Featured image of post Directivas de grupo GPO

Directivas de grupo GPO

Panel de Control

Primero vamos a practicar con la Herencia, Resolución y el Forzado de Conflictos de GPOs. Crearemos esta estructura:

  • ASO1 (Unidad Organizativa)

    • user1 (Usuario)

    • ASO2 (Unidad Organizativa)

      • user2 (Usuario)

Abrimos el Administrador de directivas de grupo y creamos una nueva.

Nombramos la GPO.

Habilitamos la directiva para Prohibir el acceso al Panel de control.

Herencia

Luego, vincularemos una nueva GPO a la Unidad Organizativa que hemos creado antes.

Seleccionamos la GPO.

Veremos que se ha vinculado y su configuración se propaga a todo lo que esté debajo.

Desde el user1 comprobaremos que no tenemos acceso al Panel de Control.

Desde el otro usuario, user2 pasa lo mismo.

Bloquear Herencia

Ahora, seleccionaremos la UO ASO2 y bloquearemos la herencia de las GPOs superiores.

Veremos que aparece con una exclamación azul.

Desde el user2, actualizaremos las GPOs y veremos que ahora sí que podemos acceder.

Exigir Aplicación

Después, vamos a forzar la aplicación de la GPO para que funcione obligatoriamente.

Aceptamos cambiar la configuración.

Observaremos que ahora aparece con un candado.

Volveremos a comprobarlo con user2 y verificaremos que en este caso sobrepasará el bloqueo de herencia hecho anteriormente, y se aplicará a user2 aunque esté cortada la herencia en ASO2.

Resolución de conflictos

Quitamos las configuraciones anteriores: El bloqueo de herencia y el forzado del enlace. Vamos a crear otra para permitir el acceso al Panel de Control.

Deshabilitamos la misma directiva que antes.

Vinculamos esta nueva GPO con una configuración contraria a ASO2.

Veremos la estructura.

Como la última GPO prevalece, ahora sí que tenemos acceso al Panel de Control.

Por último, podemos poner las dos GPOs en el mismo contenedor y jugar con la prioridad de ejecución.

Eliminar los botones de Inicio / Apagado

Primero crearemos una nueva GPO y la editaremos.

Habilitaremos la configuración para Quitar y evitar el acceso a los botones…

Vinculamos esta GPO a la Unidad Organizativa ASO1.

Forzaremos la actualización de las directivas y veremos que no podemos apagar ni reiniciar el equipo mediante el user1.

Desde el user2 verificamos que ocurre lo mismo.

Mostrar mensaje de login

Luego, crearemos una nueva para mostrar un mensaje en el login.

Configuraremos el texto que se va a mostrar.

Vincularemos a ASO1.

Para que esta configuración funcione, tendremos que mover los equipos a la Unidad Organizativa ASO1.

Seleccionamos la UO.

Forzaremos la actualización de las GPOs y reiniciamos el equipo. Ahora cuando entremos veremos este mensaje.

Ocurre lo mismo desde el otro equipo.

Desactivar el Firewall

De nuevo, crearemos una nueva GPO

Primero deshabilitaremos el firewall a nivel de dominio.

Después lo deshabilitaremos a nivel estándar.

Vinculamos la GPO

Desde el user1 veremos que se ha desactivado el firewall y no podemos cambiarlo.

Con el user2 pasa lo mismo.

Cambiar el Fondo de Escritorio

Para que los equipos puedan tener la misma imagen de fondo, crearemos una nueva carpeta en SYSVOL.

Aquí, guardaremos la imagen de fondo.

Antes de continuar, comprobaremos que los equipos pueden acceder a la carpeta compartida.

Luego crearemos una nueva GPO.

Indicaremos la ruta del nuevo fondo de pantalla.

Vinculamos la nueva GPO.

Forzaremos la actualización de las directivas y reiniciamos el equipo. Observaremos que ha cambiado el fondo.

En el otro equipo con user2 pasa lo mismo.

Página de inicio de IE personalizada

Creamos una nueva GPO

Indicamos la ruta de la página principal.

Vinculamos la GPO

Actualizamos las directivas y ahora si ejecutamos Internet Explorer veremos nuestro blog. Por alguna razón, no carga el CSS y se ve bastante mal la página.

Desde el user2 pasará lo mismo.

Contraseñas y Bloqueo de Cuentas

Creamos una nueva GPO

Deshabilitamos los requisitos de complejidad y establecemos una longitud mínima de 2 caracteres.

¡Importante! Vinculamos la GPO sobre el dominio aso.org y la ubicamos antes que la por defecto.

Actualizamos las directivas del user2

Desde el DC02 restablecemos la contraseña al usuario.

Escribimos una contraseña de 2 caracteres.

Comprobamos que nos permite poner esta contraseña no segura.

Ahora intentaremos acceder en el equipo con el user2.

Nos dejará acceder…

Bloquear Ejecución de Aplicaciones

Creamos una nueva GPO

Indicamos que no se pueda ejecutar el ejecutable del navegador Firefox.

Vincularemos esta GPO a la Unidad Organizativa.

Ahora si intentamos usar el navegador Firefox no podemos.

Bloquear Inicio de Sesión Local

Esta nueva GPO establece que solo pueden iniciar sesión usuarios que pertenezcan al grupo de Administradores.

Buscamos el grupo de Administradores

La vinculamos a la Unidad Organizativa.

Reiniciamos el equipo y ahora no podemos acceder con el user1

Bloquear Pendrives

Esta GPO bloqueará el uso de almacenamiento externo.

Habilitaremos la siguiente configuración.

Vinculamos la GPO a la Unidad Organizativa.

Para comprobarlo, conectaremos una unidad USB a la máquina cliente.

Si intentamos entrar desde el explorador de archivos no podremos.

Mapear Unidades de Red

Por último, vamos a crear una GPO para mapear una unidad de red en los usuarios. Así que lo primero que haremos será crear una carpeta compartida en el servidor DC02, en mi caso voy a compartir la unidad D:

Editamos la GPO

Luego, indicamos la ubicación de la carpeta compartida.

Vinculamos la GPO a la Unidad de Organizativa.

Ahora, veremos la unidad de red montada desde el explorador de archivos.

Creado con Hugo
Tema Stack diseñado por Jimmy