tema11 BD

Tema 11 Directivas o Políticas

Administración de Sistemas Operativos

Mª Pilar González Férez

Índice

1. Directivas de grupo2. Componentes y estructura de las directivas

de grupode grupo3. Consola de las directivas de grupo

Tema 11. Directivas 2

Di i dDirectivas de grupoP i l d i i d l l l• Proporcionan a los administradores el control central sobre los privilegios, permisos y capacidades de los usuarios y los equiposy q p

• Se usan para definir configuraciones automatizadas para grupos de usuarios y equipos, incluyendo opciones de config ración del registro sec encias deopciones de configuración del registro, secuencias de comandos de inicio de sesión o fin, opciones de seguridad, etc.

• Son un conjunto de reglas y configuraciones que ayudan a administrar usuarios y equipos, y que rigen las acciones que pueden realizar los usuarios con unlas acciones que pueden realizar los usuarios con un objeto


Directivas de grupo (ii)Directivas de grupo (ii)

P i• Permiten:– Controlar el acceso a los componentes de Windows, recursos

del sistema, recursos de red, utilidades del panel de control, , , p ,el escritorio y el menú de inicio

– Configurar las directivas para el bloqueo de cuentas y contraseñas, auditorías, asignación de derechos a los , , gusuarios y seguridad

• En un Dominio de Active Directory se pueden aplicar a sitios a dominios a unidades organizativas (a un subgrupo dentrositios, a dominios, a unidades organizativas (a un subgrupo dentro de un dominio) o a sistemas individuales (se verá en el tema 13)

• En un equipo independiente, que NO pertenece a un dominio se aplicarán las directivas de grupo local que sedominio, se aplicarán las directivas de grupo local, que se definen y guardan en el sistema local


Directivas de grupo (iii)Directivas de grupo (iii)• Un equipo independiente dispone de tres niveles deUn equipo independiente dispone de tres niveles de

directivas:– Directiva de grupo local: Aplicar a todos los usuarios del

i t l i i d fi ió t t d E isistema las mismas opciones de configuración tanto de Equipo como de Usuario

– Directiva de grupo local para administradores y no g p p yadministradores: Sólo contiene configuración de Usuario. Se define una directiva (y se aplica) para los usuarios que pertenecen al grupo Administradores y otra para los que nopertenecen al grupo Administradores y otra para los que no pertenecen.

– Directiva de grupo local para usuarios: Sólo contiene config ración de U i Se define na directi a para nconfiguración de Usuario. Se define una directiva para un usuario o grupo concreto, y sólo se aplica a él/ellos.


Componentes y estructura de lasComponentes y estructura de las directivas de grupodirectivas de grupo

• La configuración de las directivas de grupo se divide en dos categorías según el momento de aplicación:dos categorías, según el momento de aplicación:– Configuración de Equipo

• Agrupan todos los parámetros de configuración que puedenAgrupan todos los parámetros de configuración que pueden establecerse a nivel de equipo

• Se aplican durante el inicio del sistema, con independencia del usuario que vaya a iniciar la sesiónusuario que vaya a iniciar la sesión

– Configuración de Usuario• Agrupan parámetros de configuración que pueden establecerse a

nivel de usuario• Se aplican durante el inicio de sesión del usuario, con

independencia del equipo en el que haya iniciado la sesión


p q p q y

Componentes y estructura (ii)Componentes y estructura (ii)C d t í d l di ti d di id• Cada categoría de las directivas de grupo se divide:– Configuración de Software. Contiene la configuración, del equipo o

del usuario, de la instalación automática de software,– Configuración de Windows. Contiene la configuración de ciertos

parámetros de Windows, como parámetros de seguridad o scripts, para el equipo o el usuariop q p

– Plantillas administrativas. Contiene las políticas y configuraciones que se guardan en el registro de Windows, para el equipo o el usuariousuario

• La misma directiva puede existir para equipos y para usuarios, aunque, generalmente, con significados y

á di iparámetros distintos• Si hay conflicto al aplicar una directiva, la última en aplicar

es la válidaTema 11. Directivas 7

es la válida

Componentes y estructura (iii)Componentes y estructura (iii)• Configuración software• Configuración software

– Configura las directivas para la configuración e instalación de software

– Contiene el objeto Instalación del software, que es usado para distribuir SW y actualizaciones de SW a los usuariosAl asignar una aplicación a los usuarios se le avisa la próxima– Al asignar una aplicación a los usuarios, se le avisa la próxima vez que inicie la sesión, pero se instalará la primera vez que la ejecute

i l i ió i l li ió i– Si la asignación es a un equipo, la aplicación se anuncia y se instala automáticamente cuando el equipo se reinicie o un usuario inicie la sesión

– Sólo en directivas de dominio


Componentes y estructura (iv)Componentes y estructura (iv)• Configuración de WindowsConfiguración de Windows

– Configura las directivas para redirección de carpetas, ficheros de comandos y seguridad

– Se tienen las opciones:• Archivos de comandos (inicio/apagado) • Configuración de seguridadConfiguración de seguridad

– Archivos de comandos (inicio/apagado) • Se indican los ficheros que se ejecutarán automáticamente

durante el inicio o apagado del equipo o durante el inicio odurante el inicio o apagado del equipo o durante el inicio o cierre de sesión del usuario

• En Configuración del equipo → inicio/apagado del equipo• En Configuración del usuario → el inicio/cierre de sesión por• En Configuración del usuario → el inicio/cierre de sesión por

un usuario


Componentes y estructura (v)Componentes y estructura (v)

• Conf Windows: Archivos de comandos• Conf. Windows: Archivos de comandos (continúa...)

– Archivos de comandos para Inicio/Apagado de equipos• Los ficheros a utilizar se deben almacenar en el directorio

%SystemRoot%\System32\GroupPolicy\Machine\Scripts\– Dentro del subdirectorio Startup para el inicio – En el subdirectorio Shutdown para el apagadop p g

– Archivos de comandos para Inicio/Cierre de sesión de usuario• Los ficheros a usar se deben almacenar en el directorio

%SystemRoot%\System32\GroupPolicy\User\Scripts%SystemRoot%\System32\GroupPolicy\User\Scripts– Dentro del subdirectorio Logon para el inicio de sesión– En el subdirectorio Logoff para el cierre de sesión


C t t t ( i)Componentes y estructura (vi)

• Conf. de Windows: Configuración de seguridad (continúa...)

– Las directivas de Configuración de seguridad permiten configurar los aspectos referentes a la seguridad del sistema. Se definen fundamentalmente a nivel de equipo

– Los tipos de directivas de Configuración de seguridad son:Los tipos de directivas de Configuración de seguridad son:• Directivas de cuentas: que permiten configurar directivas sobre

las cuentas de los usuarios. Se tienen 2 grupos:– Directiva de contraseña, restricciones relacionadas con el tamaño

y duración temporal de las contraseñas– Directiva de bloqueo de cuentas, duración, umbral y contador de

restablecimiento de bloqueo


C t t t ( ii)Componentes y estructura (vii)

• Conf. de Windows: Configuración de seguridad (continúa...)

– Los tipos de directivas de Configuración de seguridad son …• Directivas locales, engloban las siguientes directivas:

– Directiva de auditoría, permite fijar los parámetros de observación del sistema para realizar el control del mismo,

i d /d i d l i d ífiactivando/desactivando el registro de sucesos específicos– Asignación de derechos de usuario, define derechos tales como

“inicio de sesión local”, “el acceso a la red”, “crear ficheros de paginación” “denegar el inicio de sesión localmente” etcpaginación , denegar el inicio de sesión localmente , etc.

– Opciones de seguridad, permite modificar valores del registro específicos relacionados con la seguridad, p.e. “Comportamiento ante la instalación de un controlador no firmado” o “Pedir alante la instalación de un controlador no firmado o Pedir al usuario que cambie la contraseña antes de que caduque”, o “Estado de la cuenta invitado”, etc.


Componentes y estructura (viii)• Plantillas administrativas

– Contiene todas las configuraciones de políticas basadas en el g pregistro de W2008, incluyendo las que controlan el funcionamiento del sistema operativo, de los componentes y de algunas aplicaciones, la apariencia del escritorio, etc.S fi l fi h d l till d– Se configuran con los ficheros de plantillas, que se pueden agregar o eliminar, según se quiera configurar o no los detalles de esa plantilla

– Podemos modificar cada plantilla para habilitar o deshabilitar sus directivasdirectivas

– Proporcionan una manera sencilla de acceder a las configuraciones de las directivas basadas en registro que puede configurarCada directiva tiene una explicación detallada de la misma– Cada directiva tiene una explicación detallada de la misma

– Las configuraciones se guardan en el registro en HKEY_LOCAL_MACHINE y HKEY_CURRENT_USER


Componentes y estructura (ix)Componentes y estructura (ix)• Plantillas administrativas ( i ú )• Plantillas administrativas (continúa...)

– Para la configuración del equipo se tienen plantillas para: (entre otras …)

• Componentes de Windows que permiten configurar los componentes del sistema operativo como Internet Explorer o Windows Updatedel sistema operativo, como Internet Explorer o Windows Update

• Sistema que ayudan a controlar funcionalidades del sistema, como los perfiles de usuario, las cuotas de disco, detalles del inicio de sesión:

– P.e., dentro de Inicio de sesión, “Permitir sólo perfiles de usuario locales” “C l ió d l i d h l fil ó il”o “Cerrar la sesión de los usuarios cuando hay un error en el perfil móvil”

– Dentro de Cuotas, “Habilitar las cuotas de disco” o “Límite de cuota o nivel de aviso predeterminado”

• Red para ajustar los componentes del sistema operativo que conectan p j p p qun equipo cliente a la red, por ejemplo, cómo trabajar con los archivos de red sin conexión

• Impresoras contiene configuraciones para administrar impresoras de red y la publicación de opciones Por ejemplo:red y la publicación de opciones. Por ejemplo:

– Permitir que se publiquen impresoras– Publicar automáticamente impresoras nuevas en Active Directory


Componentes y estructura (x)Componentes y estructura (x)• Plantillas administrativas (continúa )Plantillas administrativas (continúa...)

– En la configuración del usuario hay plantillas para:• Componentes de Windows que permiten configurar los componentes

del sistema operativo como Internet Explorer o Windows Updatedel sistema operativo, como Internet Explorer o Windows Update. P.e., en Explorador de Windows se tiene “Quitar el menú Opciones de carpeta del menú Herramientas”

• Menú de Inicio y barra de tareas para agregar, eliminar y deshabilitarMenú de Inicio y barra de tareas para agregar, eliminar y deshabilitar partes del menú de Inicio y la barra de tareas. P.e., “Quitar el menú Favoritos del menú Inicio” o “Deshabilitar Cerrar sesión en el menú Inicio”

• Panel de control que permite ajustar el panel de control y detalles sobre las impresoras, la pantalla, la acción de Agregar o quitar programas etc. P.e., “Deshabilitar el panel de control” o “Protectores de pantalla”Si t l t l fil d i t• Sistema para controlar aspectos como los perfiles de usuario, aspectos de inicio de sesión, o de las opciones de Ctrl+Alt+Supr. P.e.: Dentro de “Opciones de Ctrl+Alt+Supr” está “Quitar el bloqueo de equipos”


Consola de directivas de grupoConsola de directivas de grupo• Administración de directivas de grupo local:Administración de directivas de grupo local:

– Abrir la Consola de administración de equipos (con la orden mmc)

– A continuación, agregar el complemento Editor de objetos d di ti dde directiva de grupo

• Puede seleccionar el equipo local o uno remoto• Puede seleccionar un usuario/grupo o Administradores/No

administradoresadministradores

– Dos nodos principales:• Configuración de Equipo• Configuración de Usuario

– Ambos tendrán los subnodos:C fi ió f• Configuración software

• Configuración de Windows• Plantillas administrativas


Consola de directivas de grupo (iii)Consola de directivas de grupo (iii)A l di ti d C fi ió d id d t bié• A las directivas de Configuración de seguridad, también se puede acceder desde el menú Herramientas administrativas, con Directivas de seguridad localg

• La actualización de las directivas de grupo se realiza:– Cada vez que se arranca el sistema, las directivas de equipo– Cuando un usuario inicia una sesión, las de usuario– Durante la actualización en segundo plano de la directiva de grupo,

li d 90 i t d l i t l t ique se realiza cada 90 minutos, con un desplazamiento aleatorio entre 0 y 30 minutos

– De forma manual, al ejecutar la herramienta gpupdate.exe


Documents

tema11 BD