SlideShare a Scribd company logo

El Directorio Activo (Manual de inicio)

P
polosp

Este documento resume las principales formas en que Active Directory puede usarse para controlar permisos y privilegios de equipos y usuarios en una organización. Explica que las Políticas de Grupo (GPO) son los objetos que definen las configuraciones de permisos, y que estas GPO pueden asignarse a sitios, dominios y unidades organizativas. También describe el orden de prioridad entre GPO contradictorias y la herencia de políticas entre contenedores. Finalmente, detalla varias directivas de configuración de equipo que permiten administrar permisos a nivel

Technology
1 of 11
Download to read offline
8VR GH $FWLYH 'LUHFWRU SDUD FRQILJXUDU SHUPLVRV GH XQD RUJDQL]DFLyQ Introducción No es objetivo de este pequeño documento explicar que es el Active Directory pero a modo de simple introducción podemos definirlo como: $FWLYH 'LUHFWRU HV XQD EDVH GH GDWRV GLVWULEXLGD GH LQIRUPDFLyQ VREUH XVXDULRV HTXLSRV LPSUHVRUDV FDVL DEVROXWDPHQWH FXDOTXLHU REMHWR UHODFLRQDGR D OD VLVWHPD LQIRUPiWLFR GH OD HPSUHVD Utiliza distintos protocolos (principalmente protocolo LDAP, DNS, DHCP, kerberos...). Active Directory proporciona la función de administrar las identidades en Windows Server 2003 junto a las muchas identidades que están dispersas en otros sistemas y plataformas. Además las directivas de grupo en Windows Server 2003 permiten de forma sencilla definir políticas de acceso y seguridad para equipos de escritorio y servidores que pueden ser aplicadas automáticamente a tantos equipos de escritorio y servidores como sea necesario vía Active Directory. Los administradores pueden definir e implementar estándares organizacionales mediante Directivas de Grupo, y pueden rápidamente reconfigurar los parámetros para adaptarse a requerimientos comerciales cambiantes. Es importante destacar su estructura jerárquica que permite mantener una serie de objetos relacionados con componentes de una red, como usuarios, grupos de usuarios, permisos y asignación de recursos y políticas de acceso. La estructura más común es la estructura de árbol, de forma que los objetos de cada nivel pueden tener a su vez muchos objetos hijos, un subnivel, y sucesivamente. El presente documento se centrara en como usar el active directory para controlar permisos y privilegios de los equipos y usuarios. [editar] Políticas - Objetos de Política de Grupo [editar] ¢4Xp 6RQ El medio que usa Windows para asignar a los usuario y equipos (objetos del Active Directory en general) permisos, restricciones y demás son las políticas. En cada sistema Windows, forme parte o no de un dominio, existe una política local que el administrador puede editar según su criterio para ajustar el comportamiento de dicho equipo. Lógicamente, cuando hay muchos equipos que administrar, resultaría incómodo tener que establecer este comportamiento uno por uno. Por este motivo, las políticas de grupo se han integrado dentro de la administración del Directorio Activo como una herramienta de configuración centralizada en dominios Windows.
En concreto, las políticas se especifican mediante objetos de directorio denominados Objetos de Política de Grupo (Group Policy Objects), o simplemente GPOs. Un GPO es un objeto que incluye como atributos cada una de las políticas (también denominadas directivas) que puede establecerse en Windows para equipos y usuarios. Los GPOs se crean y posteriormente se vinculan a distintos contenedores del Directorio Activo (sitios, dominios y unidades organizativas), de forma que los usuarios y equipos que se ubican dentro de estos contenedores reciben los parámetros de configuración establecidos en dichos GPOs. De esta forma, y utilizando sólo el Directorio Activo, cada equipo y cada usuario del dominio puede recibir una configuración apropiada según el tipo de tarea que debe desempeñar. [editar] 2UJDQL]DFLyQ GH 3ROtWLFDV Dentro de cada GPO, las políticas se organizan jerárquicamente en un árbol temático que permite una distribución lógica de las mismas. En este árbol de políticas existen dos nodos principales, justo por debajo del nodo raíz, que separan las configuraciones para equipos y para usuarios: La FRQILJXUDFLyQ GHO HTXLSR agrupa todos aquellos parámetros de configuración que pueden establecerse a nivel de equipo. Cuando un GPO afecta a un equipo, todas aquellas políticas de equipo del GPO que el administrador haya configurado se aplicarán al equipo cada vez que se inicie. La FRQILJXUDFLyQ GH XVXDULR agrupan los parámetros de configuración que pueden establecerse a nivel de usuario. Cuando un GPO afecta a un usuario, todas aquellas políticas de usuario del GPO que el administrador haya configurado se aplicarán cuando dicho usuario inicie una sesión local (en cualquier equipo del dominio). En cada GPO, el administrador puede deshabilitar selectivamente las políticas de equipo y/o de usuario, lo cual evita que se procesen y puedan aplicarse. Esto resulta útil en aquellos casos en los que en un GPO sólo se configuran políticas de uno de ambos tipos. El presenta documento se centra en las *32¶V GH FRQILJXUDFLyQ GH HTXLSR [editar] ¢'yQGH 6H $SOLFDQ Las GPO’s pueden estar contenidas en cuatro tipos de objetos: 1. (TXLSRV /RFDOHV: son aplicadas únicamente en el equipo que las tiene asignadas independientemente del dominio al que pertenezcan. Son modificadas con “gpedit.msc”.
Estas son las únicas políticas que se aplican a los equipos que no están en un dominio, como servidores independientes(stand alone) o clientes en red igual a igual (peer to peer). 2. 6LWLRV de Active Directory: se aplican para todos los equipos y/o usuarios de un sitio, independientemente del dominio del mismo bosque al que pertenezcan. 3. 'RPLQLRV de Active Directory: se aplican a todos los equipos y/o usuarios de un dominio. 4. 8QLGDGHV 2UJDQL]DWLYDV de Active Directory: se aplican únicamente a los equipos y/o usuarios que pertenezcan a la propia unidad organizativa (OU). El primer caso solo se nombra a titulo informativo puesto que esta fuera de lo que seria el active directory. De los otros tres casos lo lógico y recomendable es aplicar las GPO’s a nivel de Unidades Organizativas (OU). Las OU proporcionan una manera flexible de agrupar recursos relacionados y delegar el acceso de administración al personal apropiado sin proporcionarles la capacidad de administrar todo el dominio. Además, una jerarquía de OU bien diseñada ayudará al desarrollo, la implementación y la administración de medidas de seguridad eficaces. [editar] 2UGHQ GH $SOLFDFLyQ Una GPO, como ya hemos visto anteriormente, puede ser contenida por equipos locales, sitios, dominios y OU’s. Como un usuario, por ejemplo, estará en un equipo local que a su vez se ubicará en un sitio, pertenecerá a un dominio y será miembro de una OU se ve claramente que se puede dar el caso de que en el equipo local se aplique una GPO, en el sitio otra, otra para el dominio y otra para la OU (e incluso para la OU hija, de tercer nivel, etc.). Se podría dar el caso, por tanto, de que las GPO’s contuvieran políticas que se FRQWUDGLMHUDQ HQWUH Vt. Cuando se dan casos de estos, el sistema de GPO’s está implementado para asegurar que siempre se aplicarán las políticas, y para ello establece una forma de prioridad entre éstas por la cual, según dónde estén asignadas, unas prevalecen sobre otras atendiendo a una serie de reglas.
Resumen Prioridad de GPO’s Las GPO’s de una OU prevalecen sobre las del dominio, que a su vez prevalecen sobre las de sitio, las cuales a su vez prevalecen sobre las del equipo local. Por prevalecer no se entiende que unas anulen a otras; las políticas se suman, sólo se anulan en caso de ser contradictorias entre ellas. Por ejemplo, si a nivel de dominio habilitamos la política de deshabilitación del panel de control y en la OU deshabilitamos esta política, y suponemos que ninguna otra de las políticas a nivel de dominio entra en contradicción con ninguna otra de las de la OU, el resultado que se aplicará a un objeto contenido dentro de la OU será la suma de ambas GPO’s, salvo que la política que se aplica respecto a la deshabilitación del panel de control será la de la OU, no la del dominio, y por tanto el panel de control será visible. También se puede dar el caso de que HQ XQ PLVPR FRQWHQHGRU, por ejemplo una OU, se aplique más de una GPO. Esta posibilidad abre otra; la de que puedan contradecirse entre sí las GPO’s que son aplicadas a ése contenedor. ¿Cómo se resuelve esta problemática? Muy simple: prevalecerá la de la GPO que está más alta en la lista de las aplicadas al contenedor. [editar] +HUHQFLD GH *32¶V Las GPO’s, en el dominio son heredadas; las aplicadas a un contenedor padre, son aplicadas a su vez a sus hijos, es decir: 1. Las OU’s de primer nivel heredan del Dominio 2. Las OU’s hijas heredan de las de primer nivel 3. Las OU’s de nivel 3º heredan de las hijas 4. Y sucesivamente
Aunque también se puede especificar que una GPO esta bloqueada y de esta forma se HYLWDUtD TXH IXHUH KHUHGDGD por los contenedores hijos. [editar] Directrices de Configuración del Equipo En este apartado haremos un repaso por las directrivas aplicables al apartado de configuración del equipo para gestionar permisos de equipos del dominio. Comentar que dichas directrices las podemos encontrar en +HUUDPLHQWDV $GPLQLVWUDWLYDV ! 8VXDULRV HTXLSRV GH $FWLYH 'LUHFWRU y dentro de este panel en propiedades de la Unidad Organizativa a elegida. En la nueva pantalla, tendremos acceso a una nueva solapa, denominada Directiva de grupo y es ahí donde encontramos las directivas aplicadas a la UO. Al añadir, o modificar una directiva accederemos a la ventana del Editor de objetos de directiva de grupo. Dentro de RQILJXUDFLyQ GHO HTXLSR ! RQILJXUDFLyQ GH :LQGRZV encontramos las siguientes directivas que pasamos a detallar por secciones. [editar] $UFKLYRV GH FRPDQGRV ,QLFLR: contiene secuencias de comandos de inicio de equipo. $SDJDU: contiene secuencias de comandos de apagado de equipo. [editar] RQILJXUDFLyQ GH VHJXULGDG [editar] 'LUHFWLYDV GH FXHQWD ! 'LUHFWLYDV GH FRQWUDVHxDV Almacenar contraseñas usando cifrado reversible Forzar el historial de contraseñas Las contraseñas deben cumplir los requerimientos de seguridad Longitud mínima de contraseña. Vigencia máxima de la contraseña. Vigencia mínima de la contraseña. [editar] 'LUHFWLYDV GH FXHQWD ! 'LUHFWLYDV GH EORTXHR GH FXHQWDV Duración del bloqueo de cuenta.
Restablecer la cuenta de bloqueos después de... Umbral de bloqueos de la cuenta. [editar] 'LUHFWLYDV ORFDOHV ! 'LUHFWLYDV GH DXGLWRUtD Auditar el acceso a objetos. Auditar el acceso del servicio de directorio. Auditar el cambio de directivas. Auditar el seguimiento de procesos. Auditar el uso de privilegios. Auditar la administración de cuentas. Auditar sucesos de inicio de sesión. Auditar sucesos de inicio de sesión de cuenta. Auditar sucesos del sistem [editar] 'LUHFWLYDV ORFDOHV ! $VLJQDFLyQ GH GHUHFKRV GH XVXDULR Actuar como parte del sistema operativo. Administra los registros de auditoría y seguridad. Agregar estaciones de trabajo al dominio. Ajustar cuotas de memoria para un proceso Apagar el sistema. Bloquear páginas en memoria. Cambiar la hora del sistema. Cargar y descargar controladores de dispositivo. Crear objetos compartidos permanentes. Crear objetos globales. Crear un archivo de paginación. Crear un objeto testigo. Denegar el acceso desde la red a este equipo. Denegar el inicio de sesión como servicio. Denegar el inicio de sesión como trabajo por lotes. Denegar el inicio de sesión localmente. Denegar inicio de sesión a través de servicios de Terminal Server.
Depurar programas. Forzar el apagado desde un sistema remoto. Generar auditorías de seguridad. Habilitar cuentas de equipo y de usuario en las que se confía para delegación. Hacer copias de seguridad de archivos y directorios. Incrementar prioridades de planificación de procesos. Iniciar sesión como proceso por lotes. Iniciar sesión como usuario. Modificar valores de entorno de la memoria no volátil (firmware). Omitir la comprovación de recorrido. Perfilar el rendimiento del sistema. Perfilar un proceso individual. Permitir el inicio de sesión local. Permitir inicio de sesión a través de servicios de Terminal Server. Quitar el equipo de la estación de acoplamiento. Realizar la tareas de mantenimiento del volumen. Reemplazar un testigo a nivel de proceso. Representar al cliente después de la autenticación. Restaurar archivos y directorios. Sincronizar los datos de Directory Service. Tener acceso a este equipo desde la red. Tomar posesión de archivos y otros objetos. [editar] 'LUHFWLYDV ORFDOHV ! 2SFLRQHV GH VHJXULGDG Acceso a redes: no permitir el almacenamiento de credenciales o .NET Passports para la atenticación del dominio. Acceso a redes: no permitir enumeraciones anómalas de cuentas SAM. Acceso a redes: no permitir enumeraciones anómalas de cuentas y recursos compartidos SAM. Acceso de red: canalizaciones con nombre accesible anónimamente. Acceso de red: deja que los permisos de Todos se apliquen a los usuarios anónimos. Acceso de red: modelo de seguridad y recuros compartidos para cuentas locales. Acceso de red: permitir traducción SID/nombre anónima.
Acceso de red: recursos compartidos accesibles anónimamente. Acceso de red: restringir acceso anónimo a canalizaciones con nombre y recursos compartidos. Acceso de red: rutas de registro accesibles remotamente. Acceso de red: rutas y subrutas de registro accesibles remotamente. Apagado: borrar el archivo de páginas de la memoria virtual. Apagado: permitir apagar el sistema sin tener que iniciar sesión. Auditoría: apagar el sistema de inmediato si no puede registrar auditorías de seguridad. Auditoría: auditar el acceso de objetos globales del sistema Auditoría: auditar el uso del privilegio de copia de seguridad y restauración. Cliente de redes de Microsoft: enviar contraseña no cifrada para conectar SMB de otros fabricantes: Cliente de redes de Microsoft: firmar digitálmente las comunicaciones (si el servidor lo permite) Cliente de redes de Microsoft: firmar digitálmente las comunicaciones (siempre) Configuración del sistema: subsistemas obcionales. Configuración del sistema: usar reglas de certificado en archivos ejecutables de Windows para directivas de restricción de software. Consola de recuperación: permitir el inicio de sersión administrativo automático. Consola de recuperación: permitir la copia de disquetes y el acceso a todas las unidades y carpetas. Controlador de dominio: no permitir los cambios de contraseña de cuenta de equipo. Controlador de dominio: permitir a los operadores de servidor programar tareas. Controlador de dominio: requisitos de firma de servidor LDAP. Criptografía de sistema: estable una protección fuerte de clave para aquellas claves del usuario en el equipo. Criptografía de sistema: usar algoritmos que cumplan la norma FIPS para cifrado, firma y operaciones hash. Cuentas: cambiar el nombre de cuenta de invitado. Cuentas: cambiar el nombre de la cuenta del administrador. Cuentas: estado de la cuenta de administrador. Cuentas: estado de la cuenta de invitado. Cuentas: limitar el uso de cuentas locales con contraseña en blanco sólo para iniciar la consola.
DCOM: restricciones de acceso al equipo en sintaxis de Lenguaje de definición de descriptores de seguridad (SDDL). DCOM: restricciones de inicio de equipo en sintaxis de Lenguaje de definición de descriptores de seguridad (SDDL). Dispositivos: comportamiento de instalación de controlador no firmado. Dispositivos: impedir que los usuarios instalen controladores de impresora. Dispositivos: permitir el desbloqueo sin tener que iniciar sesión. Dispositivos: permitir formatear y expulsar medios extraíbles. Dispositivos: restringir el acceso a la unidad de disquete sólo al usuario con sesión iniciada localmente. Dispositivos: restringir el acceso al CD-ROM sólo al usuario con sesión iniciada localmente. Inicio de sesión interactivo: comportamiento de extracción de tarjeta inteligente. Inicio de sesión interactivo: mostrar información de usuario cuando se bloquee la sesión. Inicio de sesión interactivo: necesita una tarjeta inteligente. Inicio de sesión interactivo: no mostrar el último nombre de usuario Inicio de sesión interactivo: no requerir Ctlr+Alt+Sup. Inicio de sesión interactivo: núm. de inicios de sesión previos en la caché. Inicio de sesión interactivo: perdir al usuario cambiar la contraseña antes de que caduque. Inicio de sesión interactivo: requerir la autenticación del controlador de dominio para desbloquear el equipo. Inicio de sesión interactivo: texto del mensaje para los usuarios que intentan iniciar sesión. Inicio de sesión interactivo: título del mensaje para los usuarios que intentan iniciar sesión. Miembro de dominio: duración máxima de contraseña de cuenta de equipo. Miembro de dominio: firmar digitalmente datos de un canal seguro. Miembro de dominio: descifrar digitalmente datos de un canal seguro. Miembro de dominio: descifrar o firmar digitalmente datos de un canal seguro. Miembro de dominio: deshabilidar los cambiar de contraseña de cuentas de equipo. Miembro de dominio: requerir clave de sesión protegida. Objetos de sistema: propietario predeterminado para objetos creados por miembros del grupo de administradores. Objetos de sistema: reforzar los permisos predeterminados de los objetos internos del sistema. Objetos de sistema: requerir diferenciación de mayúsculas y minúsculas para subsistemas no basados en Windows.
Seguridad de red: forzar el cierre de sesión cuando expire la hora de inicio de sesión. Seguridad de red: no almacenar valor de hash de LAN Manager en el próximo cambio de contraseña. Seguridad de red: requisitos de firma de cliente LDAP. Seguridad de red: seguridad mínima de sesión para clientes basados en NTLM SSP. Seguridad de red: seguridad mínima de sesión para servidores basados en NTLM SSP. Seguridad de redes: nivel de autenticación de LAN Manager. Servidor de red Microsoft: desconectar a los clientes cuando termine el tiempo de sesión. Servidor de red Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite) Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre). Servidor de red Microsoft: tiempo de inactivida requerido antes de suspender la sesión. [editar] 5HJLVWUR GH VXFHVRV Conservar el registro de aplicaciones. Conservar el registro de seguridad. Conservar el registro de sistema. Evitar que el grupo de invitador locales tenga acceso a el registro de aplicaciones. Evitar que el grupo de invitador locales tenga acceso a el registro de seguridad. Evitar que el grupo de invitador locales tenga acceso a el registro del sistema. Método de retención del registro de la aplicación. Método de retención del registro de seguridad. Método de retención del registro del sistema. Tamaño máximo del registro de la aplicación. Tamaño máximo del registro de seguridad. Tamaño máximo del registro del sistema. [editar] 2WUDV GLUHFWLYDV Grupos restringidos. Servicios del sistema. Registro. Sistema de archivos. Directivas de red inalámbrica.
Directivas de claves públicas. Directivas de restricción de software. Directivas de seguridad IP de Active Directory. [editar] Plantillas Administrativas En las plantillas administrativas de Directiva de grupo se incluyen valores basados en el Registro que determinan el comportamiento y el aspecto de los equipos del entorno. Estos valores también influyen en el comportamiento de los componentes y aplicaciones del sistema operativo. Existen cientos de estos valores disponibles para su configuración y se pueden agregar muchos más mediante la importación de archivos .adm adicionales. Mediante estas plantillas podremos gestionar en los equipos de la unidad organizativa los siguiente servicios: Configuración de equipo de Internet Explorer. Configurar las directivas de Terminal Server. Servicios de Internet Information Server. Windows Update. Configuración de inicio de sesión del sistema. Asistente de mantenimiento personalizado de Microsoft Office XP. Configuración de seguridad de Microsoft Office XP Procesamiento de directivas de grupo. Informe de errores. Configuración de usuario de Internet Explorer. Configuración de protector de pantalla. Además esto nos permitirá establecer la misma configuración para un unidad organizativa de forma centralizada.

Recommended

Curso de windows server 2008 - Presentación
Curso de windows server 2008 - PresentaciónCurso de windows server 2008 - Presentación
Curso de windows server 2008 - Presentación
danilohnr
 
Manual de instalación y administración de active directory en windows server ...
Manual de instalación y administración de active directory en windows server ...Manual de instalación y administración de active directory en windows server ...
Manual de instalación y administración de active directory en windows server ...
camilaml
 
ESTRUCTURA DE DOMINIOS Y ACTIVE DIRECTORY EN WINDOWS 2003 SERVER
ESTRUCTURA DE DOMINIOS Y ACTIVE DIRECTORY EN WINDOWS 2003 SERVERESTRUCTURA DE DOMINIOS Y ACTIVE DIRECTORY EN WINDOWS 2003 SERVER
ESTRUCTURA DE DOMINIOS Y ACTIVE DIRECTORY EN WINDOWS 2003 SERVER
xxhowardxx
 
[WEBINAR] 10 cosas que debes saber sobre Active Directory.
[WEBINAR] 10 cosas que debes saber sobre Active Directory.[WEBINAR] 10 cosas que debes saber sobre Active Directory.
[WEBINAR] 10 cosas que debes saber sobre Active Directory.
Grupo Smartekh
 
Práctica windows server 2008 - Parte1
Práctica windows server 2008 - Parte1Práctica windows server 2008 - Parte1
Práctica windows server 2008 - Parte1
Rosariio92
 
Práctica Active Directory 1-12
Práctica Active Directory 1-12Práctica Active Directory 1-12
Práctica Active Directory 1-12
Adrian Gabriel
 
Unión Cliente a Dominio Windows Server 2012 R2
Unión Cliente a Dominio Windows Server 2012 R2Unión Cliente a Dominio Windows Server 2012 R2
Unión Cliente a Dominio Windows Server 2012 R2
cyberleon95
 
Practica active directory
Practica active directoryPractica active directory
Practica active directory
Antonio Del Río
 

Recommended

Curso de windows server 2008 - Presentación
Curso de windows server 2008 - PresentaciónCurso de windows server 2008 - Presentación
Curso de windows server 2008 - Presentación
danilohnr
 
Manual de instalación y administración de active directory en windows server ...
Manual de instalación y administración de active directory en windows server ...Manual de instalación y administración de active directory en windows server ...
Manual de instalación y administración de active directory en windows server ...
camilaml
 
ESTRUCTURA DE DOMINIOS Y ACTIVE DIRECTORY EN WINDOWS 2003 SERVER
ESTRUCTURA DE DOMINIOS Y ACTIVE DIRECTORY EN WINDOWS 2003 SERVERESTRUCTURA DE DOMINIOS Y ACTIVE DIRECTORY EN WINDOWS 2003 SERVER
ESTRUCTURA DE DOMINIOS Y ACTIVE DIRECTORY EN WINDOWS 2003 SERVER
xxhowardxx
 
[WEBINAR] 10 cosas que debes saber sobre Active Directory.
[WEBINAR] 10 cosas que debes saber sobre Active Directory.[WEBINAR] 10 cosas que debes saber sobre Active Directory.
[WEBINAR] 10 cosas que debes saber sobre Active Directory.
Grupo Smartekh
 
Práctica windows server 2008 - Parte1
Práctica windows server 2008 - Parte1Práctica windows server 2008 - Parte1
Práctica windows server 2008 - Parte1
Rosariio92
 
Práctica Active Directory 1-12
Práctica Active Directory 1-12Práctica Active Directory 1-12
Práctica Active Directory 1-12
Adrian Gabriel
 
Unión Cliente a Dominio Windows Server 2012 R2
Unión Cliente a Dominio Windows Server 2012 R2Unión Cliente a Dominio Windows Server 2012 R2
Unión Cliente a Dominio Windows Server 2012 R2
cyberleon95
 
Practica active directory
Practica active directoryPractica active directory
Practica active directory
Antonio Del Río
 
Introduccion Active Directory
Introduccion Active DirectoryIntroduccion Active Directory
Introduccion Active Directory
Fernando Ramirez
 
Perfil movil y obligatorio
Perfil movil y obligatorioPerfil movil y obligatorio
Perfil movil y obligatorio
Rosariio92
 
Guia Basica Directorio Activo, Domain Controller y Exchange
Guia Basica Directorio Activo, Domain Controller y ExchangeGuia Basica Directorio Activo, Domain Controller y Exchange
Guia Basica Directorio Activo, Domain Controller y Exchange
Julian Molano Grautoff
 
Active directory
Active directoryActive directory
Active directory
Julio César Siesquén Mairena
 
Active directory
Active directoryActive directory
Active directory
silitariaidelo
 
Active directory
Active directoryActive directory
Active directory
gruis_1811
 
Dominios En Windows 2003 Server
Dominios En Windows 2003 ServerDominios En Windows 2003 Server
Dominios En Windows 2003 Server
Dean1506
 
Instalacion de servidor de archivos en windows server
Instalacion de servidor de archivos en windows serverInstalacion de servidor de archivos en windows server
Instalacion de servidor de archivos en windows server
Michelle Gutierrez
 
Tema 6 parte-4-que-es-active-directory
Tema 6 parte-4-que-es-active-directoryTema 6 parte-4-que-es-active-directory
Tema 6 parte-4-que-es-active-directory
Iestp Instituto Superior
 
Active Directory
Active DirectoryActive Directory
Active Directory
guidoeddy
 
Administracion de servidores – windows server 2008
Administracion de servidores – windows server 2008Administracion de servidores – windows server 2008
Administracion de servidores – windows server 2008
JACKELIN SORALUZ
 
Implementación de servidor exchange server en windows server
Implementación de servidor exchange server en windows serverImplementación de servidor exchange server en windows server
Implementación de servidor exchange server en windows server
Alberto Cachetito
 
Directivas de grupo locales (GPL) Windows Server 2008 R2
Directivas de grupo locales (GPL) Windows Server 2008 R2Directivas de grupo locales (GPL) Windows Server 2008 R2
Directivas de grupo locales (GPL) Windows Server 2008 R2
camilaml
 
Configuración de Servidores Win2008
Configuración de Servidores Win2008Configuración de Servidores Win2008
Configuración de Servidores Win2008
Jaime
 
Estructura De Dominios Y Active Directory
Estructura De Dominios Y Active DirectoryEstructura De Dominios Y Active Directory
Estructura De Dominios Y Active Directory
karivip
 
instalación de Active directory windows 2012
instalación de Active directory windows 2012instalación de Active directory windows 2012
instalación de Active directory windows 2012
YinaGarzon
 
Perfiles de usuario Windows Server 2008
Perfiles de usuario Windows Server 2008Perfiles de usuario Windows Server 2008
Perfiles de usuario Windows Server 2008
Aula Campus
 
OPENLDAP Red Hat Enterprise Linux 6.2
OPENLDAP Red Hat Enterprise Linux 6.2OPENLDAP Red Hat Enterprise Linux 6.2
OPENLDAP Red Hat Enterprise Linux 6.2
cyberleon95
 
Estructura de Dominios y Active Directory en Windows 2003 Server
Estructura de Dominios y Active Directory en Windows 2003 ServerEstructura de Dominios y Active Directory en Windows 2003 Server
Estructura de Dominios y Active Directory en Windows 2003 Server
Leonid Valenzuela
 
Directorio Activo
Directorio ActivoDirectorio Activo
Directorio Activo
Darwin Carchi
 
Infraestructura de la Directiva de grupo
Infraestructura de la Directiva de grupoInfraestructura de la Directiva de grupo
Infraestructura de la Directiva de grupo
Eduardo Moron
 
Directiva de grupo
Directiva de grupoDirectiva de grupo
Directiva de grupo
Veronica Lopez
 

More Related Content

What's hot

Introduccion Active Directory
Introduccion Active DirectoryIntroduccion Active Directory
Introduccion Active Directory
Fernando Ramirez
 
Perfil movil y obligatorio
Perfil movil y obligatorioPerfil movil y obligatorio
Perfil movil y obligatorio
Rosariio92
 
Active directory
Active directoryActive directory
Active directory
gruis_1811
 
Dominios En Windows 2003 Server
Dominios En Windows 2003 ServerDominios En Windows 2003 Server
Dominios En Windows 2003 Server
Dean1506
 
Implementación de servidor exchange server en windows server
Implementación de servidor exchange server en windows serverImplementación de servidor exchange server en windows server
Implementación de servidor exchange server en windows server
Alberto Cachetito
 
Directivas de grupo locales (GPL) Windows Server 2008 R2
Directivas de grupo locales (GPL) Windows Server 2008 R2Directivas de grupo locales (GPL) Windows Server 2008 R2
Directivas de grupo locales (GPL) Windows Server 2008 R2
camilaml
 
Configuración de Servidores Win2008
Configuración de Servidores Win2008Configuración de Servidores Win2008
Configuración de Servidores Win2008
Jaime
 
Estructura De Dominios Y Active Directory
Estructura De Dominios Y Active DirectoryEstructura De Dominios Y Active Directory
Estructura De Dominios Y Active Directory
karivip
 
instalación de Active directory windows 2012
instalación de Active directory windows 2012instalación de Active directory windows 2012
instalación de Active directory windows 2012
YinaGarzon
 
OPENLDAP Red Hat Enterprise Linux 6.2
OPENLDAP Red Hat Enterprise Linux 6.2OPENLDAP Red Hat Enterprise Linux 6.2
OPENLDAP Red Hat Enterprise Linux 6.2
cyberleon95
 

What's hot (20)

Introduccion Active Directory
Introduccion Active DirectoryIntroduccion Active Directory
Introduccion Active Directory
 
Perfil movil y obligatorio
Perfil movil y obligatorioPerfil movil y obligatorio
Perfil movil y obligatorio
 
Guia Basica Directorio Activo, Domain Controller y Exchange
Guia Basica Directorio Activo, Domain Controller y ExchangeGuia Basica Directorio Activo, Domain Controller y Exchange
Guia Basica Directorio Activo, Domain Controller y Exchange
 
Active directory
Active directoryActive directory
Active directory
 
Active directory
Active directoryActive directory
Active directory
 
Active directory
Active directoryActive directory
Active directory
 
Dominios En Windows 2003 Server
Dominios En Windows 2003 ServerDominios En Windows 2003 Server
Dominios En Windows 2003 Server
 
Instalacion de servidor de archivos en windows server
Instalacion de servidor de archivos en windows serverInstalacion de servidor de archivos en windows server
Instalacion de servidor de archivos en windows server
 
Tema 6 parte-4-que-es-active-directory
Tema 6 parte-4-que-es-active-directoryTema 6 parte-4-que-es-active-directory
Tema 6 parte-4-que-es-active-directory
 
Active Directory
Active DirectoryActive Directory
Active Directory
 
Administracion de servidores – windows server 2008
Administracion de servidores – windows server 2008Administracion de servidores – windows server 2008
Administracion de servidores – windows server 2008
 
Implementación de servidor exchange server en windows server
Implementación de servidor exchange server en windows serverImplementación de servidor exchange server en windows server
Implementación de servidor exchange server en windows server
 
Directivas de grupo locales (GPL) Windows Server 2008 R2
Directivas de grupo locales (GPL) Windows Server 2008 R2Directivas de grupo locales (GPL) Windows Server 2008 R2
Directivas de grupo locales (GPL) Windows Server 2008 R2
 
Configuración de Servidores Win2008
Configuración de Servidores Win2008Configuración de Servidores Win2008
Configuración de Servidores Win2008
 
Estructura De Dominios Y Active Directory
Estructura De Dominios Y Active DirectoryEstructura De Dominios Y Active Directory
Estructura De Dominios Y Active Directory
 
instalación de Active directory windows 2012
instalación de Active directory windows 2012instalación de Active directory windows 2012
instalación de Active directory windows 2012
 
Perfiles de usuario Windows Server 2008
Perfiles de usuario Windows Server 2008Perfiles de usuario Windows Server 2008
Perfiles de usuario Windows Server 2008
 
OPENLDAP Red Hat Enterprise Linux 6.2
OPENLDAP Red Hat Enterprise Linux 6.2OPENLDAP Red Hat Enterprise Linux 6.2
OPENLDAP Red Hat Enterprise Linux 6.2
 
Estructura de Dominios y Active Directory en Windows 2003 Server
Estructura de Dominios y Active Directory en Windows 2003 ServerEstructura de Dominios y Active Directory en Windows 2003 Server
Estructura de Dominios y Active Directory en Windows 2003 Server
 
Directorio Activo
Directorio ActivoDirectorio Activo
Directorio Activo
 

Similar to El Directorio Activo (Manual de inicio)

Infraestructura de la Directiva de grupo
Infraestructura de la Directiva de grupoInfraestructura de la Directiva de grupo
Infraestructura de la Directiva de grupo
Eduardo Moron
 
Instalacion desantendida en red mediante directivas de grupo.
Instalacion desantendida en red mediante directivas de grupo.Instalacion desantendida en red mediante directivas de grupo.
Instalacion desantendida en red mediante directivas de grupo.
Rosariio92
 
Directivas de grupo locales en Windows Server 2008
Directivas de grupo locales en Windows Server 2008Directivas de grupo locales en Windows Server 2008
Directivas de grupo locales en Windows Server 2008
YinaGarzon
 
Que es un sistema operativo
Que es un sistema operativoQue es un sistema operativo
Que es un sistema operativo
carolcarreon
 
Referen automaticas
Referen automaticasReferen automaticas
Referen automaticas
soniaangel
 

Similar to El Directorio Activo (Manual de inicio) (20)

Infraestructura de la Directiva de grupo
Infraestructura de la Directiva de grupoInfraestructura de la Directiva de grupo
Infraestructura de la Directiva de grupo
 
Directiva de grupo
Directiva de grupoDirectiva de grupo
Directiva de grupo
 
Seguridad corporativa
Seguridad corporativaSeguridad corporativa
Seguridad corporativa
 
Seguridad corporativa segundo parcial
Seguridad corporativa segundo parcialSeguridad corporativa segundo parcial
Seguridad corporativa segundo parcial
 
Server
ServerServer
Server
 
Windows Server 2012- Taller de habilidades
Windows Server 2012- Taller de habilidadesWindows Server 2012- Taller de habilidades
Windows Server 2012- Taller de habilidades
 
Instalacion desantendida en red mediante directivas de grupo.
Instalacion desantendida en red mediante directivas de grupo.Instalacion desantendida en red mediante directivas de grupo.
Instalacion desantendida en red mediante directivas de grupo.
 
Taller de habilidades-Windows Server 2012
Taller de habilidades-Windows Server 2012Taller de habilidades-Windows Server 2012
Taller de habilidades-Windows Server 2012
 
Victor A. Sanchez
Victor A. SanchezVictor A. Sanchez
Victor A. Sanchez
 
Políticas de grupos GPO
Políticas de grupos GPOPolíticas de grupos GPO
Políticas de grupos GPO
 
presentacion politicas de grupo ( gpo )
presentacion politicas de grupo ( gpo )presentacion politicas de grupo ( gpo )
presentacion politicas de grupo ( gpo )
 
Políticas de grupo
Políticas de grupoPolíticas de grupo
Políticas de grupo
 
GPO-SO
GPO-SOGPO-SO
GPO-SO
 
Directivas de grupo
Directivas de grupoDirectivas de grupo
Directivas de grupo
 
Administración y comandos básicos. Arquitectura del Computador
Administración y comandos básicos. Arquitectura del ComputadorAdministración y comandos básicos. Arquitectura del Computador
Administración y comandos básicos. Arquitectura del Computador
 
Directivas de grupo locales en Windows Server 2008
Directivas de grupo locales en Windows Server 2008Directivas de grupo locales en Windows Server 2008
Directivas de grupo locales en Windows Server 2008
 
Que es un sistema operativo
Que es un sistema operativoQue es un sistema operativo
Que es un sistema operativo
 
Referen automaticas
Referen automaticasReferen automaticas
Referen automaticas
 
Administracion de base de datos postgresql
Administracion de base de datos postgresqlAdministracion de base de datos postgresql
Administracion de base de datos postgresql
 
Administracion de base de datos postgresql
Administracion de base de datos postgresqlAdministracion de base de datos postgresql
Administracion de base de datos postgresql
 

Recently uploaded

Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
AnnimoUno1
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
LolaBunny11
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
FagnerLisboa3
 

Recently uploaded (15)

PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Presentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmerilPresentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmeril
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
presentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptxpresentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptx
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 

El Directorio Activo (Manual de inicio)

  • 1. 8VR GH $FWLYH 'LUHFWRU SDUD FRQILJXUDU SHUPLVRV GH XQD RUJDQL]DFLyQ Introducción No es objetivo de este pequeño documento explicar que es el Active Directory pero a modo de simple introducción podemos definirlo como: $FWLYH 'LUHFWRU HV XQD EDVH GH GDWRV GLVWULEXLGD GH LQIRUPDFLyQ VREUH XVXDULRV HTXLSRV LPSUHVRUDV FDVL DEVROXWDPHQWH FXDOTXLHU REMHWR UHODFLRQDGR D OD VLVWHPD LQIRUPiWLFR GH OD HPSUHVD Utiliza distintos protocolos (principalmente protocolo LDAP, DNS, DHCP, kerberos...). Active Directory proporciona la función de administrar las identidades en Windows Server 2003 junto a las muchas identidades que están dispersas en otros sistemas y plataformas. Además las directivas de grupo en Windows Server 2003 permiten de forma sencilla definir políticas de acceso y seguridad para equipos de escritorio y servidores que pueden ser aplicadas automáticamente a tantos equipos de escritorio y servidores como sea necesario vía Active Directory. Los administradores pueden definir e implementar estándares organizacionales mediante Directivas de Grupo, y pueden rápidamente reconfigurar los parámetros para adaptarse a requerimientos comerciales cambiantes. Es importante destacar su estructura jerárquica que permite mantener una serie de objetos relacionados con componentes de una red, como usuarios, grupos de usuarios, permisos y asignación de recursos y políticas de acceso. La estructura más común es la estructura de árbol, de forma que los objetos de cada nivel pueden tener a su vez muchos objetos hijos, un subnivel, y sucesivamente. El presente documento se centrara en como usar el active directory para controlar permisos y privilegios de los equipos y usuarios. [editar] Políticas - Objetos de Política de Grupo [editar] ¢4Xp 6RQ El medio que usa Windows para asignar a los usuario y equipos (objetos del Active Directory en general) permisos, restricciones y demás son las políticas. En cada sistema Windows, forme parte o no de un dominio, existe una política local que el administrador puede editar según su criterio para ajustar el comportamiento de dicho equipo. Lógicamente, cuando hay muchos equipos que administrar, resultaría incómodo tener que establecer este comportamiento uno por uno. Por este motivo, las políticas de grupo se han integrado dentro de la administración del Directorio Activo como una herramienta de configuración centralizada en dominios Windows.
  • 2. En concreto, las políticas se especifican mediante objetos de directorio denominados Objetos de Política de Grupo (Group Policy Objects), o simplemente GPOs. Un GPO es un objeto que incluye como atributos cada una de las políticas (también denominadas directivas) que puede establecerse en Windows para equipos y usuarios. Los GPOs se crean y posteriormente se vinculan a distintos contenedores del Directorio Activo (sitios, dominios y unidades organizativas), de forma que los usuarios y equipos que se ubican dentro de estos contenedores reciben los parámetros de configuración establecidos en dichos GPOs. De esta forma, y utilizando sólo el Directorio Activo, cada equipo y cada usuario del dominio puede recibir una configuración apropiada según el tipo de tarea que debe desempeñar. [editar] 2UJDQL]DFLyQ GH 3ROtWLFDV Dentro de cada GPO, las políticas se organizan jerárquicamente en un árbol temático que permite una distribución lógica de las mismas. En este árbol de políticas existen dos nodos principales, justo por debajo del nodo raíz, que separan las configuraciones para equipos y para usuarios: La FRQILJXUDFLyQ GHO HTXLSR agrupa todos aquellos parámetros de configuración que pueden establecerse a nivel de equipo. Cuando un GPO afecta a un equipo, todas aquellas políticas de equipo del GPO que el administrador haya configurado se aplicarán al equipo cada vez que se inicie. La FRQILJXUDFLyQ GH XVXDULR agrupan los parámetros de configuración que pueden establecerse a nivel de usuario. Cuando un GPO afecta a un usuario, todas aquellas políticas de usuario del GPO que el administrador haya configurado se aplicarán cuando dicho usuario inicie una sesión local (en cualquier equipo del dominio). En cada GPO, el administrador puede deshabilitar selectivamente las políticas de equipo y/o de usuario, lo cual evita que se procesen y puedan aplicarse. Esto resulta útil en aquellos casos en los que en un GPO sólo se configuran políticas de uno de ambos tipos. El presenta documento se centra en las *32¶V GH FRQILJXUDFLyQ GH HTXLSR [editar] ¢'yQGH 6H $SOLFDQ Las GPO’s pueden estar contenidas en cuatro tipos de objetos: 1. (TXLSRV /RFDOHV: son aplicadas únicamente en el equipo que las tiene asignadas independientemente del dominio al que pertenezcan. Son modificadas con “gpedit.msc”.
  • 3. Estas son las únicas políticas que se aplican a los equipos que no están en un dominio, como servidores independientes(stand alone) o clientes en red igual a igual (peer to peer). 2. 6LWLRV de Active Directory: se aplican para todos los equipos y/o usuarios de un sitio, independientemente del dominio del mismo bosque al que pertenezcan. 3. 'RPLQLRV de Active Directory: se aplican a todos los equipos y/o usuarios de un dominio. 4. 8QLGDGHV 2UJDQL]DWLYDV de Active Directory: se aplican únicamente a los equipos y/o usuarios que pertenezcan a la propia unidad organizativa (OU). El primer caso solo se nombra a titulo informativo puesto que esta fuera de lo que seria el active directory. De los otros tres casos lo lógico y recomendable es aplicar las GPO’s a nivel de Unidades Organizativas (OU). Las OU proporcionan una manera flexible de agrupar recursos relacionados y delegar el acceso de administración al personal apropiado sin proporcionarles la capacidad de administrar todo el dominio. Además, una jerarquía de OU bien diseñada ayudará al desarrollo, la implementación y la administración de medidas de seguridad eficaces. [editar] 2UGHQ GH $SOLFDFLyQ Una GPO, como ya hemos visto anteriormente, puede ser contenida por equipos locales, sitios, dominios y OU’s. Como un usuario, por ejemplo, estará en un equipo local que a su vez se ubicará en un sitio, pertenecerá a un dominio y será miembro de una OU se ve claramente que se puede dar el caso de que en el equipo local se aplique una GPO, en el sitio otra, otra para el dominio y otra para la OU (e incluso para la OU hija, de tercer nivel, etc.). Se podría dar el caso, por tanto, de que las GPO’s contuvieran políticas que se FRQWUDGLMHUDQ HQWUH Vt. Cuando se dan casos de estos, el sistema de GPO’s está implementado para asegurar que siempre se aplicarán las políticas, y para ello establece una forma de prioridad entre éstas por la cual, según dónde estén asignadas, unas prevalecen sobre otras atendiendo a una serie de reglas.
  • 4. Resumen Prioridad de GPO’s Las GPO’s de una OU prevalecen sobre las del dominio, que a su vez prevalecen sobre las de sitio, las cuales a su vez prevalecen sobre las del equipo local. Por prevalecer no se entiende que unas anulen a otras; las políticas se suman, sólo se anulan en caso de ser contradictorias entre ellas. Por ejemplo, si a nivel de dominio habilitamos la política de deshabilitación del panel de control y en la OU deshabilitamos esta política, y suponemos que ninguna otra de las políticas a nivel de dominio entra en contradicción con ninguna otra de las de la OU, el resultado que se aplicará a un objeto contenido dentro de la OU será la suma de ambas GPO’s, salvo que la política que se aplica respecto a la deshabilitación del panel de control será la de la OU, no la del dominio, y por tanto el panel de control será visible. También se puede dar el caso de que HQ XQ PLVPR FRQWHQHGRU, por ejemplo una OU, se aplique más de una GPO. Esta posibilidad abre otra; la de que puedan contradecirse entre sí las GPO’s que son aplicadas a ése contenedor. ¿Cómo se resuelve esta problemática? Muy simple: prevalecerá la de la GPO que está más alta en la lista de las aplicadas al contenedor. [editar] +HUHQFLD GH *32¶V Las GPO’s, en el dominio son heredadas; las aplicadas a un contenedor padre, son aplicadas a su vez a sus hijos, es decir: 1. Las OU’s de primer nivel heredan del Dominio 2. Las OU’s hijas heredan de las de primer nivel 3. Las OU’s de nivel 3º heredan de las hijas 4. Y sucesivamente
  • 5. Aunque también se puede especificar que una GPO esta bloqueada y de esta forma se HYLWDUtD TXH IXHUH KHUHGDGD por los contenedores hijos. [editar] Directrices de Configuración del Equipo En este apartado haremos un repaso por las directrivas aplicables al apartado de configuración del equipo para gestionar permisos de equipos del dominio. Comentar que dichas directrices las podemos encontrar en +HUUDPLHQWDV $GPLQLVWUDWLYDV ! 8VXDULRV HTXLSRV GH $FWLYH 'LUHFWRU y dentro de este panel en propiedades de la Unidad Organizativa a elegida. En la nueva pantalla, tendremos acceso a una nueva solapa, denominada Directiva de grupo y es ahí donde encontramos las directivas aplicadas a la UO. Al añadir, o modificar una directiva accederemos a la ventana del Editor de objetos de directiva de grupo. Dentro de RQILJXUDFLyQ GHO HTXLSR ! RQILJXUDFLyQ GH :LQGRZV encontramos las siguientes directivas que pasamos a detallar por secciones. [editar] $UFKLYRV GH FRPDQGRV ,QLFLR: contiene secuencias de comandos de inicio de equipo. $SDJDU: contiene secuencias de comandos de apagado de equipo. [editar] RQILJXUDFLyQ GH VHJXULGDG [editar] 'LUHFWLYDV GH FXHQWD ! 'LUHFWLYDV GH FRQWUDVHxDV Almacenar contraseñas usando cifrado reversible Forzar el historial de contraseñas Las contraseñas deben cumplir los requerimientos de seguridad Longitud mínima de contraseña. Vigencia máxima de la contraseña. Vigencia mínima de la contraseña. [editar] 'LUHFWLYDV GH FXHQWD ! 'LUHFWLYDV GH EORTXHR GH FXHQWDV Duración del bloqueo de cuenta.
  • 6. Restablecer la cuenta de bloqueos después de... Umbral de bloqueos de la cuenta. [editar] 'LUHFWLYDV ORFDOHV ! 'LUHFWLYDV GH DXGLWRUtD Auditar el acceso a objetos. Auditar el acceso del servicio de directorio. Auditar el cambio de directivas. Auditar el seguimiento de procesos. Auditar el uso de privilegios. Auditar la administración de cuentas. Auditar sucesos de inicio de sesión. Auditar sucesos de inicio de sesión de cuenta. Auditar sucesos del sistem [editar] 'LUHFWLYDV ORFDOHV ! $VLJQDFLyQ GH GHUHFKRV GH XVXDULR Actuar como parte del sistema operativo. Administra los registros de auditoría y seguridad. Agregar estaciones de trabajo al dominio. Ajustar cuotas de memoria para un proceso Apagar el sistema. Bloquear páginas en memoria. Cambiar la hora del sistema. Cargar y descargar controladores de dispositivo. Crear objetos compartidos permanentes. Crear objetos globales. Crear un archivo de paginación. Crear un objeto testigo. Denegar el acceso desde la red a este equipo. Denegar el inicio de sesión como servicio. Denegar el inicio de sesión como trabajo por lotes. Denegar el inicio de sesión localmente. Denegar inicio de sesión a través de servicios de Terminal Server.
  • 7. Depurar programas. Forzar el apagado desde un sistema remoto. Generar auditorías de seguridad. Habilitar cuentas de equipo y de usuario en las que se confía para delegación. Hacer copias de seguridad de archivos y directorios. Incrementar prioridades de planificación de procesos. Iniciar sesión como proceso por lotes. Iniciar sesión como usuario. Modificar valores de entorno de la memoria no volátil (firmware). Omitir la comprovación de recorrido. Perfilar el rendimiento del sistema. Perfilar un proceso individual. Permitir el inicio de sesión local. Permitir inicio de sesión a través de servicios de Terminal Server. Quitar el equipo de la estación de acoplamiento. Realizar la tareas de mantenimiento del volumen. Reemplazar un testigo a nivel de proceso. Representar al cliente después de la autenticación. Restaurar archivos y directorios. Sincronizar los datos de Directory Service. Tener acceso a este equipo desde la red. Tomar posesión de archivos y otros objetos. [editar] 'LUHFWLYDV ORFDOHV ! 2SFLRQHV GH VHJXULGDG Acceso a redes: no permitir el almacenamiento de credenciales o .NET Passports para la atenticación del dominio. Acceso a redes: no permitir enumeraciones anómalas de cuentas SAM. Acceso a redes: no permitir enumeraciones anómalas de cuentas y recursos compartidos SAM. Acceso de red: canalizaciones con nombre accesible anónimamente. Acceso de red: deja que los permisos de Todos se apliquen a los usuarios anónimos. Acceso de red: modelo de seguridad y recuros compartidos para cuentas locales. Acceso de red: permitir traducción SID/nombre anónima.
  • 8. Acceso de red: recursos compartidos accesibles anónimamente. Acceso de red: restringir acceso anónimo a canalizaciones con nombre y recursos compartidos. Acceso de red: rutas de registro accesibles remotamente. Acceso de red: rutas y subrutas de registro accesibles remotamente. Apagado: borrar el archivo de páginas de la memoria virtual. Apagado: permitir apagar el sistema sin tener que iniciar sesión. Auditoría: apagar el sistema de inmediato si no puede registrar auditorías de seguridad. Auditoría: auditar el acceso de objetos globales del sistema Auditoría: auditar el uso del privilegio de copia de seguridad y restauración. Cliente de redes de Microsoft: enviar contraseña no cifrada para conectar SMB de otros fabricantes: Cliente de redes de Microsoft: firmar digitálmente las comunicaciones (si el servidor lo permite) Cliente de redes de Microsoft: firmar digitálmente las comunicaciones (siempre) Configuración del sistema: subsistemas obcionales. Configuración del sistema: usar reglas de certificado en archivos ejecutables de Windows para directivas de restricción de software. Consola de recuperación: permitir el inicio de sersión administrativo automático. Consola de recuperación: permitir la copia de disquetes y el acceso a todas las unidades y carpetas. Controlador de dominio: no permitir los cambios de contraseña de cuenta de equipo. Controlador de dominio: permitir a los operadores de servidor programar tareas. Controlador de dominio: requisitos de firma de servidor LDAP. Criptografía de sistema: estable una protección fuerte de clave para aquellas claves del usuario en el equipo. Criptografía de sistema: usar algoritmos que cumplan la norma FIPS para cifrado, firma y operaciones hash. Cuentas: cambiar el nombre de cuenta de invitado. Cuentas: cambiar el nombre de la cuenta del administrador. Cuentas: estado de la cuenta de administrador. Cuentas: estado de la cuenta de invitado. Cuentas: limitar el uso de cuentas locales con contraseña en blanco sólo para iniciar la consola.
  • 9. DCOM: restricciones de acceso al equipo en sintaxis de Lenguaje de definición de descriptores de seguridad (SDDL). DCOM: restricciones de inicio de equipo en sintaxis de Lenguaje de definición de descriptores de seguridad (SDDL). Dispositivos: comportamiento de instalación de controlador no firmado. Dispositivos: impedir que los usuarios instalen controladores de impresora. Dispositivos: permitir el desbloqueo sin tener que iniciar sesión. Dispositivos: permitir formatear y expulsar medios extraíbles. Dispositivos: restringir el acceso a la unidad de disquete sólo al usuario con sesión iniciada localmente. Dispositivos: restringir el acceso al CD-ROM sólo al usuario con sesión iniciada localmente. Inicio de sesión interactivo: comportamiento de extracción de tarjeta inteligente. Inicio de sesión interactivo: mostrar información de usuario cuando se bloquee la sesión. Inicio de sesión interactivo: necesita una tarjeta inteligente. Inicio de sesión interactivo: no mostrar el último nombre de usuario Inicio de sesión interactivo: no requerir Ctlr+Alt+Sup. Inicio de sesión interactivo: núm. de inicios de sesión previos en la caché. Inicio de sesión interactivo: perdir al usuario cambiar la contraseña antes de que caduque. Inicio de sesión interactivo: requerir la autenticación del controlador de dominio para desbloquear el equipo. Inicio de sesión interactivo: texto del mensaje para los usuarios que intentan iniciar sesión. Inicio de sesión interactivo: título del mensaje para los usuarios que intentan iniciar sesión. Miembro de dominio: duración máxima de contraseña de cuenta de equipo. Miembro de dominio: firmar digitalmente datos de un canal seguro. Miembro de dominio: descifrar digitalmente datos de un canal seguro. Miembro de dominio: descifrar o firmar digitalmente datos de un canal seguro. Miembro de dominio: deshabilidar los cambiar de contraseña de cuentas de equipo. Miembro de dominio: requerir clave de sesión protegida. Objetos de sistema: propietario predeterminado para objetos creados por miembros del grupo de administradores. Objetos de sistema: reforzar los permisos predeterminados de los objetos internos del sistema. Objetos de sistema: requerir diferenciación de mayúsculas y minúsculas para subsistemas no basados en Windows.
  • 10. Seguridad de red: forzar el cierre de sesión cuando expire la hora de inicio de sesión. Seguridad de red: no almacenar valor de hash de LAN Manager en el próximo cambio de contraseña. Seguridad de red: requisitos de firma de cliente LDAP. Seguridad de red: seguridad mínima de sesión para clientes basados en NTLM SSP. Seguridad de red: seguridad mínima de sesión para servidores basados en NTLM SSP. Seguridad de redes: nivel de autenticación de LAN Manager. Servidor de red Microsoft: desconectar a los clientes cuando termine el tiempo de sesión. Servidor de red Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite) Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre). Servidor de red Microsoft: tiempo de inactivida requerido antes de suspender la sesión. [editar] 5HJLVWUR GH VXFHVRV Conservar el registro de aplicaciones. Conservar el registro de seguridad. Conservar el registro de sistema. Evitar que el grupo de invitador locales tenga acceso a el registro de aplicaciones. Evitar que el grupo de invitador locales tenga acceso a el registro de seguridad. Evitar que el grupo de invitador locales tenga acceso a el registro del sistema. Método de retención del registro de la aplicación. Método de retención del registro de seguridad. Método de retención del registro del sistema. Tamaño máximo del registro de la aplicación. Tamaño máximo del registro de seguridad. Tamaño máximo del registro del sistema. [editar] 2WUDV GLUHFWLYDV Grupos restringidos. Servicios del sistema. Registro. Sistema de archivos. Directivas de red inalámbrica.
  • 11. Directivas de claves públicas. Directivas de restricción de software. Directivas de seguridad IP de Active Directory. [editar] Plantillas Administrativas En las plantillas administrativas de Directiva de grupo se incluyen valores basados en el Registro que determinan el comportamiento y el aspecto de los equipos del entorno. Estos valores también influyen en el comportamiento de los componentes y aplicaciones del sistema operativo. Existen cientos de estos valores disponibles para su configuración y se pueden agregar muchos más mediante la importación de archivos .adm adicionales. Mediante estas plantillas podremos gestionar en los equipos de la unidad organizativa los siguiente servicios: Configuración de equipo de Internet Explorer. Configurar las directivas de Terminal Server. Servicios de Internet Information Server. Windows Update. Configuración de inicio de sesión del sistema. Asistente de mantenimiento personalizado de Microsoft Office XP. Configuración de seguridad de Microsoft Office XP Procesamiento de directivas de grupo. Informe de errores. Configuración de usuario de Internet Explorer. Configuración de protector de pantalla. Además esto nos permitirá establecer la misma configuración para un unidad organizativa de forma centralizada.