Usando Group Policy Editor para modificar tu PC
En la lección de Geek School de hoy, explicaremos cómo usar el editor de políticas de grupo local para realizar cambios en su PC que no están disponibles de ninguna otra manera..
NAVEGACION ESCOLAR- Usando el programador de tareas para ejecutar procesos más tarde
- Uso del Visor de sucesos para solucionar problemas
- Entendiendo la partición del disco duro con la administración de discos
- Aprendiendo a usar el editor de registro como un profesional
- Monitoreo de su PC con el Monitor de recursos y el Administrador de tareas
- Comprender el panel de propiedades avanzadas del sistema
- Entender y administrar servicios de Windows
- Usando Group Policy Editor para modificar tu PC
- Entendiendo las herramientas de administración de Windows
Debemos tener en cuenta que el editor de Políticas de grupo solo está disponible en las versiones Pro de Windows; los usuarios de Home o Home Premium no tendrán acceso a él. Aún así vale la pena aprender sobre.
Las políticas de grupo son una forma realmente poderosa de configurar una red corporativa con cada una de las computadoras bloqueadas para que los usuarios no puedan desordenarlos con cambios no deseados y evitar que ejecuten software no aprobado, entre muchos otros usos.
Sin embargo, en el entorno doméstico, probablemente no querrá establecer restricciones de longitud de contraseña o forzarse a cambiar su contraseña. Y es probable que no necesite bloquear sus máquinas para ejecutar solo ejecutables específicos aprobados.
Sin embargo, hay muchas otras cosas que puede configurar, como deshabilitar las características de Windows que no le gustan, bloquear la ejecución de ciertas aplicaciones o crear scripts que se ejecutan durante el inicio o el cierre de sesión..
Entendiendo la interfaz
La interfaz es muy similar a cualquier otra herramienta de administración: la vista de árbol a la izquierda le permite buscar configuraciones en una estructura de carpetas jerárquica, hay una lista de configuraciones y un panel de vista previa que le brinda más información sobre la configuración en particular..
Hay dos carpetas de nivel superior a tener en cuenta:
- Configuracion de Computadora - mantiene la configuración que se aplica a las computadoras, independientemente de qué usuario está iniciando sesión.
- Configuración de usuario - mantiene la configuración que se aplica a las cuentas de usuario.
Debajo de cada una de estas carpetas hay un par de carpetas que le permiten profundizar en la configuración disponible:
- Configuraciones de software - esta carpeta está diseñada para configuraciones relacionadas con el software y está en blanco de forma predeterminada en el cliente Windows.
- Configuraciones de Windows - esta carpeta contiene configuraciones de seguridad y scripts para el inicio / cierre de sesión y el inicio / apagado.
- Plantillas Administrativas - esta carpeta contiene configuraciones basadas en el registro, que son esencialmente una forma rápida de modificar la configuración de su computadora o de su cuenta de usuario. Hay muchos ajustes disponibles..
Ajustar las reglas de seguridad
Si hiciera doble clic en el elemento "Impedir el acceso al símbolo del sistema" de la captura de pantalla anterior, aparecerá una ventana como esta: de hecho, la mayoría de las configuraciones en Plantillas administrativas se verán similar.
Esta configuración particular le permitiría bloquear el acceso al indicador de comando para los usuarios en la PC. También puede configurar los ajustes dentro del cuadro de diálogo para bloquear archivos por lotes también..
Otra opción en la misma carpeta le permite crear una configuración para "Ejecutar solo aplicaciones de Windows específicas": usted configurará la configuración como Habilitada y luego proporcionará una lista de las aplicaciones permitidas. Todo lo demás estaría bloqueado de correr.
En este caso, si tuviera que ejecutar una aplicación que no está en la lista, recibirá un mensaje de error como este.
Vale la pena tener en cuenta que jugar con reglas como esta podría impedirle el acceso a su PC si hace algo incorrecto, así que tenga cuidado..
Ajustar las configuraciones de UAC para la seguridad
En la carpeta Configuración del equipo -> Configuración de Windows -> Configuración de seguridad -> Políticas locales -> Opciones de seguridad, encontrará un montón de configuraciones interesantes para hacer que su computadora sea un poco más segura.
La primera opción se puede encontrar en esa carpeta como el elemento "Control de cuentas de usuario: comportamiento del indicador de elevación para administradores", y si elige "Solicitar credenciales en el escritorio seguro", lo obligará (a usted u otro usuario) a ingrese su contraseña cada vez que intente ejecutar algo en modo administrador.
Esta opción hace que Windows funcione más como Linux o Mac, donde se le solicita que proporcione su contraseña cada vez que necesite hacer un cambio, y dado que el Escritorio seguro no permite que otras aplicaciones interfieran con el diálogo, es mucho más seguro.
Otras opciones útiles:
- Control de cuenta de usuario: solo elevar ejecutables que están firmados y validados - esta opción prohíbe que las aplicaciones que no están firmadas digitalmente se ejecuten como administradores.
- Consola de recuperación, permitir el inicio de sesión administrativo automático - cuando necesita utilizar la consola de recuperación para realizar tareas del sistema, generalmente debe proporcionar la contraseña de administrador. Si olvidó esa contraseña, esto le permitirá ingresar para restablecerla más fácilmente. (Y como puedes borrar fácilmente una contraseña de Windows, no es realmente menos segura).
Una cosa que vale la pena mencionar es que muchas de las políticas en la lista no se aplican a todas las versiones de Windows. Por ejemplo, en la captura de pantalla a continuación, la configuración "Eliminar el icono de Mis documentos" solo está disponible para Windows XP y 2000. Algunas otras políticas dirán "Al menos Windows XP" o algo así, lo que significaría que continuarán funcionando en Todas las versiones.
Hay una enorme cantidad de configuraciones en el editor de políticas de grupo, por lo que definitivamente vale la pena dedicar un tiempo a revisarlas si tienes curiosidad. La mayoría de las configuraciones le permiten deshabilitar las características de Windows que no le gustan especialmente, muy pocas le dan una funcionalidad que no tenía por defecto.
Configuración de secuencias de comandos para ejecutar en el inicio de sesión, cierre de sesión, inicio o apagado
Otro ejemplo más de algo que solo puede hacer usando el editor de políticas de grupo es configurar un script de cierre de sesión o apagado para que se ejecute cada vez que reinicie su PC..
Esto puede ser realmente útil para limpiar su sistema o hacer una copia de seguridad rápida de ciertos archivos cada vez que se apaga, y puede usar archivos por lotes o incluso scripts de PowerShell para cualquiera de los dos. La única advertencia es que estos scripts deben ejecutarse de forma silenciosa o bloquearán el proceso de cierre de sesión.
Hay dos tipos diferentes de scripts que puedes ejecutar.
- Scripts de inicio / cierre - estos scripts se encuentran en Configuración del equipo -> Configuración de Windows -> Scripts y se ejecutarán en la cuenta del sistema local, por lo que pueden manipular los archivos del sistema, pero no se ejecutarán como su cuenta de usuario.
- Scripts de inicio / cierre de sesión - estos scripts se encuentran en Configuración de usuario -> Configuración de Windows -> Scripts y se ejecutarán bajo su cuenta de usuario.
Vale la pena señalar que los scripts de inicio y cierre de sesión no le permitirán ejecutar utilidades que requieran acceso de administrador a menos que tenga el UAC completamente desactivado..
Para el ejemplo de hoy, haremos un script de cierre de sesión dirigiéndonos a Configuración de usuario -> Configuración de Windows -> Scripts y haciendo doble clic en Cerrar sesión.
La ventana de propiedades de cierre de sesión le permite agregar múltiples scripts de cierre de sesión para ejecutar.
También puede configurar scripts de PowerShell en su lugar.
Lo realmente importante a tener en cuenta aquí es que sus scripts deben estar en una carpeta particular para que funcionen correctamente..
Los scripts de inicio y cierre de sesión deberán estar en las siguientes carpetas:
- C: \ Windows \ System32 \ GroupPolicy \ User \ Scripts \ Logoff
- C: \ Windows \ System32 \ GroupPolicy \ User \ Scripts \ Logon
Mientras que los scripts de inicio y cierre deberán estar en estas carpetas:
- C: \ Windows \ System32 \ GroupPolicy \ Machine \ Scripts \ Shutdown
- C: \ Windows \ System32 \ GroupPolicy \ Machine \ Scripts \ Startup
Una vez que haya configurado su secuencia de comandos de cierre de sesión, puede probarlo: configuramos una secuencia de comandos simple que creó un archivo de texto en el escritorio y luego se desconectó y se volvió a encender. Pero podrías hacerlo hacer lo que quisieras..
Y, por supuesto, si estuviera haciendo un script de inicio de sesión, en realidad podría iniciar aplicaciones.
Una cosa importante a tener en cuenta es que si su secuencia de comandos solicita la entrada del usuario, Windows se bloqueará durante el apagado o el cierre de sesión durante 10 minutos antes de que se elimine la secuencia de comandos y Windows pueda reiniciarse. Esto es algo que definitivamente debes tener en cuenta al diseñar tu script.
La política de grupo no termina aquí
Acabamos de arañar lo que realmente puede hacer la Política de grupo, y en un entorno de dominio corporativo es una de las herramientas más poderosas e importantes a su disposición. Ya que esta serie no se trata de usuarios de TI, no analizaremos todo el resto, pero vale la pena hacer una investigación por su cuenta..