Habilitación de Directiva “Quitar Agregar o quitar programas”

La habilitación de esta política nos brinda la seguridad de que a un grupo de usuarios no se le permita la instalación o desinstalación de programa por medio de esta opción del panel de control, ya que lo podría hacer por otros medios que ya implican otro tipo de directivas.
Para esta práctica utilizaremos un equipo servidor Windows Server 2008 con servicio Active Directory y otro cliente Windows XP Profesional.


Lo primero que haremos es verificar si nuestro cliente tiene habilitada la opción, para ella nos dirigimos hacían al Panel de Control y seguido entramos en la opción “Agregar o quitar programas”:

Una vez comprobado lo anterior procedemos en nuestro servidor a seguir los siguientes pasos para al bloqueo de la opción:
1. Una vez en nuestro servidor digitamos en el botón de Ejecutar (Windows + R) lo siguiente “gpmc.msc”, para que aparezca la Administración de directivas de grupo.

2. Dentro de Administración de directivas de grupo nos dirigimos a nuestra política creada para el grupo de usuarios y le damos click derecho y seleccionemos la opción Editar.

3. Ahora buscamos nuestra directiva, esta se encuentra en: “Configuración de Usuario/Planillas administrativas/Panel de control/Agregar o quitar programas”, observamos la explicación de la directiva en el último párrafo que indica que el usuario puede instalar o desinstalar programas utilizando otros medios.

4. Procedemos Habilitar política.

5. Procedemos a comprobar los cambios efectuados a nuestro cliente
a. Dentro del equipo cliente en una ventana de comando (cmd) digitáremos lo siguiente “>gpupdate/force” para la actualización de las directivas.



b. Y por ultimo nos dirigimos a la opción de “Agregar o quitar programas” en el panel de control y nos tendría que devolver un mensaje de restricción

Aplicación de directivas en WINDOWS SERVER 2008

La habilitación de esta directiva nos brinda la seguridad de que el usuario no podrá Apagar, Reiniciar, Suspender e Hibernar el equipo, ni Cerrar Sesión. Ya que como premisa este PC tendría un software de: Monitoreo Activo de Comunicaciones, o Monitoreo de Enlaces, o Monitoreo del Circuito Cerrado de Video de Seguridad. Por lo cual estos equipos nunca se deben apagar dentro de un Centro de Cómputo como política interna de la empresa.

Para esta práctica utilizaremos un equipo servidor Windows Server 2008 con servicio Active Directory y un cliente Windows XP Profesional.

Para lograr este objetivo es necesario aplicar las siguientes directivas en el Windows Server 2008, siguiendo los pasos que se indican a continuación:

1).- Quitar y evitar el acceso a los comandos Apagar, Reiniciar, Suspender e Hibernar.

1.1).- Se debe verificar en el Windows XP, que las opciones de Cerrar Sesión y Apagar, aparezcan en el Menú de Inicio y en la pantalla Seguridad de Windows que aparece al presionar Crl+Alt+Del:


1.2).- En el Windows Server 2008, ir a “Administracion de Directivas de Grupo”, para llegar a esta opción se puede colocar en EJECUTAR el comando GPMC.MSC:

1.2.1. Dentro del Bosque Universidad. local ->Dominios->Universidad. local->Objeto de Directivas de grupo->UsuariosGPO, este último se sombrea y se da clip en la Opción “Acción” del Menú de la pantalla:

1.2.2. Dentro se encuentra la opción “Editar”, dar clip sobre esta opción abrirá una nueva pantalla:

1.2.3. En esta pantalla “Editor de Administración de Directivas de GRUPO”, es donde se podrá habilitar o no configurar las opciones que el Administrador del sistema desee poner como directivas en un Servidor a su cargo:

1.2.4. En esta directiva “Quitar y evitar el acceso a los comandos Apagar, Reiniciar, Suspender e Hibernar”, dar doble clip izquierdo para ingresar a ella aparecerá la siguiente pantalla: (Por default esta escogida la opción No configurada)

1.2.4. Escoger la opción “Habilitada”, luego presionar Aplicar y Aceptar:

1.2.5. Con esto la política estaría aplicada en el Windows Server 2008, pero para que se ejecute en el Windows XP, se debe correr el comando “gpupdate /force”, o reiniciar la maquina del usuario XP. (Esto lo vamos a dejar pendiente para aplicar la siquiente directiva de Cerrar Sesión, para luego al finalizar todos los pasos ejecutamos el comando mencionado en el usuario XP)

2).- Quitar Cerrar Sesión del Menú INICIO

2.1. Buscar entre las directivas que se listan la que indique “Quitar Cerrar Sesión del Menú Inicio“

2.3. Dar doble clip izquierdo para ingresar a ella aparecerá la siguiente pantalla: (Por default esta escogida la opción No configurada)

2.4. Escoger la opción “Habilitada”, luego presionar Aplicar y Aceptar:

2.5. Con esto la política estaría aplicada en el Windows Server 2008.

2.6. Ingresar a la maquina virtual con Windows XP, para que se ejecute en el Windows XP, se debe correr el comando “gpupdate /force”, o reiniciar la maquina del usuario XP:

2.7. Si en caso no funcionara se debe ejecutar nuevamente el comando “gpupdate /force”, para finalmente observar que aparezcan en el Menú de Inicio “Cerrar Sesión y Apagar”, mientras que en la pantalla Seguridad de Windows (Aparece al presionar Crl+Alt+Del ) solo desaparece la opción “Apagar”: (Ya que la directiva de Quitar Cerrar Sesión que aplicamos es solo para el Menú de Inicio)

Se procede a confirmar en el cliente

  • Impedir agregación de impresoras
  • Impedir eliminación de impresoras

Como vemos  el usuario tiene permisos para poder agregar y eliminar una impresora.

Para quitar esta propiedad a los usuarios vamos a ir a nuestro administrador en Windows Server 2008 a Herramientas Administrativas/Administración de Directivas de grupo y editamos nuestra GPO creada e ingresamos a:

Configuración de usuario/Directivas/Plantillas administrativas/Panel de Control/Impresoras:

Luego en el usuario en una consola de Windows corremos el comando gpupdate /forcé para actualizar las directivas puestas a este usuario:

Con lo que acabamos de hacer, ya no me debería salir en el menú Agregar impresora. Y si damos click botón derecho en el fondo sale un menú en el que podemos agregar una impresora, damos click y nos sale un mensaje que tenemos restricciones, e igualmente si le damos click botón derecho encima de una impresora para eliminarla no nos permite.

Ahora vamos a ingresar a impresoras y faxes en el usuario de Windows y vamos a probar si se puede agregar y eliminar una impresora

Como vemos las políticas de directivas para este usuario se crearon correctamente, a diferencia de nuestra primer imagen de Impresoras y faxes que salían las opciones habilitadas, aquí ya no salen después que se aplico las políticas; esto es beneficioso para la empresa ya que se separan los usuarios o grupos o departamentos que necesiten impresiones en color o blanco y negro, y se limita a que no cambien las configuraciones de las impresoras ni las eliminen.

Configuración de menú inicio. Desactivación de opción Ejecutar.

Si utilizamos un servidor Windows 2003 la opción para deshabilitar la opción de ejecutar en el menú inicio se encuentra en la ruta:

Editor de objetos de directiva de grupo.

Configuración de usuario / Plantillas administrativas / Menú inicio y barra de tareas

La opción se llama Quitar el menú ejecutar del menú inicio.

Al dar doble clic en la opción resaltada como se indica en la imagen 2 aparece las propiedades de la directica la cual por defecto está en estado deshabilitada, para activar esta funcionalidad se debe seleccionar la opción Habilitar.

En la imagen 1 se muestra como aparece la opción de Ejecutar en menú inicio en la cuenta.

Después de configurar la política se demuestra que la opción ya no esta habilitada.

La siguiente configuración trata sobre la restricción de configuración de temas de Windows.

En la siguiente pantalla de configuración de directiva se muestra las opciones para cambiar la configuración de temas de Windows.

La ruta es la siguiente se puede acceder a las opciones:

Configuración de usuario / Plantillas administrativas / Panel de control / Pantalla

Dentro de Pantalla se selecciono la opción de Ocultar la ficha de apariencia y temas y habilitamos la opción.

Se revisa las opciones en el usuario aplicado, ya no se muestran las opciones

Esta configuración deshabilita por completo las opciones de temas y apariencia, pero si se desea configurar por separado estas opciones se lo puede hacer en:

Configuración de usuario / Plantillas administrativas / Panel de control / Pantalla / Temas de escritorio.

Para aplicar estas políticas es consideración del administrador, se puede desactivar que el usuario cambie el estilo de ventanas y botones, el tamaño de  fuente, combinación de colores para temas y configurar un tema en específico para el inicio de sesión, para este ejemplo se activaron todas las opciones para demostración:

Como se ve en la imagen se nota que la pestaña de temas ya no esta, y en apariencia están deshabilitadas las opciones detalladas anteriormente, también el estilo del tema de escritorio cambio al estilo clásico de Windows.


Procedemos a quitar de la barra de tareas la carpeta de Música del menú Inicio.

Para quitar esta propiedad a los usuarios vamos a ir a nuestro administrador en Windows Server 2008 a Herramientas Administrativas/Administración de Directivas de grupo y editamos nuestra GPO creada e ingresamos a:

Configuración de usuario/Directivas/Plantillas administrativas/menú inicio:

Luego en el usuario en una consola de Windows corremos el comando gpupdate /forcé para actualizar las directivas puestas a este usuario:

Procedemos a comprobar los cambios en los usuarios

Integrantes

Michael Coello

Lot Galarraga

Cesar Aulestias

Jenny Chiquito

Edison Tumbaco