Cómo crear una directiva de seguridad en Windows 2000/2003 y cómo aplicarla a una unidad organizativa. También explicamos como crear una unidad organizativa y un usuario dentro de ésta.

Windows 2000/2003 incorpora entre muchas mejoras con respecto a Windows NT las directivas de seguridad, se trata de un elemento del sistema que define el comportamiento en temas de seguridad.

Explicamos en este manual como aplicar una directiva de seguridad a una unidad organizativa de nuestro controlador de dominio con Active Directory).

En primer lugar cabe mencionar que Hay tres tipos de directivas de seguridad:

  • Directiva de seguridad de dominio: es la que se debe utilizar si el servidor Windows 2000/2003 es un controlador de dominio y se desea modificar la configuración de seguridad para todos los miembros del dominio.
  • Directiva de seguridad del controlador de dominio: es la que se debe utilizar si el servidor Windows 2000/2003 es un controlador de dominio y se desea modificar la configuración de seguridad para todos los controladores de dominio.
  • Directiva de seguridad local: es la que se debe utilizar si el servidor Windows 2000/2003 no tiene instalado Active Directory (Directorio Activo) y se desea modificar su configuración de seguridad. Cuenta con menos nodos de configuración que las dos opciones anteriores.

En nuestro caso, como hemos mencionado anteriormente, añadiremos una directiva de seguridad a una unidad organizativa (conjunto de usuarios de Active Directory) en un servidor con Windows 2000, que está promocionado con «dcpromo» a controlador de dominio y tiene Active Directory:

Desde el menú «Inicio» – «Ejecutar», escribimos «mmc» y pulsamos «Aceptar», con esto abriremos una consola Microsoft Management Console:

Crear directiva de seguridad Unidad Organizativa en Windows 2000 2003

Pulsaremos en el menú «Consola» y ejecutamos «Agregar o quitar complemento»:

Crear directiva de seguridad Unidad Organizativa en Windows 2000 2003

Nos mostrará la ventana «Agregar o quitar complemento», pulsaremos «Agregar»:

Crear directiva de seguridad Unidad Organizativa en Windows 2000 2003

Seleccionaremos «Directiva de grupo» y pulsaremos «Agregar»:

Crear directiva de seguridad Unidad Organizativa en Windows 2000 2003

Pulsaremos «Finalizar»:

Crear directiva de seguridad Unidad Organizativa en Windows 2000 2003

Pulsamos en el botón para crear una nueva directiva:

Crear directiva de seguridad Unidad Organizativa en Windows 2000 2003

y le ponemos un nombre a la directiva creada. Pulsamos «Aceptar» para finalizar el proceso de creación de directiva de grupo:

Crear directiva de seguridad Unidad Organizativa en Windows 2000 2003

A continuación pulsaremos en «Finalizar», posteriormente en «Cerrar», volveremos a pulsar en «Aceptar» y pulsaremos en el botón «Guardar Consola actual». Le asignamos un nombre para poder modificarla posteriormente:

Crear directiva de seguridad Unidad Organizativa en Windows 2000 2003

Una vez creada la directiva de grupo podremos modificar todas las opciones de seguridad que deseemos. Por ejemplo, desde la parte izquierda desplegaremos «Directiva nombre», a continuación desplegaremos «Configuración de software», desplegaremos también «Plantillas administrativas» y seleccionaremos «Menú Inicio y barra de tareas». Desde esta rama podremos cambiar opciones de seguridad como «Quitar carpetas del usuario del menú Inicio», para ello haremos doble clic sobre la opción que queramos habilitar/deshabilitar. Nos mostrará una ventana con varias pestañas «Directiva» (Habilitar, deshabilitar, no configurar) y «Explicación» (con un texto explicativo de la opción seleccionada):

Crear directiva de seguridad Unidad Organizativa en Windows 2000 2003

Otras opciones disponibles para habilitar/deshabilitar son:

  • «Quitar el menú buscar del menú Inicio», con la explicación: Quita el elemento Buscar del menú Inicio, y deshabilita algunos elementos de búsqueda del Explorador de Windows. Esta configuración quita el elemento Buscar del menú Inicio y del menú contextual que aparece cuando se hace clic con el botón derecho del mouse en el menú Inicio. Además, el sistema no responde cuando los usuarios presionan la tecla de la aplicación (la tecla con el logotipo de Windows) + F. En el Explorador de Windows, el elemento Buscar seguirá apareciendo en los botones de la barra de herramientas estándar, pero el sistema no responderá cuando el usuario presione Ctrl+F. Además, buscar no aparecerá en el menú contextual cuando se haga clic con el botón derecho del mouse sobre un icono que represente una unidad o una carpeta. Esta configuración afecta sólo a los elementos de la interfaz de usuario especificado. No afecta a Internet Explorer y no impide que el usuario use otros métodos para buscar. Vea también la configuración «Quitar el botón Búsqueda del Explorador de Windows» en Configuración del usuario – Plantillas administrativas – Componentes de Windows – Explorador de Windows. Nota: esta configuración también impide que el usuario use la tecla F3.
  • «Quitar el menú Ejecutar del menú Inicio», con la explicación: Le permite quitar el comando Ejecutar del menú Inicio, Internet Explorer, y Administrador de tareas. Si habilita esta configuración, ocurrirán los siguientes cambios: Se quita el comando Ejecutar del menú Inicio, el comando Nueva tarea (ejecutar) se quita del Administrador de tareas., se impedirá al usuario escribir lo siguiente en la Barra de direcciones de Internet Explorer: una ruta UNC (///), tener acceso a unidades locales: Por ejemplo, C, tener acceso a carpetas locales (por ejemplo, emp>). Además, los usuarios con teclados extendidos no podrán seguir mostrando el cuadro de diálogo Ejecutar presionando la tecla de Aplicación (la tecla con el logotipo de Windows) + R. Si deshabilita esta configuración o no la establece, los usuarios tendrán acceso al comando Ejecutar del menú Inicio y podrán usar la barra de direcciones de Internet Explorer en el Administrador de tareas. Nota: esta configuración sólo afecta a la interfaz especificada. No impide que los usuarios usen otros métodos para ejecutar programas. Nota: Es un requisito para las aplicaciones de terceros, con certificación de Windows 2000 o posterior, ceñirse a esta configuración.

Como se puede observar hay infinidad de opciones y bien explicadas por parte de Microsoft.

Para aplicar esta directiva a una unidad organizativa (conjunto de usuarios) de nuestro dominio, accederemos a «Inicio» – «Configuración» – «Panel de control» – «Herramientas administrativas» – «Usuarios y equipos de Active Directory». Pulsaremos con el botón derecho del ratón sobre nuestro servidor, seleccionaremos «Nuevo» y a continuación ejecutaremos «Organizational Unit»:

Crear directiva de seguridad Unidad Organizativa en Windows 2000 2003

Indicaremos en nombre de la unidad organizativa y pulsaremos «Aceptar»:

Crear directiva de seguridad Unidad Organizativa en Windows 2000 2003

A continuación para realizar las pruebas pertinentes crearemos un usuario dentro de la unidad organizativa creada anteriormente. Para ello pulsaremos con el botón derecho sobre la unidad organizativa creada, seleccionaremos «Nuevo» – «User»:

Crear directiva de seguridad Unidad Organizativa en Windows 2000 2003

Rellenaremos los datos necesarios para la creación del usuario: Nombre, Apellidos, Nombre completo, etc y pulsaremos «Siguiente»:

Crear directiva de seguridad Unidad Organizativa en Windows 2000 2003

Introduciremos la contraseña del usuario y las opciones de caducidad y permiso de cambio de la contraseña. Pulsaremos «Siguiente» para continuar:

Crear directiva de seguridad Unidad Organizativa en Windows 2000 2003

Si los datos son correctos pulsaremos «Finalizar» para concluir la creación del usuario dentro de la unidad organizativa creada anteriormente:

Crear directiva de seguridad Unidad Organizativa en Windows 2000 2003

Si hacemos clic sobre la unidad organizativa uoContabilidad podremos ver el usuario creado «usuprueba»:

Crear directiva de seguridad Unidad Organizativa en Windows 2000 2003

Para asignarle la directiva de seguridad a todos los usuarios de la unidad organizativa «uoContabilidad», pulsaremos con el botón derecho sobre «uoContabilidad» y seleccionaremos «Propiedades»:

Crear directiva de seguridad Unidad Organizativa en Windows 2000 2003

Desde la pestaña «Directiva de grupo» pulsaremos «Agregar»:

Crear directiva de seguridad Unidad Organizativa en Windows 2000 2003

Desde la pestaña «Toda» seleccionaremos la directiva creada inicialmente «Directiva Nueva CREADA» y pulsaremos «Aceptar»:

Crear directiva de seguridad Unidad Organizativa en Windows 2000 2003

Volveremos a pulsar «Aceptar» para aplicar la directiva a la unidad organizativa «uoContabilidad»:

Crear directiva de seguridad Unidad Organizativa en Windows 2000 2003

Para testar que las opciones de la directiva de seguridad se han aplicado correctamente iniciaremos la sesión en el servidor con el usuario «usuprueba». Iniciamos el cliente de «Conexión a Escritorio Remoto», introducimos el nombre del servidor o la IP y pulsamos «Conectar»:

Crear directiva de seguridad Unidad Organizativa en Windows 2000 2003

Introducimos usuario y contraseña y pulsamos «Aceptar»:

Crear directiva de seguridad Unidad Organizativa en Windows 2000 2003

Como podemos observar hemos limitado la sesión del usuario a solamente el botón «Inicio» y dentro de este: «Configuración» (sólo con la opción «Seguridad de Windows»), Programas (vacío), Cerrar sesión:

Crear directiva de seguridad Unidad Organizativa en Windows 2000 2003

Incluso se puede desactivar el menú contextual (cuando se pulsa el botón derecho del ratón), el reloj, los iconos del escritorio, etc.

Nota: en todo momento hemos mencionado «Unidad Organizativa», se trata de un contenedor, equivalente a las carpetas (directorios) del sistema de ficheros, es un simple contenedor de objetos. No se debe confundir unidad organizativa con grupo de seguridad. La unidad organizativa sólo está concebida como contenedor de objetos. Su definición exacta es: unidad jerárquica inferior del dominio, puede estar compuesta por una serie de objetos, por otras unidades organizativas o por ambas.