Transcript
Módulo 1:
Administración centralizada usando
Directivas de Grupo del dominio
Sistemas Operativos 2 - Rev. 1.0-2015
Configuración Laboratorio de SO2
Uruguay
(sisop.ort.edu.uy)
192.168.1.100
Windows 2008 R2 (Server)
Uruguay
(sisop.ort.edu.uy)
192.168.1.100
Windows 8.1 (host)
Usuario
Windows 8.1
EstudianteSO2
Windows 2008 r2
Dominio: ACME.COM
Administrator
Contraseña
Sistemas Operativos 2 - Rev. 1.0-2015
1
�Repaso Sistemas Operativos 1
Base de datos
de Directorios
Creación de
usuarios
Grupos
Local
Dominio
Administración centralizada
Computer Management (Administración Equipo)
Active Directory Users & Computers
Predefinidos – Local / Built-In / del sistema
Del Dominio
Propiedades “Miembro” y “Member of”
Sistemas Operativos 2 - Rev. 1.0-2015
Repaso Sistemas Operativos 1
File System
Permisos
NTFS
Carpetas
compartidas
FAT
NTFS
Standard / Especiales
Permisos efectivos
Herencia – Bloqueo de herencia
Permisos:
Nomenclatura UNC
Permisos carpetas compartidas & Permisos NTFS
Sistemas Operativos 2 - Rev. 1.0-2015
2
�Laboratorio 1.1 : Repaso Sistemas Operativos 1
1. Iniciar sesión en Servidor Windows 2008 como “Administrator”
2. Crear una MMC con Active Directory Users and Computers
y Computer Management- Guardarla en el
escritorio con el nombre “Consola Rapida”
3. Crear las siguientes OU en el dominio:
4. Crear un grupo EMPLEADOS y los usuarios
JEFE, EMPLE01, EMPLE02 y EMPLE03 (Todos con clave: Clave01)
5. Sin cerrar sesión, abrir otra sesión con el usuario EMPLE01….
¿porqué no puede? – Solucionarlo
6. Agregar a JEFE al grupo Domain Admins…
¿Qué efecto tiene sobre los equipos cliente del dominio?
Sistemas Operativos 2 - Rev. 1.0-2015
Laboratorio 1.2 : Repaso Sistemas Operativos 1
1. Como administrator, crear la carpeta DATOS y
las subcarpetas siguientes:
2. Asignar a EMPLEADOS los permisos R,LF,RX,W
sobre la carpeta DATOS.
3. Compartir la carpeta DATOS como
“DOCUMENTOS” con los permisos por defecto
¿Cuáles son las UNC para acceder remotamente a DATOS y a PUBLICOS?
4. Iniciar sesión como EMPLE01
5. Accediendo desde la UNC, crear un archivo en la carpetas compartida
DOCUMENTOS…
¿porqué no puede? – Solucionarlo
6. Cerrar sesión como EMPLE01 y volver a la sesión como Administrator
Sistemas Operativos 2 - Rev. 1.0-2015
3
�Configuración del sistema operativo Windows
El sistema operativo Windows y las aplicaciones que se ejecutan en su
ambiente se configuran en base a ciertos parámetros que se almacenan en
una base de datos LOCAL A CADA EQUIPO conocida como REGISTRY.
El registry se compone de varios archivos,
almacenados en varias carpetas del equipo.
Por ejemplo: “c:\Windows\System32\Config\”
SAM
El registry se modifica:
Editándolo directamente con REGEDIT
Modificando opciones de menú en las aplicaciones
Aplicando Directivas de Grupo (Group Policies)
System
Security
Software
Default
Sistemas Operativos 2 - Rev. 1.0-2015
Estructura del REGISTRY
5 Secciones (Hives):
• Classes Root
• Users
Clave Tipo Valor
• Current User
• Local Machine
• Current Config
Sistemas Operativos 2 - Rev. 1.0-2015
4
�Tutorial 1.1 : Composición del Registry
A partir del video presentado conteste las siguientes preguntas:
1. ¿Cuál es la utilidad de los archivos .reg? ¿cómo se crean?
2. Cuando el usuario da doble click sobre el archivo carta.pdf, automáticamente
se ejecuta el programa Acrobat. ¿En qué sección del Registry se configura
esta relación?
3. Se va a cambiar una clave de la sección HKEY_LOCAL_MACHINE. Ante la
posiblidad de un error, se desea tener un respaldo
1. Indique opciones y que ítems debe seleccionar para realizar el respaldo.
Especifique un nombre de archivo de respaldo como ejemplo
2. Suponiendo que el sistema falló y no levanta automáticamente…¿qué
pasos, teclas y comandos debe considerar para reconstruir los valores del
registry anterior?
Sistemas Operativos 2 - Rev. 1.0-2015
Configuración de Windows con Directivas de Grupo)
Los parámetros del Registry de Windows pueden ser alterados
aplicando una o más directivas de grupo
Método más seguro y sencillo para el usuario
No modifican realmente el Registry
Existen parámetros adicionales a los provista por herramientas
de Windows y las aplicaciones
Aplican solo a los objetos Computer y User
Sistemas Operativos 2 - Rev. 1.0-2015
5
�Configuración de Windows con Directivas de Grupo)
En cada equipo Windows, existe un objeto de Directiva de Grupo
Local (Local Computer Policy)
Si el equipo pertenece a un dominio se aplican también directivas de
que se encuentran definidas en un Objeto de Grupo de Dominio
(Group Policy Object) - GPO
Los GPOs se pueden aplicar en:
Sitios (Sites)
Dominio
OU
Sistemas Operativos 2 - Rev. 1.0-2015
Creación de objetos de directivas de dominio GPO
Forest,
└Dominio
└Site
Contenedor que
incluye a todos
los GPOs
GPOs por defecto
para Dominio y para
Domain Controllers
Sistemas Operativos 2 - Rev. 1.0-2015
6
�Configuración de las directivas en un GPO
Sistemas Operativos 2 - Rev. 1.0-2015
Configuración de las directivas en un GPO
Aplicación de directivas:
Directivas de Equipo se aplican al arranque/ apagado equipo
Directivas de Usuario se aplican al iniciar/cerrar sesión
Cada 90 minutos (+/- unos minutos)
Aplicación forzada:
GPUPDATE /FORCE
Sistemas Operativos 2 - Rev. 1.0-2015
7
�Aplicar las directivas del GPO : Vínculos (Links)
• Las GPOs de dominio y
de Domain Controllers
ya están vinculadas por
defecto
• En una OU o Dominio
puede haber más de un
vínculo
• Una GPO puede tener
vínculos a más de una
OU o al Dominio
Sistemas Operativos 2 - Rev. 1.0-2015
Orden de aplicación de las GPOs
Al encender el
equipo
se aplican
solamente
las directivas de
Equipo de los GPO
que afectan al
objeto equipo
Luego, al iniciar
sesión se aplican
las directivas de
usuario que
afectan al
objeto usuario
GPO1
Local policy
GPO2
Site
GPO3
GPO4
Domain
GPO5
OU
OU
OU
Sistemas Operativos 2 - Rev. 1.0-2015
8
�Orden de aplicación de las GPOs
Permite cambiar el
orden de aplicación
El lugar 1 es el último en
aplicarse, y por lo tanto el que
prevalece si hay conflicto de
directivas
Sistemas Operativos 2 - Rev. 1.0-2015
Herencia y bloqueo de directivas
Dominio
Producción
Objetos GPO
Ventas
No se aplica la
configuración del
objeto GPO
Sistemas Operativos 2 - Rev. 1.0-2015
9
�Herencia y bloqueo de directivas
Luego del bloqueo:
Sistemas Operativos 2 - Rev. 1.0-2015
Aplicación forzada de una GPO (link enforced)
Efectos sobre la herencia:
Sistemas Operativos 2 - Rev. 1.0-2015
10
�Administrar aplicación de GPOs - links
Sistemas Operativos 2 - Rev. 1.0-2015
Laboratorio 1.3 : Crear GPO del Dominio
Parte 1: preparación
Agregar el complemento Group Policy
Management a la MMC creada
anteriormente
Desde Group Policy Management,
crear una OU llamada ANEXOS
Crear tres GPOs llamadas GPO1,
GPO2 y GPO3
Linkear GPO1 al dominio y GPO2 &
GPO3 a la OU LUGARES
Linkear GPO3 a la OU ANEXOS
Sistemas Operativos 2 - Rev. 1.0-2015
11
�Laboratorio 1.3 : Crear GPO del Dominio
Parte 2: resolver:
¿Cuáles GPO se aplican en la OU
LUGARES?
Hacer que Default Domain Policy
no se aplique en LUGARES, pero
GPO1 sí se aplique siempre.
¿Qué GPO se aplican en EQUIPOS?
Suponiendo que el orden de aplicación
de GPO no sea importante en otras OU,
pero sí para EQUIPOS, ¿Cómo haría
para que GPO3 se aplique luego que
GPO2?
Temporalmente la GPO3 no deberá
aplicarse en ANEXOS
Sistemas Operativos 2 - Rev. 1.0-2015
Administrar aplicación de GPOs: Filtro de seguridad
Sistemas Operativos 2 - Rev. 1.0-2015
12
�Administrar aplicación de GPOs : Delegar permisos
Sobre “Group Policy Objects” la
opción Delegation permite
definir quiénes son los owners
por defecto de las GPOs
Sistemas Operativos 2 - Rev. 1.0-2015
Administrar aplicación de GPOs : Details
Sistemas Operativos 2 - Rev. 1.0-2015
13
�Visualizar la configuración de la GPO
Sistemas Operativos 2 - Rev. 1.0-2015
Laboratorio 1.4 : Aplicar filtros de seguridad
Parte 1: preparación
En ANEXOS, crear un grupo
Supervisores. Luego crear 3
usuarios todos con clave Clave01.
Agregar al grupo Supervisores 2
de los usuarios creados
.
Agregar al usuario EMPLE01 a dicho
grupo (creado en Lab 1.1)
Crear una GPO4 aplicada a ANEXOS
que tenga habilitada la directiva: Remove
programas on Setting Menu
Asegurarse que dicha directiva fue
activada (listado en opción Settings de
GPO4)
Sistemas Operativos 2 - Rev. 1.0-2015
14
�Laboratorio 1.4 : Aplicar filtros de seguridad
Parte 2: resolver:
Se pretende que la directiva
configurada en GPO4 aplique
solamente al grupo Supervisores.
Probar que efectivamente se cumple
para uno de los usuarios creados y
que pertenece al grupo
Probar que no se aplica para el
usuario creado que no pertenece al
grupo
Probar si se aplica al usuario
EMPLE01…¿Porqué no se aplica
siendo que Emple01 pertenece al
grupo?
Sistemas Operativos 2 - Rev. 1.0-2015
Tutorial 1.2 : Administrar los objetos GPO
VIDEO EN INGLÉS
RESPALDAR directivas del GPO
RECUPERAR RESPALDO del GPO
IMPORTAR directivas desde un GPO respaldado
COPIAR un GPO a partir de otro GPO
Sistemas Operativos 2 - Rev. 1.0-2015
15
�RESUMEN DE LA UNIDAD
Las directivas de grupo permiten
configurar Windows en forma
sencilla y segura. Hay menos
riesgo al no modificar realmente el
Registry.
Existen GPO locales y GPO en el
Dominio. Las directivas en una
GPO se agrupan en Configuración
de Usuario y Configuración de
Equipo.
Las GPOs se aplican (links) en
cierto orden: Local, Sitio, Dominio,
OUs. En una misma OU el orden
es configurable. Primero se aplican
directivas de equipo y luego de
usuario.
En directivas iguales, prevalece el
valor de la directiva de la OU que se
aplica último.
La herencia de directivas se puede
bloquear, salvo que se hubiera
aplicado un GPO con link forzado
El filtro de seguridad permite que las
directivas del GPO apliquen solo a
ciertos grupos, usuarios o equipos.
La propiedad Delegation permite
asignar permisos. Para ejecutar un
GPO se requiere que el usuario
tenga el permiso Read
Se recomienda respaldar las GPO
más críticas
Sistemas Operativos 2 - Rev. 1.0-2015
16
�