Conecta con nosotros

Prácticos

Cómo mejorar el control de tu PC con las directivas de grupo de Windows

Publicado

el

directivas de grupo de Windows

El editor de las directivas de grupo de Windows es una herramienta interna de los sistemas operativos de Microsoft que permite un mayor control del funcionamiento del PC o la capacidad de realizar algunos ajustes que no están disponibles usando otros gestores menos avanzados como el Panel de Control o la Configuración general del sistema.

Las ‘Políticas de grupo’ son una herramienta fundamental para administradores de TI ya que proporcionan una forma centralizada de gestionar y hacer cumplir todo tipo de configuraciones de sistemas operativos, aplicaciones y configuración de los usuarios en un entorno de Active Directory. Estas configuraciones son mantenidas por un controlador de dominio y los equipos cliente individuales no pueden anularlas. Aunque su uso es más común en la configuración de redes empresariales, organizaciones o escuelas, también es interesante para usuarios finales de máquinas domésticas.

Hay que citar que Windows 10 no es precisamente un sistema operativo sencillo de personalizar y no cuenta con herramientas internas adecuadas para variar sustancialmente su aspecto, comportamiento de sus componentes o acceso a funciones «ocultas» que no están accesibles directamente y de ahí que recomendemos el uso de aplicaciones externas para tunearlo y dejarlo a gusto de cada cual.

Sin embargo, las gestiones digamos ‘administrativas’ sí están mejor cubiertas y este gestor es un ejemplo. Piensa en ella como en un Panel de Control, pero mucho más poderoso. Se puede restringir el acceso a partes del sistema, forzar una determinada página de inicio para todos los usuarios o ejecutar ciertos scripts cada vez que una computadora se enciende o apaga. Internamente, la mayoría de las opciones del editor de las directivas de grupo de Windows simplemente realizan ajustes en el Registro del sistema.

Sin embargo, esta aplicación proporciona una interfaz mucho más amigable para administrar estas opciones sin tener que buscar manualmente en el Registro. Repasamos su acceso y exponemos ejemplos de funciones que pueden usarse por un cliente final para mejorar el control de las máquinas de su red local o PCs compartidos.

directivas de grupo de Windows

Acceso a las directivas de grupo de Windows

Este gestor está disponible en las versiones profesionales, educativas y empresariales de Windows 10. Microsoft no lo ofrece oficialmente en Windows 10 Home, aunque en esta versión también puede usarse aplicaciones externas como Policy Plus, una herramienta de código abierto que brinda acceso a la configuración del editor de políticas de grupo y el Registro de Windows.

Asumiendo que estás usando Windows 10 Pro su acceso es muy sencillo. Y de varias maneras:

  • Abre el menú de inicio, busca por «directiva de grupo» e inicia la aplicación.
  • O pulsa el atajo de teclado «Windows + R» y escribe el comando gpedit.msc para iniciar el editor.

La mayoría de configuraciones requieren el reinicio de la computadora antes de implementarlas. Si quieres evitarlo, después de los cambios puedes abrir la consola de Windows con privilegios de administrador y ejecutar el comando gpupdate /force para que se activen.

10 ejemplos de uso para máquinas cliente

Hay centenares de opciones, preferencias y configuraciones diferentes que se pueden activar. Por descontado, hay que saber lo que se está haciendo porque este conjunto de reglas controlan el entorno de trabajo de cuentas de usuario y de equipos, y básicamente permiten controlar lo que se puede hacer o no hacer en el PC. Un mal ajuste puede causar problemas o comportamientos no deseados.

Sin embargo, hay controles sencillos que pueden ser útiles para redes locales o máquinas cliente y que nos sirven para empezar a conocer las posibilidades de este gestor. Como ejemplo:

Restringir el acceso al panel de control y Configuración. Las restricciones de acceso a estos controles son vitales para redes empresariales y entornos escolares, pero también pueden son útiles en el hogar para computadoras compartidas entre múltiples usuarios. Si desea evitar que tu chaval cambie la configuración del sistema, este es un buen paso a seguir. La configuración se realiza siempre desde la misma manera:

  • Abre el editor.

  • Ve a la ruta Configuración de usuario > Plantillas administrativas > Panel de control > Prohibir el acceso a Configuración de PC y a Panel de control

directivas de grupo de Windows

  • Edita el valor.

Esta política permite desactivar todo el acceso o solo a partes determinadas del Panel de control.

Bloquear acceso al símbolo del sistema. La consola de Windows es muy potente y Windows Terminal es una interesante reunificación de todas las líneas de comando del sistema. Pero en manos equivocadas, puede ser un gran problema para la seguridad o para la estabilidad del equipo. Para deshabilitarlo edita:

Configuración de usuario > Plantillas administrativas > Sistema > Impedir el acceso al símbolo del sistema

Esta política impide la ejecución del símbolo del sistema y también la ejecución de archivos por lotes en formatos CMD o BAT.

Impedir la instalación de software. Otra acción clave para impedir introducción de malware o aplicaciones basura, y reducir de paso la carga y mantenimiento del sistema.

Configuración del equipo > Plantillas administrativas > Componentes de Windows > Windows Installer > Desactivar Windows Installer

Esta política solo afecta al software Win32, las apps de la Windows Store todavía se podrían instalar por terceros.

Deshabilitar reinicios forzados. Aunque hay otras opciones opciones para posponerlo, Windows 10 eventualmente reiniciará la computadora cuando tenga actualizaciones pendientes. Puedes recuperar el control habilitando un elemento de las Política de grupo. A partir de ahí, Windows solo aplicará las actualizaciones pendientes cuando el usuario reinicie manualmente.

Configuración del equipo > Plantillas administrativas > Componentes de Windows > Windows Update > No reiniciar automáticamente con usuarios que hayan iniciado sesión en instalaciones de actualizaciones automáticas

Desactivar las actualizaciones automáticas de controladores. Windows 10 puede actualizar los controladores sin permiso implícito del usuario y en muchas ocasiones es un problema porque puedes querer usar un controlador personalizado o la última versión que proporciona Microsoft no funciona correctamente con un hardware en particular. Para deshabilitar las actualizaciones automáticas de controladores ve a esta ruta:

Configuración del equipo > Plantillas administrativas > Sistema > Instalación de dispositivos > Restricciones de instalación de dispositivos > Impedir la instalación de dispositivos que coincidan con cualquiera de estos id. de dispositivo.

Una vez habilitado, deberás proporcionar el ID de hardware para los dispositivos cuya actualización de drivers quieras limitar. Puedes obtenerlos desde el Administrador de dispositivos del Panel de Control. En el ejemplo impedimos la actualización del driver de nuestra tarjeta gráfica para usar siempre el controlador manual que hemos instalado con el software externo de NVIDIA.

Deshabilitar las unidades extraíbles. Unidades externas como los medios ópticos o los que usan memorias flash y se conectan a USB son muy útiles, pero son potencialmente una vía preferente de introducción de malware. Esta limitación en las directivas de grupo de Windows se usa por defecto en empresas, pero también en redes domésticas y máquinas cliente que usen varios usuarios.

Configuración de usuario > Plantillas administrativas > Sistema > Acceso de almacenamiento extraíble

En esa política puedes desactivar el acceso de lectura o escritura de medios ópticos, de los disquetes o de unidades de almacenamiento flash, aunque los USB persistentes siempre son los más problemáticos.

Ocultar notificaciones. Las usamos a diario en dispositivos móviles y Microsoft o Apple también las han introducido en sus sistemas para PCs. No sé tú. Para mí son un auténtico coñazo cuando estoy trabajando en el escritorio y molestan más que la supuesta utilidad que ofrecen. Se puede deshabilitar desde:

Configuración de usuario > Plantillas administrativas > Menú Inicio y barra de tareas

Ahí se pueden desactivar las notificaciones de globo y el resto, además de realizar un montonazo de personalizaciones más.

Eliminar OneDrive. Microsoft integró OneDrive por defecto en Windows 10 con el objetivo de impulsar su propio servicio de almacenamiento en nube. Personalmente lo uso junto a Office 365 y la verdad es que funciona perfectamente. Pero si no lo usas o si tienes otro servicio de almacenamiento, es una molestia tenerlo desde el arranque o ocupando espacio innecesario en el explorador de archivos. Aunque se puede desinstalar por otros métodos, la acción en las directivas de grupo de Windows es definitiva para la versión actual del sistema y siguientes actualizaciones, y se realiza desde la ruta:

Configuración del equipo > Plantillas administrativas > Componentes de Windows > OneDrive > Impedir el uso de OneDrive para almacenar archivos

Apagar Windows Defender. El antivirus integrado en Windows 10 ha mejorado tanto como para que la mayoría de usuarios eviten la instalación de un software de seguridad de terceros. Defender se administra por sí solo y dejará de funcionar automáticamente si instalas un antivirus de terceros. Esa es la teoría, porque hemos visto conflictos en el pasado con este tipo de instalaciones. Si el cambio no funciona correctamente y usas un software de seguridad externo se puede deshabilitar por completo aquí:

Configuración del equipo > Plantillas administrativas > Componentes de Windows > Windows Defender > Apagar Windows Defender

Ejecutar scripts en el inicio de sesión / inicio / apagado. El último ejemplo es más avanzado que los anteriores. También se usa mucho por administradores, pero la gran mayoría de usuarios no lo usarán. Si eres un usuario avanzado y te sientes cómodo con estos archivos por lotes que pueden escribirse en la consola PowerShell, se pueden activar automáticamente con las políticas de grupo.

Configuración del equipo > Configuración de Windows > Scripts

Estas secuencias de comandos se pueden activar tanto para los inicios / apagados de las máquinas, como para los inicios / cierres de sesión.

Solo son unos ejemplos de uso de estas directivas de grupo de Windows porque hay decenas / centenares de acciones que se pueden usar en cada apartado de este editor, de una manera más sencilla que tener que estar tocando en el registro del sistema. Además, cada una de ellas incluye un pequeño tutorial escrito de a lo que afecta.

Obviamente, la mayoría de estas políticas están creadas pensando en empresas, organizaciones o escuelas, pero también pueden emplearse en redes domésticas y equipos clientes compartidos donde el usuario principal quiera mantener el control y la seguridad de los mismos o personalizar el funcionamiento de un montón de apartados del PC.

Lo más leído