![]() | ![]() ![]() | Página siguiente ![]() |
Para los ejemplos que estamos creando trabajaremos con 3 directivas que son:
Solo deberá estar el grupo admin._fenix, administradores y usuarios_fenix el grupo admin._fenix solo tiene dos usuarios y no quiere decir que son administradores, si deseamos dividir los derechos, quitar el grupo todos y usuarios.
Imagen 28
Imagen 29
En este lugar se restringe a todos los de fuera que pueden entrar a nuestra PC, por esta razón retire el grupo todos, el de usuarios y administradores. Usted como administrador es de confianza por lo tanto llegara localmente al equipo y así resuelve el problema con la venia de su cliente. Agregar los grupos locales que se creen para seguridad en el caso nuestro admin_fenix, si tiene dominio los grupos globales de este que usted a definido. Con esta configuración se evita que otro usuario ajeno entre a ver sus datos si por error alguien le compartió su disco y con los casos del administrador como el administrador esta negado pero local entra y el fenix1 esta en el grupo administradores pero no entra a la PC de fuero pero como esta en admin._fenix ahí tomo su derecho y es administrador, por lógica. El editor de las políticas de Windows lo encontramos en todos los equipos Windows 2000/xp. Para iniciarlo nos iremos al menú inicio y ejecutar en abrir se digitara GPEDIT.MSC, en seguida se abre la consola del editor y en ella encontramos una similitud del poledit;
Imagen 30
Respecto al objeto al que configuran son dos: Configuración del equipo y Configuración del Usuario
Imagen 31
Crearemos un ejemplo de habilitación del inicio clásico para todos los usuarios de Windows xp, para ello abrimos el GPEDIT.MSC y buscamos la configuración de equipo, Plantilla administrativa, sistemas, inicio de sesión (imagen 30) y luego se habilitada directiva de inicio clásico (imagen 31)
La casilla "Definir esta configuración de directiva" tiene el efecto:
Marcada |
La política quedará definida con el valor seleccionado en las opciones de debajo. |
Sin Marcar |
La política hereda su definición o no y si está habilitada o no en caso de haber sido definida en un contenedor superior (en nuestro ejemplo desde el propio equipo o el sitio, ya que estamos a nivel de dominio). |
A su vez, cuando la casilla está marcada podemos elegir entre las opciones:
No configurada |
No se defina Ninguna Política y si en el Dominio se define una Política esta se asignara a la local. |
Habilitada |
Hace que la política quede habilitada. Esto significa que se realizará la configuración de inicio clásico. Si del dominio se crea otra Política Prevalece la Local |
Deshabilitada |
Cuando se deshabilita la política, se impide que se realice la configuración. Si del dominio se define una política esta no se aplicara a la PC local que la deshabito |
Para ejemplo configuraremos un usuario prueba al cual le definiremos un fondo de escritorio copiado en C:\windows de nombre fenix.bmp y cuando el usuario inicie sesión el tendrá siempre este fondo y al estar en Windows no podrá borrarlo ni modificarlo la ruta seria c:\windows\fenix.bmp Habilitar (imagen 32). Mas ejemplos en la configuración de Dominio y en xp, se explica en este sistema Operativo Windows 2000 porque en este surgió la consola del editor de Políticas. Ejemplo de Consola ir a menú inicio, ejecutar y en abrir digite MMC después leer la ayuda de este programa, acá se puede crear consolas separadas de programa en especial.
Imagen 32
Win311, Windows 95 y 98, son los primeros sistemas operativos que Microsoft creo en modo grafico o de Ventanas, por esta razón hoy en día son los más vulnerable a ataques en su sistema de archivos que es FAT O FAT32. Para protegerlo de algunos daños usamos el Editor de políticas que se menciona a continuación.
La configuración de accesos de usuarios a la computadora o la red pasa por instalar restricciones de tal manera que determinados usuarios no puedan hacer cosas que puedan ser "peligrosas" para la integridad de la red o del ordenador que este usando.
Para habilitar estas restricciones es necesaria la instalación de un software que permita poner estas restricciones. Si hablamos de Windows 95/98, aparte de los programas comerciales que puedan haber para este propósito, existe un programa llamado "Poledit" (Editor de planes de sistema) esta nos permitirá crear archivos de extensión POL donde se definirán las restricciones para un usuario en particular o para un grupo de usuarios definido en el dominio del Windows NT Server. También puede definirse restricciones para una máquina en particular más no para un grupo de ellas.
Este Editor viene en el CD original de Windows. Cabe mencionar que no es recomendable Instalar el cliente "Poledit" en las maquinas a las que les aplica la política sea este local.
Al empezar a editar un nuevo archivo de políticas siempre aparecerán dos íconos:
Default User y Default Computer. Aquellos usuarios que no estén definidos dentro del archivo de políticas cogerán las características del Default User, análogamente, aquellas computadoras que no estén definidas dentro del archivo de políticas cogerán las Características del Default Computer.
Para activar el programa y poner restricciones es necesario pulsar en un acceso directo o bien "Ejecutar -> Poledit.exe". Se abrirá la siguiente pantalla de programa: imagen 33 y 34
Imagen 33
Imagen 34
Si nos pide una plantilla seleccionamos admin.adm Si el archivo poledit.exe es extraído de un CD de Windows 95, si es de un CD de win98 usar la plantilla Windows.adm, después le damos clic a abrir y listo se abre el editor de políticas hoy Pulsamos en el menú "Archivo -> Abrir registro", si abrimos registro estamos entrando en forma grafica al registro del usuario o user.dat del usuario que a entrado a Windows caso contrario si le dio escape a Windows, esta usando el usuario por default de Windows del cual toma el perfil cada usuario nuevo que se valida en el equipo local, ósea que esta cambiando la rama del KEY USERS DEFAULT . También se debe crear la plantilla con la que trabajaremos y que modificara el registro para ello se hacen los pasos siguientes archivo, crear nueva, después la guardaremos con el nombre de win98.pol; en ambos casos se muestran dos iconos en la ventana del programa: "Usuario local" y "PC local". Si se omite la plantilla el editor no tendrá una plantilla predefinida para ver el registro o la plantilla win98.pol, si esto ocurre busque en el menú Opciones la opción plantillas de directivas y seleccionemos admin.adm. (windows.adm)
Para aplicar una directiva en una plantilla, nada más debemos marcar dicha directiva teniendo en cuenta lo siguiente:
Estado de la Opción |
Significa que la Opción está: |
1- Caja de Selección Marcada |
Seleccionada – Windows implementa esta opción de una política, cambiando el estado de la computadora del usuario para que sea conforme a la misma, cuando el usuario se valida en la red. Si la opción ya estaba seleccionada desde la última vez que el usuario se validó, Windows no realiza ningún cambio. |
2- Caja de Selección Sombreada |
Sombreada – La configuración no cambia respecto a la última vez que el usuario acceso a la red, y Windows no hará modificaciones relacionadas a la configuración del sistema. |
3- Caja de Selección En Blanco |
En Blanco – Windows no implementa esta opción. Si la opción fue implementada anteriormente (ya sea por una la configuración de una política o por las configuraciones del usuario), dejándola en blanco, remueve la restricción especificada anteriormente del registro. |
Para iniciar la plantilla win98.pol la abrimos si fue creada en el paso anterior o si no la creamos siguiendo estos pasos en el poledit.exe ir a Archivo, Nuevo directiva se abren los dos ramas del registro (KEY_USERS) "Usuario Predeterminado" y "PC local" (KEY_LOCAL_MACHINE) solo que desde poledit es grafico. Después le damos guardar y le pondremos como nombre win98.pol; como ya se tiene la plantilla con la que trabajaremos hoy abrimos esta plantilla y le daremos doble clic al icono de usuario predeterminado (imagen 35) todas las casillas estarán sombreadas, usted tiene que definir una a una cada restricción y si alguna no aparece explicada en el capitulo siguiente déjela tal como esta sombreada.
Imagen 35
Crearemos un usuario de nombre fenix1 Este usuario sé esta dando de alta en sistemas Operativos windows9x y tiene clave de acceso al servidor con usuario invitado de nombre fenix1 y una clave de acceso al dominio fénix.paz.sv este servidor es un dominio Windows 2003. De esta manera explicaremos las ventajas y desventajas de haber seleccionado una política, por los problemas que estas generan en el transcurso del trabajo cotidiano.
Como anteriormente lo mencionamos al final de cada una de las opciones se definirá la opción que debemos de tomar para nuestra plantilla win98.pol de políticas para un grupo de computadoras de 2 o mayor de 100 PCS para este ejemplo se crearon 3 PCS Virtuales en los equipos xp del CYBER FENIX. En un dominio de trabajo con un servidor Windows 2003. En el caso de no tener una imagen solo se pondrá la opción a configurar para la plantilla.
También se puede crear esta plantilla para computadoras que no se validad a un servidor NT y se siguen los mismos pasos solo se omite en PC local lo de acceso a un servidor NT, la plantilla win98.pol se debe copiar en la carpeta c:\windows, o en un equipo Windows 9x con una carpeta compartida a todos con acceso de solo lectura y este equipo debe permanecer encendido para que las directivas se apliquen. Seguidamente
Pulsamos sobre la "Plantilla de win98.pol" se abrirá el registro de Windows para el usuario y encontramos las ramas siguientes:
Esta es una de las más útiles opciones de restricción de poledit ya que permite anular las acciones que los usuarios suelen hacer sobre la pantalla del ordenador, configurando el escritorio, poniendo imágenes de fondo, protectores, etc. (imagen 36).
Para activarlas seguir los siguientes pasos:
Imagen 36
Antes hablamos de restringir el acceso a la red, de acceder o no a los distintos ordenadores de nuestro grupo de trabajo u otros grupos. Con esta opción restringiremos el acceso a propiedades de la red, con lo cual el usuario no podrá desconfigurar las opciones de red ni la identificación del ordenador en la red, ningún parámetro crítico de ésta.
Para activar estas opciones: seleccionar Panel de control -> red y seleccionar las restricciones que deseemos de las varias posibles:
En este caso hay usuarios que saben como cambiar direcciones IP, activar el Puerto de enlace, el nombre de PC. O los técnicos de otras Unidades cambian configuración establecidas y controladas, así se les limita el acceso y esto permite que sean más confiables los datos que se tienen (imagen 37)
Imagen 37
Como todos sabemos podemos poner contraseñas de acceso al ordenador o a la red definiendo usuarios con sus características de acceso, que es lo que tratamos de hacer con esta tutoría. Si no deseamos que un usuario poco experto o malintencionado nos cambie estas contraseñas y por tanto el acceso al ordenador, podemos restringir el acceso a las contraseñas, para ello expandir la rama Panel de control -> contraseñas y marcar la casilla Restringir el panel de control de contraseñas. Nos aparecen las siguientes opciones que podemos marcar según deseemos:
Es muy decepcionante comprobar que después de instalar una impresora en el ordenador y configurarla para un mejor rendimiento, alguien por desconocimiento o mala fe la desactiva o desconfigura. No diga nada si esta impresora está en red y afecta a muchos ordenadores con el consiguiente trastorno.
Para activar esta restricción expandir la rama Panel de control -> impresoras marcar la opción Restringir la configuración de impresora y activar aquellas protecciones que deseemos:
Si ponemos todas las restricciones cuando el usuario envía un documento y lo quiere borrar este no podrá hacerlo, (imagen 38).
Imagen 38
Otro factor crítico de un ordenador es la página de configuración de propiedades del sistema, donde un usuario poco experimentado o malintencionado puede configurar (o mejor dicho, desconfigurar) los drivers de todos los dispositivos del ordenador y cualquier parte crítica que afecte al funcionamiento del mismo. Si no deseamos que esto ocurra, Poledit nos ofrece la herramienta necesaria para ello.
Expandir la rama Panel de control -> Sistema y marcar la casilla Restringir el panel de control del sistema. De nuevo tenemos varias opciones, a saber:
Desactivar controles de Compartir archivos:
Así se evita que usuarios inexpertos compartan las carpetas con todos los derechos y hoy en día que tantos Virus usan esta idea de estar esperando a que se accede dicho carpeta para reproducirse por la red. No se recomienda dejar libre al Usuarios común
Seleccionar la ruta de acceso a los programas en el disco duro de esta manera c:\windows\menu inicio\programas. Así todos tendrán los programas de la PC en la estén trabajando en ese momento se evita que su usuario lo siga. Y copie archivos de su escritorio en todas las PC a las que entre.
Seleccionar y definir la ruta de acceso al escritorio compartido en el servidor de control de dominio de nombre fenix \\fenix3\escritorio$. De esta manera todos los usuarios usaran el mismo escritorio y mas rápido y centralizado.
1.- Seleccionar Shell -> restricciones
2.- Marcar "No se encuentra red completa en entorno de red"
A veces es necesario ocultar la red de ordenadores a un usuario determinado, de forma que este no puede acceder a ningún ordenador de la red, aunque los demás ordenadores si pueden acceder al primero, si en los demás no se ha activado esta restricción.
4.4.9 Ocultar los iconos de los ordenadores de su grupo de trabajo.
1.- Seleccionar Shell -> restricciones
2.- Marcar "Sin contenidos de grupo de trabajo en entorno de red"
Con esto el usuario no será capaz de ver a los otros ordenadores de su grupo de trabajo, pero si podrá ver los de otros grupos conectados a la red. Tendremos el mismo problema para imprimir o ver equipos del mismo grupo con carpetas compartidas a no ser que se sepa el nombre del equipo que tiene el impresor y los archivos compartidos.
Siempre estas no son infalibles en casos se puede ver desde el explorador pero se requiere de mas habilidad de parte del Usuario.
Un usuario experimentado puede saltarse todas las restricciones que hayamos puesto con Poledit, creando archivos *.reg y activándolos con una doble pulsación del ratón. No obstante podemos evitar esto de la siguiente manera (imagen 39):
Expandir la rama Sistema -> restricciones, seleccionar la casilla "Desactivar herramientas de edición del registro de configuraciones" y aceptar. También es necesario no añadir Poledit.exe a la lista de aplicaciones ejecutables vista en el apartado
La única forma, una vez hecho esto de acceder al registro y al Poledit (si tampoco se ha incluido en la lista) es utilizar un disco de arranque que contenga el editor de registro y el poledit. Aunque la forma más efectiva es utilizar una copia del registro que se haya hecho antes de desactivar el editor de registro. (Esto puede conseguirse ejecutando scanreg que se encuentra en el directorio Windows y recuperando alguna de las seis últimas copias del registro que Windows 98 guarda automáticamente, confiando que al menos una de ellas fuera anterior al establecimiento de estas restricciones.)
No recomendable, para lugares que trabajan insertando llaves de registro (*.reg) para el mejor funcionamiento de los SISTEMAS.
Esta opción, junto a la restricción de propiedades de pantalla, puede ser de los más útiles, pues con ello controlamos los programas que un usuario determinado puede ejecutar en el ordenador.
Con esta opción conseguiremos que sólo los programas que nosotros, como administrador del sistema, queremos que sean ejecutados, lo que nos permite controlar lo que hacen el resto de usuarios en el ordenador. Para ello expandir la rama Sistema -> restricciones y seleccionar la casilla "Ejecutar solamente aplicaciones compatibles con Windows", luego pulsando en el botón Presentación añaden a mano la lista de programas ejecutables que queremos que estén disponibles para ese usuario, por ejemplo se pueden añadir: Iexplorer.exe, Winword.exe, Excell.exe, Access.exe, etc. (cuidado, en la lista hay que escribir el nombre del fichero ejecutable sin error ) también agregar los nombres de acceso directo *.lnk o *.pif, de cada ejecutable si le han creado acceso directo.
Recomendado, con esta opción solo los programas que usted quiere se ejecutaran o instalaran en el equipo evitando así problemas legales de Software (imagen 40 y 41).
Imagen 40
Imagen 41
Por último al terminar de establecer todas las restricciones que deseemos a un usuario determinado hay que pulsar en Aceptar y luego en el menú Archivo -> Guardar para que los cambios se almacenen en el registro, finalmente cerrar sesión para ese usuario y al volver a entrar con ese nombre de usuario y contraseña todas las restricciones definidas estarán habilitadas. No recomendable igual al anterior
Es la política de computadora que define la configuración para una computadora por defecto (Default Computer) o para una computadora nombrada específicamente. La configuración de Computadora por Defecto se aplica cuando un usuario acceda a la computadora o a la red desde una computadora que no tiene asignada una política individual.
Seleccionar control de acceso a los usuarios
Nombre de Autentificador
Definir el nombre del dominio al que se validara, en el caso de la plantilla win98.pol será fenix
Tipo de autentificador
Seleccionar Dominio de Windows NT
Titulo de Inicio
Titulo: dejar el que trae por omisión
Texto: bienvenido al CYBER FENIX, de San Emigdio
Inicio de sección en Windows
el nombre del dominio fenix
Grupo de trabajo:
Poner a la plantilla el grupo fenix
Grupo de Trabajo Adicional: dejar en blanco no seleccionar
Desactivar anuncio SAP: si no tiene NOVELL selecciónelo pero si tiene novel déjelo el Blanco
Dejar como esta por defecto o sea sombreado y el que esta marcado déjelo si no lo esta debe de estar así: seleccionado Ocultar Contraseñas los demás Sombreado
Desactivar compartir archivos:
Dejar las en blanco
Desactivar compartir Impresores:
Dejar en blanco
Las dos se deben dejar en blanco porque si las selecciona todas las computadoras no podrán compartir archivo e Impresores de esta manera nadie podrá usar Impresores en Cola ni vera archivos Compartidos, esta Opción es similar a la del Usuario Local con la diferencia que en el Usuario local si quita el compartir al Usuario que entra no a todos.
En esta casilla es la mas importante para la actualización (ver imagen 34) de las directivas porque en ella se define la forma de actualizar las Políticas si las ara de forma automática o manual por eso es la segunda en importancia, así que ponga mucha atención a estas líneas que de ello depende el funcionamiento de este plantilla y todo lo antes escrito.
Modo actualizaron:
Esta puede ser automática, en este caso el equipo busca en el NETLOGON del servidor de dominio fénix.paz.sv y copia todas la restricciones que contiene el Archivo CONFIG.POL si es Windows, para Windows NT es confignt.pol estas restricciones se agregan al registro de Windows de esta manera la PC local tendrá todo lo que se le acaba de decir y el Users que entro en este momento usara la configuración de Usuario Local y si este Usuario tiene un usuario en la plantilla definido solo para su Perfil este no tendrá problema con las políticas del usuario Local.
Si la actualización es manual: se debe de especificar la Ruta de acceso en el registro de Windows y en el Archivo de Plantilla o sea al win98.pol, pero siempre este lo podremos en el NETLOGON del servidor de Dominio, estación remota, servidor de archivos, la ruta definida es la que manda, para el ejemplo será. \\CETECSE01\NETLOGON\ win98.POL (imagen 42 y 32). Archivo, abrir registro y modificar esta ruta y dejarla manual de esta forma la política quedara en un anidamiento y siempre las aplicara.
Imagen 42
Esta es la ruta en donde están los archivos *.cab de Windows se debe dejar sombreada
Después de la explicación del uso del Editor de Políticas, y la creación del archivo de políticas tomando como base los puntos al final de cada numeral o imagen de los capitos 5, 6 de este manual y en los casos que no se crearon imágenes por espacio o el tamaño de estas solo se habla de la opción a definir en esta plantilla win98.pol:
Anexos adicionales para un buen control con políticas
Verificar o modificar que los equipos de prueba tengan definida en Archivo, Registro y en el icono PC local la ubicación física exacta a donde usted copio el archivo win98.pol y si es un servidor primario después de las pruebas usted deberá poner en automático la línea actualizar y borrar la ubicación física que le definió para las pruebas y el archivo win98.pol renombrarlo a config.pol para que todo funcione a la perfección. Leer imagen de actualización remota de PC local 6.1.10
Después de terminar la plantilla win98.pol copiarla en la carpeta netlogon del dominio fénix, que en éste caso es el servidor CETECSE01.
Cuando se cargue la Política de Sistema, en una PC de la empresa afectará a aquellos
Usuarios que estén definidos en el archivo WIN98.pol y aquellos que no estén definidos (Usuarios extraños) asumirán las restricciones del usuario por defecto (Default User).Todas las computadoras asumirán las restricciones de Default Computer.
En las políticas de Usuario están desactivadas:
CONFIGURAR LOS EQUIPOS DE LA EMPRESA PARA INICIAR POLÍTICAS
Debemos seguir entonces los siguientes pasos:
1. Preparar la máquina con una configuración estándar, es decir, con el software
Correspondiente, sin papel tapiz, resolución 800*600, color 16 bits, apariencia estándar de Windows 9X, sin salvador de pantalla, conexión a la red.
Impresora Láser Jet 4P, configuración regional Español-Perú, teclado Español(México) -Latinoamericano. El último punto es muy importante pues los perfiles de usuario han sido diseñados usando éste tipo de teclado. Un teclado distinto ocasionará que, la segunda vez que ingresemos al recuadro de logon, el teclado quede inhabilitado pues surge un conflicto entre el teclado definido localmente en la computadora con el teclado personalizado del usuario. Ésta es una falla o bug del Windows 95 (versiones a y b) que debemos tener en cuenta.. Para win95 c y win98 así como ME no aplica la recomendación
2.Habilitar el inicio de sesión en el dominio de Windows NT (Panel de control icono Red-Cliente para redes Microsoft-Propiedades) y los perfiles de usuario personalizados (Panel de control - Icono contraseñas -Perfiles de usuario - Los usuarios pueden personalizar sus preferencias y configuración de escritorio). Debemos crear el entorno de cada usuario o profile, es decir, los íconos, grupos de programas, y papel tapiz, que aparecerá al ingresar con un usuario determinado. El profile tiene la forma de un directorio con el nombre del usuario que a su vez tiene varios subdirectorios donde cada uno representa a un grupo de programas o documentos.
El contenido final de cada subdirectorio son atajos o shortcuts a dichos programas o documentos. El profile define el perfil del usuario. Los iconos de accesos directos serán descargados desde el directorio Escritorio del servidor primario a las máquinas de la Empresa. El directorio Escritorio está compartido como Escritorio$ con acceso de solo lectura. Después de crear y compartir el directorio Escritorio debemos crear los iconos de acceso directos estándares de la Empresa, en esta carpeta compartida (Escritorio$) del servidor primario con derechos a los usuarios de este dominio. Así al ingresar un usuario y una contraseña predeterminados según el uso que el empleado desee darle a la computadora. Por ejemplo, si el empleado desea usar los servicios Internet debe ingresar con el usuario asignando seguido de la contraseña propia. Luego el servidor valida al usuario y su contraseña en el dominio FENIX y empieza la carga del entorno predeterminado junto con las restricciones de seguridad y los iconos de accesos directos.
Para una máquina que ha sido configurada con el System Policies observar que es diferente abrir el registro de la computadora durante la sesión n de un usuario que abrir el registro después de hacer Esc a la ventana de inicio de sesión. Si abrimos el registro durante la sesión de un usuario, al que se le han aplicado las políticas de seguridad, observaremos un Local User y un Local Computer afectados por el System Police y correspondiente al del usuario con el que se ha ingresado. Modificaciones hechas en él Local User y/o en Local Computer durante una sesión de usuario tendrán efecto sólo hasta que terminemos la sesión pues una vez reiniciada seguiremos con la configuración inicial debido a que las configuraciones del System Police tienen prioridad y han sido Aplicadas a la máquina, no a un usuario.
El entorno que obtenemos al hacer Esc a la ventana de inicio de sesión es el que nos permitirá hacer modificaciones en el Registro del sistema para poder desinstalar el System Police, sin embargo, en la sección anterior la máquina se configuró para que al hacer Esc no se obtuviera ningún tipo de acceso a la máquina. Tenemos entonces que Ingresar al Modo Seguro del Windows 9X y desde aquí desactivar el System Police.
Debemos seguir los siguientes pasos:
1. Ingresar al Modo Seguro a Prueba de Fallas del Windows9x, para ello reiniciar la PC y enseguida presionar F8.
2. Ejecutar el Poledit y desmarcar todas las opciones indicadas en los pasos de la sección anterior. Guardar.
3. Adicionalmente también desactivar las opciones indicadas en el paso 1, sección anterior, correspondiente al inicio de sesión en el dominio del Windows NT y la activación de perfiles personalizados.
4. Entrando en modo msdos y usando scanreg para recuperar una copia del registro de unos días o meses anteriores esta práctica no aplica a Windows 95
5. Para usuarios avanzados borrar la llave de registro policies y desactivando la opción actualizar[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies] después solo se renombra el directorio profiles de Windows y todos los que entren no tendrán directivas de políticas.
Las siguientes restricciones no son opciones de Poledit, pero complementan a éste y ayudan a configurar una protección eficaz de nuestra red de ordenadores.
Para que las políticas sean un éxito en tu empresa también debes de saber que sin usar el POLEDIT se puede modificar las opciones de configuración que un archivo de políticas crea al momento de acceder a una red o a una PC local.
Para saber en que lugar se guardan las políticas del usuario DEFOULT de una PC esta este ejemplo y aunque usted inicie a pruebas de fallas esta configuración siempre se carga en el registro de Windows. Vemos el registro:
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun]
"1"="calc.bat"
"2"="iexplore.exe"
"3"="actmovie.exe"
"4"="copias.bat"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Network]
"NoNetSetup"=dword:00000001
"NoNetSetupIDPage"=dword:00000001
"NoNetSetupSecurityPage"=dword:00000001
"NoFileSharingControl"=dword:00000001
"NoEntireNetwork"=dword:00000001
"NoWorkgroupContents"=dword:00000001
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoAdminPage"=dword:00000001
"NoProfilePage"=dword:00000001
"NoDevMgrPage"=dword:00000001
"NoConfigPage"=dword:00000001
"NoFileSysPage"=dword:00000001
"NoVirtMemPage"=dword:00000001
En esta ubicación nos restringe todo solo nos permite usar los programas que en esta se mencionan.
Y si el caso es el usuario jose esta restricción estaría en la rama:
[HKEY_USERS\.fenix\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun]
Con las mismas restricciones anteriores además de restringirme el acceso al entorno de red..
Si no desea que el equipo se valide en un DOMINIO NT
[HKEY_LOCAL_MACHINE\Network\Logon]
"username"="amejia"
"PrimaryProvider"="Microsoft Network"
"PolicyHandler"="GROUPPOL.DLL,ProcessPolicies"
"logonvalidated"=hex:01,00,00,00
"UserProfiles"=dword:00000001
"LMLogon"=hex:00,00,00,00
para Windows 98 y más
usar la llave siguiente:
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"BloquearUsuarios"="RUNDLL32.EXE SHELL32.DLL,SHExitWindowsEx 0"
Esto hace que la PC no permita entrar otro usuario que no sea los definidos en los perfiles de Windows a la fecha de ingresado la modificación.
Para win95 es otra forma no tan probada pero aquí esta:
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"BloquearUsuarios"="RUNDLL.EXE user.exe,ExitWindows"
Es posible hacer que el explorador de Windows quede apuntando a un determinado directorio o unidad sin posibilidad de desplazarnos a través de los demás directorios o unidades, lo que puede permitirnos bloquear el acceso a determinadas partes del ordenador a cualquier usuario, evitando que estos borren o pongan programas y archivos en directorios no deseados por nosotros.
Para ello ir a Inicio -> Programas -> Explorador de Windows y pulsando con el botón derecho del ratón abrir sus propiedades. En el cuadro de diálogo que aparece escribir en el campo destino: c:\windows\explorer.exe /e, /root, c:\Mis documentos.
Con esto hacemos que la ventana del explorador sólo apunte al directorio mis documentos sin posibilidad de desplazarnos por los demás.
También podemos hacer que apunte a una determinada unidad, por ejemplo A: sin posibilidad de acceder al disco duro, escribiendo: c:\windows\explorer.exe /e, /root, A:\
Imagen 43
En la sección 2.1 vimos la posibilidad de ocultar todas las unidades a un usuario determinado, pero que pasaría si sólo deseamos ocultar determinadas unidades. Para ello es necesario editar el registro para ese usuario.
Las unidades están controladas por una palabra de bits:
Letra de unidad |
G F E D C B A |
Palabra de bits |
1 1 1 1 1 1 1 |
Si el bit está a 1 la unidad no se ve. Por ejemplo para ocultar las unidades:
Unidad a ocultar |
Valor binario |
Valor Hexadecimal |
A |
00001 |
01 |
C |
00100 |
04 |
D |
01000 |
08 |
E |
10000 |
10 |
C y D |
01100 |
0C |
Veamos un ejemplo práctico, supongamos que deseamos ocultar el disco duro (C:) Y el CDROM (D:), el valor hexadecimal a colocar en el registro es "OC".
Imagen 44
Al reiniciar no aparecerán estas unidades en MiPc o el Explorador (cuidado, sí el explorador es el estándar de Windows siempre aparece la unidad C:, Salvo que lo modifiquemos como hemos hecho anteriormente, apuntando a otra unidad o carpeta sin posibilidad de ir a otro sitio).
1)- Se debe copiar un archivo que a usted le guste para un fondo Común en los escritorios en mi empresa definimos el logo y lo renombramos como fenix.bmp y también lo copiamos como Internet Explorer Wallpaper.bmp que esta dentro de c:\windows y lo pones de lectura y oculto
2)- Le cambiamos a los dos bmp las propiedades de solo lectura y oculto y esto sélo definimos al archivo de políticas para que lea el archivo fenix.bmp y todos tendrán el mismo logo en sus PCS. Si tiene un servidor puede enviar el archivo a todos las computadoras por medio de un archivo bat y definirlo en el perfil de todos los usuarios.
Datos del Autor.
En estas configuraciones de Windows Server 2003, 2000 y las sistemas Operativos de escritorio se describe el trabajo realizado por el Técnico y Profesor Alirio Mejía Amaya, en los 13 años de trabajo en una dependencia de Gobierno del Salvador de estos años 5 con políticas de Windows 98, 4 años con Windows Server 2000 y profesional, 3 años con xp y 2 con xp con sp2, 2 con Windows 2003 en Active Directory. Además de Cursos de administración de Windows Server NT4 Y 2003 diplomados en Microsoft 2000, 97, Programación en foxpro y visual. Actualmente miembro de Comunidad de Microsoft (GIT "Grupo de Infraestructura Tecnológica") toda esta experiencia están escritas y editadas en este libro y todo lo que acá esta escrito es funcional y verdadero, cual quien duda al respecto visitar el CYBER en el que esta funcionado esta configuración. Efectuamos asesorías sobre lo escrito los días de semana a partir de las 16:00 horas y los fines de semana todo el día. Para usuarios de otros países les vendemos videos avi en CD de las demostraciones de uso y administración de servidores,
Interesados llamar a los teléfonos 22587317 o 23-79-25-35 o escribir al correo
Amejia_sv@hotmail
para mientras está el
![]() | ![]() ![]() | Página siguiente ![]() |
Trabajos relacionados
Ver mas trabajos de Redes |
|
Nota al lector: es posible que esta página no contenga todos los componentes del trabajo original (pies de página, avanzadas formulas matemáticas, esquemas o tablas complejas, etc.). Recuerde que para ver el trabajo en su versión original completa, puede descargarlo desde el menú superior.
Todos los documentos disponibles en este sitio expresan los puntos de vista de sus respectivos autores y no de Monografias.com. El objetivo de Monografias.com es poner el conocimiento a disposición de toda su comunidad. Queda bajo la responsabilidad de cada lector el eventual uso que se le de a esta información. Asimismo, es obligatoria la cita del autor del contenido y de Monografias.com como fuentes de información.