Mi buen amigo Don Gato me pregunta como puede restringir el acceso total en una computadora de forma que un usuario solo pueda ejecutar un programa. Aunque un poco difícil pero no imposible, esto se logra mediante GPOs (Group Policy Object).
Para implementar correctamente las políticas de grupo es necesario tener un buen conocimiento de usuarios, grupos y un poco de dominios, debido a lo extenso de estos temas los dejamos para otra ocasión. Adicionalmente las GPOs solo son soportadas por Windows XP y Windows 7 en sus versiones Professional y superiores, ninguna versión Home soporta GPOs.
Las políticas de grupo se aplican a computadoras o a usuarios, y dentro de los usuarios podemos separar administradores de no administradores. Si enlazamos una GPO a la computadora esta se aplica a todos los usuarios que utilizan la computadora, así que utilizaremos una GPO enlazada a un usuario que no es administrador, debemos tener cuidado cuando aplicamos una GPO a usuarios administradores ya que podríamos bloquearnos a nosotros mismos.Vamos a crear una política local que tiene un alcance solo a los usuarios y grupos propios del computador, el momento que unimos este computador a un dominio, esta GPO tal vez sea ignorada y reemplazada por otra política de mayor precedencia aplicada al dominio o unidad organizacional del dominio(Mucho por explicar).
Clic al menú inicio y en search programs and files escribimos mmc.exe
Seleccionamos Group Policy Object Editor y Add
Este momento debemos ser cuidadosos debido a que por defecto la GPO a crear se aplica al computador, para cambiar esto damos clic en Browse y vamos a la pestaña Users y seleccionamos el usuario a quien queremos enlazar la GPO, en mi caso los usuarios no administradores, aunque pudo ser el usuario Michael.
Ahora es el momento en que indicamos que políticas aplicaremos, la primera será la ejecución de un único o los programas que creemos necesarios para nuestro usuario. La ruta de la politica es User Configuration-Administrative Templates-System-Run Only specified Windows applications.
Es posible indicar los programas de Microsoft solo mediante nombre.exe aunque otros programas tal vez requieran la ruta completa hasta su ejecutable C:\Dondequesea\Loquesea
Adicionalmente debemos bloquear el acceso al registro de Windows y al command prompt activando.
Prevent access to command prompt
Prevent access to registry editing tools
No debemos olvidar que tampoco queremos que el usuario revise el contenido de nuestro disco duro o cualquier otra unidad de información, esto logramos en User configuration-Administrative Templates-Windows Components-Windows Explorer-Hide Specified drives.
Guardamos todos los cambios y cambiamos el nombre a nuestra consola mmc.exe para futuros cambios.
Listo ahora la próxima vez que el usuario Michael inicie sesión estará bajo efecto de esta GPO. Existen muchas mas características adicionales por bloquear, solo es cuestión de jugar un poco con las GPOs y listo.Para que sepan quien es Christina Rosenvinge... y estuvo en Quito.
No hay comentarios:
Publicar un comentario