Nom de l’alumne: Unai Conus
Grup classe: 2 SMX B
PRÀCTICA 7: Configuració de directives de grup en sistemes Windows
Objectiu: Configurar directives de grup i les opcions disponibles a partir de l’esquema d’AD utilitzat a la pràctica 5.
L’entrega ha de ser en format pdf. Alternativament es pot fer una entrada en la vostra pàgina a Wix i entregar l’enllaç directe.
Apunts d’interès per la pràctica.
En la pràctica 5 vam crear una sèrie d’unitats organitzatives amb Active Directory. En aquesta pràctica es provaran diferents opcions que donen les directives de grup.
Instruccions
- En els casos en que no es pugui identificar qui sou cal que es vegi el fons d’escriptori amb el vostre nom i cognom.
- L’usuari que feu servir ha de ser l’adminXXX que vau crear a la pràctica 1
- És molt important fer les comprovacions necessàries per veure el funcionament de les directives, abans i després d’aplicar-les, excepte per aquelles que no es puguin comprovar d’aquesta manera.
- Si no es demana explícitament no cal adjuntar les comprovacions, però sí que és important per vosaltres que valoreu si funcionen correctament o no.
- Només s’han d’afegir les captures necessàries indicant a quin apartat es corresponen i afegint una petita descripció que expliqui què voleu ensenyar amb la captura. No ompliu l’entrega amb desenes de captures innecessàries, desordenades i/o sense apartats.
- Aquesta activitat no és tant guiada. Haureu de buscar en els apunts d’interès i en guies d’internet com fer el que es demana.
1. Eina d’administració de directives de grup
Per poder crear i modificar les directives de grup cal anar a l’eina d’administració de directives de grup. Per trobar-ho, cal obrir “Herramientas administrativas de grupo” i allà trobarem “Administración de directivas de grupo”.
Una vegada obert, si obrim els desplegables acabarem trobant el domini que vam crear a la pràctica 4 i les unitats organitzatives que vam crear a la pràctica 5.
Dins de “objetos de directiva de grupo” trobarem dues directives (GPOs) de grup que hi ha aplicades per defecte.
- Default Domain Policy: aquesta directiva aplica a tot el domini (podem veure-ho perquè la seva ubicació és el domini (nomcognom.local)
- Default Domain Controllers Policy: aquesta directiva aplica als controladors de domini (en aquest cas només al servidor), ja que la seva ubicació és la unitat organitzativa “Domain Controllers” que conté els equips que són controlador de domini.
A mesura que creem noves directives podrem veure-les a “objetos de directiva de grupo”.
Per cada directiva (GPO), podeu clicar sobre el seu nom i anar a la pestanya de ‘Configuración’, on us apareixerà un resum dels valors configurats.
2. Crear una nova directiva (GPO)
Ara volem crear una nova GPO i volem que tingui la màxima prioritat. Aquesta GPO s’ha de dir “Prac7XXX”, on cal substituir XXX per les vostres inicials.
Per crear-la cal clicar amb el botó dret sobre el nivell on es vol vincular (en el nostre cas, sobre el nom del nostre domini nomcognom.local) i seleccionar “Crear un GPO en este dominio y vincularlo aquí…”.
Quan estigui feta, automàticament us apareixerà dins de l’apartat ‘Objetivos de directiva de grupo’ vist anteriorment. Adjunteu una captura per tal de demostrar que l’heu creada i que està vinculada al nivell del domini. 0,5 punts
Per altra banda, ens interessa que aquesta directiva s’apliqui per davant de les polítiques per defecte, per tant, en caldrà definir l’ordre d’aplicació. Per això, si cliqueu sobre el nom del domini us apareixerà la pestanya de ‘Objetivos de directiva de grupo vinculados’. Allà podreu definir l’ordre d’aplicació, on la nova GPO, la que hem fet a l’apartat anterior, ha d’anar amb la màxima prioritat.
Adjunteu una captura de la pestanya ‘Objetivos de directiva de grupo vinculados’ per tal que es vegi l’ordre d’aplicació de les GPO. 0,5 punts
Un cop creada, caldrà que aneu aplicant les següents modificacions per tal de definir els paràmetres d’acció d’aquesta GPO. Per això, heu de clicar amb el botó dret sobre el nom de la GPO i anar a l'opció ‘Editar’.
3. Directives per configurar contrasenyes
En primer terme caldrà aplicar restriccions als paràmetres referents a la política de contrasenyes del sistema. Haureu de definir que les contrasenyes tinguin una longitud mínima de 9 caràcters, se’n recordin les 2 últimes, i sigui vigent com a màxim durant 31 dies i com a mínim 1 dia.
Un cop fet, adjunteu una captura, però no d’allà on heu canviat els valors, sinó des de la pestanya de ‘Configuración’, que es veu quan feu clic sobre la GPO. Allà cal que la captura mostri els valors editats. 2 punts.
Per altra banda, cal que es controlin els intents incorrectes d’accés i es bloquegi el compte d’usuari. Per això, si es fan 4 intents de login consecutius de forma incorrecta, el compte d’usuari ha de quedar bloquejat durant 25 minuts.
Un cop fet, adjunteu una captura, però novament no d’allà on heu canviat els valors, sinó des de la pestanya de ‘Configuración’, que es veu quan feu click sobre la GPO. Allà cal que la captura mostri els valors editats. 1,5 punts
4. Directives per configurar personalització
Ara, utilitzant el recurs compartit de ‘Publica’, creat a la Pràctica 6, cal fer que tots els usuaris del domini tinguin assignat el mateix fons de pantalla, que podeu aprofitar perquè sigui la imatge on hi teniu el vostre nomcognom que us identifica per les pràctiques.
Així doncs, dins de ‘Publica’, cal crear una carpeta que es digui ‘wallpaper’, i allà poseu la vostra imatge amb el nom que toqui.
Després, caldrà localitzar la directiva corresponent per tal d’assignar el fons d’escriptori a tots els usuaris del domini, considerant que es trobarà a una ruta tal com \\SMFC\Publica\wallpaper\tuxwallpaper.jpg. (recordeu que és un exemple).
Un cop estigui configurat, adjunteu una captura del nom i valors de la directiva configurada, novament des de la pestanya ‘Configuración’ de la GPO tal com heu fet anteriorment. 1,5 punts
Quan feu el canvi, és possible que tot i que tanqueu la sessió i la torneu a engegar, no acabi de carregar. Sempre podeu forçar els canvis des del servidor, on, via powershell, podeu llançar la següent comanda.
Així i tot, en canvis com aquest proveu diferents usuaris, ja que durant un període de temps, no estarà propagat a tothom.
5. Directives per donar permisos
Ara cal que busqueu i configureu la directiva que permet que només els membres del grup administradors del domini puguin afegir estacions de treball al domini.
Un cop fet, novament cal adjuntar una captura amb els valors canviats des de la pestanya de ‘Configuración’ de la GPO. 1 punt
6. Directives per iniciar sessió
Per últim en aquest primer bloc, cal que activeu la directiva que obliga a que abans de demanar el nom d’usuari per fer login, s’hagi de prémer la combinació de Ctrl+Alt+Supr.
Un cop ho hagueu fet, novament cal adjuntar una captura amb els valors canviats des de la pestanya de ‘Configuración’ de la GPO. A més, en aquest cas, també cal que passeu una captura conforme s’exigeix el ctrl+alt+supr abans d’haver d’introduir l’usuari, on també hi consti el dia i l’hora. 1 punt.
7. Directives de grup que apliquen només a membres d’un grup
Fins ara hem vist directives que afecten a tots els equips i usuaris, però ara caldrà, aprofitant-nos de l’entorn creat a les activitats anteriors, d’aplicar noves GPOs només per casos concrets.
En aquest cas caldrà crear una nova GPO i vincular-la a un conjunt d’usuaris específics, en aquest cas, vinculant-lo a la UO d’Alumnes. La nova GPO s’ha de dir Prac7AlumXXX on cal substituir les XXX per les vostres inicials.
Un cop creada, cal que adjunteu una captura conforme està assignada a la UO d’AlumnesCicles i que mostri la pestanya de ‘Herencia de directives de grupo’ per tal de veure que s’hi apliquen 3 directives (la que ve per defecte, la creada anteriorment i la nova). 0,5 punts
Ara cal definir què volem que faci aquesta nova GPO. En aquest cas hem de desactivar l’accés al panell de control i configuració de PC per part dels usuaris del grup Alumnes.
Un cop fet, cal que adjunteu una captura de la pestanya ‘Configuración’ on hi ha el resum del canvi que heu fet, tal com heu fet en apartats anteriors. 0,5 punts
A més, també cal adjuntar captures conforme la directiva està operativa. Per això heu d’entrar al sistema amb un usuari professor i amb un usuari alumne i fer les comprovacions corresponents.
Adjunteu una captura des d’un alumne (amb la comanda whoami) on es mostri que hi ha una restricció per entrar al panell de control, i el mateix des d’un professor (amb la comanda whoami) on sí ha de deixar entrar al panell de control. Per fer-ho, us adjunto una imatge d’exemple perquè veieu com ho vull. Elimineu la d’exemple i poseu les vostres captures. 1 punt
Comments