usuario otras carpetas, cada una de las cuales contendrá la ubicación para redireccionar carpetas. CONFIG-------DATOS-----USUARIO1 L____USUARIO2 L____USUARIO3 L____USUARIO4 Redireccionar para un usuario al que se le ha eliminado la caché local en directivas anteriores y que usa un perfil OBLIGATORIO, su carpeta "Mis documentos" a la nueva ubicación.
Ejercicio 14.Repetir el ejercicio anterior, considerando que usaremos un perfil móvil para otro nuevo usuario. Además esta vez deseamos redireccionar el escritorio y comprobar como la caché de perfil móviles desaparece del perfil local. Añadir además la NO actualización del "Menú Inicio" del usuario en la ubicación del perfil móvil.
Ejercicio 15.-Cuotas de disco Activar las cuotas de disco en la maquina cliente, para un usuario limitada a 2 meguillas na mas. Ojo, comprobar el funcionamiento desde el usuario tras reiniciar el equipo, y si afecta a los inicios de sesión desde otras particiones-sistemas de la maquina. Botón derecho en el disco c de la maquina cliente. Pestaña cuota. Normalmente esta desactivada, se activa para usuarios nuevos, o también podemos activarla para usuarios que ya están creados. Es una limitación al espacio en disco. Cuando llegue a mi pc propiedades, va a ver un disco de dos megiyas y ya está. En c botón derecho cuota, habilitamos la administración de cuotas aplicar aceptar. Seguimos configurando la ventana. Denegar espacio de disco a usuarios que …. Clicamos La cuota de disco se hace antes de que entre el usuario de primeras. Limitar espacio en disco a 10 mb Establecer el nivel de advertencia en 7 mb. Los sucesos son los otros dos cuadraditos, y están dirigidos al administrador. No marcamos ninguna. Aplicar. Valores de cuotas saca una lista en la que yo voy a poder ir agregando usuarios para ir asignándoles cuotas de disco. Creamos una nueva entrada de cuota. Si en vez de dominio tuviéramos grupo de trabajo, aparecerían los usuarios de ese equipo local. Mi pc administrar, creamos una cuenta local de usuario. (como siempre) Lo probamos en la maquina cliente. Quitamos el dominio y entramos en local.
Entramos. Disco c botón derecho propiedades, 10 mg. Ya esta!. (…) La cuenta de la maquina tiene que estar en el contenedor, porque si no, no se le aplica la directiva. Las cuotas de disco son para nuevos usuarios. Luego lo quitamos para que no se quede ahí puesto!
Ejercicio 16.-Seguridad de contraseñas Activar el apagado de sistema si no se puede registrar auditoria de seguridad. Activar esto desde las directivas de auditoria correspondientes: Auditar el acceso a objetos
Ejercicio 17.Bloquear la cuenta del usuario despues de cuatro intentos de inicio de sesion incorrectos y desactivarlo despues
Ejercicio 18.-Instalación de software Eliminar contenedor, usuario y paquete asignado (todo), que se ha realizado en la explicacion. Realizar una publicacion del kit de recursos para un usuario en el equipo cliente. Asignar permisos para administradores y el usuario en el punto de publicacion. Reubicar el subdirectorio y eliminarlo de tal forma que las aplicaciones queden compartidas directamente en el recurso.
Ejercicio 19.Asignar a otro usuario la instalacion de norton ghost con sus opciones por defecto. Incluirlo en otra categoria de la del ejercicio anterior.
Ejercicio 20.Deseamos asignar a un grupo de usuarios el programa winzip basandonos en su programa de instalacion ejecutable y autodescomprimible. Intentar generar para dicha asignacion un fichero de extension ZAP BRANNIGAN usando el codigo modicado que entrega Enrique
Ejercicio 21.Usando de nuevo el kit de recursos de windows 2000 y el programa de seguridad, asignar ambos a otro nuevo usuario y comprobar que el usuario se lo encuentra instalado. Comprobar tambien que el usuario los pierde al activar la casilla en la directiva correspondiente
Ejercicio 22.Antes de nada, desinstalar eliminando de la lista de publicación aquellos programas asignados o publicados a través de los usuarios en ejercicios anteriores; con la finalidad de comprobar los siguientes ejercicios:
Ejercicio 23.Limpiar toda la configuración existente en el servidor referente a las directivas de software realizadas
Ejercicio 24.Asignar a la máquina cliente para que se instale automáticamente durante su inicio el kit de recursos de windows 2000. Comprobar que así ha sido, entrando como Administrador De Dominio.
Ejercicio 25.Asignar el programa Baseline Security al equipo cliente, y, tras comprobar su funcionamiento, probar a desinstalarlo, usando la directiva
Ejemplo del código de creación de un fichero Zap Create a .zap file for the program based on the following sample file: [Application] ; Only FriendlyName and SetupCommand are required, ; everything else is optional. ; FriendlyName is the name of the program that ; will appear in the software installation snap-in ; and the Add/Remove Programs tool. ; REQUIRED FriendlyName = "Microsoft Excel 97" ; SetupCommand is the command line used to ; Run the program's Setup. If it is a relative ; path, it is assumed to be relative to the ; location of the .zap file. ; Long file name paths need to be quoted. For example: ; SetupCommand = "long folder\setup.exe" /unattend ; or ; SetupCommand = "\\server\share\long _ ; folder\setup.exe" /unattend ; REQUIRED SetupCommand = "setup.exe" ; Version of the program that will appear ; in the software installation snap-in and the ; Add/Remove Programs tool. ; OPTIONAL DisplayVersion = 8.0 ; Version of the program that will appear ; in the software installation snap-in and the ; Add/Remove Programs tool. ; OPTIONAL Publisher = Microsoft
Ejercicio 26.-
Deseamos publicar para un usuario el Adobe Acrobat Reader y el WinZip. Localizarlos en el servidor F.T.P. (172.16.9.36), en "Utiles". Para publicar a un usuario un programa haremos lo siguiente: - Crearemos una carpeta compartida y dentro de ella situaremos los programas que desde el cliente podrá instalar posteriormente, (cada programa en una carpeta independiente). - Dentro de las carpetas de cada uno de los programas tendremos que crear el fichero .zap con el nombre del programa (ej. winamp.zap) y configurarlo (la configuración la podemos ver en el .zap de ejemplo que tenemos). - Una vez hecho esto, pulsaremos botón secundario - propiedades sobre las carpetas que contienen los programas a instalar y la pestaña "Seguridad" agregaremos al usuario con el que entraremos desde la máquina cliente. - Para terminar, en "Usuarios y equipos de active directory - botón secundario sobre el contenedor con el que estamos trabajando - propiedades elegimos una directiva creada y pulsamos en el botón "Modificar". - Una vez dentro de la Directiva de grupo, nos vamos a "Configuración del usuario" - "Configuración de Software" y pulsamos botón secundario sobre "Instalación de Software" y "Nuevo paquete". - Una vez aquí, elegiremos la ruta donde hemos ubicado los programas y buscaremos los archivos .zap, elegiremos los que queremos publicar y en la ventana que se nos muestra a continuación "Instalar Software" pulsaremos la opción "Publicada" y pulsamos "Aceptar". Con esto ya hemos publicado las aplicaciones que podrá instalar posteriormente el cliente en Inicio-Configuración-Panel de control-Agregar o quitar programas, seleccionando dentro de esta ventana la opción "Agregar nuevos programas", podemos también elegir la "Categoría" a la que pertenece el programa si la hemos asignado antes.
Ejercicio 27.En un nuevo contenedor, asignar una directiva para un nuevo usuario que elimine la posibilidad de usar la linea de comandos (commando) y editores de registro. Para otro contenedor que contiene dos usuarios, los cuales, mediante directivas, tienen restringido todo tipo de acceso a la configuración de pantalla y escritorio, les serán vinculadas las anteriores directivas.
Ejercicio 28.Coordinándose con los administradores de un dominio cercano, usar la vinculación de objetos de directivas, de tal forma que al equipo cliente del otro dominio, se le instale uno de los dos paquetes MSI de los ejercicios anteriores (24 y 25). Para ello, establecer las relaciones de confianza bidireccionales-explícitas necesarias para tomar el control administrativo de los equipos clientes que necesitemos del otro dominio.
Configuración de Seguridad Ejercicio 29.Activar el cierre de sesion al usuario que sobrepasa el limite de tiempo de su sesion.
Ejercicio 30.Desabilitar ctrl+alt+supr al iniciar sesion. Mostrar un mensaje al inicio de sesion para todos los usuarios.
Ejercicio 31.Implementar la caducidad de la contraseña de cuenta de usuario a un maximo de 5 dias y a un minimo de 1. Recordarle desde 2 dias antes al usuario que cambie su contraseña antes de que caduque.
Ejercicio 32.Permitir apagar un grupo de servidores miembros de nuestro dominio sin tener que iniciar la sesión.
Ejercicio 33.Prohibir mostrar el ultimo nombre de usuario que uso la maquina.
Ejercicio 34.Restringir al usuario que usa el equipo localmente, el uso del cd-rom.
Ejercicio 35.Preparar una ventana con titulo y mensaje a los usuarios que se intenten conectar.
Ejercicio 36.Definir una longitud minima de contraseña a partir de 9 caracteres
Ejercicio 37.Bloquear la cuenta de los usuarios despues de 4 intentos de inicio de sesion incorrectos. Establecer un tiempo hasta su reactivacion.
Ejercicio 38.Desabilitar en los equipos cliente del dominio el telnet, el administrador de discos, el programador de tareas y el examinador de equipos.
Ejercicio 39.Aunque active directory permite la publicacion de objetos como impresoras, y esta pensado para que los usuarios se conecten a las mismas, no impide que puedan instalarse otras. Denegar esto ultimo.
Ejercicio 40.Efectuar una modificacion masiva de permisos ntfs en la estructura drive:\permisos\varios\.... de todos los equipos cliente de un departamento de nuestro dominio. Incluir ademas una auditoria para dos ficheros del directorio de primer nivel.
