Se deberá tener en cuenta que la estación W-XP deberá estar unida al dominio y situada dentro de una u.o. llamada equipos. Esta estación poseerá como puerta de enlace y servidor DNS el servidor W2000.
Se utilizarán dos estaciones W-XP, en una de ellas se crearán las directivas y en la otra estación de trabajo se realizarán las comprobaciones correspondientes.
La edición de las directivas de grupo se realizará desde la estación XP; si utilizas el servidor W2000 comprobarás que el número de directivas existente es menor.
W-XP permite comprobar las directivas efectivas en un determinado instante y para un usuario determinado utilizando el complemento correspondiente.
En la realización de los siguientes ejercicios deberás tener en cuenta:
Es necesario forzar las actualizaciones de las directivas de grupo, de esta forma no es necesario esperar los tiempos indicados anteriormente.
Para comprobar que directiva se está aplicando en una estación y a un usuario en concreto es necesario utilizar el complemento directivas efectivas.
Todas las directivas se crearán dentro de un contenedor llamado directivas. Al aplicar una directiva a un contenedor se creará un vínculo a la directiva existente en el contenedor directivas.
Dentro del contenedor equipos crea una nueva directiva llamada equipos y observa las distintas opciones que posee.
Inicia sesión en el dominio como usuario Administrador desde la estación XP.
Desde una estación de trabajo XP, que cumpla los requisitos anteriores, edita la directiva de grupo anterior. Podrás observar que las directivas existentes son distintas. Es deseable editar las directivas desde una estación XP.
En primer lugar se desea comprobar el orden de aplicación de las distintas directivas; este primer ejercicio tratará de establecer el orden de aplicación de la directiva de sitio y directiva de dominio. Edita el complemento directiva de grupo. Edita la directiva del dominio y habilita Quitar del escritorio el icono Mis Documentos.
Edita una nueva directiva de sitio. Esta directiva debe permitir que se muestre el icono Mis Documentos.
Actualiza las directivas en el servidor, deberás tener en cuenta si son directivas de equipo o directivas de usuario. (comando secedit)
Las dos directivas anteriores se aplicarán a cualquier usuario del dominio que inicie sesión. Inicia sesión como usuario Ana y comprueba el orden de aplicación de las directivas. ¿Cuál prevalece?.
Si el usuario Ana tiene iniciada sesión en el dominio y se ha producido un cambio en una directiva, ¿es imprescindible iniciar sesión nuevamente para que el cambio sea aplicado?.
Deseamos comprobar el orden de aplicación de las directivas local, sitio y dominio. En el ejercicio anterior se ha establecido el orden de aplicación de las directivas de sitio y dominio, ahora se agregará una nueva directiva. Se utilizará la directiva Papel tapiz de Active Desktop. Recuerda que al realizar los ejercicios de configuración del usuario de W-98 se realizaron unas pruebas similares. Indica qué ejercicios debes realizar.
Actualiza las directivas en el servidor, deberás tener en cuenta si son directivas de equipo o directivas de usuario y actualiza las directivas en la estación de trabajo.
Indica el orden de aplicación de las directivas anteriores.
Elimina los modificaciones realizadas en las directivas anteriores.
Se ha indicado que es posible establecer directivas de grupo en cualquier unidad organizativa, comprueba si es posible establecerlas en las carpetas situadas en AD.
Existen dos métodos que nos permiten unir una estación XP al dominio. Indica las ventajas y desventajas de su utilización.
Crea una unidad organizativa llamada usuarios.
Dentro de la u.o. anterior crea un usuario llamado usuario1.
Dentro de la u.o. anterior crea otra u.o. llamada GM.
Dentro de la u.o. anterior crea un usuario llamado usu-gm.
Dentro de la u.o. anterior crea dos u.o. llamada GM1 y GM2.
Dentro de las u.o. anteriores crea dos usuarios llamado usu-gm1 y usu-gm2.
Crea una u.o. llamada Directivas. Esta unidad organizativa contendrá todas las directivas de grupo que se editen para nuestro dominio.
Crea una directiva de grupo para las unidades organizativas usuarios, GM y GM1. Las directivas se crearán en la u.o. directivas y tendrán el mismo nombre que las u.o. donde serán aplicadas. En cada una de ellas utilizarás el papel tapiz para diferenciar una de otra.
Actualiza las directivas creadas anteriormente.
Inicia sesión utilizando como nombre de usuario usuario1. Indica el orden de ejecución de las directivas. Deberás tener en cuenta que existe la directiva local, sitio, dominio y u.o.
Inicia sesión utilizando como nombre de usuario usu-gm. Indica el orden de ejecución de las directivas.
Inicia sesión utilizando como nombre de usuario usu-gm1. Indica el orden de ejecución de las directivas.
En los ejercicios anteriores se ha comprobada el orden de aplicación de las directivas; sin embargo, si las directivas no entran en conflicto se aplicarán la suma de todas las directivas existentes. Elimina las modificaciones de las directivas anteriores.
Establece que desaparezca el icono Mis Documentos en la directiva usuarios.
Establece que desaparezca el icono Entorno de Red en la directiva GM.
Establece que no esté disponible la opción Agregar impresoras en la directiva GM1.
Actualiza las directivas creadas anteriormente.
Inicia sesión utilizando como nombre de usuario usuario1. Indica el orden de ejecución de las directivas y las restricciones que se han aplicado.
Inicia sesión utilizando como nombre de usuario usu-gm. Indica el orden de ejecución de las directivas y las restricciones que se han aplicado.
Inicia sesión utilizando como nombre de usuario usu-gm1. Indica el orden de ejecución de las directivas y las restricciones que se han aplicado.
Al usuario o al equipo se le aplican la suma de todas las directivas existentes.
Es posible bloquear la herencia de las directivas, esta acción es similar a establecer un FDH en Netware. Localiza la casilla de verificación que permite anular la herencia.
Se desea que a los usuarios del contenedor GM1 únicamente se le aplique la directiva definida en su contenedor; será necesario bloquear la herencia de directivas. Bloquea la herencia de directivas.
Inicia sesión utilizando con nombre de usuario usu-gm1. Indica el orden de ejecución de las directivas e indica qué directiva/as se han aplicado. La herencia ha sido bloqueada, a este usuario únicamente se le aplicará la directiva existente en su contenedor.
Inicia sesión utilizando con nombre de usuario usu-gm2. Indica el orden de ejecución de las directivas, e indica qué directiva/as se han aplicado. La herencia no ha sido bloqueada, a este usuario se le aplicarán las directivas existentes en su contenedor y en contenedores superiores.
Bloquea la herencia en el contenedor GM.
Desbloquea la herencia en el contenedor GM1.
Inicia sesión con nombre de usuario usu-gm. La herencia ha bloqueado la propagación de directivas.
Inicia sesión con nombre de usuario usu-gm1. La herencia ha bloqueado la propagación de directivas desde el contenedor donde se fija el bloqueo.
Al igual que en Netware el bloqueo de la herencia afecta a todas las directivas existentes. Se desea bloquear únicamente una directiva en concreto. ¿Qué podemos hacer?.
No se desea bloquear la herencia en el contenedor GM1. Desmarca la casilla correspondiente.
Añade en el contenedor GM1 la directiva usuarios. Indica como propiedad de la directiva anterior Deshabilitar los parámetros de configuración del usuario.
Inicia sesión como usu-gm1. Comprueba si se aplica la directiva.
Inicia sesión como usu-gm. Comprueba si se aplica la directiva.
Observa las propiedades de la directiva usuarios. En cada contenedor poseemos un vínculo hacia la directiva de grupo almacenada en el contenedor; por tanto, la directivas usuarios de nivel superior no se está aplicando, y ¡creíamos que se había bloqueado!.
Restablece la propiedad Deshabilitar los parámetros de configuración del usuario de la directiva usuarios.
Utilizando el botón secundario Deshabilita la directiva.
Inicia sesión como usu-gm1. Comprueba si se aplica la directiva usuarios.
La directiva usuarios está deshabilitada en el contenedor GM1, pero no lo está en el contenedor usuarios. La directiva se está aplicando.
Al contenedor usuarios se le aplicará una nueva directiva llamada usuarios2.
La directiva usuarios2 no permite que aparezca el icono Mis Documentos (misma directiva que aplica usuarios).
Inicia sesión como usu-gm. Comprueba qué directiva existente en la u.o. usuarios prevalece. Tendrás que iniciar el complemento directiva efectiva (mmc).
Cambia el orden de aplicación de las directivas del contenedor usuarios.
Inicia sesión como usu-gm. Comprueba qué directiva existente en la u.o. usuarios prevalece. También es importante el orden establecido dentro de las directivas de una unidad organizativa.
Observa la pestaña Seguridad existente en cualquier directiva de grupo. Los usuarios autentificados poseen permisos para leer y aplicar todas las directivas de grupo.
Se desea que la directiva usuarios sea aplicada a los usuarios existentes en el contenedor GM1 y no sea aplicada a los usuarios GM2. Filtrando la herencia de las directivas en los distintos contenedores no se ha conseguido; pero utilizando los permisos de los usuarios sobre las directivas sí es posible.
Los usuarios del contenedor GM2 no deben poseer ningún permiso sobre la directiva usuarios. Es posible eliminar la entrada usuarios autentificados de la lista de trustee de la directiva, pero esto impedirá que cualquier usuario aplique la directiva. Será necesario denegar el permiso de lectura para los usuarios de GM2. (Utiliza un grupo).
Inicia sesión como usu-gm2.
Comprueba si se aplica la directiva. El derecho de denegar prevalece sobre permitir, ¿de dónde adquiere los derechos usu-gm2 para aplicar la directiva?.
A los usuarios de GM2 se les denegará la lectura y la aplicación de directivas de grupo.
Inicia sesión como usu-gm2.
Comprueba si se aplica la directiva. Ahora este usuario no posee ningún permiso para aplicar la directiva.
Inicia sesión como usu-gm1.
Comprueba si se aplica la directiva. El resto de los usuarios poseen los permisos suficientes para leer y aplicar la directiva. Con este método se ha conseguido filtrar la aplicación de una directiva de grupo a un usuario en concreto.
Elimina los derechos asignados en los ejercicios anteriores, así todos los usuarios pueden aplicar todas las directivas.
Para realizar los siguientes ejercicios se desea que se pueda producir una propagación de la herencia. Desbloquea la herencia existente el contenedor GM1.
Se desea que la directiva usuarios no sea bloqueada por ninguna otra directiva de nivel inferior, se indicará la propiedad No bloquear para esta directiva. Para comprender qué está ocurriendo observaremos el papel tapiz que aparece para cada uno de los siguientes usuarios.
Inicia sesión utilizando como nombre de usuario usuario1. Indica el orden de ejecución de las directivas. ¿Qué directiva prevalece?.
Inicia sesión utilizando como nombre de usuario usu-gm. Indica el orden de ejecución de las directivas. ¿Qué directiva prevalece?.
Inicia sesión utilizando como nombre de usuario usu-gm1. Indica el orden de ejecución de las directivas. ¿Qué directiva prevalece?. Al establecer No bloquear como propiedad de una directiva ninguna otra directiva la sobrescribe.
Dentro del contenedor GM1 se desea que no se hereden las directivas de los niveles superiores; estableceremos nuevamente el bloqueo de la herencia de las directivas.
Inicia sesión utilizando como nombre de usuario usu-gm1. Indica el orden de ejecución de las directivas. ¿Qué directiva prevalece?. La propiedad no bloquear una directiva prevalece sobre Bloquear la herencia de directivas.
Dentro de la directiva usuarios se ha habilitado Ocultar la ficha de configuración de la pantalla; y en esta directiva se ha indicado No reemplazar.
En la directiva GM se establece la directiva Ocultar la ficha de configuración de la pantalla como deshabilitada.
Inicia sesión utilizando como nombre de usuario usu-gm1. Indica el orden de ejecución de las directivas. Al estar marcada como No reemplazar la directiva usuarios prevalece sobre cualquier otra, aunque sean contradictorias.
Elimina la propiedad No reemplazar de la directiva usuarios.
Inicia sesión utilizando como nombre de usuario usu-gm1. Indica el orden de ejecución de las directivas.
Se ha establecido que no se produzca una herencia de las directivas de los niveles superiores. Sin embargo, se ha producido la herencia de la directiva usuarios. Se deberá tener en cuenta que prevalece la propiedad No bloquear sobre la propiedad Filtrar la herencia.
Es posible deshabilitar una directiva dentro de un contenedor indicando dentro de opciones Deshabilitada. Esta opción sería igual que si no existiese la directiva. Recuerda que ha sido utilizada en ejercicios anteriores.
Cuando un usuario inicia sesión en una estación de trabajo es necesario aplicar todas las directivas, el sistema deberá comprobar que directivas están habilitadas, deshabilitadas...; puede ser importante indicar que partes de una directiva no se aplican y aumentar de esta forma la velocidad del sistema. En el contenedor usuarios únicamente se aplica la directiva correspondiente a la configuración de usuario; por tanto, el sistema perderá tiempo en comprobar la directiva equipo; podemos indicar dentro de las propiedades de la directiva Deshabilitar los parámetros de configuración de equipo.
Que propiedad deberás utilizar en la directiva existente en el contenedor donde se han creado las cuentas de equipo para XP.
Comprueba las directivas aplicadas para el usuario usu-gm. Esta será una de las herramientas más útiles a la hora de comprobar qué directiva se está aplicando en un determinado momento.
Según los ejercicios anteriores se deberá tener en cuenta:
Las directivas de niveles superiores serán lo más amplias posibles, y se establecerán restricciones en niveles inferiores.
Si existen restricciones que no deben ser reemplazadas se establecerá una gpo que posea estas restricciones y se establecerá la propiedad no reemplazar.