Gestión de políticas de grupo para Windows 2000 LAN

  

En el sistema operativo Windows 2000, podemos usar la Política de grupo para definir la configuración de usuarios y computadoras para usuarios y grupos de computadoras. Al usar la Política de grupo, la Microsoft Management Console (MMC) puede crear configuraciones personalizadas para usuarios específicos y grupos de computadoras. La configuración de la directiva de grupo está contenida en un objeto de directiva de grupo (GPO), que a su vez está asociado con un contenedor de servicios de Active Directory seleccionado, como un sitio, dominio o unidad organizativa (OU). Los objetos de directiva de grupo incluyen dos tipos de objetos: objetos de directiva de grupo locales y no locales.

Los objetos de directiva de grupo no locales almacenados en controladores de dominio solo se pueden usar en un entorno de Active Directory. Se aplican a los usuarios y equipos en el sitio, dominio o unidad organizativa a la que está asociado el objeto de directiva de grupo.

Los objetos de la directiva de grupo local se almacenan en cada computadora local. Solo un objeto de la directiva de grupo local se almacena en una sola computadora, y tiene un subconjunto de configuraciones disponibles en los objetos de la directiva de grupo no locales. Si la configuración de los dos entra en conflicto, la configuración del objeto de directiva de grupo no local anula la configuración del objeto de directiva de grupo local. Si no hay conflicto, se puede aplicar.

Usando la Política de grupo, podemos definir el estado del entorno de trabajo del usuario solo una vez, y luego administrar el usuario y la computadora implementando la política definida por el administrador.

I. Descripción general de la seguridad de la directiva de grupo

La directiva de grupo incluye varios perfiles de derechos de seguridad que se aplican a un dominio o grupo de equipos. Un objeto de directiva de grupo se puede aplicar a todas las computadoras en la LAN. La directiva de grupo se aplica cuando se inicia una sola computadora, y la directiva de grupo se actualiza periódicamente si la computadora no se reinicia cuando se realizan cambios.

1. Cómo funciona la directiva de grupo

La directiva de grupo está asociada con dominios y carpetas en Usuarios de Active Directory y el complemento MMC. Los permisos otorgados por la Política de grupo se aplican a los equipos almacenados en esta carpeta. La Política de grupo también se puede aplicar a los sitios mediante el complemento Sitios y servicios de Active Directory. Las subcarpetas heredan la Política de grupo de la carpeta principal, y las subcarpetas pueden tener sus propios objetos de Política de grupo a su vez. Puede haber más de una política de grupo asignada a una carpeta. La directiva de grupo es un complemento de los grupos de seguridad que aplican un solo perfil de seguridad a varios equipos. Mejora la consistencia y es fácil de manejar. Los objetos de directiva de grupo contienen permisos y parámetros que implementan varios tipos de directivas de seguridad. En resumen, la Política de grupo se puede pasar del sitio principal al sitio secundario y a la red de área local. Si se asigna una política de grupo específica a un sitio principal avanzado, la política de grupo se aplica a todos los sitios por debajo del nivel principal, incluidos los objetos de usuario y equipo en cada contenedor.

2, Configuración de seguridad de directiva de grupo

El contenedor ubicado en el nodo Configuración de seguridad de objeto de directiva de grupo incluye: directiva de cuenta, directiva local, registro de eventos, grupo restringido, servicio del sistema, registro , sistema de archivos, política de clave pública, política de seguridad del Protocolo de Internet en Active Directory, etc. Algunas estrategias se aplican solo al alcance del dominio, es decir, la configuración de la política se realiza dentro del dominio. Por ejemplo, una política de cuenta se aplica a todas las cuentas de usuario en el dominio. No se pueden definir diferentes políticas de cuenta para diferentes departamentos dentro del mismo dominio. En cuanto al alcance de la política de seguridad, tanto la política de cuenta como la política de clave pública tienen un ámbito de dominio. Todos los demás rangos de políticas se pueden establecer a nivel de departamento.

3. Plantillas de seguridad

Windows 2000 proporciona un conjunto de plantillas de seguridad para usar en la configuración del entorno de red. Una plantilla de seguridad es un perfil de configuración de seguridad en un controlador de dominio, servidor o computadora cliente de Windows 2000 que es apropiado para un nivel de seguridad particular. Por ejemplo, la plantilla hisecdc incluye configuraciones que son adecuadas para los controladores de dominio de alta seguridad. Puede importar un perfil de seguridad en un objeto de directiva de grupo y aplicarlo a un nivel de equipo. Importe perfiles de seguridad en una base de datos personal para verificar y configurar políticas de seguridad para computadoras locales.

En segundo lugar, la implementación de la administración de seguridad de políticas de grupo

La administración de seguridad en la LAN de Windows 2000 debe realizarse desde el servidor y la estación de trabajo. El servicio de Active Directory debe instalarse primero en el servidor, luego debe implementarse la Política de grupo en el dominio, y en segundo lugar, la estación de trabajo debe ubicarse en un dominio administrado por el servidor.

1. Inicie el servicio de Active Directory

En la opción "Programas → Herramientas administrativas → Configurar servidor", seleccione "Active Directory" a la izquierda para iniciar el Asistente de instalación de Active Directory. La clave del proceso de configuración es configurar el servidor como el primer árbol de directorios de dominio. El nombre de dominio DNS se ingresa en el nombre de dominio proporcionado por el ISP. Si no se conecta a Internet, puede configurarlo de manera arbitraria.

2, abra la Consola de directivas de grupo

Inicie el elemento "Directorio y usuarios de Active Directory", haga clic con el botón derecho en el directorio raíz en el árbol de contenedor de objetos correcto y luego haga clic en el elemento "Propiedades" Abra la consola de Directiva de grupo haciendo clic en la pestaña Política de grupo en la ventana recién abierta.

3, establecer una directiva de grupo

La directiva de grupo de Windows 2000 tiene más de 100 configuraciones relacionadas con la seguridad y más de 450 configuraciones basadas en el registro, lo que proporciona una serie de opciones para administrar los entornos de computadoras de los usuarios Una vez que se establece una opción, se aplicará a todos los usuarios y estaciones de trabajo registradas en el dominio. Aquí hay algunos pasos para configurar estrategias comunes, como referencia para la configuración de políticas.

a, habilitar la pantalla de inicio de sesión de usuario no muestra el último nombre de usuario de inicio de sesión

Esta opción puede proteger la seguridad de las cuentas de usuario y evitar el robo de cuenta. La ubicación de esta opción se encuentra en el orden de "Configuración del equipo → Configuración de seguridad → Políticas locales → Opciones de seguridad". Haga doble clic en esta opción y seleccione "Activar". La próxima vez que el usuario inicie sesión en el dominio, la política se aplicará a la estación de trabajo operada por el usuario.

b. Inicie "Fondo de escritorio activo"

Con esta opción, todas las computadoras de la LAN que inicien sesión en el dominio usarán el mismo fondo de escritorio y no se podrán cambiar. Por lo tanto, a través de la configuración de esta estrategia, se puede evitar que los usuarios temporales reemplacen el papel tapiz del escritorio a voluntad, de modo que las estaciones de trabajo en la red de área local tengan la misma interfaz. La ubicación de esta opción es Configuración de usuario → Plantillas administrativas → Escritorio → Escritorio activo.

La aplicación completa de seguridad de cuentas de Windows 2000, seguridad de políticas de grupo y permisos de carpeta y otros atributos de seguridad pueden proteger la seguridad de cada estación de trabajo en la LAN. Al mismo tiempo, al utilizar el atributo de seguridad de la cuenta para proteger los archivos del sistema, también puede desempeñar un papel preventivo contra la destrucción del virus.

Copyright © Conocimiento de Windows All Rights Reserved