Configura Ubuntu, Proxmox, Zabbix & NethServer para entornos de Oficina
Menu

Nethserver Group Policy Object

3/24/2017

0 Comments

 
Picture
Regresar
Después de configurar "Nethserver Controlador Primario de Dominio PDC", tenemos una red informática en la que todas las cuentas de usuario, ordenadores, impresoras y otras entidades de seguridad, pueden estar registrados en una base de datos central ubicada en uno o más grupos de ordenadores centrales conocidos como "Controladores de Dominio".

Referencia técnica:
  • ​​Un Dominio es una red informática en la que todas las cuentas de usuario, ordenadores, impresoras y otras entidades de seguridad, están registrados en una base de datos central ubicada en uno o más grupos de ordenadores centrales conocidos como controladores de dominio. 
​
Antes de iniciar con la configuración, vamos a aborda el tema "Directivas en un Dominio Samba Active Directory".
Picture
En resumen, las "Directivas" son normas específicas a políticas relacionados con los usuarios, grupos de usuarios, estaciones de trabajo entre otros, en función a su comportamiento en una "red informática con gobierno y seguridad (Dominio)".​
Picture
Para definir "Directivas" en un Dominio es necesario estructurar y plasmar nuestra "Organización" a través de contenedores conocidos como OU's "por sus siglas en inglés (Organizational Unit)".   Las OU's representan visualmente nuestras áreas  o departamentos y a su vez agrupan las cuentas de usuarios y estaciones de trabajo.
Picture
Tanto "Microsoft Active Directory" como "Samba Active Directory" reconocen al conjunto de "Directivas" como ​​"Group Policy" los cuales son creados para fines específicos,  veamos un breve ejemplo:
​
  • Restricciones en instalación de aplicaciones a usuarios o estaciones de trabajo.
  • Restricciones de acceso a DVD's, USB Disk entre otros.
  • NOTA:  La mayoría de restricciones son provistas con el fin de proteger la información de la empresa o la misma integridad de las estaciones.
Después de esta breve explicación, vamos a iniciar con la configuración de "Nethserver PDC y Samba Active Directory".   Para este escenario vamos a presentar la configuración de estaciones Microsoft Windows, por la sencilla razón que este tipo de productos ya vienen preparados para integrarse a un Dominio Microsoft.
​
En el caso de las estaciones Linux Ubuntu el proceso lleva unos cuantos pasos adicional, por lo cual vamos a dedicarle una sección y explicar en detalle como se efectúa.

Prima fase:   Instalación Herramientas...


​Para esta configuración se recomienda:
  • Conectar una estación Windows 7 o 10 professional a la "Red privada (Green)".
  • Revisar en DHCP si la estación tiene IP reservada.
  • También es recomendable darle acceso a Internet en "Firewall Object" -> "Host Groups".
  • Se debe iniciar sesión con una cuenta de usuario "Administrador del Dominio" (Muy importante!)​ ​
​
Para configurar las "Directivas" en "Nethserver Controlador Primario de Dominio" y trabajar directamente en "Samba Active Directory", es nesesario contar con algunas herramientas externas.
  • Microsoft Remote Server Administration Tools (RSAT)
  • Apache LDAP Studio​
En esta documentación vamos a utilizar "Microsoft Remote Server Administrator Tools":
  • Windows 10:   https://www.microsoft.com/en-us/download/details.aspx?id=45520
  • Windows 7:   http://www.microsoft.com/en-us/download/details.aspx?id=7887

​También puedes buscarlo y bajarlo desde Google como:  "Microsoft Remote Server Administrator Tools" .
​Después de instalar procedemos a activar los siguientes módulos:
Picture

Gráfica 001   --  Activar "Active Directory Administrative Center"
  • "Active Directory Administrative Center", nos permite visualizar y administrar las cuentas de usuarios, ordenadores entre otros.   Adicional, nos permite crear contenedores (OU's) para aplicar entre otras cosas "Directivas".
Picture

Gráfica 002   --  Activar "Group Policy Management Tools"
  • "Group Policy Management Tools", es la herramienta que nos permitirá modelar las "Directivas" a los contenedores OU's.

Segunda fase:   Crear estructura de la organización...

Para explicar en detalle como administrar las "Directivas de Usuarios, Grupos y Ordenadores" vamos a mostrar el esquema de una pequeña empresa, COSYSCO.NETWORK y trabajar sobre su estructura organizacional.

Picture

​Gráfica 003 - Esquema  COSYSCO.NETWORK
En este esquema la empresa cuenta con 3 grupos claves:
  • Staff-users:   Grupo de estaciones del staff de programadores, diseñadores y recepción.
  • Staff-managers:   Grupo de estaciones de Gerencia.
  • Servers:   Como su nombre lo indica es el grupo de servidores.
​
Picture

Gráfica 004   --  Crear OU's  /  Organizational Unit
Con la herramienta "Active Directory Users and Computers", creamos los contenedores correspondientes a los departamentos de la empresa COSYSCO.NETWORK.
Picture

Gráfica 005   --  OU's  /  ejemplo COSYSCO.NETWORK
Para este ejemplo COSYSCO.NETWORK debe de quedas los tres contenedores (OU's)
​
Picture

Tercera fase:  Creación de "Directivas"

Después de crear la estructura de la empresa COSYSCO.NETWORK y sus departamentos, vamos a crear nuestra primera política en "Samba Active Directory". 

En este ejemplo nuestro objetivos son:
  • Crear en la OU --  "staff-users"  políticas que aplique a Usuarios y Estaciones de trabajo.
  • Restricciones de acceso a DVD's, USB Disk Storage.
  • Activar a un usuario la política definida.
Picture
.
Gráfica 006 --  staff-users PGO
  • ​"Group Policy Management Tools" nos permite crear un grupo de directivas (GPO) al contenedor (OU) de nuestra elección.    En este ejemplo vamos a crear "Restricciones de acceso a DVD's, USB Disk Storage" al contenedor (OU) "staff-users"
Picture

Grafica 007 --  "Staff-users" ejemplo GPO
  • En este ejemplo vamos a crear "Restricciones de acceso a DVD's, USB Disk Storage" al contenedor (OU) "staff-users".  El archivo de configuración (ADMX File) que se transfiere a las cuentas y estaciones lo nombraremos "staff-users-po".
Picture

Gráfica 008   --   staff-users   /   edit
  • Clic alterno para a editar la política creada.
Picture

Gráfica 009   --   staff-users   / Restricciones de acceso a DVD's, USB Disk Storage
Es importante recalcar que las políticas se modelan para:
  • Computer Configuration: Políticas para estaciones de trabajo.
  • User Configuration:  Políticas para usuarios.

Para " Restricciones de acceso a DVD's, USB Disk Storage" ingresamos a:

  • Computer Configuration
    • Policies
      • Administrative Templates:  Policy Definitions (ADMX Files)
        • System
          • Removable Storage Access
  • A continuación aparece un listado de "clases".  En resumen, cada clase al modificarse genera un objeto que es asignado a la política "staff-users-po" y que se sincroniza con las cuentas de usuarios o estaciones de trabajo agrupados en el contenedor (OU).

En las siguientes gráficas vamos a explicar como crear políticas a las estaciones en "Computer Configuration", como ejercicio queda a ustedes el activar la misma configuración en "User Configuration".
Picture
Picture

Gráfica 011   --   staff-users   /   Restricciones de acceso a DVD's, USB Disk Storage
  • En la pestaña "Standard" se puede observar el listado de clases activas "Enable" y que generaron "Objetos" a la política "staff-users-po" (GPO) en el contenedor (OU) "staff-users".
Picture

Gráfica 012   --   staff-users   /   Listado de políticas activas en staff-users-po
​Detalle de objetos creados en las Políticas (GPO) "staff-users-po", al dar clic en el "Tab" Settings.
En resumen esto nos indica que están listas las políticas para las estaciones de trabajo, para el contenedor (OU) "staff-users".
Picture

Gráfica 013   --   staff-users   /   Editar Políticas por Usuario
Se ha finalizado la configuración de políticas a "computer Configuration", ahora es necesario que complete la configuración "User Configuration" para poder aplicar la siguiente pantalla.
​

Fase final:   Comprobamos las políticas para staff-users...

Picture

Gráfica 014   --   staff-users   /   Pruebas con Usuario
En "Active Directory Users and Computers" puede efectuar cualquier de estas 2 opciones:
  1. Creamos un usuarios en la OU Staff-users
  2. Movemos un usuario existente del OU "Users" hacia el OU "staff-users"

NOTA:  Estamos evaluando la configuración que usted creó a "User Configuration".
Picture

Gráfica 015   --   staff-users   /   Resultados Políticas
Para finalizar nuestras pruebas ingresamos en una estación con el Usuario ubicado en la OU "staff-users" y validamos que este "Denegado" el acceso a CD's y DVD's.

NOTA:   Para aplicar las políticas se recomienda reiniciar o utilizar en la consola el comando gpupdate.exe

Finalizado Nethserver Group Policy Object's.
Regresar
Picture
0 Comments
    Editor:
    Juan Estuardo Hernandez
    Consultor Software Libre,
    Organización y Métodos.
    Acumular información es sólo el primer paso hacia la sabiduría. Pero compartir información es el primer paso hacia la comunidad.
    Henry Louis Gates, Jr.
    Condiciones de uso:

    El contenido del website 911-ubuntu y este artículo en particular, es “Libre” y puede ser consultado por quien lo desee.

    Por favor “No haga copias de nuestros artículos”.   Si desea compartirlo puede referir nuestras publicaciones como un enlace (Link), así las personas interesadas obtendrá nuestras últimas actualizaciones.

    Como todo en la vida, nada es perfecto, así que si observas algún error o  desea mejorar el contenido de estos artículos, puede enviarnos un mensaje el cual será bienvenido.  (Formulario al pie de página).


    Gracias por continuar consultando 911-Ubuntu para Entorno de Oficina y Redes Corporativas.    ​​​

Creative Commons License
This work is licensed under a Creative Commons Attribution-NoDerivatives 4.0 International License
Powered by Create your own unique website with customizable templates.
  • Principal
  • Ubuntu Oficina
  • Servidores
    • nethserver
    • Proxmox
    • Zabbix
    • fengoffice
    • ubuntu-server >
      • Control remoto
  • Links
  • Principal
  • Ubuntu Oficina
  • Servidores
    • nethserver
    • Proxmox
    • Zabbix
    • fengoffice
    • ubuntu-server >
      • Control remoto
  • Links