Editor de Directivas del Sistema

NOTAS INICIALES

Una cuestión típica a la hora de compartir un ordenador entre varios usuarios es la de

poder restringir lo que unos y otros pueden hacer, o a lo que tienen o no tienen acceso.
Un padre que quiere dejar jugar a sus hijos, pero no quiere que le destrocen la
configuración. Un hermano pequeño al que queremos dejar "tocar" el ordenador, pero
sin que pueda "romper" nada. Ese ordenador de la oficina en el que estás cansado de
colocar el escritorio a tu gusto... y unas cuantas situaciones parecidas más.

Para resolver todos estos casos existe una solución que está perdida en el CD-ROM de
instalación de Windows. Se llama POLEDIT, y se puede utilizar así...

ENTRAMOS EN MATERIA

¿Que es POLEDIT?

[Link], o el "Editor de Directivas del Sistema" es una utilidad de Microsoft

diseñada para personalizar "el perfil" de un usuario. Esta utilidad está pensada para
configurar máquinas que trabajan en red, pero nada nos impide que se utilice "en local"
sin disponer de ella.

Eso de "el perfil" no es más que una serie de parámetros internos de Windows que
permiten restringir el acceso a ciertos servicios, personalizar opciones de usuario,
activar o desactivar ciertas funciones, o hacer que estas se comporten de una forma
determinada. Naturalmente, casi todos esos parámetros están en el registro. En última
instancia POLEDIT no es más que eso, un editor del registro, pero que usa una plantilla
que sólo muestra ciertas partes, y mediante la cual la edición de sus parámetros se hace
de forma controlada.

La utilidad puede trabajar de dos formas diferentes. Una de ellas es en modo "edición
directa del registro". En este modo los cambios que se hacen al registro se inyectan
directamente y tienen efecto de inmediato, o como mucho tras reiniciar o cerrar la
sesión. El otro modo es el de "edición de perfiles". Las opciones de configuración son
las mismas que en el "modo directo", pero las modificaciones no se hacen sobre el
registro, sino sobre un archivo que posteriormente se inyecta al registro como si se
tratase de un típico archivo de extensión REG. Activar y utilizar correctamente esta
forma de trabajo de POLEDIT es un poco enrevesada, pero ofrece unas posibilidades de
configuración que bien merecen el esfuerzo.

Como ya he comentado antes POLEDIT edita el registro usando una plantilla. Esa
plantilla no es más que un archivo de texto modificable con el bloc de notas. Estos
archivos suelen ser de extensión ADM y es imprescindible tener uno de ellos para poder
usar la utilidad.

¿Dónde está POLEDIT?

1
Podrás encontrar la utilidad POLEDIT y alguna plantilla lista para utilizar en el CD-
ROM de instalación de Windows. Dependiendo de la versión de Windows estará en...

WINDOWS 95

<cdrom>\ADMIN\APPTOOLS\POLEDIT

WINDOWS 98

<cdrom>\TOOLS\RESKIT\NETADMIN\POLEDIT

WINDOWS 98 SE

<cdrom>\TOOLS\RESKIT\NETADMIN\POLEDIT

WINDOWS MILLENNIUM

En la versión OEM no aparece. El que lo encuentre que me diga dónde está.

La instalación no requiere nada especial. Puedes copiar el contenido de la carpeta

POLEDIT del CD-ROM directamente a tu disco duro y poner un acceso directo en tu
menú Inicio, o puedes pulsar el botón secundario sobre le archivo [Link], y en
el menú que aparecerá seleccionar la opción "instalar". Con la primera opción se
copiarán todos los archivos desde el CD-ROM y con la segunda sólo los necesarios.

Primer arranque

La primera vez que inicies POLEDIT te pedirá que selecciones una plantilla a través de
la que poder editar el registro. Te recomiendo que selecciones [Link], que es
una de las más completas de las que tienes disponibles (sólo para usuarios W98).

Si no se selecciona una plantilla, POLEDIT arrancará, pero no se podrá hacer nada más
que mirar las opciones del menú.

Modo de edición

Una vez seleccionada una plantilla (recomendablemente [Link]) se tendrá

acceso a todas las funciones de POLEDIT.

2
Atento al detalle de la barra de título del programa. En ella se puede ver el modo de
trabajo actual. Si aparece "Registro local", indicará que estamos en el modo de edición
directa del registro, y si aparece un nombre de archivo, o "(Sin título)" indicará que
estamos en el modo de edición de perfiles.

Edición directa del registro

Comenzaremos por lo más sencillo, que es editar directamente el registro. Para ello se
selecciona la opción del menú "Archivo > Abrir registro". Aparecerán dos iconos en la
ventana de POLEDIT. Uno de ellos tiene por nombre "Usuario local" y el otro "PC
local". La razón de ser de estos dos iconos es que el registro de Windows se divide en
dos partes bien diferenciadas. Una parte incluye las claves, parámetros y valores que
afectan a la totalidad del equipo (la presencia de un dispositivo hardware o la ruta de
instalación de un programa, por ejemplo) y la otra parte del registro recoge los valores
personalizables por el usuario (la posición de una ventana o los colores del escritorio,
por ejemplo).

Usuario local

Si pulsas dos veces sobre el icono "Usuario local" que aparece en esa ventana se
mostrará la típica ficha de propiedades. Ojo, desde este momento estás editando el
contenido del registro...

Los parámetros modificables se muestran en una estructura de árbol que los agrupa por
temas. Me parece que las opciones disponibles se explican por si solas. Lo único que

3
debes tener en cuenta es que... si no estás seguro de lo que hace una opción "NO LA
TOQUES". Para que los cambios que hagas tengan efecto deberás pulsar el botón
"Aceptar" de la ficha de propiedades y seleccionar la opción del menú "Archivo >
Guardar", y muy posiblemente reiniciar el sistema o cerrar la sesión. 

Por si se plantean dudas sobre el significado de las opciones aquí tienes una breve
descripción de los bloques principales:

Panel de control

Desde este bloque se aplican casi todas las restricciones que afectan al Panel de Control.
Principalmente las restricciones consisten en hacer desaparecer las fichas de
propiedades típicas de los iconos del Panel de Control.

Escritorio

Desde este bloque se configuran un par de detalles sobre la apariencia del escritorio.

Red

Desde este bloque se activa y desactiva la opción de "Compartir" que aparece en el

menú de contexto cuando estamos en red.

Shell - Carpetas personalizadas

Desde aquí se pueden personalizar las rutas de algunas carpetas que forman parte del
perfil del usuario. Mucho ojo con lo que tocas, que te puedes quedar sin menú Inicio
muy fácilmente.

Shell - Restricciones

En este bloque se encuentran las opciones más sabrosas a la hora de poner restricciones
a la utilización del equipo. Creo que las opciones de este apartado se explican ellas solas
por sus nombres.

Sistema

Las opciones de este bloque señalan restricciones un poco más severas. Sobre todo,
mucho cuidado con la opción que limita la ejecución de aplicaciones a las "compatibles
con Windows". Al marcar esta casilla se impide automáticamente la ejecución de
cualquier programa que no esté incluido en la lista. Si juegas con esta opción asegúrate
de incluir en esa lista [Link] y [Link], o de otra forma no podrás
desactivar las restricciones.

PC local

El otro icono que aparece en la ventana de POLEDIT es el de "PC local". Pulsándolo

dos veces aparece esta ficha de propiedades...

4
Como en el caso de las opciones del "Usuario local" las descripciones de las casillas
explican perfectamente su función, así que no me detendré en explicaciones que me
parecen innecesarias. Se debe tener en cuenta que casi todas las restricciones aplicables
están enfocadas al trabajo en red, así que no te sorprendas si encuentras opciones sin
sentido para el ordenador de casa. La máxima aplicable para configurar las casillas de
esta ficha de propiedades es la de siempre... si no estás seguro de lo que hace una opción
"NO LA TOQUES". Para que los cambios que realices tengan efecto deberás pulsar el
botón "Aceptar" de la ficha de propiedades y seleccionar la opción del menú "Archivo >
Guardar", y muy posiblemente reiniciar el sistema o cerrar la sesión.

Edición de perfiles

El otro modo de funcionamiento de POLEDIT es el de "edición de perfiles". La plantilla

puede ser la misma que se usa para el modo de "edición directa" del registro, así que las
opciones de configuración disponibles serán las mismas. La diferencia está en que las
modificaciones no se hacen directamente sobre el registro, sino que se guardan en un
archivo de extensión POL que se inyecta en el registro en un momento muy concreto.
Primero veremos como se crea un archivo POL, y después veremos cómo y dónde se
inyecta ese archivo en el registro.

Crear un archivo POL

Si seleccionas la opción del menú "Archivo > Nuevo archivo" aparecerán dos iconos
con los nombres "Usuario predeterminado" y "PC predeterminado". Si pinchas dos
veces sobre uno de ellos se abrirá la ficha de propiedades desde la que podrás crear una

5
configuración personalizada, tanto para el usuario como para la máquina. Hasta aquí no
existen diferencias con respecto al modo de edición directa del registro. Lo único digno
de mención es que ahora las casillas de las opciones tienen tres estados en lugar de los
dos (con marca o sin ella) que tienen normalmente.

 La casilla con la marca puesta indica una opción activada.

 La casilla sin marca indica una opción desactivada.
 La casilla en gris indica una opción que se dejará tal y como está en el registro
actualmente, es decir, que no se modificará su actual estado de activación o
desactivación (lo que no sepas para que sirve debes dejarlo así).

Añadir usuarios, PCs y grupos

Esta opción puede resultar un poco chocante, pero no se debe olvidar que la razón de ser
de POLEDIT es configurar entornos de red, y en un entorno de red existen varios
usuarios que pueden estar organizados en grupos de trabajo y que pueden utilizar varios
ordenadores. Desde la opción del menú "Edición > Agregar usuario..." se pueden añadir
tantos como sea necesario. Lo mismo se pude hacer para añadir PCs y grupos de
trabajo, pero estas dos últimas opciones son poco interesantes para un usuario
doméstico, que suele tener un único PC compartido por todos los miembros de la casa.

Pensando en ese caso de un único PC compartido por varios usuarios, vamos a crear un
perfil de restricciones para cada uno de ellos que nos permita controlar lo que pueden y
no pueden hacer. Se supone que has activado la opción de "Compartir el equipo por
varios usuario" desde el Panel de Control, y que ya has creado tantos usuarios como
necesitas. No es imprescindible hacerlo antes, pero ayuda a organizar el trabajo.

Desde la opción del menú "Edición > Agregar usuario..." se añaden tantos usuarios
nuevos como quieras configurar, teniendo en cuenta que el nombre que pongas a cada
uno de ellos debe coincidir exactamente con el nombre que tiene como usuario de
Windows.

Si te fijas, cada nuevo usuario ha heredado el perfil que tenía el "Usuario

predeterminado" en el momento de ser creado. Esa es la única función del "Usuario
predeterminado", servir de patrón al perfil de los nuevos usuarios que se vayan creando,
tanto desde POLEDIT, como desde la ventana de usuario/contraseña en el inicio de
sesión si se pone un nombre de usuario que no existía hasta el momento.

Es necesario hacer una matización sobre el significado de los tres posibles estados de las
casillas en el caso del perfil de un usuario diferente del "predeterminado":

 La casilla con la marca puesta indica una opción activada.

 La casilla sin marca indica una opción desactivada.

6
  La casilla en gris indica que su estado final se tomará de cómo este esa misma
casilla en el "Usuario predeterminado". Es decir, si el "Usuario predeterminado"
tiene la casilla marcada los usuarios que la tengan en gris heredarán ese mismo
valor. Ojo a este detalle, que puede confundir. Una casilla gris en el perfil de un
usuario no indica que se deja el registro como estaba, indica que se pone el valor
que tenga el "Usuario predeterminado".

Y una buena noticia, el perfil de un usuario se puede copiar en el de otro usando las
opciones del menú "Edición > Copiar" y "Edición > Pegar".

Una vez creado el nuevo archivo de configuración de perfiles, y ajustadas las opciones
de cada uno de ellos, se debe guardar en disco usando la opción del menú "Archivo >
Guardar". Para evitar problemas te recomiendo que uses un nombre de ocho letras como
máximo y que no tenga símbolos extraños ni letras acentuadas. La ubicación del archivo
no tiene mucha importancia, pero un buen sitio para dejarlo puede ser la carpeta
\WINDOWS\PROFILES, que es donde se guarda todo lo referente a las
configuraciones de los usuarios (menú, escritorio, registro, etc.).

Inyectar el archivo POL en el registro

Una vez que tienes creado el archivo POL con los perfiles de los usuarios del equipo se
debe hacer que Windows lo lea. Para ello sigue estos pasos:

1. Desde cualquier usuario ejecuta POLEDIT

2. Asegúrate de estar usando la plantilla "[Link]"
3. Selecciona la opción del menú "Archivo > Abrir registro"
4. Pincha dos veces sobre el icono "PC local"
5. Abre la rama "Red > Actualizar"
6. Marca la casilla "Actualización remota"
7. Selecciona el "Modo de Actualización" en "Manual"
8. En el campo de "Ruta" escribe el nombre del archivo POL con su ruta completa
9. Pulsa en botón "Aceptar" de esta ficha de propiedades
10. Guarda las modificaciones en el registro con la opción del menú "Archivo >
Guardar"

7
Puede parecer un proceso sin sentido, pero es la forma de hacer que Windows lea el
contenido del archivo POL en cada inicio de sesión de cada usuario, y que inyecte en el
registro las restricciones que contenga. Además, hacerlo de esta forma tiene una ventaja
adicional. Si decides cambiar las restricciones de un usuario, sólo tendrás que modificar
su perfil en el archivo POL, y la próxima vez que ese usuario inicie su sesión Windows
inyectará el nuevo perfil sin que tú tengas que preocuparte de nada más. Esto también es
aplicable si lo que haces es añadir un nuevo usuario.

Una precaución para evitar problemas:

Asegúrate de que en el archivo POL, en el perfil del "PC predeterminado", no modificas

el estado de estas casilla y campos. Lo mejor es dejar la marca de "Actualización
remota" en gris.

El usuario por defecto de Windows

Se supone que todo esto lo estás haciendo sobre un equipo en el que está activado el
mecanismo de "Múltiples usuarios". En esta situación, al iniciar Windows, aparece la
famosa ventana de usuario/contraseña. En esta venta Windows te invita a escribir o
seleccionar un nombre de usuario, y ocasionalmente a poner su contraseña. Si se usa un
nombre de usuario existente se iniciará la sesión en un Windows personalizable por ese
usuario, y controlable con los perfiles creados con POLEDIT.

Esta situación sería casi perfecta de no ser por un pequeño contratiempo. Si en esa
famosa ventana de usuario/contraseña se pulsa la tecla <Escape> o el botón "Cancelar",

8
Windows inicia una sesión para un usuario sin nombre que no es controlable con los
perfiles de POLEDIT... triste pero cierto.

La única forma de aplicar restricciones con POLEDIT a ese "usuario por defecto" es
con el modo de edición directa del registro en una sesión iniciada por ese usuario.

Particularmente yo no me entretengo en aplicar restricciones a ese usuario.

Directamente "elimino" la posibilidad de iniciar su sesión. Pare ello utilizo uno de mis
trucos, concretamente el de "Salir de Windows con un batch". El truco consiste en
cerrar esa sesión tan pronto como se inicia, de forma que se regrese inmediatamente a la
ventana de usuario/contraseña o se salga de Windows.

Se puede hacer de muchas maneras. La más sencilla es esta...

 Abre una ventana del Explorador de Windows

 Localiza la carpeta \WINDOWS\Menú Inicio\Inicio
 Coloca en ella un acceso directo con el siguiente contenido...
o Para Windows 95
[Link] [Link],ExitWindows
o Para Windows 98
[Link] [Link],SHExitWindowsEx 0

Otra forma un poco más sofisticada, y algo más segura, es colocar estas instrucciones en
el registro...

 Desde cualquier usuario con permiso para ello ejecuta REGEDIT

 Localiza la clave...
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Ru
n]
 Crea un valor de cadena de nombre "BloquearUsuario"
 Asigna a ese valor de cadena el siguiente contenido...
o Para Windows 95
[Link] [Link],ExitWindows
o Para Windows 98
[Link] [Link],SHExitWindowsEx 0
 Cierra REGEDIT

Con cualquiera de estas dos opciones se consigue que ese "usuario por defecto" de
Windows, que no podemos controlar con POLEDIT, quede anulado.

NOTAS FINALES

Si todo nos ha salido bien, cuando un usuario de un equipo en el que se ha usado

POLEDIT para aplicar restricciones intente hacer algo que hemos decidido no dejarle
hacer, debería ver ventanas de aviso como estas...

9
Estoy seguro de que existen más formas de utilizar POLEDIT, y de que un
Administrador de Red conoce una docena de utilidades y trucos para mejorar lo que se
puede hace con esta sencilla aplicación. Pero mi intención al escribir esta guía ha sido
hacerlo fácil, y no emplear nada más que lo que está disponible en el CD-ROM de
instalación de Windows.

Creo que este texto cumple perfectamente su cometido como iniciación al tema del
control de usuarios, configuraciones múltiples y seguridad local de un equipo.

Elisoft © 04-11-2000

10
Windows un poco más seguro (el uso de Poledit)
[Link]

Por José Luis López

Nota: El siguiente artículo se aplica a Windows 95 y 98

Solemos hablar siempre de los problemas de seguridad que afectan a nuestro PC cuando compartimos
nuestros recursos con Internet, en forma consciente o no.

Sin embargo, tal vez sean muchos más los casos en los que compartimos nuestra computadora con otras
personas, y me refiero a su uso desde el teclado. Esto puede darse tanto a nivel hogareño (con un pariente,
un padre o un hijo, o un hermanito menor), como en el trabajo.

Muchas veces, estas condiciones pueden hacer que nuestro PC pueda quedar vulnerable por el borrado de
un programa, el cambio de configuración de un antivirus o de un cortafuegos, o simplemente nos moleste
que nos cambien la configuración del escritorio que tanto trabajo nos llevó optimizar.

Lamentablemente, la plataforma Windows 9x no posee por defecto rasgos de seguridad eficaces para
evitar esto. Cualquiera que se siente frente al teclado, puede modificar archivos de configuración
importantes, lo que puede provocar incluso la falla de nuestra computadora.

No vamos a entrar en una discusión de conceptos, pero seguro Microsoft siguió criterios muy estudiados
para no incluir estos rasgos por defecto. Quienes están en el tema de la seguridad, saben por experiencia
que implementar un sistema seguro no es una tarea que deba quedar en manos de usuarios sin
experiencia, porque la modificación de parámetros vitales suele causar más problemas que soluciones.

Pues bien, Windows si incorpora una herramienta de seguridad medianamente poderosa, pero ésta no se
instala por defecto.

Esta herramienta es el "Poledit", o "Editor del plan de sistema" (System Policy Editor). Está pensado para
ser usado por administradores de sistemas, aunque es útil para cualquier usuario cuyo PC sea compartido
por otras personas, particularmente alumnos o niños con espíritu aventurero.

Aunque Poledit no es una herramienta complicada de usar, debemos recordar las razones por las cuáles
Microsoft no la incluye por defecto. Poledit toca configuraciones claves del registro, y su mal uso puede
provocar la reinstalación del sistema. No olvide esto si desea seguir leyendo.

Esta herramienta no se carga jamás en la instalación de Windows, ni aún en una instalación

personalizada. Debemos instalarla nosotros desde el CD de Windows. Sin embargo, una primera cosa que
recomendamos, es no copiar esta herramienta al disco duro, sino utilizarla siempre desde allí. Esto nos
asegura que cada vez que debamos hacer un cambio, sea necesario introducir el disco de instalación, y
nos da un factor más de seguridad ante usuarios que se crean listos y quieran deshacer algunos cambios.

Las versiones que vienen con Windows 95 y 98 son diferentes. Si bien la primera es más fácil de usar en
algunas opciones, la segunda agrega lo necesario para tener cierto control sobre Internet, el correo
electrónico, etc.

Aunque no es necesario usar la versión que vino con nuestro sistema, se recomienda usar la que
corresponda.

Los cambios realizados por Poledit en una computadora individual, normalmente son globales, aunque se
pueden utilizar "perfiles" si la PC es usada por diferentes usuarios, con claves diferentes.

Por otra parte, debe tener en cuenta que es conveniente implementar solo las restricciones que desea, y no
todas. Poner demasiadas restricciones, también puede entorpecer su uso diario, causando efectos
contrarios a los que se pretende.

Básicamente, Poledit genera una serie de plantillas, que implementan el control de cosas como el Panel de

11
control, el escritorio, el acceso a archivos y a los discos, etc.

Se puede por ejemplo, esconder las lengüetas de Fondo, Apariencia y Configuración en el panel de
Propiedades de pantalla. Todo intento para acceder a estas opciones con ciertos atajos que algunos
usuarios puedan conocer, será detenido con un mensaje de advertencia sobre que esas características han
sido deshabilitadas por el administrador del sistema.

También se puede restringirse en su uso, o desactivar, las opciones como Entorno de red (y Redes),
Impresoras, Contraseñas y Sistema, incluido el Administrador de dispositivos y Perfiles de hardware.

La apariencia del escritorio, el color de fondo, la ubicación de los iconos, y otros parámetros
relacionados, pueden ser bloqueados para que no sean modificados, ni aún intentando copiar en forma
directa un papel tapiz en la carpeta de Windows correspondiente (dicho sea de paso, una buena medida
que detendría también la acción de algunos virus).

Los ítems Ejecutar del menú Inicio, Opciones de carpetas y Barra de tareas y menú de inicio del menú
Inicio, Configuraciones, también pueden ser deshabilitados. Esconder las unidades de disco en Mi PC,
impedir se agregue algo al escritorio, o que se graben las modificaciones del mismo en el próximo
reinicio de Windows, son otras de las posibilidades.

Para prevenir cualquier intento de sabotaje, Poledit también puede detener el uso de herramientas que
permitan realizar cambios en el registro, así como bloquear aquellos programas de DOS que intenten
ejecutarse en una sesión MS-DOS, o que Windows se pueda reiniciar en ese modo.

Antes de utilizar Poledit, es conveniente realizar un respaldo del registro de Windows, para ello siga estos
pasos:

1. Vaya a Inicio, Ejecutar, y teclee REGEDIT (más Enter).

2. Seleccione el menú Registro, Exportar archivo de registro

3. Grabe el contenido del registro (todo) en un archivo cualquiera ([Link] por ejemplo). Este
proceso puede demorar unos segundos, y generar un archivo en formato texto, de 6 a 10 megas.

Si quisiera volver atrás, o deshacer algún cambio mal hecho, puede pinchar sobre el archivo generado
para recuperar el registro. Por favor, note que de cualquier modo el mal uso de Poledit, puede resultar en
una situación que no pueda ser solucionada de esta manera, debiéndose reinstalar Windows.

Como dijimos, las versiones de Poledit de Windows 95 y 98 son algo diferentes. Incluso su ubicación es
diferente.

En Windows 95 lo puede hallar en siguiente carpeta del CD: \ADMIN\APPTOOLS\POLEDIT (la

versión de disquete no lo trae).

En Windows 98, se encuentra en \TOOLS\RESKIT\NETADMIN\POLEDIT

Aunque también puede bajarse del sitio de Microsoft, recuerde que su instalación en el disco duro es algo
que no recomendamos, ya que de lo contrario cualquiera podría ejecutarlo, deshaciendo los cambios.

Los cambios realizados afectan en forma global a toda la computadora. Si utiliza diferentes perfiles,
ingrese en ellos, y realice los cambios en forma individual.

Estos son los pasos para ejecutar POLEDIT.

1. Ejecute el programa principal en su PC, desde el CD. Para ello, seleccione Mi PC, Panel de control,
Agregar o quitar programas y pinche en el botón Instalar.

2. Seleccione Siguiente, Examinar, y busque la carpeta del CD mencionada antes, donde se encuentra el
archivo [Link]. Siga los pasos de la instalación.

12
También puede crear un acceso directo al archivo [Link].

En Windows 95, se le pedirá abrir un archivo llamado [Link]. Pinche en Abrir y el editor Plan de
sistema aparecerá en pantalla. En el caso de Windows 98, este aparecerá inmediatamente.

Vaya al menú Archivo, seleccione Abrir registro. Aparecerá PC Local y Usuario Local. Pulse en Usuario
local.

En Windows 95, usted verá una serie de submenús alternativos con las propiedades del Usuario Local que
detallan las áreas de Windows que usted podrá controlar.

En Windows 98, pulsando sobre Usuario Local, aparecerán en Propiedades del Usuario local, Planes, las
opciones Red de Windows 98 y Sistema Windows 98.

Las opciones comunes a ambos son las de Sistema, y bajo ella se despliegan cuatro ramas: Shell, Panel de
control, Escritorio y Restricciones.

Pulse en el "+" al lado de Shell.

Aparecerán las opciones "Carpetas personalizadas" y "Restricciones".

Cada una de las opciones posee una casilla para chequear. Las casillas marcadas se activan, en gris o no
marcadas no se toman en cuenta.

Las opciones posibles son:

En CARPETAS PERSONALIZADAS:
 Carpeta Programas personalizadas
 Iconos del escritorio personalizados
 Ocultar las subcarpetas del menú Inicio
 Carpeta Inicio personalizada
 Entorno de red personalizado
 Menú de Inicio personalizado

En RESTRICCIONES:

 Eliminar el comando "Ejecutar"

 Eliminar carpetas del submenú "Configuración" en el menú Inicio
 Eliminar el comando Barra de tareas del submenú "Configuración" en el menú Inicio
 Eliminar el comando "Buscar"
 Ocultar unidades en "Mi PC"
 Ocultar el icono Entorno de red
 No ver "Red Completa" en el Entorno de red
 Sin tema de trabajo en grupo en Entorno de red
 Ocultar todos los elementos del escritorio
 Deshabilitar el comando "Cerrar el sistema"
 No guardar la configuración al salir

Sugerimos marcar al menos estas opciones:

Eliminar el comando "Ejecutar"

Eliminar carpetas del submenú "Configuración" en el menú Inicio

Ocultar unidades en "Mi PC"

No guardar la configuración al salir

13
Si pinchamos en el "+" de PANEL DE CONTROL, aparecerán estas opciones:

 Pantalla. Restringir la configuración de pantalla (Monitor en el Panel de control). Esto

comprende desactivar panel de control, ocultar página de fondo, de aspecto, de especificaciones,
etc.
 Red. Restringir Red en el Panel de control (deshabilitar el icono, ocultar la carpeta redes, etc.)
 Contraseñas. Restringir Contraseñas en el Panel de control (ocultar configuración, deshabilitar
icono Contraseñas, etc.)
 Impresoras. Restringir la configuración de la impresora (ocultar carpeta impresoras, deshabilitar
agregar o quitar impresora, etc.)
 Sistema. Restringir Sistema en el Panel de control (ocultar Administrador de dispositivos,
perfiles de hardware, sistema de archivos, memoria virtual, etc.).

En Panel de control, pueden aparecen cuatro o cinco opciones de acuerdo a la versión de POLEDIT (aquí
mostramos las que aparecen en la versión para Windows 98 SE).

Sugerimos marcar estas opciones con cuidado, y de acuerdo al uso que le de a la computadora. Usted
mismo podría quedar bloqueado. Actúe con cautela.

Pinchando en el "+" de ESCRITORIO:

 Papel tapiz
 Combinación de colores

En Escritorio, las opciones son muy sencillas. Los usuarios podrán cambiar el Papel Tapiz o la
combinación de colores, pero estas volverán a como usted las tenía al reiniciar.

Pinchando en el "+" de RESTRICCIONES:

 Deshabilitar las herramientas de edición del registro

 Ejecutar únicamente aplicaciones compatibles con Windows (seleccionadas de una lista que
generamos)
 Deshabilitar la interfaz MS-DOS
 Deshabilitar los programas MS-DOS de modo simple, etc.

La parte más crítica son las Restricciones. Esto previene el uso de herramientas como el propio POLEDIT
(cuidado con esto). Detiene los programas de MS-DOS que se ejecutan en una ventana o el reinicio del
PC en modo MS-DOS.

También puede especificar que programas pueden ser usados en su PC. Esto merece la pena si el PC
puede ser usado por personas que puedan ejecutar programas o utilidades que usted no desea. Cuando
marque esta opción, aparecerá otra para agregar las aplicaciones que desea ejecutar. Pero debe saber muy
bien cuáles son y donde están. Es más fácil que desinstale los programas que usted no desea ejecutar y
que luego con el POLEDIT desactive la opción Inicio, Ejecutar, y oculte las unidades de disco.

Si vamos a la opción Red Windows 98, podemos deshabilitar la posibilidad de compartir archivos e
impresoras.

Esto depende del uso que le de a su computadora.

Y finalmente, después de poner todas sus restricciones, al salir del Editor plan de sistema, se le preguntará
si desea hacer los cambios en el registro de configuraciones. Confirme que SI, si REALMENTE desea
que se apliquen las modificaciones y reinicie su PC.

¡CUIDADO!. De acuerdo a las restricciones que usted mismo imponga, podrá o no volver a ejecutar
POLEDIT. Sea cuidadoso en esto. Tal vez lo mejor sea crear un acceso directo a la herramienta
POLEDIT (en el CD, recuerde, no lo copie al disco duro). Al menos, podrá guardar el CD en un lugar
seguro para que nadie pueda hacer los cambios sin su consentimiento (pinchar sobre este acceso directo

14
sin el CD puesto, solo dará un mensaje de error).

Y como último recurso, si algo falla, intente ingresar a Windows, y pinche sobre el archivo
[Link] que creó antes, para poder recuperar la configuración anterior.

Protección de Carpetas y archivos con permisos.

1.- Creación de Usuarios

Para ver la ayuda de Creación de usuarios locales ve a la

carpeta \WINDOWS\Help y doble clic sobre el archivo
[Link] y [Link]

En principio vamos a crear cuatro usuarios, Adan, Eva, Ping y Pong :

Inicio/Panel de Control/Cuentas de usuario/

Crear una cuenta nueva/Adan/ x Limitada.

Cambiar una cuenta/Cambiar la contraseña/adan

Crear una cuenta nueva/Eva/ x Limitada.

Cambiar una cuenta/Cambiar la contraseña/eva

Crear una cuenta nueva/Ping/ x Limitada.

Cambiar una cuenta/Cambiar la contraseña/ping

Crear una cuenta nueva/Pong/ x Limitada.

Cambiar una cuenta/Cambiar la contraseña/pong

(Ponemos las contraseñas con el mismo nombre de los usuarios, para su fácil
recuerdo.)

Otra forma de crear usuarios es mediante Administración de

equipos :
Formas de entrar en Administración de equipos :

a) Inicio/Panel de control/Rendimiento y
mantenimiento/Herramientas administrativas/Administración de
equipos
b) Inicio/Ejecutar/[Link]
c) Botón derecho sobre Mi PC/Administrar.

Vamos a Usuarios locales y grupos/Usuarios/Botón derecho/Usuario

nuevo ...

15
2.- Creación de Grupos
Ahora vamos a Administración de equipos y vamos a meter a
Adan y Eva en el grupo Biblios y a Ping y Pong en el grupo Pinipones.

Vamos a Usuarios locales y grupos/Grupos/Botón derecho/Grupo nuevo ...

/Nombre del grupo: Biblios/Agregar ... /Seleccionar Usuarios :

Tipos de
Objetos
(Marcar
Todos)

Avanzada
s ....
Buscar
ahora
Elegir
Adan
Aceptar

Agregar
Avanzada
s ....
Buscar
ahora

16
Elegir
Eva
Aceptar

(Se
podrían
haber
agregado
los dos a
la vez,
pulsando,
sin soltar,
la tecla
Ctrl)
 

De la misma forma debes crear un Grupo nuevo, de nombre : Pinipones y

Agregar a Ping y Pong

Si ahora vuelves a Administración de equipos/Usuarios locales y grupos/Usuarios

y pulsas con el botón derecho sobre Adan y luego Propiedades observarás que es
Miembro del Grupo Biblios.

3.- Partición NTFS

Con XP podemos tener los discos formateados con FAT32 o con NTFS.
Se utiliza NTFS para proteger los archivos y carpetas con permisos, o sea,
podemos establecer quién puede ver, leer, escribir, ejecutar esas carpetas o
archivos. También con NTFS podemos poner cuotas a los discos y cifrar
archivos.

Vamos a utilizar NTFS, este tipo de formato para las particiones lo podemos
realizar mientras instalamos Windows XP, o instalar XP con FAT32 y una vez
instalado convertirlo a NTFS.
Es mejor que la partición se cree NTFS en vez de ser convertida. (Ver convert en
Ayuda de Windows)

Hay programas como Partition Magic que nos permite pasar de un tipo de
partición a otra sin perder datos.

XP no tiene herramienta para la conversión inversa, es decir de NTFS a FAT, el

mencionado Partition Magic si lo puede conseguir, pero es una operación que
entraña algún riesgo, por lo que es conveniente hacer copias de seguidad de

17
nuestros trabajos antes de realizarla.

Suponemos que con Partition Magic u otro programa hemos creado una
partición R: con FAT32 y ahora la vamos a pasar a NTFS. (Habría sido mejor
crearla de principio NTFS).

Si hemos instalado R: en FAT32 la podemos convertir a NTFS de esta manera:

Inicio/Ejecutar/cmd
C:\> convert R: /fs:ntfs /v

Reiniciamos.

Para ver como queda nuestro disco vamos a :

Botón derecho sobre Mi PC/Administrar/Almacenamiento/Administración de
discos.

Suponemos que ya tenemos nuestro disco R: con formato NTFS.

Ahora vamos a Mi PC/Botón derecho sobre el disco R:/Propiedades, vemos

varias fichas :
General-Herramientas-Hardware-Compartir-Seguridad.
Si no vemos Seguridad vamos a Herramienta/Opciones de Carpeta
../Ver/Desmarcamos "Utilizar uso compartido simple de archivos"

La ficha Seguridad y los permisos sólo valen para las particiones NTFS.

(Poner pestaña Seguridad en Windows XP Home)

4.- Permisos (NTFS)

Para ver la ayuda de Permisos ve a la carpeta

\WINDOWS\Help y doble clic sobre el archivo
[Link]

Nota: Arriba de esta página puedes encontrar los archivos

[Link] y [Link] que contienen varios
ejercicios sobre éste tema.

Nota: Para aplicar Permisos en un Archivo o Carpeta:

Pulsémoslos con el Botón
derecho/Propiedades/Seguridad.

18
 Si no vemos la ficha Seguridad: (Windows XP Pro)
Herramienta/Opciones de Carpeta.../Ver/Desmarcamos
"Utilizar uso compartido simple de archivos"
(esto lo hacemos como un Administrador)

(Poner pestaña Seguridad en Windows XP Home)

Pulsar ----->>>> Aclaraciones sobre

Permisos.
 

Una vez que tenemos varios usuarios y grupos configurados y una partición
NTFS vamos a crear una carpeta y un archivo con permisos.

Vamos a entrar como el usuario Adan : Inicio/Cerrar Sesión/Cambiar de usuario

: Adan adan

 Vamos a Mi PC y a la partición NTFS R:

 Entramos en R: Creamos una Nueva carpeta R:\CarpetadeAdan
 Entramos en R:\CarpetadeAdan y Creamos un documento de WordPad,
llamado [Link]
 Editamos R:\CarpetadeAdan\[Link] y escribimos dentro
"Este texto ha sido creado por Adán."
 Guardamos el documento.

Adan es el propietario de su carpeta y de su archivo, porque lo ha creado, y

dispone de todos los permisos sobre ellos.

Se trata que :
Eva, que pertenece al Grupo Biblios de Adán pueda leer y escribir la carpeta y el
archivo.
Ping que pertenece al Grupo Pinipones pueda solo leer el archivo y la carpeta.

Adán va a configurar los permisos :

Adán entra en Mi PC/Disco R: NTFS/Botón

derecho/CarpetadeAdan/Propiedades/Seguridad

Agregar
Tipos de objetos ... = Marcar todos
Avanzadas
Buscar ahora
Elegir Biblios

19
Elegir Pinipones

En caso que en Nombres de grupos o usuarios aparezca algo más :

Todos, OWNER, ... lo Quitamos
Si no se puede Quitar vamos a Opciones Avanzadas y desmarcamos
: Heredar del objeto principal las entradas de permisos ....
Ahora en caso que aún siga apareciendo algo más, le quitamos sus
permisos.

Ahora Adán pulsa con el botón derecho

[Link]/Propiedades/Seguridad y configura los permisos igual
que con la carpeta anterior.

Adán puede hacer lo que quiera con la carpeta CarpetadeAdan y con el archivo
DocumentodeAdan.
Eva que pertenece al Grupo Biblios puede Leer y Escribir el archivo y la carpeta
pero no puede Eliminarlos ni cambiarle los permisos.
Ping que pertenece al Grupo Pinipones solo puede Leer el archivo y la carpeta
pero no puede Escribir ni Eliminarlos

Para comprobarlo vamos a Inicio/Cerrar Sesión/Cambiar de usuario (o bien

Tecla <Win>+L)
Vamos poniendo los distintos usuario : Adan, Eva, Ping y Pong observando que
en se cumplen los permisos especificados por Adán.

20
NOTAS :

 Heredar permisos significa que la carpeta actual toma los

permisos de la carpeta a la que pertenece.
 Tengo la carpeta Superior y quiero que sus carpetas inferiores no
hereden los permisos de Superior :
En Superior /Propiedades/Seguridad/Opciones
avanzadas/Modificar/Aplicar en : Solo ésta carpeta
 Tengo la carpeta Superior y quiero que sólo la carpeta inferior1
no herede los permisos de Superior.
En inferior1 /Propiedades/Seguridad/Opciones
avanzadas/Desmarco Heredar del objeto principal las entradas de
permisos...

Cuando desmarcas Heredar del objeto principal ..... sale una ventana, pulsa
Copiar.
Si en nombre de usuario o grupo salen más líneas las podemos eliminar
quitando antes lo de Heredar y Copiar.

Principal es la carpeta Padre

Secundaria es la carpeta Hija

La carpeta Hija hereda los permisos de su Padre

Si no queremos que los herede : En Padre : Aplicar en : Solo ésta carpeta.
O bien en Hija : Desmarcar : Heredar del objeto principal las entradas de
permisos.

Los Administradores pueden cambiar los permisos de cualquier carpeta

pero antes tienen que hacerse propietario de ella :
1.) Entrar como Administrador.
2.) Propiedades/Seguridad/Opciones avanzadas/Propietario/Cambiar
propietario a : Administrador(Juan)

Opciones avanzadas :
1.) X Heredar del objeto ...... = Las subcarpetas que se creen a partir de
ahora heredan los permisos de su carpeta Padre.
2.) X Reemplazar las entradas ..... = Las subcarpetas que ya estén
creadas con otros permisos, cambian sus permisos a las que tiene su
carpeta Padre.

a) Aplicar en ... Si queremos aplicar los permisos sólo a la carpeta actual

y/o a sus subcarpetas y/o archivos

b) Aplicar estos permisos a objetos y/o contenedores sólo dentro de este

contenedor.
= Si queremos que sólo se apliquen a la carpeta actual o queremos que
sus subcarpetas también hereden los permisos. (o sea si marcamos, los

21
 permisos se aplican a las subcarpeta y acaban. Si no lo marcamos se
heredan de subcarpetas a subcarpetas)

Ejercicio propuesto :

Adan debe copiar la Calculadora (C:\Windows\System32\[Link]) en la

CarpetadeAdan de manera que sólo Adan tenga Control total sobre la
Calculadora. Eva puede sólo verla y ejecutarla, pero no puede Cambiar
nombre ni Eliminarla. Y los Pinipones pueden verla cuando entren en la
CarpetadeAdan, pero no pueden Ejecutarla ni Cambiar nombre ni
Eliminarla ni nada.
Se supone que la Calculadora se puede copiar, en caso contrario el
Administrador le copiaría la calculadora en su carpeta.

Resultado :

CarpetadeAdan
Adan tiene :
Control total sobre la CarpetadeAdan
Permisos especiales : Desmarcado : Heredar del objeto ....
Opciones avanzadas/Modificar/Aplicar sólo en esta carpeta.
Eva tiene :
Lectura y Escritura, Mostrar el contenido de la carpeta, Leer.
Pinipones tiene :
Lectura y Escritura, Mostrar el contenido de la carpeta, Leer.

Archivo [Link]
Adan tiene :
Control total
Eva tiene :
Lectura y ejecución, Leer.
Pinipones tiene :
Permisos especiales (Opciones avanzadas) Modificar = Leer Datos

Los permisos también se pueden configurar mediante el Intérprete de comandos

utilizando la orden cacls.
cacls "C:\Windows"

El Administrador puede entrar en todas las carpetas aunque sus propietarios no

le hayan dado permiso.

Vamos a realizar lo siguiente:

Entra Adan, crea una carpeta: R:\Secretos y dentro un archivo [Link]

Quita a todos, salvo a él, de la ventana de permisos, nadie puede ver ni entrar en
su carpeta, ni el Administrador (por el momento).

22
Administración de equipos/Usuarios
Entra el Administrador, locales
intenta leer el y grupos/Usuarios,
archivo [Link]. Nodoble
puedeclic sobre
porque
Ping/Miembro de .... Pinipones y Usuarios
no tiene permisos.

En efecto,
Se hace Ping es miembro
propietario de Pinipones
de la carpeta: y Usuarios.
Propiedades Si le Quitamos
/ Seguridad delavanzadas
/ Opciones Grupo
Usuarios no podrá
/ Propietario / entrar en el sistema. Probar :
el Administrador se hace propietarios de la Carpeta.
Entrar como un
Ahora puede Administrador
ponerse los permisos y Quitar a Ping de
como Control ser miembro de Usuarios.
Total.
Luego
En estos<Win>+L.
momentos NO ESTÁ
puede Ping. a la carpeta de Adán pues ésta ha cambiado
acceder
de propietario.
Entrar como un Administrador y de nuevo Agregar a Usuarios.
¿Porqué los Administradores se pueden hacer propietarios?
Así que está
Porque Pingconfigurada
es miembro endellaGrupo Pinipones
Directiva y del Grupo Usuarios.
de grupo.
Inicio/Ejecutar/[Link]
Directiva Equipo Local/Configuración del equipo/Configuración de
Windows/Configuración de seguridad/Directivas locales/Asignación de derechos
Los Pinipones
de usuarios/ NO owner
Take tienen of
derecho
files oraother
cambiar la hora :
objects

Entra como Ping (<WIN>+L) e intenta cambiar la hora del ordenador =

(Reloj/Botón derecho/Ajustar fecha y hora). NO PUEDE, porque como Usuario
normal y corriente tiene restringido este derecho.

Vamos a darles derecho a los Pinipones para que pueda cambiar la hora :

Entramos como un Administrador. Inicio/Ejecutar/[Link] (Directiva de

grupo)

Directiva Equipo Local/Configuración del equipo/Configuración de

Windows/Configuración de seguridad/Directivas locales/Asignación de derechos
de usuarios/Change the system time : (Doble clic) :
Agregar usuario o grupo/Tipos de objetos ... (Marcas todos)/Avanzadas ...
/Buscar ahora/Elegir Pinipones.

Ahora entramos como Ping (<Win>+L) y observamos que podemos cambiar la

hora : (Reloj/Botón derecho/Ajustar fecha y hora)

23
  

Otros derechos que le podemos otorgar a los Pinipones :

Directiva Equipo Local/Configuración del equipo/Configuración de
Windows/Configuración de seguridad/Directivas locales/Asignación de derechos
de usuarios/

Bypass traverse checking (Saltarse la comprobación de recorrido)

Aunque no le demos permiso de Recorrer carpeta a un usuario, éste podrá
hacerlo si está configurado en esta Directiva.
Perform volume maintenance tasks (Realizar tareas de mantenimiento de
volúmenes) =
Para que pueda Limpiar y Desfragmentar discos.
Shut Down System (Apagar el Sistema) =
Para que pueda apagar el ordenador.
Take owner of files or other objects (Tomar posesión de archivos y otros objetos)
=
Para que pueda hacerse propietario de cualquier carpeta protegida con
permisos.
Denegar el acceso desde la red a este equipo
Para evitar que algún usuario entre en el equipo a través de la red.
Inicio de sesión local
Los usuarios aquí configurado pueden acceder en el equipo local.

(Ir a Inicio/Ayuda y escribir: privilegios)(Mirar en "Coincidencia de

búsqueda...")

24
Ahora vamos a seguir estudiando la Directiva de grupo ([Link])

Esto que sigue se le aplica a todos los que utilizan el ordenador.

Configuración del equipo/Configuración de Windows/Archivos de comandos

(inicio/apagado)
Establece que un programa se ejecute en el Inicio o en el Apagado.

Vamos a realizar un ejercicio :

En C:\ creamos dos archivo por [Link] llamado uno [Link] y otro
[Link] con estas órdenes :

[Link]
echo "Encendido ... " >>
C:\[Link]
TIME /T >> C:\[Link]

[Link]
echo "Apagado ... " >>
C:\[Link]
TIME /T >> C:\[Link]

Vamos a Configuración del equipo/Configuración de Windows/Archivos de

comandos (inicio/apagado)/Inicio Agregamos C:\[Link]
Vamos a Configuración del equipo/Configuración de Windows/Archivos de
comandos (inicio/apagado)/Apagado
Agregamos C:\[Link]

Cada vez que encendamos o apagemos el ordenador, se grabará la hora en el

archivo :
C:\[Link]

(Si en cada uno de los archivos anteriores añade: DATE /T >> C:\[Link]
también se grabará la fecha)
C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\StartupWINDOWS\System3
2\GroupPoli

Sigamos viendo algunas opciones de la Directiva de grupo :

Configuración del equipo/Configuración de Windows/Configuración de

seguridad/Directivas de cuentas/Directivas de contraseñas = Se establece
vigencia, longitud, complejidad de la contraseña.

Configuración del equipo/Configuración de Windows/Configuración de

seguridad/Directivas de cuentas/Directivas de bloqueo de cuentas = Si un usuario

25
falla varias veces (Umbral) al poner su clave, se le bloquea su cuenta durante un
tiempo.

Configuración del equipo/Configuración de Windows/Configuración de

seguridad/Directivas locales/Directivas de auditorías = Para que los informes de
los errores, inicios, sucesos, cambios, ... se guarden en un archivo.

Para ver la ayuda de Seguridad local ve a la carpeta

\WINDOWS\Help y doble clic sobre el archivo [Link]

Configuración del equipo/Configuración de Windows/Configuración de

seguridad/Directivas locales/Opciones de seguridad =
Cambiar nombre de cuenta de invitado
Cambiar nombre de cuenta de administrador
Dispositivos : permitir formatear y expulsar medios extraibles
Restringir el acceso a disquetes (Solo a los usuario, el Administrador puede entrar.
Reiniciar)
Restringir el acceso a CDROM (Solo a los usuario, el Administrador puede entrar)
Inicio sesión interactiva : pedir a los usuarios que cambien contraseña antes que
caduque
Inicio sesión interactiva : Textos a todos los usuarios que inician la sesión (Poner
Título !!!)
Inicio sesión interactiva : Título en el mensaje anterior (Debe estar junto con la
anterior)
Servidor de red : Desconectar de la red después de 15 minutos.
Apagado: permitir apagar el sistema sin tener que iniciar sesión

Configuración del equipo/Configuración de seguridad/Directivas

locales/Asignación de derechos/Tener acceso a este equipo desde la red.

Configuración del equipo/Configuración de Windows/Configuración de

seguridad/Directiva de restricción de software/Reglas adicionales Puedes hacer
que unos programas no se ejecuten, cuidado. Ver más adelante en esta misma
página.

Configuración del equipo/Plantillas administrativas/Sistema/Quitar mensaje de

estado de Inicio/Apagado

Configuración del equipo/Plantillas administrativas/Sistema/Mensajes de estado

detallados

Configuración del equipo/Plantillas administrativas/Sistema/No permitir que

estos programas se ejecuten desde la Ayuda

Configuración del equipo/Plantillas administrativas/Sistema/Desactivar

reproducción automática de CDROM

26
Configuración del equipo/Plantillas administrativas/Sistema/Secuencia de
comandos/Hacer visible las instrucciones en los archivos de comandos de inicio y
cierre

Configuración del equipo/Plantillas administrativas/Sistema/Inicio de sesión/No

mostrar pantalla de bienvenida (No sale con Windows XP)

Configuración del equipo/Plantillas administrativas/Sistema/Inicio de

sesión/Usar siempre inicio clásico

Configuración del equipo/Plantillas administrativas/Sistema/Inicio de

sesión/Ejecutar estos programas en el inicio

Configuración del equipo/Plantillas administrativas/Sistema/Cuotas de discos

Habilitar (Habilitar cuota, Aplicar un límite y Límite de cuota). Reiniciar.
En partición NTFS ver Propiedades/Cuota. En Valores de Cuota poner una
cuota a cada usuario o grupo.

Configuración del equipo/Plantillas administrativas/Sistema/Asistencia remota

Configuración del equipo/Plantillas administrativas/Sistema/Restaurar el

sistema

IMPORTANTE:

Configuración de usuario/Plantillas administrativas = Desde aquí puedes

configurar distintos elementos de Windows como Menú inicio, Escritorio,
Panel de control, Carpetas compartidas, Red, Sistema y Componentes de
Windows.

Por ejemplo:

- Bloquear el Registro de Windows:

Inicio/Ejecdutar/[Link]
Configuración de usuarios/Plantillas Administrativas/Sistema/Impedir el acceso
a herramientas de edición de Registro

Para ejecutar un programa dentro de un usuario pero como otro

usuario : Pulsar Mayúscula y botón derecho sobre la aplicación,
luego Ejecutar como ...
O bien runas /user:miordenador\administrador [Link]

27
 Directiva de restricción de software

Para ver la ayuda de Directiva de restricción de software ve a

la carpeta \WINDOWS\Help y doble clic sobre el archivo
[Link] y [Link]

Con esto podemos hacer que un programa no se pueda ejecutar.

En Inicio/Ejecutar/[Link]
Configuración del equipo/Configuración de Windows/Configuración de
seguridad/Directiva de restricción de software/Reglas adicionales - Panel derecho -
Regla de nueva ruta ...

Vamos hacer que la Calculadora no se pueda ejecutar.

Pulsemos sobre el Panel derecho con el Botón - Regla de nueva ruta ... En
Examiniar poner la ruta de la Calculadora C:\Windows\System32\[Link]
En Nivel de seguridad : No permitido. - Aceptar- Inicio/Cerrar Sesión - Entrar de
nuevo.

Ahora no podrás ejecutar la Calculadora.

En Configuración del equipo/Configuración de Windows/Configuración de

seguridad/Directiva de restricción de software/Obligatoriedad Podemos poner que
estras restricciones sean para todos o exceptuar a los Administradores.

En Configuración del equipo/Configuración de Windows/Configuración de

seguridad/Directiva de restricción de software/Tipos de archivos Aquí puedes
poner los tipos de archivos que admitirán las restricciones.

Si una aplicación está restringida mediante la "Regla de restricción de ruta" y esa

aplicación la cambiamos de carpeta, ésta última copia no está restringida.

Hash

Con la restricción de software "Tipos de archivos" y "Regla de nueva ruta", si

colocamos el archivo restringido en otra carpeta, lo podremos ejecutar en esa
carpeta, para evitarlo se utiliza otro tipo de restricción llamada de código hash,
que consiste en ponerle un código a la aplicación de tal manera que no se pueda
ejecutar desde ninguna carpeta.

Configuración del equipo/Configuración de Windows/Configuración de

seguridad/Directiva de restricción de software/Reglas adicionales - Panel derecho -
Botón derecho - Regla de nuevo hash ...

En Examinar buscamos una aplicación y en Nivel de seguridad : No permitido.

-Cerrar la sesión.

28
Ahora esa aplicación no funcionará aunque la cambiemos de carpeta.

Para comprobarlo toma la calculadora y el Bloc de notas, cópialos a una carpeta,

aplícale a la calculadora la Regla de hash y al Bloc de notas la Regla de nueva ruta.
Cierra la sesión. Entra de nuevo. Intenta ejecutarlas. No podrás ejecutar ninguna
de las dos. Ahora cámbialas de carpeta, podrás ejecutar el Bloc de notas pero la
Calculadora seguirá sin poderla ejecutar por tener Regla de hash (Lo peor de las
reglas de hash es que si modificas el archivo, pierde su código hash).

¿Para qué puede servir la regla de hash?

Pues para que un virus conocido nos avise cuando pretende activarse.

Debemos conocer y tener el archivo del virus, por ejemplo: [Link].

Le aplicamos la Regla de Hash al archivo del virus --> Examinar --> [Link]. y
nos dará un código. Ejemplo:
Hash del archivo: cc1f2257387723fe8666059e3565f8db:115200:32771.

Sabiendo que ese programa-virus genera ese código hash. Iremos a todos los
ordenadores y en la directiva de restricción de software/Reglas adicionales/Reglas
de nuevo hash pondremos ese código y le asignamos un Nivel de seguridad: No
permitido. (Cerrar sesión para aplicar cambios)

Ahora ese virus, [Link], no se podrá ejecutar en ningún ordenador que tenga
su código hash.

¿Qué cambios hace el Administrador de grupo en el

Registro de Windows ?
Podemos consultar esta página: Claves modificadas por el Administrador de
grupo.

6.- Auditorías

Para ver la ayuda de Auditar ve a la carpeta

\WINDOWS\Help y doble clic sobre el archivo [Link]

Auditar significa recopilar información de diversos sucesos que ocurren en el

ordenador.

Para Auditar vamos a Inicio/Ejecutar/[Link]

Configuración del equipo/Configuración de Windows/Configuración de

seguridad/Directivas locales/Directivas de auditorías

29
Vamos a Auditar:
Auditar el acceso a objetos ----------------------------> Esto auditará el paso por
archivos y carpetas
Auditar sucesos de inicio de sesión -----------------> Esto auditará inicio de sesión
Auditar sucesos de inicio de sesión de cuenta ---> Esto auditará inicio de sesión

Marcamos Aciertos y errores.

Ahora el Administrador va a una carpeta de un usuario, por ejemplo una carpeta

del usuario Adan.
Botón derecho/Propiedades/Seguridad/Opciones avanzadas/Auditorías -->
Agregar al usuario que se quiere auditar en esa Carpeta, por ejemplo vamos a
auditar a Eva. Luego marcamos que vamos a auditar(Las lectura, las escritura, los
recorridos de carpteta, ....).

A partir de ahora cada vez que el usuario que hemos configurado realiza la acción
elegida en la carpeta o inicia o cierra sesión, se auditará en un archivo en citados
suceso.

Cómo podemos ver las Auditorías:

Botón derecho sobre Mi PC/Administrar/Herramientas de sistema/Visor de

sucesos/Seguridad

Para ver la ayuda de Visor de sucesos ve a la carpeta

\WINDOWS\Help y doble clic sobre el archivo [Link]

A veces un usuario limitado no puede entrar en su cuenta aunque escriba

correctamente su contraseña, esto es debido a que está lleno el Registro de
Auditoría. Para borrarlos:
Botón derecho/Mi PC/Administrar/Herramientas de sistema/Visor de
sucesos/Seguridad
Aplicación y Sistemas.
Acción ---> Borrar todos los sucesos.

*************************************************

Más información sobre: Auditar (Microsoft en español)

7.- Cifrado de datos (EFS)(NTFS)

Para ver la ayuda de Cifrado de datos ve a la carpeta

\WINDOWS\Help y doble clic sobre el archivo
[Link]

30
CUIDADO con los Encriptados de archivos y carpetas porque si perdemos la
contraseña del usuario o reinstalamos el sistema (aunque pongamos el mismo
nombre de usuario y contraseña, no podremos recuperar los archivos codificados.)

Aquí puedes encontrar más información sobre cifrado y agentes de recuparación:

Protección de datos mediante EFS página de Microsoft en español.

Esto consiste en codificar un archivo o carpeta para que ningún otro usuario tenga
facilidad para leerlo. Se ha de hacer en una partición NTFS.

Entramos en el sistema como el usuario Adan y vamos a una partición NTFS por
ejemplo R:, creamos un archivo de texto, por ejemplo [Link] y dentro de
éste archivo escribimos un texto. Lo guardamos.

Ahora nos situamos sobre el archivo de texto anterior/Botón

derecho/Propiedades/Ficha - General -Opciones avanzadas, marcar Cifrar
contenido para proteger datos. Aceptar.
El nombre del archivo se pondrá de color verde y ningún usuario (Excepto el
propietario) podrá ver su contenido.

Volvamos al mismo archivo de texto anterior/Botón derecho/Propiedades/Ficha -

General -Opciones avanzadas, Si entramos aquí por segunda vez, observamos que
está activo el botón Detalles. Pulsémoslo. Desde aquí podemos configurar a quién
NO le afecta el cifrado.

Si ciframos una carpeta los archivos que se copien en esa carpeta se cifrarán.
Si tenemos un archivo cifrado y lo copiamos a una partición FAT, el archivo pierde
el cifrado.
Si el archivo se mueve por la red, pierde el cifrado durante su trayecto.
A veces al Administrador no le conviene que los usuarios cifren sus archivos. Para
ello vamos a la "Directiva de grupos" : Inicio/Ejecutar/[Link]
Configuración de equipos/Configuración de seguridad/Directivas de claves
públicas/Sistema de archivo cifrado - Botón derecho/Propiedades/Desmarcar :
Permitir a usuarios cifrar archivos utilizando EFS.

¿Para qué cifrar una carpeta o un archivo al cual le hemos quitado permisos para
que nadie la vea? Porque algún usuario experimentado puede entrar en el sistema,
mediante un disquete de arranque o con otro sistema operativo (Linux) y puede
anular los permisos de ese archivo o carpeta.

Nota : Para que aparezca la opción Encriptar directamente cuando pulsamos el

botón derecho del ratón :
HKLM/Software/Microsoft/Windows/CurrenteVersion/Explorer/Advanced, crear
en el Panel derecho un nuevo valor DWORD llamado EncryptionContextMenu
con el valor 1.

También se puede codificar o poner claves en carpetas mediante programas de

terceros.
Ver Proteger Carpetas (FileCode, PGP, Ícaro,...)

31
8.- Cuotas de discos (NTFS)

Para ver la ayuda de Cuotas de discos ve a la carpeta

\WINDOWS\Help y doble clic sobre el archivo
[Link]

Esto consiste en asignar a un usuario o a un grupo una cierta cantidad de disco

duro. Es decir, si el disco ( o partición) R: tiene 8 G, podemos hacer que el usuario
Juan sólo pueda disponer de 1 G.

Se utiliza sólo con NTFS.

Para asignarlo vamos a Mi PC/disco R:/Propiedades debe salir la ficha Cuota.

Podemos poner un valor de cuota de disco mediante : Limitar espacio de disco

Ejemplo : 100 MB
Podemos poner una advertencia cuando se acerque a esa cantidad : Establecer
nivel de advertencia Ejemplo : 90 MB

Podemos particularizar la cuota de disco a cada usuario mediante el botón :

Valores de cuotas / Cuota / Nueva entrada de cuota ... / Ponemos o buscamos un
usuario y le asignamos la cantidad de disco R: que puede utilizar.

Para habilitar la utilización de cuotas de disco vamos a :

Inicio/Ejecutar/[Link]
Configuración de equipos/Plantillas administrativas/Sistema/Cuotas de
disco/Habilitar cuotas de disco

9.- MMC

Para ver la ayuda de MMC ve a la carpeta

\WINDOWS\Help y doble clic sobre el archivo [Link]

Microsoft Management Console (MMC) contiene herramientas

administrativas que puede utilizar para administrar redes, equipos, servicios y
otros componentes del sistema. Desde aquí puedes configurar el sistema.

MMC contiene muchas herramientas de configuración, podemos elegir las

herramientas con las que queremos trabajar.
Si vamos a Inicio/Ejecutar/[Link] Podemos trabajar con las herramientas de
"Directiva de grupos"

32
Si vamos a Inicio/Ejecutar/[Link] Podemos trabajar con las herramientas
de "Administración de equipos"

Vamos a configurar MMC con todas las herramientas que dispone.

Inicio/Ejecutar/mmc
Archivo/Agregar o quitar complemento ... /Agregar ...

Administración de discos --------------------------> Este equipo

Administración de equipos ------------------------> Equipo local
Administración de medio de almacenamiento ------> Equipo local
Administración de dispositivos --------------------> Equipo local
Administración de las directivas de seguridad -----> Equipo local
Carpeta
Carpeta compartida ------------------------------> Equipo local
Certificados --------------------------------------> Mi cuenta de usuario
Configuración y análisis de seguridad
Conjunto resultante de directivas -----------------> Asistente (Todo
siguiente)
Control ActiveX ---------------------------------> Asistente (Todo
siguiente)
Control WMI ------------------------------------> Equipo local
Desfragmentador de disco
Directiva de grupo --------------------------------> Equipo local
FrontPage Server Extensions
Monitor de seguridad IP
Plantillas de seguridad
Registros y alertas de rendimiento
Servicio Index Server ----------------------------> Equipo local
Servicios -----------------------------------------> Equipo local
Servicios de componentes
Servicios de Internet Information Server
Usuarios locales y grupos -----------------------> Equipo local
Visor de sucesos -------------------------------> Equipo local

Una vez que hemos elegidos estas herramientas, vamos a Archivo/Guardar

como ....
Nombre : [Link]

Ya está. Ahora cada vez que queramos visualizar y trabajar con todas las
herramietas, vamos a :
Inicio/Ejecutar/mmc
Luego Archivo/Abrir/[Link]

No se pretende estudiar cada herramienta, pero sí es conveniente echarles un

vistazo. Consulta la ayuda.

Continuemos .... : Ahora ve a Inicio/Buscar/Archivos o carpetas ...... *.msc

Te aparecerán todas las herramientas de la Consola de Microsoft, una de ella es
[Link], estará en

33
C:\Documents and settings\Usuario\Menú Inicio\Programas\Herramientas
administrativas
Haz un acceso directo de [Link] en tu escritorio.

10.- Registro de Windows - Copia de seguridad

Para ver la ayuda de Copia de seguridad ve a la carpeta

\WINDOWS\Help y doble clic sobre el archivo
[Link] y [Link]

En Windows 98 el Registro de Windows se guardaba en los archivos [Link] y

[Link].
En Windows XP el Registro de Windows se compone de varios archivos que se
encuentran en :
C.\Windows\system32\config y lo componen : Default, SAM, Security, System y
Software,
(además Userdiff, userdifr, [Link] y *.evt (Visor de sucesos), *.log
(Anotaciones) y *.sav (Copias del Registro)).

El archivo donde está la configuración de usuario del Registro es

C:\Documents and Setting\TuNombredeUsuario\[Link] .
Otro archivo importante del Registro se encuentra en :
C:\Documents and Setting\TuNombredeUsuario\Configuracion local\Datos de
programa\Microsoft\Windows\[Link]

Cuando instalamos un programa, un controlador o vamos a

Inicio/Programas/Accesorios/Herramientas del sistema/Restaurar el sistema, se
crea un Punto de restauración que consiste en copiar el estado actual del Registro,
para que en el caso de que algo no funcione bien, poder recuperarlo.

Los archivos que se crean mediante Restaurar el sistema, se encuentra en :

C:\System Volumen Information\_restore
Se crean carpeta de la forma RP12, ocupa unos 30 MB y se puede encontrar en
todos los discos.

Copias de Seguridad (Back-up)

Aunque con los Puntos de restauración, se crean copias de seguridad del Registro,
es posible que queramos hacer las copias de seguridad del Registro manualmente o
bien que queramos hacer copias de seguridad de otros archivos o programas.

La Copia de seguridad es un archivos de forma [Link] que contiene el

conjunto de archivos que queremos copiar (Para poder recuperarlo en caso de que
algo funcione mal). Puede tener gran tamaño, por ejemplo 300 MB, lo puedes
grabar en un CDROM.

34
Para hacer Copias de seguridad vamos a Inicio/Ejecutar/ntbackup, o bien
Inicio/Programas/Accesorios/Herramientas del sistema/Copia de seguridad.

Una vez en el Asistente para Copia de seguridad, marcamos :

1.-) Efectuar una copia de seguridad de archivos y configuración.

2.-) Elegir lo que deseo incluir en la copia de seguridad.

3.-) Saldrá una ventana con Mi PC, los discos y carpetas disponibles, al final está
System State.

4.-) Marcar System State y las carpetas a las que queramos hacer copias.

Para recuperar la copia de seguridad lo podemos hacer mediante el arranque a

Prueba de fallos (Pulsa F8 antes de que arranque Windows)

Consola de recuperación

Es para actuar en el sistema en modo texto, parecido a MSDOS, se utiliza para

recuperar el sistema.

Configurar la BIOS, para que arranque desde el CDROM

Introducir el CDROM de Windows XP y arrancar el sistema
Pulsar 1.- No emulation System Type
Esperar que se cargen los archivos y controladores
Te dan tres opciones (Intalar Windows XP, Consola de recuperación R, Salir)
Pulsar R
Pulsar 1 .C:\Windows
Escribir la clave del Administrador
Entramos en la consola de recuperación
Escribir HELP

La consola de recuperación tiene limitaciones :

Para entrar en la consola debemos escribir la contraseña del Administrador.
No se puede ejecutar programas.
Sólo nos podemos mover por la carpeta y subcarpeta de WINDOWS y algo más.
(Si queremos ir a todas las carpetas, antes debemos activar en MMC/Raiz de
consola/Opciones de seguridad/Permitir la copia de disquetes y acceso a todas las
unidades)

11.- Perfiles de Hardware

35
 Para ver la ayuda de Perfiles de Hardware ve a la carpeta
\WINDOWS\Help y doble clic sobre el archivo
[Link]

Esto trata de lo siguiente :

Podemos configurar el sistema de manera que pueda arrancar (a elegir) con dos
Perfiles de Hardware.
En el Perfil1 dispondrá de todos los dispositivos del sistema (CDROM, Discos
duros, Disquetera, etc ...) como arranca normalmente.
En el Perfil2 le quitaremos el CDROM, el Disco esclavo, la Disquetera y el Puerto
de la Impresora.

Vamos a Inicio/Panel de control/Rendimiento y

mantenimiento/Sistema/Hardware/Perfiles de Hardware

Marcamos Perfil1(Actual) y le damos a Copiar. Lo copiamos como Perfil2.

Dejamos 3 segundos para elegir perfil. Aceptar.

Reiniciamos el ordenador y nos saldrá dos Perfiles a elegir. Escogemos el Perfil2.

Entramos en el sistema con el Perfil2 que hasta ahora es igual que el Perfil1.

Vamos a cambiar el Perfil2 para quitarle el CDROM, el Disco esclavo, la

Disquetera y el Puerto de la Impresora :

Vamos a Inicio/Panel de control/Rendimiento y

mantenimiento/Sistema/Hardware/Administrador de dispositivos.

Marcamos Unidades de disquete/Unidad de disquete (Doble clic) /

Uso del dispositivo : No utilizar este dispositivo en el perfil de hardware actual.
Aceptar.
Hacer lo mismo con :
Unidades de DVD/CDROM, Unidades de disco (el disco esclavo), Puertos (COM &
LPT) Puerto de Impresora.

Reinicia y elige el Perfil2 verás como no funcionan esos dispositivos.

Si eres un Administrador y tienes partición NTFS puedes jugar con los permisos.

12.- El ordenador aislado y el ordenado en red

Voy a distinguir tres maneras de estar el ordenador :

1.- Ordenador aislado.

36
El ordenador no está en una red local, está aislado, configuración típica en un
ordenador doméstico.
Puede estar conectado a Internet.
En este ordenador puede haber configurado varios usuarios : Papa, Mama, Juan y
Paqui, cada uno de ellos entrará con su contraseña.
También se pueden configurar Grupos.
Si los discos duros o particiones están en NTFS, se podrán poner permisos, de
manera que cada uno solo verá a sus carpetas y no las de los demás; incluso puede
cifrar sus archivos y carpetas.
Algunas carpetas pueden estar compartidas para que todos puedan entrar en ellas.
Uno de los usuarios será el Administrador que configurará a los demás usuarios y
le podrá dar y quitar permisos.
El Administrador dominará el sistema.
Podemos decir que este ordenador es una estación de trabajo aislada.

2.- Ordenador en una red entre iguales.

Tenemos un Hub, que es un dispositivo en donde se pueden conectar varios

ordenadores, 8 en el dibujo.
Uno de los ordenadores puede estar conectado mediante un modem a Internet,
además éste ordenador tienen un programa llamado Proxy para que los demás
accedan a Internet a través de él.
Todos los ordenadores tienen la misma importancia, no hay ningún ordenador
principal.
En cada ordenador puede haber configurado varios usuarios.
También se pueden configurar Grupos.
Si un usuario tiene configurada una cuenta en un ordenador y se sienta en otro
puesto, no puede actuar con su cuenta. Así que cada usuario se debe sentar
siempre con su ordenador.
La configuración de un usuario sólo está un su ordenador.
Los usuarios pueden compartir carpetas, de manera que el usuario de un
ordenador puede ver, entrar y actuar sobre la carpeta compartida de otro usuario
de otro ordenador.
Si los discos y particiones están en NTFS, se puede afinar mejor la forma de
compartir.
Alguien de la red puede ser Administrador, pero el "pobre" tendrá que ir a los 8
puestos a configurar cada ordenador. Cada ordeandor se configura de forma
independiente.

37
3.- Ordenadores con un Servidor.

La configuración hardware es como la anterior, un Hub y varios ordenadores

conectados.
Puede estar conectado a Internet.
Un ordenador es el Servidor, los demás son Clientes.
El Servidor controla el sistema.
Cuando un usuario arranca, se conecta con el Servidor que comprueba si su
contraseña es válida y le da su configuración personal.
El Servidor y sus Clientes forman un dominio. Es un Grupo de ordenadores.
El Servidor manda en todo el dominio.
En el Servidor está las cuentas y configuración de todos los usuarios.
De manera que cuando un usuario se sienta en cualquier puesto, se conecta con el
Servidor y éste le manda su configuración. (Esto se llama Perfil móvil)
El Administrador puede hacer que el usuario no pueda modificar su Perfil
obligatorio.(man)
El Administrador controla el sistema desde el Servidor.
Un Sistema Operativo Servidor es Windows 2000 Server, éste solo se instalará en
el ordenador Servidor, en los demás se puede instalar el Windows XP.
DHCP es dar a cada ordenador una IP según se conecten.

Servidor-Cliente
Suponemos que tenemos un ordenador con Windows 2000 Server y que tiene
configurado un dominio, por ejemplo [Link] ( se puede hacer con Active
Directory.)
También tenemos configurado varios usuarios.

Vamos a ver cómo se configuran los Clientes de Red.

Arrancamos en un ordenador de la Red.

Para que el usuario entre bajo la tutela del Servidor, debemos de ir a
Inicio/Panel de control/Rendimiento y mantenimiento/Sistema --> Nombre de
equipo/ Cambiar ... /Miembro de dominio : depelectronica
A partir de ahora cuando el ordenador arranque se conectará con el Servidor :
depelectronica que controlará su conexión, configuración y permisos.

Vamos a crear un perfil :

Entramos en cualquier ordenador, creamos al usuario paco, le ponemos de

contraseña : paco
Vamos a BD/Mi PC/Administrar/Usuarios locales y grupos/Usuarios ---- >paco
(Aquí está)

Ahora vamos a copiar el Perfil de paco :

Panel de control/Rendimiento y mantenimiento/Sistema/Opciones

38
avanzadas/Perfiles de [Link]ón. Marcar sobre paco y Copiar a
------> Por ejemplo, en la carpeta R:\losusuarios

Hemos copiado el Perfil del usuario paco en la carpeta R:\losusuarios

Fíjate para hacer ésta práctica yo lo he copiado en la carpeta R:\losusuarios de mi

mismo ordenador. En realidad tendría que copiarlo en
\\nombreServidor\nombreCarpetaPerfiles\nombrePerfilUsuario , es decir en
\\depelectronica\losusuarios pero para que veas como funciona si no tienes
Servidor, lo puedes copiar en una partición de tu disco duro.

Ahora volvemos a
BD/Mi PC/Administrar/Usuarios locales y grupos/Usuarios ---- >paco
En la ficha Perfil/Ruta de acceso al perfil ponemos R:\losusuarios (o
\\depelectronica\losusuarios si tenemos un Servidor)

Ahora cuando arranque paco, tomará su Perfil de R:\losusuarios (o

\\depelectronica\losusuarios si tenemos un Servidor)

Lo que hemos realizado es copiar el Perfil de paco de C:\Documents and Settings a

R:\losusuarios (o a \\depelectronica\losusuarios si tenemos un Servidor). En caso
que el perfil esté en el Servidor, esto es lo que se llama Perfil Móvil, ya que cuando
paco arrranca el ordenador, éste se comunica con el Servidor :
\\depelectronica\losusuarios , en donde está su Perfil.

Si queremos que paco no pueda cambiar su perfil, fondo de escritorio, iconos, ....
vamos a R:\losusuarios y el archivo [Link] lo renombramos como [Link].
Esto es lo que se llama Perfil Obligatorio.

Ponle a paco un Perfil Obligatorio ([Link]). Entra como paco, haz cambios,
cierra la sesión y vuelve a entrar, verás que los cambios no se han producidos.

Para que funcione éste ejemplo, mejor deshabilita el Restaurar sistema:

Inicio/Programas/Accesorios/Herramientas de sistema/Restaurar sistema/Configuración
Restaurar sistema / Deshabilitar Restaurar sistema en todas las unidades.
Reiniciar.

En resumen:
Perfil móvil : Es copiar el Perfil de un usuario en el ordenador Servidor, de
manera que al conectarse el usuario desde cualquier ordenador de la red, éste se
pone en contacto con el Servidor para mandarle su Perfil.
Perfil obligatorio : Es cambiar el nombre del archivo [Link] a [Link] de
manera que aunque el usuario haga cambio en el Escritorio, iconos, inicio, ....
cuando salga de su sesión no se graben los cambios.

[Link]
deploy/confeat/[Link]

**********************************************************************
****

39
Cómo aplicar políticas locales a todos los usuarios
menos al administrador, artículo de Microsoft:
[Link]

[Link]

13.- Escritorio remoto

Esto trata de ver en un ordenador el Escritorio de otro estando conectado a red
local o Internet.

Un ordenador debe de actuar como Servidor (el que se deja ver) y otro como
cliente (el que visualiza y lo controla)

Configuración del Servidor.

1.- Debe crear una cuenta de usuario con contraseña. Ejemplo: Abel (contaseña
abel)
      (Esto se puede hacer mediante el Panel de control / Cuentas de usuarios)
2.- Debe dar permiso a Abel para que pueda entrar en su ordenador.
Botón derecho en Mi PC / Propiedades / Asistencia remota:
marcar los dos casilleros y Seleccionar usuarios remotos...
Agregar a Abel: Agregar / Avanzadas / Buscar ahora

40
Configuración del cliente.

Incio / Todos los programas / Accesorios / Comunicaciones / Conexión a Escritorio

remoto

En equipo ponemos el nombre del otro ordenador o bien su IP.

El ordenador servidor debe estar sin actuar.

41
Es mejor hacer escritorio remoto con otros programas como el VNC, LapLink o el
PCanywhere

14.- Compartir Carpetas

Para ver la ayuda de Compartir carpetas ve a la carpeta

\WINDOWS\Help y doble clic sobre el archivo
file_svr.chm

Para compartir una carpeta, pulsamos sobre ella con el Botón

Derecho/Propiedades/Compartir
Marcar : Compartir esta Carpeta.
Si queremos que la Carpeta esté compartida, pero que no se sepa, que sólo sepan
que está compartida los que se lo hemos comunicado : Debajo de Compartir esta
Carpeta, donde pone Recurso compartido = Escribir el nombre de la Carpeta
seguido de $, ejemplo : MiCarpeta$

A partir de ahora MiCarpeta estará compartida, pero si algún usuario va a Mis

sitios de red no la verá.

Para ver las carpetas compartidas existentes vamos a "Administración de

equipos" : Inicio/Ejecutar/[Link]
(o bien a través del Panel de control)
Consultamos Carpetas compartidas/Recursos compartidos

Compartir Carpetas en la Red local (Red punto a punto)

Antes debemos Crear una Cuenta por cada usuario de la Red que quiera
compartir la carpeta, con el nombre y contraseña que tienen en su equipo.

1.-) Botón derecho sobre la Carpeta/Compartir y Seguridad.../Compartir esta

Carpeta/Agregar al usuario de la red que va a compartir la carpeta. Ponemos
permisos.

2.-) Botón derecho sobre la Carpeta/Propiedades/Seguridad/Agregar al usuario de

la red que va a compartir la carpeta. Ponemos los permisos.

Consultar:

Pulsa este enlace...

Compartir carpetas

42
Otros enlaces...

[Link]

[Link]

[Link] (340 KB)

[Link]
[Link]

----------------------------------------------------------------------------------------------------------
-------------------------

15.- Cortafuego XP y Red Privada Virtual (VPN)

Un cortafuego es una aplicación que limita o impide que alguien pueda entrar en
nuestro ordenador a través de una red local o de Internet.

Pulsa este enlace...

Cortafuego XP y Red Privada

Virtual (VPN)

16.- Disquete de arranque para XP. [Link]

¿Podemos instalar Windows XP en cualquier partición?.

Sí. Podemos instalar Windows XP en cualquier partición primaria, o lógica dentro

de una extendida. En FAT o en NTFS.

Lo que ocurre es que en la partición primaria C: debe estar una serie de archivos
necesarios para el arranque.
Estos archivos son:
ntldr, [Link] y [Link] (son superocultos) deben estar en la partición
primaria C:

Para poder ver los archivos superocultos :

Mi PC/Herramientas/Opciones de carpeta ... /Ver
Marcar = Ver todos los archivos y carpetas ocultos.
Desmarcar = Ocultar archivos protegidos del sistema operativo

Disquete de arranque para Windows XP.

43
Vamos a Inicio/Ejecutar/cmd
Colocar un disquete.
En el Intérprete de comandos escribir\> format a:
Luego copiar en el disquete: ntldr, [Link] y [Link]

No olvides ir a la BIOS y cambiar la secuencia de arranque :

Durante el arranque pulsa la tecla Supr (Entrarás en la BIOS).
BIOS FEATURES SETUP Boot Sequences : A, CDROM, C

Archivo C:\[Link]

[boot loader]
redirect=usebiossettings
redirectbaudrate=
timeout=6
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows-1 XP
Profes" /fastdetect
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Windows-2 XP
Profes" /fastdetect

Aquí está la configuración del arranque, en este caso observamos que tenemos dos
XP.

A los 6 segundos arranca el S.O. por defecto en este caso en Windows-1

En la ayuda de Windows XP encontrarás mucha información sobre [Link]

Como los discos actuales son de unos 60 Gigas, es una buena recomendación
instalar dos XP, para que en el caso que falle uno, trabajemos e intentemos
recuperarlo con el otro. Cada XP Pro viene a ocupar 1,5 Giga.

La familia Windows
Doméstico Profesional

1981 MSDOS

1985 Windows 1 (msdos)

1987 Windows 286 (msdos)

1988 Windows 386 (msdos) NT 3.1

1990 Windows 3.1 (msdos)

1991 Windows 3.11 (msdos) NT 3.5

44
 1995 Windows 95 NT 3.51

1998 Windows 98 NT 4.0

1999 Windows 98 SE

2000 Windows Me Windows 2000 (NT 5.0)

                               Home
2001 Windows XP (NT 6.0)      Professional
                                                      .NET ( Server 2003)

Recordando como eran las distintas versiones de algunos sistemas operativos

[Link]

Windows

Windows XP tiene el núcleo, el kernel, la parte fundamental del sistema operativo

tomada del NT, por eso en XP verás muchos archivos que comienzan por nt:
ntdetect, ntldr, ntuser, ......

A cada versión de Windows, Microsoft le da un código, aquí los puedes ver:

[Link]

[Link]

Otras Ayudas
En la carpeta \Windows\Help podrás encontrar los archivos de las Ayudas de
Windows (Inicio/Ayuda)

Échale un vistazo a:

Métodos abreviados del teclado:

Para ver la ayuda de Métodos abreviados del teclado ve a

la carpeta \WINDOWS\Help y doble clic sobre el archivo
[Link]

45
MSconfig (Inicio/Ejecutar/msconfig):

Para ver la ayuda de MSconfigve a la carpeta

\WINDOWS\Help y doble clic sobre el archivo
[Link]

Empaquetador de objetos:

Para ver la ayuda de Empaquetador de objetos ve a la

carpeta \WINDOWS\Help y doble clic sobre el archivo
[Link]

Opciones de energía APM - ACPI

46