https://manuais.iessanclemente.net/index.php?title=Directivas_de_Grupo_en_Windows_2008&feed=atom&action=historyDirectivas de Grupo en Windows 2008 - Historial de revisiones2024-03-19T07:24:27ZHistorial de revisiones de esta página en el wikiMediaWiki 1.36.2https://manuais.iessanclemente.net/index.php?title=Directivas_de_Grupo_en_Windows_2008&diff=69885&oldid=prevVieites: /* Borrar directivas de grupo */2021-12-10T12:44:05Z<p><span dir="auto"><span class="autocomment">Borrar directivas de grupo</span></span></p>
<p><b>Página nueva</b></p><div>'''As Directivas de Grupo son obxectos de ''Active Directory'' que permiten unha configuración completa e centralizada dos equipos e dos contornos de usuario.'''<br />
<br />
== Introdución ==<br />
Coas Directivas de Grupo podemos configurar: A seguridade, a instalación de programas, as secuencias de comandos, as plantillas administrativas, o servizo de instalación remota, o explorador de internet, a redirección de carpetas, etc.<br />
<br />
Hai que ter en conta que as Directivas de Grupo só se poden aplicar aos sistemas operativos Windows 2000 e posteriores (XP, Server 2003, Windows 7, Server 2008,…).<br />
<br />
O obxecto Directiva de Grupo contén dous compoñentes: ''Group Policy Container'' (GPC) e ''Group Policy Template'' (GPT).<br />
* '''''Group Policy Container'' (GPC):''' Está referenciado na base de ''Active Directory'', na carpeta ''Policies''.<br />
{| border="0" cellspacing="0" cellpadding="5" width="90%"<br />
| [[Imagen:GPC01.png|center|thumb|200px|Mostrar as "Características avanzadas".]]<br />
| [[Imagen:GPC02.png|center|thumb|200px|En ''System''-''Policies'' vemos as '''GUID''' (''Global Unique IDentifier'') das dúas directivas creadas por defecto no Dominio]]<br />
|}<br />
<br />
* '''''Group Policy Template'' (GPT):''' O GPT cós parámetros de directiva almacénanse na carpeta ''Sysvol''.<br />
{| border="0" cellspacing="0" cellpadding="5" width="90%"<br />
| [[Imagen:GPC03.png|center|thumb|200px|Contido de C:\Windows\SYSVOL\sysvol\TRITON00.LOCAL\Policies.]]<br />
| [[Imagen:GPC04.png|center|thumb|200px|Contido dunha das dúas GPTs creadas ao promocionar o equipo a Servidor de Dominio.]]<br />
|}<br />
A existencia destes dous compoñentes pode ter repercusións na administración de AD, pois a súa replicación é disxunta:<br />
* O GPC replícase durante a replicación de AD.<br />
* O GPT replícase mediante o servicio de replicación de arquivos (''File Replication Service'' – FRS).<br />
<br />
'''Aplicación das Directivas de Grupo:'''<br />
: As Directivas de Grupo defínense para as contas de equipo e de usuario, e só para elas. Non se aplican aos obxectos de grupo.<br />
:* ''Directivas de Grupo de Equipo.'' Aplícanse ao arrancar a máquina e se refrescan a intervalos de 5 minutos para os Controladores de Dominio e 90 minutos para os equipos.<br />
:* ''Directivas de Grupo de Usuarios.'' Aplícanse ao iniciar sesión e se refrescan cada 90 minutos.<br />
::: Así e todo, estes valores pódense configurar e se queremos que se fagan efectivas nun momento dado podemos executar o comando [http://technet.microsoft.com/es-es/library/bb490983.aspx gpupdate].<br />
<br />
'''Herdanza das directivas:'''<br />
: As Directivas de Grupo poden estar definidas en distintos niveis da árbore de AD: sitio, dominio e OU. Ademais os equipos membros poden ter unha directiva local.<br />
: A [https://msdn.microsoft.com/es-es/library/cc785665%28v=ws.10%29.aspx Prioridade] na aplicación das directivas de grupo é: Directiva local – Sitio – Dominio – Unidade Organizativa Principal – Unidade Organizativa Secundaria.<br />
::: Este orden significa que a GPO local procésase en primeiro lugar e que as GPOs vinculadas á unidade organizativa da que é membro directo o equipo ou o usuario procésanse en último lugar, có que se sobrescribe a configuración das GPOs anteriores en caso de conflicto. (Se non hai conflicto, simplemente se agregan a configuración anterior e a posterior).<br />
::: Como sempre, esta herdanza pode ser modificada…<br />
<br />
== A Consola de Administración de Directivas de Grupo (GPMC) ==<br />
A Consola de Administración de Directivas de Grupo (GPMC) é un complemento de scripts de Microsoft Management Console (MMC), que proporciona unha única ferramenta administrativa para administrar as directivas de grupo en toda a organización. Así, a GPMC é a ferramenta estándar para administrar as directivas de grupo.<br />
<br />
== Directivas de Grupo Interesantes ==<br />
<br />
=== Mis Documentos ===<br />
'''Ollo!!!''' Esta directiva non funciona nos usuarios que xa teñan gardado arquivos na súa carpeta personal.<br />
<br />
Configuración del Usuario - Directivas - Configuración de Windows - Redirección de carpetas - Documentos - Configuración: Avanzada (especificar ubicaciones para diversos grupos de usuarios):<br />
* Grupo: TRITON00\G-Triton <br />
* Ubicación de la carpeta de destino: Redirigir el directorio particular del usuario<br />
:: - Ruta: %HOMESHARE%%HOMEPATH%<br />
En ''Opciones'' recordar habilitar: "Aplicar también directiva de redirección a los sistemas operativos Windows 2000…"<br />
<br />
=== No Acceder a C desde Mi PC ===<br />
==== Windows 2008 ====<br />
Configuración del Usuario - Directivas - Plantillas administrativas - Componentes de Windows - Explorador de Windows:<br />
* Directiva: Impedir acceso a las unidades desde Mi PC<br />
* Configuración: Habilitado<br />
* Elegir una de las siguientes combinaciones: Restringir sólo la unidad C<br />
<br />
==== Windows 2012 ====<br />
Configuración del Usuario - Directivas - Plantillas administrativas - Componentes de Windows - Explorador de archivos:<br />
* Directiva: Ocultar estas unidades específicas en Mi PC<br />
* Configuració: Habilitada<br />
* Elegir una de las siguientes combinaciones: Restringir sólo la unidad C<br />
<br />
=== Abrir archivos .ps1 con PowerShell ===<br />
Configuración del Usuario - Preferencias - Configuración del Panel de control - Opciones de carpeta - Abrir con:<br />
* Extensión de archivo: ps1<br />
* Programa asociado: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe<br />
<br />
:: [http://www.grouppolicy.biz/2011/09/how-to-use-group-policy-to-change-open-with-file-associations Group Policy to change open with file associations].<br />
[[Archivo:ps1.png|center]]<br />
<br />
=== Agregar el grupo Administradores a las carpetas de Perfiles móviles ===<br />
Configuración del equipo - Directivas - Plantillas administrativas - Sistema/Perfiles de usuario:<br />
* Directiva: Agregar el grupo de seguridad de administradores a los perfiles de usuarios móviles.<br />
* Configuración: Habilitado.<br />
<br />
:: [http://technet.microsoft.com/en-us/library/cc758768(v=ws.10).aspx Group Policy Settings for Roaming User Profiles].<br />
<br />
: '''NOTA:''' Para que a configuración da directiva surta efecto, ten que configurarse no equipo cliente e non no servidor.<br />
<br />
- Para eliminar un perfil móbil completamente hai que ir a "todos" os ordenadores onde o usuario iniciou sesión e borrar a clave do rexistro: HKEY-LOCAL...\SOFTWARE\MICROSOFT\WINDOWSNT\CURRENTVERSION\PROFILELIST\...<br />
<br />
=== Agregar Grupo Global del Dominio a Grupo Administradores equipo local ===<br />
: [https://community.spiceworks.com/how_to/2123-add-an-active-directory-group-to-the-local-administrator-group-of-workstation-s Enlace].<br />
:: GPO de Equipos en la OU de los Clientes donde queremos instalar el software<br />
<br />
=== Contraseña de Longitud 0 ===<br />
Configuración del equipo - Directivas - Configuración de Windows - Configuración de seguridad - Directivas de cuenta/Directivas de contraseñas:<br />
* Directiva: Las contraseñas deben cumplir los requisitos de complejidad - Deshabilitado.<br />
* Directiva: Longitud mínima de la contraseña - 0 Caracteres<br />
<br />
=== Páxina de inicio do navegador ===<br />
Neste [http://miblogtecnico.wordpress.com/2013/07/10/habilitar-la-pagina-de-inicio-del-navegador-usando-directivas-de-grupo/ enlace] está ben explicado.<br />
<br />
=== Configurar que usuarios poden iniciar sesión nun equipo ===<br />
Cando existe unha unidade organizativa que contén os equipos aos que se quere '''permitir''' o inicio de sesión, crearase unha directiva de grupo para esa unidade organizativa:<br />
<br />
Configuración de equipo - Directivas - Configuración de Windows - Configuración de seguridade - Directivas locais - Asignación de dereitos de usuarios - Permitir o inicio de sesión local<br />
<br />
Defínese a directiva engadindo o grupo de usuarios que teñen permitido o inicio de sesión. Tamén se deben engadir o grupo administradores e o grupo dos administradores do dominio.<br />
<br />
=== Configurar que usuarios NON poden iniciar sesión nun equipo ===<br />
Cando existe unha unidade organizativa que contén os equipos aos que se quere '''restrinxir''' o inicio de sesión, crearase unha directiva de grupo para esa unidade organizativa:<br />
<br />
Configuración de equipo - Directivas - Configuración de Windows - Configuración de seguridade - Directivas locais - Asignación de dereitos de usuarios - Denegar o inicio de sesión local<br />
<br />
Defínese a directiva engadindo o grupo de usuarios que NON teñen permitido o inicio de sesión.<br />
<br />
=== Control remoto máis dunha conexión simultánea ===<br />
Temos dúas GPOs a configurar:<br />
Configuración del equipo - Directivas - Plantillas administrativas - Componentes de Windows - Servicios de Escritorio remoto - Host de sesión de escritorio remoto - Conexiones:<br />
# Directiva: Limitar a los usuarios de Servidios de Escritorio remoto a una única sesión de Servicios de Escritorio remoto - Deshabilitado.<br />
# Directiva: Limitar número de conexiones - Habilitada - [O número que nos interese]<br />
<br />
=== Auditar o acceso a arquivos e carpetas ===<br />
Windows 2008 soporta a auditoría granular baseándose nas contas do usuario ou grupo e as accións específicas realizadas por esas contas. Para configurar a auditoría, débense completar tres pasos: Crear e activar a auditoría específica (GPO), configurar a Ficha Auditoría no directorio que nos interese e avaliar os eventos no rexistro de seguridade.<br />
<br />
* '''Crear e activar a auditoría específica (GPO).'''<br />
: - Agregar unha nova directiva GPO na OU que nos interese, hai que ter moi en conta que o "servidor de arquivos" onde se atope o directorio a auditar se atope no seu interior.<br />
: - Editar a directiva: Configuración de equipo - Directivas - Configuración de Windows - Configuración de seguridad - Directivas locales - Directiva de auditoría... Aí temos "Auditar el acceso a objetos" e debemos escoller:<br />
:: · Definir esta configuración de directiva.<br />
:: · Auditar estos intentos: E seleccionar "Correcto", se nos interesa auditar o acceso correcto a directorios, e/ou "Error", se nos interesa auditar os accesos erróneos.<br />
<br />
[[Imagen:audit01.png|350px]]<br />
<br />
:: · Neste intre non hai que esquecer "mover" o servidor de arquivos (onde se atope o directorio que queremos auditar o seu acceso) á UO correspondente (no exemplo da imaxen seguinte trátase de SERVER00).<br />
<br />
[[Imagen:audit02.png|350px]]<br />
<br />
* '''Configurar a Ficha Auditoría no directorio a auditar.'''<br />
: - Logo de configurar os permisos de acceso do directorio a auditar (Neste exemplo o fago dunha carpeta chamada "Administradores" dentro do directorio compartido "Xeral"). Fago que só os Administradores poden acceder a ela.<br />
: - Por último, acceder á Ficha Auditoría do directorio "Administradores" e configurar que se quere auditar o Acceso Incorrecto a ela do grupo ou grupos a Auditar.<br />
<br />
[[Imagen:audit03.png|350px]]<br />
<br />
<br />
* '''Comprobar os eventos xerados.'''<br />
: - Xa só nos queda intentar acceder a esa carpeta cun usuario do grupo a auditar e comprobar no "Visor de eventos" que queda o acceso rexistrado.<br />
: - Abrir o "Visor de eventos" e acceder a "Registro de Windows - Seguridad", ordenar todos os eventos por "Fecha y Hora" e comprobar a existencia do envento correspondente (será un "Error de auditoría").<br />
<br />
[[Imagen:audit04.png|350px]]<br />
<br />
=== Administración de impresoras ===<br />
: [https://docs.microsoft.com/es-es/troubleshoot/windows-server/printing/use-group-policy-to-control-ad-printer Seguir el siguiente enlace]<br />
<br />
<br />
=== Borrar directivas de grupo ===<br />
<br />
: Para borrar unha directiva de grupo debemos ir ao contenedor '''Group Policy Objects''', seleccionar a GPO a borrar e premer Delete.<br />
: Ollo, pois unha GPO borrada non se poderá recuperar máis.<br />
<br />
=== Grupo Global en Grupo Administradores Locales de Equipos Clientes ===<br />
: Para que un grupo global se añada a los administradores locales de equipos clientes:<br />
Abrimos la GPO y vamos a la siguiente ruta Configuración del equipo -> Políticas -> Configuración de Windows -> Configuración de seguridad -> Grupos restringidos.<br />
<br />
--[[Usuario:Vieites|Vieites]] 2 feb 2013</div>Vieites