sábado, 3 de febrero de 2018

Directivas de Equipo y de Usuario

Directivas de Equipo y de Usuario

Según el planteamiento expuesto en el apartado anterior, asignaremos una Directiva de Grupo de primer nivel en el dominio, para que sea aplicada de forma común a todos los usuarios del dominio "micentro.edu" (profesores y alumnos de nuestro centro). En esa misma Directiva de Grupo asociada al dominio, modificaremos las directivas asociadas a los equipos, para que se apliquen de forma común a todos los equipos del dominio (ubicados por defecto en la carpeta "Computers"); si hubiera alguna contradicción en dicha Directiva de Grupo entre las políticas de usuario y las de equipo, prevalecerían estas últimas frente a las primeras.

Por debajo del dominio "micentro.edu", definiremos 2 nuevas directivas de grupo, una asociada a la Unidad Organizativa "Profesores", en la cual especificaremos las políticas que deseamos se apliquen únicamente a los profesores, y la otra asociada a la U.O. "Alumnos", en el cual especificaremos las directivas propias únicamente de los alumnos del centro.

Vamos pues a proceder con lo indicado en los párrafos anteriores.

Lo primero que vamos a hacer para definir las Directivas de Grupo deseadas en nuestro centro es acceder a las "Herramientas administrativas" del "Panel de Control" y hacer doble clic sobre "Usuarios y Equipos de Active Directory", y pulsando con el botón derecho del ratón sobre el dominio "Micentro.edu", seleccionar la opción "Propiedades"; en la ventana que se muestra a continuación nos situamos sobre la pestaña "Directiva de Grupo".
Observaremos que ya hay definida una política de dominio por defecto; podríamos crear una nueva que también sería aplicada a todos los usuarios y equipos del dominio, pero aprovecharemos la ya existente, seleccionándola y pulsando a continuación sobre el botón "Editar" para personalizar lo que deseemos.

Como observamos existen 2 entradas principales en la Directiva de Grupo que estamos editando; una de ellas es relativa a la "Configuración del equipo" y la otra a la "Configuración de usuario"; las entradas existentes en cada uno de dichos elementos no son similares, si bien algunas de ellas sí son comunes; en caso de que definamos 2 políticas contradictorias en dos entradas comunes, una en equipos y otra en usuarios, prevalecerá la primera de ellas. Obviamente las políticas que definamos en "Configuración del equipo" serán aplicadas a los equipos del dominio y las que definamos en "Configuración de usuario" se aplicarán a los usuarios del dominio.
Tanto para los equipos como para los usuarios, la primera directiva susceptible de ser configurada está relacionada con la "Configuración de software"; por la importancia que tiene esta política le dedicaremos íntegramente un capítulo a lo largo del curso. De hecho en el apartado "Configuración de equipo", utilizaremos esta entrada para especificar todo el software que se instalará en todos los equipos del centro.
Vamos a centrarnos en las entradas del apartado "Configuración de usuario", que serán las que aplicaremos de forma común a los usuarios de nuestro centro. Existen multitud de directivas configurables, pero nosotros incidiremos en aquellas que consideramos más interesantes.
En la entrada "Configuración de Windows"-> "Mantenimiento de Internet Explorer"-> "Interfaz de usuario del explorador", haremos doble clic sobre la directiva "Título del explorador".
En la ventana mostrada podremos personalizar el título del explorador; activaremos la casilla "Personalizar barras de título" y en la caja de texto correspondiente indicaremos "MiCentro", de modo que cuando un usuario del dominio cargue el navegador, en la barra del título del navegador se muestre el texto "Microsoft Internet Explorer proporcionado por MiCentro"; finalmente pulsamos sobre el botón "Aceptar".
Si disponemos de un proxy en nuestra red por el cual deseamos que salgan a Internet todos los equipos del centro, en la entrada "Configuración de Windows"-> "Mantenimiento de Internet Explorer"-> "Conexión", haremos doble clic sobre la directiva "Configuración de los servidores proxy".
En la ventana mostrada, activaríamos la casilla "Habilitar configuración del proxy" e indicaríamos la dirección del proxy y el puerto de salida, así como las posibles excepciones para las direcciones locales (si procediera); en nuestro caso NO vamos a configurar esta directiva, pues no dispondremos de proxy en nuestra red, pero creemos interesante comentarla por si se dispone de un proxy en la red; así pues pulsaremos finalmente sobre el botón "Cancelar".

En la misma entrada ("Configuración de Windows"-> "Mantenimiento de Internet Explorer"-> "Conexión"), haremos doble clic sobre la directiva "Cadena del agente de usuario", y personalizaremos la cadena de información que el navegador del usuario de la estación de trabajo del dominio enviará a los servidores visitados.
En la entrada "Configuración de Windows"-> "Mantenimiento de Internet Explorer"-> "Direcciones URL", haremos doble clic sobre la directiva "Favoritos y Vínculos", e indicaremos aquellas URL que deseamos que aparezcan entre los "Favoritos" de los usuarios de nuestro centro; para ello en la ventana mostrada pulsaremos sobre el botón "Agregar URL" y en la nueva ventana indicaremos como nombre "CNICE" y como Dirección URL "http://www.cnice.mecd.es"; al pulsar sobre el botón "Aceptar" obtendremos el siguiente resultado:

De este modo dicha entrada aparecerá como uno de los "Favoritos" existente para los usuarios del dominio de nuestro centro; finalmente pulsaremos sobre el botón "Aceptar".

En la misma entrada anterior ("Configuración de Windows"-> "Mantenimiento de Internet Explorer"-> "Direcciones URL"), pero en la directiva "Direcciones URL importantes", podemos especificar por ejemplo la página de inicio que deseamos se vea en nuestros navegadores; haciendo doble clic en dicha directiva, me mostrará la siguiente ventana, en la cual activaremos la casilla "Personalizar dirección URL de la página principal", y en la caja de texto adjunta indicaremos la dirección "http://www.micentro.edu"; finalmente pulsaremos sobre el botón "Aceptar".

NOTA: La dirección URL indicada como página de inicio de los navegadores, ahora mismo no estará disponible, de modo que cuando desde una estación de trabajo lancemos el navegador, no encontrará dicha página web, provocándose un error; ¿por qué la ponemos entonces como página de inicio de los navegadores de los equipos del dominio de nuestro centro?; pues porque más adelante, cuando abordemos el capítulo correspondiente al servidor IIS, definiremos un sitio Web denominado "www" en el dominio "micentro.edu", e incluiremos en nuestro servidor DNS una entrada "host" correspondiente a "www.micentro.edu" apuntando a la dirección IP de nuestro servidor web (192.168.0.220); a partir de dicho momento, cuando carguemos los navegadores de las estaciones de trabajo del dominio, se abrirá la página web principal de la Intranet de nuestro centro.
Otra directiva interesante es "Deshabilitar el cambio de configuración de proxy", existente en la entrada "Plantillas Administrativas-> Componentes de Windows-> Internet Explorer", si es que hemos definido anteriormente un servidor proxy para los usuarios de nuestro centro; si en esta directiva seleccionamos la opción "Habilitada", impediremos que los usuarios puedan modificar en sesión la configuración del proxy, pues las opciones del proxy aparecerán atenuadas e inaccesibles; en nuestro caso pulsaremos sobre el botón "Cancelar" y no la habilitaremos.
Posteriormente, en la entrada "Plantillas Administrativas-> Sistema-> Perfiles de usuario", haremos doble clic sobre la directiva "Excluir directorios en el perfil móvil", para evitar que se almacenen en el servidor Windows 2003 las carpetas "Configuración local", "Historial", "Temp" y "Archivos temporales de Internet" pertenecientes al perfil del usuario (para evitar que aumente el tamaño del perfil, con el consiguiente retraso en su descarga desde el servidor). Una vez en dicha directiva seleccionaremos la opción "Habilitada", especificaremos dichas carpetas separadas por puntos y comas, y finalmente pulsaremos sobre el botón "Aceptar".
Hasta aquí hemos definido las directivas propias para todos los usuarios y equipos del centro, modificando la directiva "Default Domain Policy" del dominio "micentro.edu"; cerraremos pues la pantalla correspondiente a dicha directiva si es que no lo hemos hecho aun.
A continuación pulsaremos con el botón derecho del ratón la U.O. "Profesores" y seleccionaremos la opción "Propiedades", situándonos sobre la pestaña "Directiva de Grupo"; en este caso observaremos que no hay ninguna directiva predefinida.
Así pues pulsaremos sobre el botón "Nuevo", e indicamos el nombre "directiva de grupo profesores".
Tras ello seleccionamos la directiva recientemente creada y pulsamos sobre el botón "Editar" y en la entrada "Plantillas Administrativas-> Sistema-> Perfiles de usuario" correspondiente a la "Configuración de usuario", haremos doble clic sobre la directiva "Limitar el tamaño del perfil", activando la casilla "Habilitada" y especificando 30.000 Kb. (30 Mb.) como tamaño máximo de almacenamiento para los profesores; además activaremos la casilla "Notificar al usuario cuando se exceda el espacio de almacenamiento de perfiles", con el fin de que se le informe cuando exceda dicho límite.
Esta será la única configuración de directiva que llevaremos a cabo para los profesores del centro; el siguiente caso es personalizar las políticas que serán aplicadas a los alumnos del centro; para ello pulsaremos con el botón derecho del ratón sobre la U.O. "Alumnos" y seleccionaremos la opción "Propiedades", situándonos sobre la pestaña "Directiva de Grupo"; observaremos que no hay ninguna directiva predefinida, por lo cual pulsamos sobre el botón "Nuevo" y nombramos a la directiva "directiva de grupo alumnos", tras lo cual la seleccionamos y pulsamos sobre el botón "Editar".
En la entrada "Plantillas Administrativas-> Sistema-> Perfiles de usuario" correspondiente a la "Configuración de usuario", haremos doble clic sobre la directiva "Limitar el tamaño del perfil", activando la casilla "Habilitada" y especificando 15.000 Kb. (15 Mb.) como tamaño máximo de almacenamiento para los alumnos; además activaremos la casilla "Notificar al usuario cuando se exceda el espacio de almacenamiento de perfiles", con el fin de que se le informe cuando exceda dicho límite. En nuestro caso esta directiva no tendrá ninguna utilidad pese a su aplicación, pues el perfil que hemos asociado a nuestros alumnos es obligatorio, luego no podrán modificarlo nunca y por tanto nunca podrá exceder el tamaño inicial; pese a ello, si deseamos que algún alumno en particular disponga de un perfil móvil no obligatorio, incluiríamos a dicho usuario en la U.O. "Alumnos" y direccionaríamos la ruta de su perfil a "\\SERVIDOR\Perfiles$\%username%\", pasando esta directiva a tener plena funcionalidad.
También, y por seguridad, podemos limitar a nuestros alumnos ciertas opciones mediante las correspondientes directivas; por ejemplo, si fuera de nuestro interés, podemos evitar que accedieran al "Panel de Control", en la entrada "Plantillas Administrativas-> Panel de Control" correspondiente a la "Configuración de usuario", haremos doble clic sobre la directiva "Prohibir el acceso al Panel de Control" y seleccionaremos la opción "Habilitada"; finalmente pulsaríamos sobre el botón "Aceptar".
Obviamente hemos pasado muy por encima de muchas directivas interesantes, debido a la gran cantidad de ellas existentes; el administrador del dominio deberá analizar una por una cuales son de su interés y aplicarlas en su caso; para entender perfectamente el funcionamiento de cualquier directiva, cuando hacemos doble clic sobre cualquiera de ellas, seleccionando la pestaña "Explicación" obtendremos un detallado resumen de su funcionalidad.
Una cuestión importante es que aunque algunas de las Directivas asignadas a los usuarios pueden ser modificadas por éste en sesión de trabajo, los cambios realizados no serán almacenados, de forma que la próxima vez que el usuario inicie sesión en cualquier máquina del dominio, se le volverán a aplicar las directivas definidas por el administrador del dominio, obviando aquellas configuraciones que el usuario hubiera podido realizar.

NOTA: Para concluir este apartado, hemos de indicar que algunas directivas NO se aplican de modo inmediato, luego si queremos tener garantía de su correcta aplicación, deberíamos reiniciar el equipo servidor Windows 2003, y posteriormente los equipos clientes.

No hay comentarios:

Publicar un comentario