Guia per a configurar els permisos a Windows Server.

1. Sistemes
Operatius en
Xarxa
Tema 6: Permisos,
directives de grup i
perfils
NOTA: Adaptació i traducció d'un material de José Ramón Ruiz Rodríguez
1

2. 2

3. ÍNDEX
1. Objectius...............................................................5
2. Permisos................................................................7
2.1. Permisos en recursos compartits.....................................8
2.2. Establir permisos de recursos compartits...........................10
2.3. Permisos NTFS......................................................13
2.4. Compartició de recursos per línia de comandaments..................22
2.5. Permisos NTFS per línia de comandaments............................23
3. Directives de Grup (GPO)...............................................29
3.1. Edició de les directives de grup predefinides......................30
3.2. Creació de Directives de Grup......................................38
4. Perfils................................................................45
4.1. Perfils mòbils.....................................................47
5. Carpetes personals.....................................................51
6. Comandaments d'inici de sessió. Exemples...............................55
6.1. Assignació d'una unitat de xarxa...................................56
6.2. Missatge als usuaris...............................................58
6.3. Registre de connexions.............................................58
6.4. Comandaments d'inici de sessió amb GPO.............................60
6 Activitats..............................................................61
3

4. 4

5. 1. Objectius
• Creació de recursos compartits.
• Configuració i administració de permisos de carpetes compartides.
• Configuració i administració de permisos NTFS
• Gestió del domini per mitjà de directives de grup.
• Configuració de l'entorn de treball de l'usuari per mitjà de perfils.
• Establiment de carpetes particulars dels usuaris del domini.
• Execució de comandaments d'inici de sessió.
5

6. 6

7. 2. Permisos
Els sistemes operatius de la família Windows posseïxen dos nivells de
permisos per als recursos compartits:
• Permisos per a carpetes compartides: s'apliquen cada vegada que un
usuari vol accedir a un arxiu o carpeta a través de la xarxa.
• Permisos locals per a arxius i carpetes (NTFS): s'apliquen sobre
dispositius amb format NTFS per a definir en més detall les accions
permeses.
Per tant, quan s'accedix en mode local als arxius o carpetes, només
intervenen els permisos associats al sistema de fitxers, en este cas NTFS.
No obstant això, si s'accedix a través de la xarxa s'apliquen els dos
nivells de permisos (figura 1): en primer lloc s'apliquen els permisos de
carpetes compartides (permisos de xarxa) i posteriorment els permisos NTFS.
Com veurem més avant, en cas que hi haja inconsistències entre els permisos
de cada tipus, s'aplicaran els més restrictius.
Figura 1. Permisos segons el tipus d'accés.
Finalment remarcar que, com veurem a continuació, una tasca correcta
d'administració, requerirà una adequada planificació de l'estructura dels
usuaris, assignant­los en la mesura que siga possible a grups. D'esta
manera, els permisos sobre els recursos s'assignaran als grups d'usuaris
creats (locals de domini), evitant (en la mesura que siga possible) que
usuaris concrets posseïsquen uns permisos determinats, la qual cosa acabaria
dificultant les tasques d'administració.
7

8. 2.1. Permisos en recursos compartits
En Windows Server 2016 disposem de la consola Administració d'equips, des
d'on podem administrar els permisos de tots els recursos compartits en el
servidor d'una manera centralitzada. Accedirem a ella a través d'Inici →
Ferramentes → Administració d'equips (figura 2).
Figura 2. Administració d'equips.
En la part central de la consola d'administració de l'emmagatzematge
apareixen els recursos compartits en el servidor. Per a visualitzar els
permisos de cada recurs compartit, hem de clicar amb el botó dret del ratolí
sobre el recurs que volem consultar i selecciona Propietats (figura 3).
Figura 3. Accés al quadre de diàleg ‘Propietats del recurs compartit’.
8

9. Apareixen dos pestanyes en la finestra nova (figura 4):
• Permisos dels recursos compartits.
• Seguretat.
Figura 4. Accés als permisos del recurs compartit.
En el primer d'ells es mostra els permisos de recursos compartits assignats
(figura 5). Estos poden ser de tres tipus:
• Lectura: únicament permet la lectura d'arxius i l'execució de fitxers
executables que es troben dins del recurs compartit.
• Canviar: es permet crear carpetes i arxius, a més de modificar i
esborrar els arxius i directoris existents i tot el que permet el
permís de Lectura.
• Control total: Permet modificar els permisos sobre el recurs compartit
i tot el que permeten els permisos de Lectura i Canviar.
Figura 5. Permisos dels recursos compartits.
9

10. Com es pot comprovar en la figura 5, hi ha dos columnes on assignar
permisos: Permetre i Denegar. És important destacar que l'opció Denegar té
prioritat sobre altres permisos assignats sobre el recurs compartit.
Què ocorre si en els Permisos dels recursos compartits no marquem
‘Permetre’ ni ‘Denegar’?
Si no es marca explícitament un permís, s'entén que està implícitament
denegat, per la qual cosa un usuari que no tinga marcat cap permís en la
casella Permetre ni en la casella Denegar no podrà accedir al recurs
compartit.
2.2. Establir permisos de recursos compartits
Establir permisos de recursos compartits es pot fer de diverses maneres.
Probablement la més senzilla siga seleccionar el directori sobre el qual es
desitgen configurar els permisos, i fent clic amb el botó secundari, triar
l'opció Compartir (figura 6).
Figura 6. Accés a les propietats de compartició.
Segons com estiga configurat l'Assistent per a compartir, el diàleg que
s'obrirà serà el de la figura 7 o el de la figura 8.
10

11. • Lector Permís de →
Lectura
• Col∙laborador Permís →
de Canviar
• Copropietari Permís →
de Control Total
Figura 7. Assistent per a compartir i explicació dels tipus
de permisos.
Figura 8. Diàlegs per a compartir carpetes sense assistent.
Per inhabilitar l'assistent cal
accedir a l'opció Ferramentes dins
de l'Explorador de Windows, i en
Opcions de Carpeta → Pestanya
Veure, desmarcar l'opció Usar
l'assistent per a compartir
(figura 9).
Figura 9. Desactivació de l'assistent per a compartir.
11

12. Habitualment es desaconsella la utilització de l'assistent per a compartir,
ja que resta funcionalitat en comparació amb el diàleg de la figura 8. D'ara
en avant tots els exemples es realitzaran amb l'assistent per a compartir
inhabilitat.
Si volem afegir permisos a un usuari o a un grup utilitzant el diàleg de la
figura 8, farem clic en el botó Agregar. S'obrirà una finestra (figura 10)
que ens permetrà buscar entre els usuaris i grups del sistema.
Figura 10. Selecció d'usuaris a què assignar permisos.
En eixa finestra escriurem el nom de l'usuari o grup a qui volem assignar
els permisos. Si Polsem en Comprovar noms el sistema buscarà el nom escrit
en el quadre de text i comprovarà si efectivament està donat d'alta en el
domini, i en este cas apareixerà subratllat com en la figura 10. En cas
contrari apareixerà un missatge d'error com el de la figura 11, on ens
adverteix de que no s'ha pogut trobar l'objecte buscat.
Figura 11. Error en la busca d'un usuari o grup en el domini.
12

13. Una vegada que hem introduït el nom d'un usuari o grup que existisca en el
domini, podrem assignar­li els permisos (figura 12).
Figura 12. Assignació de permisos a l'usuari alopez.
Com a política adequada d'administració de sistemes, en la mesura que siga
possible s'evitaran les comparticions amb el grup Tots (en eixe grup estan
inclús els comptes d'invitat) encara que en el següent nivell de permisos
(NTFS) es bloquegen accessos indeguts.
2.3. Permisos NTFS
Com s'ha comentat en la secció 2, els permisos NTFS complementen i amplien
els permisos de recursos compartits, sent efectiu el més restrictiu.
Tots els arxius i carpetes d'un volum NTFS tenen associada una ACL o llista
de control d'accés que fixa el nivell d'accés d'un usuari o grup que
necessite accedir al recurs. A més, els permisos NTFS poden ser aplicats a
nivell d'arxiu, a diferència dels permisos de recursos compartits, els quals
únicament poden aplicar­se a nivell de carpeta.
D'altra banda, sorgix un nou concepte a l'aplicar els permisos NTFS que els
fa més complexos encara que també més potents: l'herència, la qual
determinarà els permisos que es reben sobre un determinat recurs provinents
d'un nivell superior, encara que açò ho veurem detalladament més avant.
13

14. Tipus de permisos NTFS
Tal com es mostra en la figura 13 (per a obrir eixa finestra clicarem amb el
botó dret sobre el fitxer/directori i farrem clic en la pestanya Seguretat),
els permisos (predeterminats) que poden aplicar­se sobre arxius i carpetes
són:
• Control total.
• Modificar.
• Llegir i executar.
• Mostrar el contingut de la carpeta.
• Llegir.
• Escriure.
Figura 13. Permisos NTFS.
No obstant això, estos permisos en realitat representen diversos aspectes
molt més concrets. Per a tractar d'aclarir esta qüestió, la taula 1 resumix
quines tasques poden realitzar­se amb cada tipus de permís.
Taula 1. Permisos especials per a carpetes i arxius.
Cal dir que podem editar i consultar els drets que atorguen estos permisos,
14

15. seguint els passos de la figura 14.
Figura 14. Permisos NTFS detallats.
És important entendre que els permisos predeterminats (taula 1), en realitat
corresponen a unes combinacions de permisos específics, sent estos últims
amb qui treballarem en l'apartat 2.5 quan gestionem les llistes de control
d'accés per línia de comandaments.
2.3.1. Assignació de permisos NTFS
Al definir un permís NTFS este pot ser un permís o una denegació (figura
15).
15
1 2

16. Figura 15. Permisos NTFS.
Els permisos NTFS són acumulatius: s'avaluen els permisos atorgats a
l'usuari i als grups a què pertany l'usuari. En el cas que hi haja una
incompatibilitat entre els permisos assignats a un usuari i els assignats a
un grup del qual siga membre, prevaldrà l'opció més restrictiva: Denegar
(si està definit explícitament).
Per assignar permisos NTFS a un fitxer/directori clicarem amb el botó
secundari sobre l'objecte i triarem l'opció Compartir o Propietats i
accedirem a la pestanya Seguretat. A continuació polsarem sobre el botó
Editar, com es mostra en la figura 16.
Figura 16. Pestanya Seguretat del recurs compartit.
16

17. En la figura 16, es pot apreciar el botó Agregar, el qual permet afegir
grups o usuaris a qui atorgar o denegar permisos.
Atenció amb el grup Usuaris (del domini) perquè apareix per defecte en els
permisos NTFS (amb permisos de lectura), i pot provocar que es produïsquen
accessos diferents de la nostra planificació. Com a norma general, si volem
limitar l'accés a un recurs compartit, eliminarem el grup Usuaris dels
permisos NTFS i explicitarem únicament aquells grups o usuaris que
efectivament volem que tinguen accés al recurs
Permisos implícits i permisos explícits
Els permisos atorgats de manera implícita o explícita són una qüestió
senzilla, en què si no ens fixem amb atenció, podem fer que els accessos als
recursos no funcionen com teníem previst.
Per a evitar problemes tindrem en compte que:
1. Un permís definit de manera explícita sempre prevaldrà sobre un permís
definit de manera implícita.
2. Denegar un permís sempre preval sobre atorgar eixe permís, sempre que
ambdós estiguen definits de la mateixa manera (implícita o
explícitament).
Com es definix un permís de manera explícita? Si ens fixem en la figura 17,
el grup Vendes no té (aparentment) definits permisos d'escriptura. No
obstant això, eixa aparent indefinició en realitat indica que el permís
d'escriptura està denegat implícitament. Si un usuari del grup Vendes
intenta escriure en la carpeta, es produirà un missatge d'error com el de la
figura 18.
Figura 17. Permisos NTFS del grup
Vendes
17

18. Figura 18. Fallada al crear un arxiu en el recurs compartit.
No obstant això, si afegim a l'usuari vlopez que és membre del grup Vendes
en la fitxa permisos (figura 19), i li atorguem el permís explícit
d'escriptura, veurem que efectivament pot escriure en el recurs (figura 20),
ja que la definició explícita del permís per a escriure preval sobre la
denegació implícita del permís escriure.
Figura 19. Agregació de l'usuari vlopez als
permisos de dades.
Figura 20. Creació d'un fitxer per part de
l'usuari vlopez en el recurs compartit dades.
Si explicitem la denegació del permís d'escriptura per als membres del grup
Vendes (figura 21), podrem comprovar que efectivament vlopez no pot escriure
en la carpeta (figura 22).
18

19. Figura 21. Denegació explícita dels permisos
d'escriptura als membres de Vendes.
Figura 22. Fallada quan vlopez intenta crear un
altre fitxer en el recurs compartit dades.
Es recomana evitar l'ús explícit de la denegació de permisos, excepte en
aquells casos en què no hi haja cap altra manera d'especificar els permisos
que necessitem.
2.3.2. Herència de permisos
Per defecte, al crear un arxiu o carpeta en un volum NTFS, hereta
automàticament els permisos de la seua carpeta contenidora, i a l'invers:
quan assignem permisos a una carpeta contenidora, els permisos es propaguen
automàticament cap als arxius i subcarpetes contingudes en el recurs.
No obstant això, podem desactivar l'herència de permisos sempre que ho
necessitem. Açò pot executar­se de dos maneres diferents:
• Eliminar l'herència a nivell de la carpeta de nivell superior; els
objectes continguts en ella, deixaran d'heretar els permisos.
• Eliminar l'herència en l'objecte fill. Modificar explícitament un
permís de manera diferent de com està definit en el recurs contenidor.
Eliminació d'herència del recurs de nivell superior
Per a eliminar l'herència dels permisos establits en la carpeta de nivell
superior, s'ha d'accedir a la fitxa Seguretat del quadre de diàleg Permisos
i a continuació es fa clic en Opcions Avançades (figura 23).
19

20. Figura 23. Opcions avançades dels
permisos NTFS.
El quadre de diàleg que apareix (figura 24) mostra els permisos actuals i en
la columna Heretat de s'indica l'origen del permís.
Figura 24. Configuració avançada de seguretat amb herència.
Per a eliminar l'herència clicarem sobre el botó Inhabilitar herència
(figura 24).
A continuació apareix un quadre de diàleg (figura 25) que ens dóna l'opció
de:
20

21. • Convertir els permisos heretats en permisos explícits, es a dir, deixa
els permisos que ja havia heretat, però ja no estaran vinculats a
l'objecte contenidor de nivell superior.
• Llevar tots els permisos heretats d'aquest objecte.
Com a norma general farem clic a Convertir. El quadre de diàleg de
Configuració de seguretat avançada (figura 26) indica els permisos com no
heretats.
Figura 25. Copiar els permisos a l'interrompre l'herència.
Figura 26. Configuració avançada de seguretat sense herència.
Canvi dels permisos de l'objecte fill
Si observem els permisos d'un objecte que està heretant permisos, veurem que
les caselles de verificació estan (completa o parcialment) inaccessibles
(figura 27).
21

22. Podem interrompre l'herència, denegant explícitament els permisos (figura
28). Si el permís heretat és de concessió, la denegació està habilitada.
Figura 27. Permisos NTFS d'un objecte amb herència. Figura 28. Modificació dels permisos heretats.
2.4. Compartició de recursos per línia de comandaments
La primera qüestió a resoldre al compartir un recurs per línia de
comandaments, és la creació de la carpeta que volem compartir. Suposem que
volem crear­la en D: i que s'anomenarà Carpeta_Compartida. El comandament
per a crear­la seria:
>>mkdir D:Carpeta_Compartida
A l'hora de gestionar els permisos d'accés, donarem permís de lectura i
escriptura a qualsevol usuari del grup Vendes que es connecte a la carpeta
compartida. Així, el comandament per a compartir la carpeta seria:
>>net share Compartida=D:Carpeta_Compartida /grant:SANTVICENTVendes,change
Fixem­nos en esta sintaxi. El terme Compartida que apareix a l'esquerra del
comandament net share, indica el nom del recurs compartit en la xarxa. A
continuació s'ha d'escriure la ruta on es troba la carpeta compartida. La
següent part del comandament és /grant: on han d'indicar­se els usuaris que
tindran accés al recurs, i finalment després d'una coma s'escriu el tipus de
permís que tindrà: read, change o full.
En la següent taula s'especifica quin nivell d'accés permet cada una de les
22

23. opcions:
Taula 2. Nivell d'accés en funció dels permisos.
2.5. Permisos NTFS per línia de comandaments
Antigament les ACLs (llistes de control d'accessos) es gestionaven amb el
comandament cacls. A l'executar­ho actualment, ens apareix una advertència
indicant que el comandament està obsolet.
Microsoft va crear la ferramenta xcacls per a substituir a l'anterior.
Originàriament era un fitxer .exe, encara que ara està disponible per a la
seua descàrrega com .vbs. En el següent enllaç podeu trobar l'ajuda que dona
Microsoft per a la seua utilització, no obstant seguix sense vindre
instal∙lat en el sistema operatiu. Posteriorment va aparéixer subinacl.exe
per a substituir a xcacls. No obstant això la ferramenta que ve instal∙lada
per defecte en el sistema operatiu i que dona millors resultats és ic a ls.
icacls permet d'una manera relativament intuïtiva gestionar i modificar les
ACLs dels recursos compartits. A continuació veurem alguns exemples:
Creem en el controlador de domini, per exemple, una carpeta en D:, anomenada
proves:
>>mkdir D:Proves
Si ara apliquem el comandament icacls per atorgar permisos a l'usuari vlopez
del domini santvicent.ies escriuríem:
>>icacls D:Proves /GRANT SANTVICENTvlopez:(f)
>>icacls D:Proves /inheritance:d
>>icacls D:Proves /remove:g Usuarios
23

24. La primera línia de la sèrie de comandaments anteriors atorga (/GRANT:) a
l'usuari vlopez control total (f) sobre el directori D:Proves. La segona
elimina (:d) l'herència (inheritance) de permisos, i finalment la tercera
elimina (/remove) els permisos atorgats :g al grup Usuaris.
Si hem compartim la carpeta en xarxa amb els membres del domini, que siguen
membres del grup Vendes (vlopez és membre de Vendes), aconseguirem que
vlopez puga accedir al recurs compartit proves, que es refereix a la carpeta
D:Proves del servidor.
Comprovem el resultat de l'acció anterior (figura 29).
Figura 29. Permisos atorgats a l'usuari vlopez.
Ara l'usuari vlopez pot accedir al recurs compartit i, entre altres coses,
crear una carpeta dins (figura 30).
Figura 30. Accés remot al recurs compartit proves (D:proves).
Modifiquem els permisos de carpeta compartida per a comprovar que els
permisos NTFS (ACLs) bloquegen l'accés als usuaris que no tenen permís.
24

25. >>net share proves /delete
>>net share proves=D:Proves /grant:Todos,change
Ara tots els usuaris del domini tenen permís de lectura i escriptura, encara
que este permís després estarà limitat per les ACLs.
Vegem com es produïx l'error a l'intentar accedir un usuari a qui no se li
ha concedit el permís NTFS: jgarcia (figura 31).
Figura 31. Fallada a l'intentar accedir a
server0proves.
Modifiquem els permisos NTFS perquè el grup Direcció, puga veure el
contingut de la carpeta, però no modificar­la, ni afegir arxius (cal posar
el nom complet del grup SANTVICENTDireccio):
>>icacls D:Proves /grant SANTVICENTDireccio:(R)
Figura 32. Permisos efectius del grup Direccio sobre d:proves.
25

26. Figura 33. Accés de lectura, però no d'escriptura
del grup Direccio sobre D:Proves.
Per a concloure este apartat, proposarem un xicotet script que:
1. Cree una carpeta en el servidor que s'anomenarà Documentacio.
2. Cree una subcarpeta per a cada departament de l'organització
• Direcció
• Finances
• Servicis
• Producció
• Vendes
3. Compartisca les carpetes en xarxa
4. Aplique permisos NTFS, de manera que els membres d'un departament
podran llegir i escriure en la seua carpeta, però no podran accedir al
contingut de la resta de carpetes
5. Els membres del grup local Acces_extra (els membres dels quals eren
els grups globals de Direcció i Finances) podran accedir però no
escriure en les carpetes dels altres departaments.
La solució proposada és com seguix:
@echo off
REM Comprovem si hi ha les carpetes, en cas contrari les creeem
if NOT EXIST C:Documentacio mkdir C:Documentacio
if NOT EXIST C:DocumentacioDireccio mkdir C:DocumentacioDireccio
if NOT EXIST C:DocumentacioFinances mkdir C:DocumentacioFinances
if NOT EXIST C:DocumentacioServicis mkdir C:DocumentacioServicis
if NOT EXIST C:DocumentacioProduccio mkdir C:DocumentacioProduccio
26

27. if NOT EXIST C:DocumentacioVendes mkdir C:DocumentacioVendes
REM Compartim en xarxa amb 'Tots' les carpetes, amb els permisos NTFS
filtrarem els accessos
net share Documents_Direccio=C:DocumentacioDireccio /GRANT:Todos,full
net share Documents_Finances=C:DocumentacioFinances /GRANT:Todos,full
net share Documents_Produccio=C:DocumentacioProduccio /GRANT:Todos,full
net share Documents_Servicis=C:DocumentacioServicis /GRANT:Todos,full
net share Documents_Vendes=C:DocumentacioVendes /GRANT:Todos,full
REM Apliquem les ACLs
icacls C:DocumentacioDireccio /GRANT CEFIREDireccio:(R,W)
icacls C:DocumentacioFinances /GRANT CEFIREFinances:(R,W)
icacls C:DocumentacioProduccio /GRANT CEFIREProduccio:(R,W)
icacls C:DocumentacioServicis /GRANT CEFIREServicis:(R,W)
icacls C:DocumentacioVendes /GRANT CEFIREVendes:(R,W)
REM Eliminem els permisos assignats al grup 'Usuaris'
icacls C:DocumentacioDireccio /inheritance:d /T
icacls C:DocumentacioDireccio /remove:g Usuaris
icacls C:DocumentacioFinances /inheritance:d /T
icacls C:DocumentacioFinances /remove:g Usuarios
icacls C:DocumentacioProduccio /inheritance:d /T
icacls C:DocumentacioProduccio /remove:g Usuarios
icacls C:DocumentacioServicis /inheritance:d /T
icacls C:DocumentacioServicis /remove:g Usuarios
icacls C:DocumentacioVendes /inheritance:d /T
icacls C:DocumentacioVendes /remove:g Usuarios
REM Afegim el permís extra del grup Accés_extra
icacls C:DocumentacióDireccio /GRANT CEFIREAcces_extra:(R)
icacls C:DocumentacióFinances /GRANT CEFIREAcces_extra:(R)
icacls C:DocumentacióProduccio /GRANT CEFIREAcces_extra:(R)
27

28. icacls C:DocumentacióServicis /GRANT CEFIREAcces_extra:(R)
icacls C:DocumentacióVendes /GRANT CEFIREAcces_extra:(R)
Es pot comprovar que l'estructura s'ha creat correctament, i els permisos
s'ajusten als requisits establits. Els permisos que podem aplicar són els
següents:
• F (control total)
• M (modificació)
• RX (lectura y execució)
• R (només lectura)
• W (només escriptura)
En la web Technet de Microsoft es troba una referència al comandament
icacls.
28

29. 3. Directives de Grup (GPO)
Les directives de grup (Group Policy) són una sèrie de configuracions
creades per l'administrador que s'apliquen a objectes del domini. Per mitjà
d'estes directives, l'administrador controla els entorns de treball dels
usuaris del domini, els equips i el comportament de distints objectes. Són
en definitiva un conjunt de regles que faciliten les tasques d'administració
dels usuaris i equips.
Alguns dels aspectes més útils que es poden definir mitjançant les
directives són:
• Els comandaments d'inici de sessió.
• Característiques de les directives de seguretat dels comptes d'usuari.
• Configuració de l'aparença de la sessió d'usuari.
• Redirecció de l'accés a certes carpetes o arxius centralitzats
• Distribució de programari als equips clients.
• Permisos atorgats als comptes d'usuaris i grups, etc.
Acumulació de les directives de grup
A l'existir diferents nivells de directives de grup, estes poden entrar en
conflicte, fent que apareguen efectes no desitjats en la gestió del domini.
A l'establir directives de grup cal tindre en compte l'orde d'aplicació de
les mateixes:
• Directiva de grup local.
• Directiva de grup de lloc.
• Directiva de grup de domini.
• Directiva de grup d'unitat organitzativa.
De manera predeterminada quan hi ha una contradicció entre les directives,
la que preval serà la que està en un nivell inferior de la llista anterior.
Òbviament, en cas de no existir contradiccions, s'apliquen totes les
directives.
Si volem saber les directives que estan aplicant­se a un usuari o equip,
executarem rsop.msc (figura 35). Més informació en Technet de Microsoft.
29

30. Figura 34. Conjunt resultant de directives.
3.1. Edició de les directives de grup predefinides
Per a accedir a la consola d'administració de directives farem clic en
Inici→Ferramentes administratives→Administració de directives de grup
(Figura 35).
Figura 35. Accés a la consola de directives de grup.
Quan es posa en marxa un domini es creen dos directives (figura 36) de grup
anomenades:
• Default Domain Controllers.
• Default Domain Policy.
30

31. Figura 36. GPOs predefinides.
Estes dos directives estableixen la configuració bàsica dels objectes del
domini, i estan vinculades respectivament a:
• La unitat organitzativa Domain Controllers.
• El domini.
Estos dos GPO es componen d'un conjunt molt ampli de directives, com es pot
veure a l'obrir l'editor de directives, clicant amb el botó dret sobre
Default Domain Policy i triant Editar (figura 37).
Figura 37. Directives predeterminades de la directiva de seguretat (GPO) Default Domain Policy.
Suposem que volem canviar la configuració de la directiva que s'aplica sobre
el permís per a apagar l'equip. En eixe cas la buscaríem entre tot el
conjunt de directives dins de la GPO Default Domain Policy (figura 37) i
faríem doble clic sobre ella (figura 38).
31

32. Figura 38. Propietats d'Apagar el sistema.
En el quadre de diàleg que s'ha obert podem comprovar que esta directiva no
està habilitada i . Si l'habilitem i únicament atorguem permís als
administradors del domini (figura 39), podrem comprovar que efectivament un
usuari del domini que inicia sessió en un equip client no pot apagar­lo;
només podrà fer­ho un usuari amb privilegis administratius.
Figura 39. Modificació de la directiva d'apagat de l'equip.
Per a evitar generar un tràfic de gestió excessiu en la xarxa, les
directives de grup no s'actualitzen immediatament després de la seua
modificació, sinó que està establit un interval de 5 minuts entre
actualitzacions automàtiques. No obstant això, este interval es pot
modificar en les pròpies directives de grup (veure pàgina de Microsoft
32

33. Technet). De totes les maneres, no cal modificar este interval per a
comprovar la correcta aplicació de les directives de grup, n'hi ha prou amb
escriure en la consola cmd:
>>gpupdate
o
>>gpupdate /force
Esta última pot requerir el reinici del controlador de domini, més
informació sobre les opcions i característiques de gpupdate en Technet.
Per a exemplificar tot l'anterior modificarem la Default Domain Policy per a
implementar les següents configuracions en el domini:
1. Si l'usuari s'equivoca tres vegades a l'introduir la seua contrasenya,
el seu compte queda bloquejat (només podrà desbloquejar­lo
l'administrador). Açò protegix el sistema de possibles atacs.
2. La contrasenya haurà de tindre un mínim de 8 caràcters, però no cal
obligatòriament que siguen majúscules, minúscules, caràcters
alfanumèrics, obligatòriament, etc.
3. La contrasenya que s'haja utilitzat ja, no podrà tornar a utilitzar­se
fins passats almenys 10 canvis de contrasenya. D'aquesta manera forcem
l'usuari a què que no recicle contrasenyes antigues, incrementant la
seguretat del sistema.
4. L'usuari ha de canviar la contrasenya cada sis mesos. A l'establir una
vida útil de les contrasenyes tenim un sistema més segur.
En les següents subseccions s'examina la manera de procedir per a dur a
terme estes configuracions del sistema.
Les directives de seguretat relacionades amb les contrasenyes s'han
d'aplicar obligatòriament sobre la GPO Domain Default Policy. Si per
exemple volem que diferents usuaris del domini tinguen diferents
característiques de les seues contrasenyes, haurem d'utilitzar la Fine­
Grained Password Policy, la qual és més complexa de configurar i queda fora
de l'abast d'este curs.
33

34. Bloqueig de compte a l'introduir en tres ocasions una contrasenya
errònia
En primer lloc editarem la GPO Default Domain Policy per a configurar la
directiva de bloqueig de compte. Esta es troba en Configuració de l'equip →
Directives → Configuració de Windows → Configuració de seguretat →
Directives de compte → Directiva de bloqueig de compte → Llindar de bloqueig
de compte (figura 40).
Figura 40. Directiva de bloqueig de compte.
Modifiquem el valor de llindar a 3 intents d'inici de sessió erronis (figura
41).
Figura 41. Llindar de bloqueig de compte.
34

35. A més configurarem la duració del bloqueig
(figura 42), on un valor de 0 indica que el
compte haurà de ser desbloquejat manualment
per l'administrador.
Figura 42. Duració del
bloqueig de compte.
Finalment també configurarem el temps que
ha de transcórrer entre intents perquè el
comptador de fallades d'inici de sessió
torne a zero abans que es bloquege el
compte (figura 43). Posarem el màxim valor
permés.
Figura 43. Temps perquè es
reinicie el comptador
d'errades.
Longitud de la contrasenya
Com en el cas anterior
editarem el GPO Default
Domain Policy per a
configurar la longitud
i complexitat de les
contrasenyes (figura
44).
Figura 44. Directiva de contrasenyes.
Modifiquem el valor de la longitud a 8 caràcters (figura 45).
35

36. A continuació inhabilitem els requisits de complexitat de les contrasenyes
(figura 46). En la figura 47 apareixen les característiques de complexitat
que aplica esta directiva quan està habilitada.
Figura 45. Longitud de la
contrasenya
Figura 46. Inhabilitació de
la complexitat de les
contrasenyes.
Figura 47. Característiques de
la complexitat de les
contrasenyes.
Historial de la contrasenya
Editem novament la GPO Default Domain Policy i accedim a les directives de
contrasenyes.
Figura 48. Directiva de contrasenyes.
I modifiquem el nombre de contrasenyes diferents que han d'utilitzar­se
abans de poder repetir una contrasenya (figura 49).
36

37. Figura 49. Exigir historial de contrasenyes.
Vigència de la contrasenya
Com en casos anteriors accedim a les directives de contrasenyes (figura 50).
Figura 50. Directiva de contrasenyes.
Canviem la duració màxima de les contrasenyes a 180 dies i la mínima a 30
dies (figura 51).
Figura 51. Vigència màxima de les contrasenyes.
37

38. 3.2. Creació de Directives de Grup
Per a crear una directiva de grup obrirem la consola d'administració de
directives com en el punt anterior (Inici → Ferramentes → Administració de
directives de grup).
Suposem que volem crear una Directiva de Grup sobre la unitat organitzativa
Treballadors. Cliquem amb el botó secundari i triem l'opció Crear una GPO en
este domini i vincular­la ací. Apareixerà un quadre de diàleg i introduirem
el nom que volem donar­li, per exemple Entorn de treball, ja que
posteriorment utilitzarem esta directiva per a configurar un entorn de
treball homogeni en tots els usuaris que pertanyen a la Unitat Organitzativa
Treballadors (figura 52).
Figura 52. Creació d'una nova directiva.
La nova directiva apareixerà en el panell de detalls (figura 53).
Figura 53. Panell detalls de la consola d'administració de directives.
38

39. Seleccionem la GPO i fem clic amb el botó dret, triant l'opció Editar. Amb
la nova directiva establirem les configuracions següents:
1. Tots els membres de la unitat organitzativa Treballadors tindran un
fons d'escriptori corporatiu que s'instal∙larà de manera automàtica i
que no podrà ser modificat.
2. Els membres de la unitat organitzativa Treballadors no poden obrir la
consola de comandaments.
En les següents subseccions s'examina la manera de procedir per a dur a
terme estes configuracions del sistema.
3.2.1. Fons d'escriptori obligatori
Per a modificar d'una manera centralitzada el fons d'escriptori dels usuaris
de la unitat organitzativa Treballadors hem d'editar la directiva Entorn de
Treball i accedir a Configuració de l'usuari → Directives → Plantilles
administratives → Active Desktop → Active Desktop (figura 54).
Figura 54. Directiva escriptori d'usuari.
Habilitem l'Active Desktop, el qual permet posar com a fons d'escriptori
imatges jpg o fitxers HTML (açò últim vàlid només en equips XP), impedirem
també que els usuaris puguen modificar el fons d'escriptori i indicarem la
ruta en què es troba la imatge que volem posar com a fons d'escriptori. En
este cas s'anomena fonscorp.jpg (podeu descarregar­la d'ací: Maple Leaf by
Petr Kratochvil) i estarà en la carpeta compartida entorn del servidor.
(figura 55, 56 i 57).
39

40. Figura 55. Active Desktop. Figura 56. No permetre canvis Figura 57. Camí de la imatge
La imatge ha de trobar­se en una carpeta compartida en xarxa
(preferiblement en el servidor per qüestions de disponibilitat) on tots els
usuaris del domini tinguen permís de lectura.
A més, es recomana que la ruta s'introduïsca en format UNC del tipus:
server0Entornfonscorp.jpg
no en format
192.168.1.100Entornfonscorp.jpg
3.2.2. Bloqueig de la línia de comandaments
Per a bloquejar la línia de comandaments editarem la GPO corresponent
accedint a Configuració de l'usuari → Plantilles administratives → Sistema
(figura 58) i triem Impedir l'accés al símbol del sistema.
Figura 58. Directiva sistema. Figura 59. Bloqueig del símbol del
sistema
40

41. Finalment ja només queda actualitzar mitjançant gpupdate les directives
modificades en la GPO Treballadors. Recordeu que únicament afectaran als
membres de la unitat organitzativa treballadors independentment del grup a
què pertanguen, si no explicitem el contrari en el camp Filtrat de Seguretat
(figura 60).
Figura 60. Filtrat de seguretat.
3.2.3. Comprovació de les directives establides
Ara comprovarem que les directives s'han aplicat correctament. Per a això
utilitzarem un usuari qualsevol dins de la unitat organitzativa Treballadors
que és sobre la qual s'aplica la GPO Entorn de Treball, i òbviament la GPO
Default Domain Policy, que hem editat. Farem les proves amb un usuari que
estiga dins de la unitat organitzativa Treballadors.
Bloqueig de compte
La primera directiva que hem aplicat consistia a bloquejar el compte
indefinidament a l'introduir en tres ocasions la contrasenya incorrectament.
Ens equivoquem voluntàriament a l'iniciar sessió en un equip client i el
compte s'acaba bloquejant (figura 61).
Figura 61. Bloqueig de compte per introduir mal la contrasenya.
41

42. Comprovem en el controlador de domini que efectivament està bloquejada i la
desbloquegem (figura 62).
Figura 62. Compte bloquejat.
Longitud de contrasenya
Una vegada desbloquejat el compte, iniciem sessió amb este usuari i la
primera cosa que ens indica és que hem de canviar la contrasenya, perquè a
tots els efectes és la primera vegada que iniciem sessió amb l'usuari
(figura 63). A continuació introduirem la nova contrasenya (2SOXservidor)
(figura 64).
Figura 63. Advertència de la necessitat de canviar la
contrasenya.
Figura 64. Introducció de la nova
contrasenya.
El sistema ens indicarà que la contrasenya s'ha canviat correctament (figura
65).
42

43. Figura 65. Introducció de la nova
contrasenya.
Fons d'escriptori obligatori
A l'iniciar sessió es carrega el fons d'escriptori definit amb la directiva
de grup (figura 66), i a més l'usuari no pot modificar­ho.
Figura 66. Fons d'escriptori de la unitat
organitzativa Treballadors.
Perquè esta directiva funcione correctament, és imprescindible instal∙lar
en els equips clients Windows 7 una actualització de Microsoft, que resol
l'error que impedix que s'aplique esta directiva. En els següents enllaços
es poden descarregar les actualitzacions per a equips de 32 bits i per a
equips de 64 bits. En equips XP esta política funciona sense cap problema.
Bloqueig de la línia de comandaments
Una vegada iniciada la sessió, si s'intenta executar cmd apareix el següent
missatge (figura 67).
43

44. Figura 67. Missatge a l'intentar iniciar la línia de comandaments.
Podeu comprovar que les altres dos directives establides també funcionen
correctament.
44

45. 4. Perfils
Podem definir un perfil com aquells aspectes de configuració de l'equip i de
l'entorn de treball propis de l'usuari i que a més són exportables a altres
màquines de manera transparent al mateix. En altres paraules, mitjançant els
perfils aconseguim que l'usuari, independentment de l'equip en què inicie la
sessió, dispose d'un entorn de treball semblant. Tot açò s'entendrà millor
amb els exemples preparats en les seccions següents.
Hi ha tres tipus de perfils:
1. Perfils locals: s'emmagatzemen en l'equip, i configuren l'entorn de
treball de cada usuari (figura 68). No els estudiarem en aquest curs
ja que el que ens interessa és la gestió centralitzada de recursos.
2. Perfils mòbils: l'usuari configura l'entorn de treball al seu gust en
un equip, i a l'iniciar sessió en qualsevol altra estació de treball,
la configuració s'importa i s'aplica a eixe nou equip. Estudiarem
aquest tipus de perfils en l'apartat 4.1.
3. Perfils obligatoris: un usuari amb permisos d'administració definix la
configuració de l'entorn de treball, i s'aplica als usuaris del
domini. Aquests poden modificar­la durant la sessió, però al tancar la
sessió els canvis es perden, de manera que a l'iniciar sessió
posteriorment, es torna a carregar la configuració del perfil
obligatori. En compte de treballar amb perfils obligatoris, en
l'apartat anterior hem vist com configurar entorns de treball definits
per als membres d'una unitat organitzativa, d'una manera més còmoda i
potent.
Figura 68. Perfils locals.
Des d’aquesta finestra podem aconseguir que un usuari limitat del domini (es
a dir, que no tinga drets administratius sobre el domini), siga
45
1

46. administrador local del client, clicant sobre Comptes d’usuari (figura 69)
Figura 69. Usuari limitat del domini és usuari administrador d’un equip client.
46

47. 4.1. Perfils mòbils
Com s'ha comentat en l'apartat anterior, els perfils consistixen en una
sèrie de fitxers de configuració de l'entorn de treball, que s'apliquen a
tots els equips de la xarxa des d'on puga començar sessió l'usuari. Estos
fitxers de configuració han d'emmagatzemar­se en una ubicació accessible
pels equips clients, com per exemple el controlador de domini.
Concretament, emmagatzemarem els perfils en una carpeta del servidor
denominada Perfils, i que haurem de compartir en xarxa (figures 70 i 71) amb
els permisos corresponents perquè a l'iniciar sessió el sistema puga
carregar la configuració, i al tancar sessió, si és el cas, es guarden les
modificacions del perfil realitzades (figures 72 i 73). Podem compartir la
carpeta com a Perfils$ per a donar­li un plus de seguretat. Recordeu que si
afegim el $ al nom d'un recurs compartit, aquest no apareixerà al navegar
per la xarxa. El perfil de cada usuari es guardarà en una subcarpeta que
estarà dins de la carpeta perfils i que s'anomenarà igual que l'usuari.
Aquesta carpeta no és necessari crear­la, perquè es crearà automàticament
quan faça falta.
Figura 70. Propietats de perfils$. Figura 71. Compartició en xarxa de la carpeta
perfils.
Figura 72. Permisos de xarxa. Figura 73. Permisos NTFS
47

48. Ja disposem d'una ubicació en xarxa amb els permisos suficients on
s'emmagatzemaran els perfils. Ara cal indicar en els comptes d'usuari la
ubicació de la carpeta. Açò ho aconseguirem seleccionant el compte d'usuari
i clicant amb el botó dret en propietats. A continuació accedirem a la fitxa
Perfil (figura 74) i en Ruta d'accés al perfil escriurem el camí on es
guardarà el perfil de l'usuari; en este cas: Se rv ido r0perfils$us2. Com
hem dit abans la carpeta amb el nom de l'usuari (us2) no cal crear­la
manualment. És convenient que la cree el sistema automàticament amb els
permisos correctes.
Figura 74. Perfil mòbil de l'usuari us2.
La primera vegada que l'usuari tanque sessió, es crearà la carpeta us2 i
dins es guardarà el perfil. El perfil també es guarda localment en
l'ordinador client, per si de cas en alguna ocasió no hi ha connexió amb el
servidor. En este cas el sistema carregarà la còpia local del perfil.
Posteriorment, quan es recupere la connectivitat amb el servidor se
sincronitzaran les dos copies (la local i la del servidor).
En cas de que el client siga un Windows XP, la carpeta s'anomenarà igual que
l'usuari i si es tracta d’una versió superior de Windows, afegirà el sufixe
.Vx, on la x depén de la versió (Taula 1). Açò és degut a que el perfil no
és exactament igual en les diferents versions de Windows (Figura 75).
Versió Sufixe
Windows XP ­
Windows Vista i 7 V2
Windows 8 V3
Windows 8.1 V4
Windows 10 V5
Taula 1. Diferents sufixes
48

49. Figura 75. Perfils creats amb WinXP i amb Win7
Si hem d'especificar el perfil mòbil de molts usuaris, podem fer­ho al
mateix temps. Només hem de seleccionar tots els usuaris, clicar amb el botó
dret i seleccionar propietats, al igual que anteriorment. La diferència es
que ara tindrem molt poques opcions; una d'elles és l'opció perfils. Ara en
Ruta d'accés al perfil escriurem el següent: Servidor0perfils$%username
%. La variable de sistema %username% té el nom de l'usuari que la te. En
cada usuari se substituirà pel seu nom d'usuari (figura 76).
Figura 76. Establiment massiu de la ruta del perfil.
49

50. 50

51. 5. Carpetes personals
Una altra de les opcions més utilitzades, que pot configurar­se en la fitxa
Perfils de les propietats del compte d'usuari, és l'establiment d'una unitat
de xarxa personal per a cada usuari. Personal significa que només l'usuari
tindrà accés a ella.
Per a configurar­la, haurem de crear una carpeta a la qual es tinga accés
des de la xarxa (figura 77). En este cas la crearem en el controlador de
domini, en casos reals podríem ubicar­la en un dispositiu d'emmagatzematge
com un NAS.
Figura 77. Opcions de compartició i permisos NTFS del directori Personal.
A continuació haurem d'entrar en la mateixa opció Perfils i editar el quadre
de text Carpeta Personal (figura 78). Per a no haver d'afegir manualment la
carpeta personal usuari per usuari, utilitzarem novament la variable
%username% seleccionant tots els usuaris i modificant la fitxa perfil.
Figura 78. Carpetes personals dels usuaris
del domini.
51

52. D'aquesta manera es crearà automàticament en el controlador de domini una
carpeta amb el nom de cada usuari a la qual únicament ell tindrà accés, i
que tindrà disponible (en este cas) en la unitat Z: (figura 79).
Figura 79. Carpeta personal muntada automàticament en l'equip client amb
què l'usuari ha iniciat sessió.
Si examinem el costat del servidor, veiem que s'han creat automàticament les
carpetes de tots els usuaris (figura 80).
Figura 80. Carpetes personals dels usuaris del domini.
Al crear el recurs compartit se li ha assignat com a nom Personal$; se li ha
afegit el símbol $, al igual que a la carpeta de perfils. El símbol $ fa que
les carpetes compartides es troben ocultes en la xarxa, de manera que si no
es busca pel seu nom, no apareixen en el llistat de recursos compartits
52

53. accessibles via xarxa (figura 81) com es va veure anteriorment.
Figura 81. Recursos compartits que es veuen al navegar per la xarxa.
53

54. 54

55. 6. Comandaments d'inici de sessió. Exemples
Una altra opció que podem configurar dins de la fitxa perfil consistix a
indicar un script que s'executarà en cada inici de sessió de manera
automàtica i transparent a l'usuari (figura 82).
Figura 82. Scripts d'inici de sessió.
Estos scripts han de trobar­se en el recurs compartit NETLOGON, la direcció
local del qual en el controlador de domini (pot canviar depenent de
versions) és: C:WindowsSYSVOLsysvol[nom domini]scripts. En este cas
concret, la direcció local i la direcció en xarxa serien respectivament:
• C:WindowsSYSVOLsysvolsantvient.iesscripts
• servidor0NETLOGON
Una vegada que l'hem creat, indicarem la ruta completa en la fitxa Perfil de
les propietats del compte d'usuari (figura 83).
Figura 83. Assignació de l'script d'inici de sessió.
55

56. Quan s'introduïsca en la fitxa perfil la ruta de l'script d'inici de sessió
NO s'ha d'afegir l'extensió .bat del script.
Esta opció és incompatible amb l'ús de la directiva que impedeix l'execució
del terminal de comandaments.
6.1. Assignació d'una unitat de xarxa
Suposem que hem donat d'alta en el controlador de domini una unitat nova que
destinarem a emmagatzematge compartit per part de tots els usuaris del
domini. Volem que este nou volum d'emmagatzematge es trobe disponible per a
tots els usuaris en la unitat X:. La manera més senzilla de fer­ho seria
mitjançant la creació d'un script d'inici de sessió que munte el recurs
compartit en la unitat X:
Una possible solució seria l'script següent:
@echo off
net use X: Servidor0Public
Este script assigna el recurs compartit Servidor0Public a la unitat local
X:. Si ho provem, veiem que funciona correctament (figura 84).
Figura 84. Unitat X: assignada al recurs Servido0Public.
No obstant això, si tornem a iniciar sessió, i observem detalladament
l'eixida del script, veurem que encara que aparentment tot funciona
correctament, es produïx un error (figura 85).
56

57. Figura 85. Error provocat al tractar de muntar novament el recurs server0Dades en X:.
Per a poder llegir els missatges d'error cal afegir l'orde pause al final
de l'script.
El problema radica en que estem intentant assignar novament un recurs que ja
existix a la unitat X:. Per a solucionar­ho de manera senzilla, podem posar
un comandament de control previ al muntatge de la unitat.
@echo off
if NOT EXIST X: net use X: Servidor0Public
D'esta manera el que succeïx és que si ja existeix la unitat X:, no la
muntem novament, i si no existix, la muntem. Podem comprovar que ara no es
produïx l'error que teníem abans (figura 86).
Figura 86. Eixida del script d'inici de sessió.
57

58. 6.2. Missatge als usuaris
Suposem que volem enviar un missatge als usuaris quan es connecten al
sistema. Sol ser habitual enviar missatges del tipus Guarda les dades en
xarxa o No instal∙les programari sense permís de l'administrador, o
simplement avisar de parades planejades en el sistema. Per a enviar este
tipus de missatges automàticament quan l'usuari inicia sessió podem
utilitzar el comandament msg dins del fitxer de comandaments d'inici de
sessió que hem creat en el punt anterior:
@echo off
if NOT EXIST X: net use X: Servidor0Public
msg %username% Recorda que les dades guardades en els discos locals poden
perdre's, utilitza les unitats X: o Z:
El comandament afegit envia a l'usuari que ha iniciat sessió %username%, el
missatge escrit a continuació (figura 87).
Figura 87. Missatge enviat a us1 a l'iniciar sessió.
6.3. Registre de connexions
Encara que hi ha ferramentes més específiques per a realitzar un registre de
les connexions, en este exemple afegirem un comandament a l'script d'inici
de sessió, perquè emmagatzeme en un fitxer que està en una carpeta, al
controlador de domini, la següent informació:
• el nom de l'usuari que ha iniciat la sessió: %username%
• el dia en què s'ha realitzat la connexió: %date%
• l'hora a què s'ha iniciat la sessió: %time%
• l'equip des del que s'ha iniciat la sessió: %computername%
L’script d'inici de sessió quedaria de la següent manera:
58

59. @echo off
if NOT EXIST X: net use X: server0Public
msg %username% Recorda que les dades guardats en els discos locals poden
perdre's, utilitza les unitats X: o Z:
echo L'usuari %username% ha iniciat sessió el %date% a les %time% en
l'equip %computername% >> Servidor0logs$connexions.log
La redirecció d'eixida >> fa que el comandament echo escriga al final del
fitxer indicat (Servidor0logs$connexions.log), en compte de en el
monitor.
El recurs compartit que hem creat en el servidor (logs$, recordeu que el $
evita la difusió del nom a través de la xarxa) atorga permisos d'escriptura
als usuaris del domini (s'ha de poder afegir la informació de la connexió),
però s'han eliminat els permisos de lectura, mostrar, etc., de manera que
els membres del grup Usuaris no poden consultar el fitxer (figura 88).
Figura 88. Permisos en la carpeta server0log$.
A continuació crearem el fitxer connexions.log, amb permisos per a fer de
tot excepte canviar els permisos, per al grup usuaris del domini (figura
89). És necessari donar permisos de modificar als usuaris, per a que el
comandament echo funcione correctament. Els usuaris no podran consultar el
fitxer, perquè només tenen permís d'escriptura sobre el recurs compartit
log$.
Si es revisa el fitxer connexions.log, es pot veure que s'afegeix la
informació de la connexió que s'ha configurat en l'script anterior (figura
90).
59

60. Figura 89. Permisos de connexions.log
Figura 90. Fitxer connexions.log.
6.4. Comandaments d'inici de sessió amb GPO
A més de llançar els comandaments d'inici de sessió mitjançant els perfils,
també és possible fer­ho aplicant directives de grup. Per a això cal editar
la GPO a la qual es volen afegir els scripts, accedir a Configuració
d'usuari → Configuració de Windows → Scripts (inici de sessió o tancament de
sessió), seleccionar l'script (inici o tancament) i afegir l'arxiu .bat
corresponent (figura 91).
Figura 91. Scripts d'inici i tancament de sessió per mitjà de GPO.
60

61. 6 Activitats
Activitat 1
Dos riscos importants en les organitzacions empresarials són l'atac de
programari maliciós i el robatori d'informació. Lamentablement és impossible
disposar d'una xarxa 100% segura, però podem establir barreres que
dificulten estos atacs. Una de les fonts (encara que no la més important) de
robatori d'informació i d'atacs de virus prové de la connexió per part dels
usuaris del domini de memòries extraïbles USB. Encara que puga ser una
mesura un tant extrema, l'objectiu final d'esta activitat consistirà en
deshabilitar la utilització de dispositius USB a una sèrie determinada
d'usuaris del domini.
1. En primer lloc, obtín una captura de pantalla en què s'aprecie que has
connectat una memòria flash USB a un equip client, i que esta és
accessible. Si tens problemes recorda l'Extension Pack (Guest
additions) del qual parlàrem en el tema 1.
2. Crea una GPO què inhabilite als membres del grup Producció, per a la
utilització dispositius USB.
3. Inicia sessió en un equip client amb un usuari del grup Producció i
comprova que efectivament tenen inhabilitada la utilització de
dispositius USB.
4. Obtín una captura de pantalla de la consola rsop.msc de l'equip
client, on es comprove que s'està aplicant una directiva que bloqueja
l'accés als USB.
5. Inicia sessió amb un altre usuari que no pertanya al grup Producció i
comprova que sí que pot utilitzar les memòries USB en l'equip client.
NOTA: És possible que quan apliqueu les directives corresponents, calga que
reinicieu l'equip client perquè s'apliquen (a més del corresponent
gpupdate).
Activitat 2
Un servidor s'apaga en molt poques ocasions i normalment per raons de
manteniment. Per això volem mantindre un històric de les vegades que
s'apaga. Volem que en un fitxer D:logsapagats.log, es cree una línia
informant de l'apagat del servidor, cada vegada que s'apague. La línia ha de
tindre el següent format:
El controlador de domini (Nom_servidor) s'ha apagat el dia (dia) a les
(hora)
61