INDICE

TEMA: Pg.

1.- INTRODUCCIN A LAS POLTICAS DE WINDOWS 95, 98 Y ME ...........1

2.- INSTALACIN DEL EDITOR DE POLTICAS. .............................................2

3.- EJECUTAR EL EDITOR DE POLTICAS........................................................3

4. DEFINICIN DE LAS RESTRICCIONES DE LAS PLANTILLAS ............4

5.- USUARIO LOCAL DEL REGISTRO DE USUARIO.......................................5

6.- PC LOCAL DEL REGISTRO ...........................................................................18

7.- PLANTILLA CONFIGW9.POL O CONFIG.POL..........................................21

8.- DEFINICIN DE LOS ENTORNOS DE WINDOWS ....................................22

9.- DESINSTALAR LAS POLITICAS: ..................................................................23

10.- TRABAJANDO SIN EL EDITOR DE POLTICAS, USANDO EL EDITOR

DE REGISTRO. .......................................................................................................24

11.- EXCEPCIONES DE LAS POLTICAS: .........................................................27

12.- CONCLUSIONES..............................................................................................27

13. BIBLIOGRAFIA ................................................................................................28

 1.- INTRODUCCIN A LAS POLTICAS DE WINDOWS 95, 98 Y ME
Las polticas de sistema son una herramienta del Windows 95 que
permite implementar una serie de restricciones en su entorno tal como
permitir la ejecucin de slo un grupo de programas, desactivar el
acceso al Panel de Control, desactivar el acceso al Entorno de Red, a
unidades de disco, etc., todo ello con el objetivo de proteger al sistema
de modificaciones y mantener un entorno estndar. Las restricciones
se pueden definir para un usuario en particular o para un grupo de
usuarios segn convenga.

Esto Facilita el trabajo de los encargados de los centros de computo

as como los administradores de red o encargados de Instalar los
Programas adquiridos Legalmente por sus Empresas ya que reduce
los riesgos de instalar programas no autorizados, perder informacin,
introducir archivos infectados o activar algn virus adems de
permitir restringir los programas que se pueden ejecutar.

Autor: Jos Alirio Meja Amaya 1

Correos: panoramicosv.yahoo.com, amejia@mh.gob.sv
 2.- INSTALACIN DEL EDITOR DE POLTICAS.
La configuracin de accesos de usuarios a la computadora o la red pasa por
instalar restricciones de tal manera que determinados usuarios no puedan hacer cosas
que puedan ser "peligrosas" para la integridad de la red o del ordenador que estn
usando.
Para habilitar estas restricciones es necesaria la instalacin de un software que
permita poner estas restricciones. Si hablamos de Windows 95/98, aparte de los
programas comerciales que puedan haber para este propsito, existe un programa
llamado "Poledit" (Editor de planes de sistema) esta nos permitir crear archivos de
extensin POL donde se definirn las restricciones para un usuario en particular o para un
grupo de usuarios definido en el dominio del Windows NT Server. Tambin puede definirse
restricciones para una mquina en particular ms no para un grupo de ellas.
Este Editor viene en el CD original de Windows.Cabe mencionar que no es
recomendable Instalar el cliente "Poledit" en las maquinas a las que les aplica la
poltica sea este local, o en una red microsoft. Solo se debe instalar polticas de grupo
en los clientes. Pero en este caso si lo aremos, siguiendo los siguientes pasos del
procedimiento.

El primer paso pasa por la instalacin de este programa en el ordenador, cosa que no se
realiza automticamente al instalar Windows.
Para instalar Poledit hemos de ir al "Panel de control-> Agregar o quitar
programas -> Instalacin de Windows."

Una vez en esta pestaa pulsar en "Utilizar disco" y en el cuadro de dilogo que
aparece ir a "examinar" y pulsar en "D:" (o la letra de la unidad de CD ROM que
tengamos). Navegar por el directorio del CD ROM o Drive a:\ hasta encontrar el
programa Poledit que estar en las siguientes ramas:
a) Si es Windows 95: "Admin\Apptools\Poledit"
b) Si es Windows 98: "Tools\Reskit\Netadmin\Poledit"
c) En un disquete previamente copiado de los anteriores CD.

Autor: Jos Alirio Meja Amaya 2

Correos: panoramicosv.yahoo.com, amejia@mh.gob.sv
Una vez hallado el programa en el CD ROM o drive A:\ Pulsar en aceptar dos veces y
en el cuadro de dilogo que se abre marcar los dos casilleros y "Instalar" (Editor de
planes de sistema y Polticas de grupo).

Se instalar el programa y ya podremos poner restricciones para todos los

usuarios de la computadora. Dar "aceptar" en todas las ventanas y listo. El programa

crea un acceso directo en la carpeta del "Men Inicio -> Programas -> Accesorios ->
Herramientas del sistema."

La instalacin del system policies requiere que previamente se habilite el inicio de

Sesin en el dominio de Windows NT y los perfiles de usuario personalizados.

3.- EJECUTAR EL EDITOR DE POLTICAS

Al empezar a editar un nuevo archivo de polticas siempre aparecern dos conos:

Default User y Default Computer. Aquellos usuarios que no estn definidos dentro del
archivo de polticas cogern las caractersticas del Default User, anlogamente, aquellas
computadoras que no estn definidas dentro del archivo de polticas cogern las
Caractersticas del Default Computer.

Para activar el programa y poner restricciones es necesario pulsar en un acceso directo

o bien "Ejecutar -> Poledit.exe". Se abrir la siguiente pantalla de programa:

Autor: Jos Alirio Meja Amaya 3

Correos: panoramicosv.yahoo.com, amejia@mh.gob.sv
Si nos pide una plantilla seleccionamos admin.adm Si el archivo poledit.exe es
extrado de un CD de Windows 95, si es de un CD de win98 usar la plantilla
Windows.adm, despus le damos clic a abrir y listo se abre el editor de polticas hoy
Pulsamos en el men "Archivo -> Abrir registro", si abrimos registro estamos entrando
en forma grafica al registro del usuario o user.dat del usuario que a entrado a Windows
caso contrario si le dio escape a Windows, esta usando el usuario por default de
Windows del cual toma el perfil cada usuario nuevo que se valida en el equipo local,
sea que esta cambiando la rama del KEY USERS DEFAULT . Tambin se debe crear
la plantilla con la que trabajaremos y que modificara el registro para ello se hacen los
pasos siguientes archivo, crear nueva, despus la guardaremos con el nombre de
configw9.pol; en ambos casos se muestran dos iconos en la ventana del programa:
"Usuario local" y "PC local". Si se omite la plantilla el editor no tendr una plantilla
predefinida para ver el registro o la plantilla configw9x, si esto ocurre busque en el
men Opciones la opcin plantillas de directivas y seleccionemos admin.adm.
(windows.adm)

4. DEFINICIN DE LAS RESTRICCIONES DE LAS PLANTILLAS

Para aplicar una directiva en una plantilla, nada ms debemos marcar dicha directiva
teniendo en cuenta lo siguiente:

Selecciona
Sombreada
En Blanco
Estado de la Opcin Significa que la Opcin est:
1- Caja de Seleccin Seleccionada Windows implementa esta opcin de una poltica, cambiando el
Marcada estado de la computadora del usuario para que sea conforme a la misma, cuando el
usuario se valida en la red. Si la opcin ya estaba seleccionada desde la ltima vez
que el usuario se valid, Windows no realiza ningn cambio.
2- Caja de Seleccin Sombreada La configuracin no cambia respecto a la ltima vez que el usuario
Sombreada acceso a la red, y Windows no har modificaciones relacionadas a la configuracin
del sistema.
3- Caja de Seleccin En En Blanco Windows no implementa esta opcin. Si la opcin fue implementada
Blanco anteriormente (ya sea por una la configuracin de una poltica o por las
configuraciones del usuario), dejndola en blanco, remueve la restriccin
especificada anteriormente del registro.

Autor: Jos Alirio Meja Amaya 4

Correos: panoramicosv.yahoo.com, amejia@mh.gob.sv
5.- USUARIO LOCAL DEL REGISTRO DE USUARIO

Para iniciar la plantilla confiw9.pol la abrimos si fue creada en el paso anterior o si no la

creamos siguiendo estos pasos en el poledit.exe ir a Archivo, Nuevo directiva se abren
los dos ramas del registro (KEY_USERS) "Usuario Predeterminado" y "PC local"
(KEY_LOCAL_MACHINE) solo que desde poledit es grafico. Despus le damos
guardar y le pondremos como nombre confiw9.pol; como ya se tiene la plantilla con la
que trabajaremos hoy abrimos esta plantilla y le daremos doble clic al icono de usuario
predeterminado todas las casillas estarn sombreadas, usted tiene que definir una a
una cada restriccin y si alguna no aparece explicada en el capitulo siguiente djela tal
como esta sombreada.

Crearemos un usuario de nombre jose. Este usuario s esta dando de alta en sistemas
Operativos windows9x y tiene clave de acceso al servidor MHDGT con usuario
invitado de nombre jose y una clave de acceso al dominio INFO este servidor esta en
el Grupo de Trabajo DGT. De esta manera explicaremos las ventajas y desventajas de
haber seleccionado una poltica, por los problemas que estas generan en el transcurso
del trabajo cotidiano.
Como anteriormente lo mencionamos al final de cada una de las opciones se definir la
opcin que debemos de tomar para nuestra plantilla configw9.pol de polticas para un
grupo de computadoras de 2 o mayor de 100 PCS. En un dominio de trabajo con un
servidor NT. En el caso de no tener una imagen solo se pondr la opcin a
configurar para la plantilla.

Tambin se puede crear esta plantilla para computadoras que no se validad a un servidor
NT y se siguen los mismos pasos solo se omite en PC local lo de acceso a un servidor
NT, la plantilla configw9.pol se debe copiar en la carpeta c:\windows, o en un equipo
Windows 9x con una carpeta compartida a todos con acceso de solo lectura y este
equipo debe permanecer encendido para que las directivas se apliquen. Seguidamente
Pulsamos sobre el "Usuario jose" se abrir el registro de Windows para el usuario jose
y encontramos la ramas siguientes:

Autor: Jos Alirio Meja Amaya 5

Correos: panoramicosv.yahoo.com, amejia@mh.gob.sv
5.1 Panel de control

5.1.1 Restriccin del acceso a propiedades de pantalla.

Esta es una de las ms tiles opciones de restriccin de poledit ya que permite
anular las acciones que los usuarios suelen hacer sobre la pantalla del ordenador,
configurando el escritorio, poniendo imgenes de fondo, protectores de pantalla, etc.
Para activarlas seguir los siguientes pasos:
a) Expandir la rama Panel de control -> monitor -> restringir el panel de control
del monitor.
b) Activar las restricciones que deseemos. Se puede eliminar completamente el
acceso a la configuracin de pantalla o slo a partes de la misma. Se pueden
tener las siguientes:
1) Ocultar la pgina de fondo.
2) Ocultar la pgina de protector de pantalla.
3) Ocultar la pgina de aspecto.
4) Ocultar la pgina de especificaciones del monitor.
5) Desactivar el panel de control del monitor.

Para la plantilla configw9, vamos a seleccionar las 5 opciones

5.1.1.2 Restriccin del acceso a Propiedades de red.

Antes hablamos de restringir el acceso a la red, de acceder o no a los distintos
ordenadores de nuestro grupo de trabajo u otros grupos. Con esta opcin restringiremos
el acceso a propiedades de la red, con lo cual el usuario no podr desconfigurar las
opciones de red ni la identificacin del ordenador en la red, ningn parmetro crtico de
sta.
Para activar estas opciones: seleccionar Panel de control -> red y seleccionar las
restricciones que deseemos de las varias posibles:
a) Desactivar el panel de control de la red.
b) Ocultar pgina de identificacin.

Autor: Jos Alirio Meja Amaya 6

Correos: panoramicosv.yahoo.com, amejia@mh.gob.sv
 c) Ocultar pgina de control de acceso.

En este caso hay usuarios que saben como cambiar direcciones IP, activar el
Puerto de enlace, el nombre de PC. O los tcnicos de otras Unidades cambian
configuracin establecidas y controladas, as se les limita el acceso y esto
permite que sean ms confiables los datos que se tienen.

Plantilla configw9, seleccionamos todas las opciones

5.1.1.3 Restriccin del acceso a propiedades de contraseas.

Como todos sabemos podemos poner contraseas de acceso al ordenador o a la
red definiendo usuarios con sus caractersticas de acceso, que es lo que tratamos de
hacer con esta tutora. Si no deseamos que un usuario poco experto o malintencionado
nos cambie estas contraseas y por tanto el acceso al ordenador, podemos restringir el
acceso a las contraseas, para ello expandir la rama Panel de control -> contraseas y
marcar la casilla Restringir el panel de control de contraseas. Nos aparecen las
siguientes opciones que podemos marcar segn deseemos:

a) Desactivar el panel de control de contraseas.

b) Ocultar pgina de cambio de contraseas.
c) Ocultar pgina de administracin remota.
d) Ocultar pgina de perfiles de usuario.
Autor: Jos Alirio Meja Amaya 7
Correos: panoramicosv.yahoo.com, amejia@mh.gob.sv
 Como en la opcin c se puede definir un grupo que administre el
equipo pero un usuario se los puede remover o desactivar esta
opcin, por lo que se Recomienda seleccionar solo los literales c y
d para la plantilla configw9

5.1.1.4 Restricciones de acceso a propiedades de impresoras.

Es muy decepcionante comprobar que despus de instalar una impresora en el
ordenador y configurarla para un mejor rendimiento, alguien por desconocimiento o
mala fe la desactiva o desconfigura. No diga nada si esta impresora est en red y afecta
a muchos ordenadores con el consiguiente trastorno.
Para activar esta restriccin expandir la rama Panel de control ->
impresoras marcar la opcin Restringir la configuracin de impresora y activar
aquellas protecciones que deseemos:
a) Ocultar pgina general y de detalles.
b) Desactivar eliminar impresora.
c) Desactivar edicin de impresora.
Si ponemos todas las restricciones cuando el usuario enva un documento y lo
quiere borrar este no podr hacerlo,

Seleccionar en la plantilla configw9.pol solo el literal C

5.1.1.5 Restricciones de acceso a Propiedades del sistema.

Otro factor crtico de un ordenador es la pgina de configuracin de propiedades
del sistema, donde un usuario poco experimentado o malintencionado puede configurar
(o mejor dicho, desconfigurar) los drivers de todos los dispositivos del ordenador y
cualquier parte crtica que afecte al funcionamiento del mismo. Si no deseamos que esto
ocurra, Poledit nos ofrece la herramienta necesaria para ello.
Expandir la rama Panel de control -> Sistema y marcar la casilla Restringir el
panel de control del sistema. De nuevo tenemos varias opciones, a saber:
a) Ocultar pgina del Administrador de dispositivos.
b) Ocultar pgina de Perfiles de hardware.
c) Ocultar botn "Sistema de archivos".

Autor: Jos Alirio Meja Amaya 8

Correos: panoramicosv.yahoo.com, amejia@mh.gob.sv
 d) Ocultar botn "Memoria virtual".

Seleccionar en la plantilla configw9.pol solo los literales C Y D

5.2 Escritorio

5.2.1 Papel tapiz

Seleccin el papel tapiz de nombre rayado.bmp en la plantilla
configw9.pol
5.2.2 Combinacin de Colores
No seleccionar Dejar sombreado o en blanco

5.3 RED

5.3.1 Compartir
Desactivar controles de Compartir archivos:

Seleccionar para la plantilla configw9.pol, si este opcin esta

Seleccionada los usuarios a los que se le apliquen estas polticas no
podrn efectuar compartir en los equipos evitando de esta manera que
otros usuarios tengan derecho de escritura en mi disco duro o le
puedan borrar datos por medio de la red tambin el robo de
informacin de otros.
As se evita que usuarios inexpertos compartan las carpetas con todos los derechos y
hoy en da que tantos Virus usan esta idea de estar esperando a que se accede dicho
carpeta para reproducirse por la red. No se recomienda dejar libre al Usuarios comn
5.3.2 Desactivar controles de Compartir Impresores:
Dejar sombreado para la plantilla Confiw9, si la selecciona los
usuarios no podrn compartir los impresores y el compartido se
retira por eso no se recomienda.

5.4 SHELL
5.4.1Carpetas personalizadas
5.4.1.1 Carpetas de programas Personalizados
Seleccionar la ruta de acceso a los programas en el disco duro de esta manera
c:\windows\menu inicio\programas. As todos tendrn los programas de la PC en la

Autor: Jos Alirio Meja Amaya 9

Correos: panoramicosv.yahoo.com, amejia@mh.gob.sv
estn trabajando en ese momento se evita que su usuario lo siga. Y copie archivos de su
escritorio en todas las PC a las que entre.
5.4.1.2 Iconos de escritorio personalizado
Seleccionar y definir la ruta de acceso al escritorio compartido en el servidor de control
de dominio de nombre MHDGT as \\mhdgt\escritorio$. De esta manera todos los
usuarios usaran el mismo escritorio y mas rpido y centralizado.
5.4.1.3 Ocultar Subcarpetas del men inicio
Para la plantilla dejar sombreado
5.4.1.4 Carpeta de inicio personalizado
Para la plantilla configw9.pol dejar sombreado
5.4.1.5 Entorno de red personalizado
Para la plantilla configw9.pol dejar sombreado
5.4.1.6 Men inicio personalizado
Para la plantilla configw9.pol dejar sombreado

5.4.2 Sistemas

5.4.2.1 Desactivar la entrada "Ejecutar" en el men Inicio:

Si deseamos que desaparezca del men Inicio de la barra de tareas el comando Ejecutar
de forma que no se pueda ejecutar ningn programa que no tenga un acceso directo,
bien en el escritorio o en el men Programas, podemos hacer lo siguiente:
Expandir la rama Shell -> restricciones y marcar la casilla "Eliminar el comando
ejecutar"
No recomendable, sirve para ejecutar aplicaciones a los usuarios

Para la plantilla configw9.pol dejar en blanco

5.4.2.2 Desactivar la orden "Buscar".

Podemos desactivar la orden Buscar del men Inicio, del Explorador de Windows o de
los mens contextuales (botn derecho del ratn), de forma que no aparezca y por tanto
no se puedan buscar carpetas o PCUS.
Para ello expandir la rama Shell -> restricciones y marcar la casilla "Eliminar el
comando buscar". Al reiniciar, el comando buscar habr desaparecido de todos los
mens.

Autor: Jos Alirio Meja Amaya 10

Correos: panoramicosv.yahoo.com, amejia@mh.gob.sv
No recomendable porque sirve para buscar archivos y computadoras

Para la plantilla configw9.pol dejar en blanco

5.4.2.3 Eliminar la carpeta "Configuracin" del men "Inicio".

Siguiendo con la restriccin a partes crticas del ordenador, podemos eliminar la carpeta
de Configuracin del men Inicio para que ningn usuario pueda acceder al Panel de
Control o la carpeta de Impresoras o cambiar la configuracin de la Barra de tareas o
del men inicio.
Para ello expandir la rama Shell -> restricciones. Dentro de todas las opciones
que aparecen marcar las siguientes:
a) Para ocultar las carpetas "Panel de control" e "Impresora", marcar "Eliminar
carpetas del submen configuracin en el men Inicio"
b) Para ocultar la opcin "Barra de tareas", marcar "Eliminar el comando
Barra de Tareas del submen configuracin en el men Inicio"
Si se marcan las dos opciones a la vez, el submen "Configuracin" no aparece
en el men Inicio. No recomendable a no ser que tenga accesos directos para
el Impresores porque no dejara entrar al panel de control

Para la plantilla configw9.pol dejar en blanco

5.4.2.4 Ocultar unidades para los usuarios:

Poledit permite ocultar unidades a los usuarios de tal manera que estos no
puedan ver las distintas unidades del PC y por tanto no puedan acceder al disco duro
Autor: Jos Alirio Meja Amaya 11
Correos: panoramicosv.yahoo.com, amejia@mh.gob.sv
(por ejemplo) y borrar programas o dlls que sean necesarias para que Windows
funcione correctamente. Para hacer esto:
Abrir la pestaa "shell -> restricciones" y escoger la opcin "Ocultar unidades en
MiPc" Pulsar "aceptar"
Esta no aplica al explorador de Windows porque siempre s vera el c:, Crea un

problema porque no se ve los disquetes no recomendables.

Si queremos slo ocultar determinadas unidades, por ejemplo, el disco duro pero no la
disquetera o el CD ROM es necesario editar el registro. Esto lo veremos el capitulo 10

Para la plantilla configw9.pol dejar en blanco

5.4.2.5 Para ocultar el icono de entorno de red a un usuario:

1.- Seleccionar Shell -> restricciones

2.- Marcar "Ocultar entorno de red"

.
Con esta opcin no se vera el icono entorno de red en el escritorio pero tambin
no se tendr acceso a la red su PC estar como una PC local sin impresores en cola, no
podr ver otros equipos etc. Es mejor dejarla en blanco por si en algn caso alguien la
configura localmente el servidor lo retira al momento de entrar otro usuario.

Autor: Jos Alirio Meja Amaya 12

Correos: panoramicosv.yahoo.com, amejia@mh.gob.sv
 Para la plantilla configw9.pol dejar en blanco

5.4.2.6 Ocultar el icono "Toda la red":

1.- Seleccionar Shell -> restricciones
2.- Marcar "No se encuentra red completa en entorno de red"
A veces es necesario ocultar la red de ordenadores a un usuario determinado, de forma
que este no puede acceder a ningn ordenador de la red, aunque los dems ordenadores
si pueden acceder al primero, si en los dems no se ha activado esta restriccin.
Con esto el usuario no tiene acceso a toda la red, sino slo a los ordenadores de su
grupo de trabajo. Hoy en da que muchos virus usan las carpetas compartidas para
reproducirse es bueno que esta opcin este, pues los usuarios no entraran a otros grupos
en los que no tiene actualizados antivirus o ni tienen.

Para la plantilla configw9.pol seleccionar la opcin

4.4.9 Ocultar los iconos de los ordenadores de su grupo de trabajo.

1.- Seleccionar Shell -> restricciones
2.- Marcar "Sin contenidos de grupo de trabajo en entorno de red"

Con esto el usuario no ser capaz de ver a los otros ordenadores de su grupo de
trabajo, pero si podr ver los de otros grupos conectados a la red. Tendremos el mismo
problema para imprimir o ver equipos del mismo grupo con carpetas compartidas a no
ser que se sepa el nombre del equipo que tiene el impresor y los archivos compartidos.
Siempre estas no son infalibles en casos se puede ver desde el explorador pero se
requiere de mas habilidad de parte del Usuario.

Para la plantilla configw9.pol seleccionar la opcin

Autor: Jos Alirio Meja Amaya 13

Correos: panoramicosv.yahoo.com, amejia@mh.gob.sv
5.4.27 Ocultar todos los elementos del escritorio.
Esta opcin permite ocultar todos los elementos que tengan iconos de acceso
directo en el escritorio, incluidos los que por defecto pone Windows (MiPC, Entorno de
red, Mis Documentos, Internet Explorer, Papelera, etc.). Para ello ir a:
Shell -> Restricciones y activar "Ocultar todos los elementos del escritorio"

Esta opcin no es recomendable porque cuando un usuario con este tipo de perfil esta
trabajando y despus ingresa un usuario que no tiene un perfil definido en ese equipo
este perfil se le copia al usuario y este tendr el mismo escritorio, adems para el
ejemplo de escritorio nico que presentaremos esta configuracin no es recomendable

Para la plantilla configw9.pol dejar en blanco

5.4.2.8 Desactivar la orden "Apagar el sistema".

Es posible desactivar este comando y no ser posible apagar el sistema usando
los mtodos habituales, slo pulsando el botn de encendido del ordenador.
Para ello expandir la rama Shell -> restricciones y marcar la casilla "Desactivar
el comando apagar el sistema".
No recomendable, porque sino se apaga con el botn inicio se tiene que decir al

usuario que use F4 o lo que har es presionar el botn de apagado y se termino el S.O

Autor: Jos Alirio Meja Amaya 14

Correos: panoramicosv.yahoo.com, amejia@mh.gob.sv
 Para la plantilla configw9.pol dejar en blanco

5.4.2.9 Desactivar "Guardar configuraciones al salir".

Los usuarios del viejo Windows 3.11 tenamos una opcin al salir del sistema
que nos preguntaba si queramos guardar las configuraciones de escritorio que
hubiramos hecho o dejarlo como estaba inicialmente. Desgraciadamente Windows
95/98 no posee esta opcin (al menos a simple vista) por lo que si cambiamos alguna
configuracin del escritorio al salir queda grabada automticamente, no obstante, a
travs de Poledit podemos desactivar esta grabacin automtica, con lo que podemos
hacer cuantos cambios nos plazcan que al salir no sern guardados y por tanto al
arrancar de nuevo tendremos la configuracin original de escritorio.
Para esta opcin debemos expandir la rama Shell -> restricciones y marcar la casilla
"No guardar configuracin al salir del sistema". Con esto si un usuario cambia las
propiedades de la pantalla, el men Inicio, etc. No se guardarn al salir y al volver a
iniciar se cargarn las configuraciones antiguas.

Para la plantilla configw9.pol dejar en blanco

5.5 Sistemas:

5.5.1 Restricciones:

5.5.1.1 Desactivar las herramientas de edicin del registro.

Un usuario experimentado puede saltarse todas las restricciones que hayamos
puesto con Poledit, creando archivos *.reg y activndolos con una doble pulsacin del
ratn. No obstante podemos evitar esto de la siguiente manera:
Expandir la rama Sistema -> restricciones, seleccionar la casilla "Desactivar
herramientas de edicin del registro de configuraciones" y aceptar. Tambin es
necesario no aadir Poledit.exe a la lista de aplicaciones ejecutables vista en el apartado

Autor: Jos Alirio Meja Amaya 15

Correos: panoramicosv.yahoo.com, amejia@mh.gob.sv
La nica forma, una vez hecho esto de acceder al registro y al Poledit (si tampoco se ha
incluido en la lista) es utilizar un disco de arranque que contenga el editor de registro y
el poledit. Aunque la forma ms efectiva es utilizar una copia del registro que se haya

hecho antes de desactivar el editor de registro. (Esto puede conseguirse ejecutando

scanreg que se encuentra en el directorio Windows y recuperando alguna de las seis
ltimas copias del registro que Windows 98 guarda automticamente, confiando que al
menos una de ellas fuera anterior al establecimiento de estas restricciones.)
No recomendable, para lugares que trabajan insertando llaves de registro (*.reg) para
el mejor funcionamiento de los SISTEMAS.

Para la plantilla configw9.pol dejar en blanco

5.5.1.2 Restringir los programas de aplicaciones ejecutables.

Esta opcin, junto a la restriccin de propiedades de pantalla, puede ser de los
ms tiles, pues con ello controlamos los programas que un usuario determinado puede
ejecutar en el ordenador.
Con esta opcin conseguiremos que slo los programas que nosotros, como
administrador del sistema, queremos que sean ejecutados, lo que nos permite controlar
lo que hacen el resto de usuarios en el ordenador. Para ello expandir la rama Sistema -
> restricciones y seleccionar la casilla "Ejecutar solamente aplicaciones compatibles
con Windows", luego pulsando en el botn Presentacin aaden a mano la lista de
programas ejecutables que queremos que estn disponibles para ese usuario, por
ejemplo se pueden aadir: Iexplorer.exe, Winword.exe, Excell.exe, Access.exe, etc.
(cuidado, en la lista hay que escribir el nombre del fichero ejecutable sin error ) tambin
agregar los nombres de acceso directo *.lnk o *.pif, de cada ejecutable si le han creado
acceso directo.
Recomendado, con esta opcin solo los programas que usted quiere se ejecutaran o

instalaran en el equipo evitando as problemas legales de Software.

Autor: Jos Alirio Meja Amaya 16

Correos: panoramicosv.yahoo.com, amejia@mh.gob.sv
 Para la plantilla configw9.pol Seleccionar

Si usted tiene todo el apoyo de su jefe hgalo y esto le restringir asta los juegos y
archivos de antivirus, sistemas solo debe de tener paciencia en estar buscando cada
ejecutable que funciona en su empresa pero esta la mejor opcin de todas. Si no tiene
demasiado apoyo djela SOMBREADA y despus en una segunda etapa usted la pude
configurar Yo le enviare una Copia de esta plantilla.

5.5.1.3 Desactivar el smbolo de MS-DOS.

Si no queremos que un usuario ejecute programas basados en el antiguo MS-
DOS en una ventana de Windows, podemos usar esta opcin:
Expandir la rama Sistema -> restricciones y marcar la casilla "Desactivar el
smbolo MS-DOS". Con esto ya no se podrn ejecutar programas en MS-DOS.
No recomendable, porque no se podr ejecutar un telnet a un servidor unix y un

ejecutable de programa echo en fox para dos, as tambin ejecutar el COMMAND.COM

Para la plantilla configw9.pol dejar en blanco

5.5.1.4 Desactivar el modo MS-DOS.

Pero si lo que deseamos es que al apagar el modo Windows no podamos entrar
en modo MS-DOS puro, desactivando esta opcin del men de apagado, debemos
entrar en la rama Shell -> restricciones y marcar la casilla "Desactivar aplicaciones en
modo nico MS-DOS"
Por ltimo al terminar de establecer todas las restricciones que deseemos a un
usuario determinado hay que pulsar en Aceptar y luego en el men Archivo -> Guardar

Autor: Jos Alirio Meja Amaya 17

Correos: panoramicosv.yahoo.com, amejia@mh.gob.sv
para que los cambios se almacenen en el registro, finalmente cerrar sesin para ese
usuario y al volver a entrar con ese nombre de usuario y contrasea todas las
restricciones definidas estarn habilitadas. No recomendable igual al anterior
Para la plantilla configw9.pol dejar en blanco

6.- PC LOCAL DEL REGISTRO

Es la poltica de computadora que define la configuracin para una computadora por

defecto (Default Computer) o para una computadora nombrada especficamente. La
configuracin de Computadora por Defecto se aplica cuando un usuario acceda a la
computadora o a la red desde una computadora que no tiene signada una poltica
individual.

6.1 RED
6.1.1 Control de acceso

Seleccionar control de acceso a los usuarios

Nombre de Autentificador

Definir el nombre del dominio al que se validara, en el caso de la plantilla

configw9.pol ser INFO

Tipo de autentificador
Seleccionar Dominio de Windows NT
6.1.2 inicio

Titulo de Inicio
Titulo: dejar el que trae por omisin
Texto: el que mas le guste a usted

6.1.3 Cliente para redes netware: solo para Servidores Novell, No

seleccionar
6.1.4 cliente para redes Windows:
Inicio de seccin en Windows

el nombre del dominio INFO

Grupo de trabajo:

Poner a la plantilla el grupo DGT

Grupo de Trabajo Adicional: dejar en blanco no seleccionar

Autor: Jos Alirio Meja Amaya 18

Correos: panoramicosv.yahoo.com, amejia@mh.gob.sv
6.1.5 Compartir Archivos e Impresoras

Desactivar anuncio SAP: si no tiene NOVELL seleccinelo pero si tiene novel

djelo el Blanco

6.1.6 contraseas

Dejar como esta por defecto o sea sombreado y el que esta marcado djelo si no
lo esta debe de estar as: seleccionado Ocultar Contraseas los dems
Sombreado

6.1.7 acceso telefnico

Dejar sombreado

6.1.8 compartir

Desactivar compartir archivos:

Dejar las en blanco

Desactivar compartir Impresores:

Dejar en blanco

Las dos se deben dejar en blanco porque si las selecciona todas las computadoras no
podrn compartir archivo e Impresores de esta manera nadie podr usar Impresores en
Cola ni vera archivos Compartidos, esta Opcin es similar a la del Usuario Local con la
diferencia que en el Usuario local si quita el compartir al Usuario que entra no a todos.

6.1.9 SNMP
Dejar como esta Sombreado

6.1.10 Actualizar
En esta casilla es la mas importante para la actualizacin (ver imagen) de las directivas
porque en ella se define la forma de actualizar las Polticas si las ara de forma automtica o
manual por eso es la segunda en importancia, as que ponga mucha atencin a estas lneas
que de ello depende el funcionamiento de este plantilla y todo lo antes escrito.
Modo actualizaron:
esta puede ser automtica, en este caso el equipo busca en el NETLOGON del
servidor Primario del dominio o sea MHDGT y copia todas la restricciones que contiene el
Archivo CONFIG.POL si es Windows, para Windows NT es confignt.pol estas
restricciones se agregan al registro de Windows de esta manera la PC local tendr todo lo
que se le acaba de decir y el Users que entro en este momento usara la configuracin de

Autor: Jos Alirio Meja Amaya 19

Correos: panoramicosv.yahoo.com, amejia@mh.gob.sv
Usuario Local y si este Usuario tiene un usuario en la plantilla definido solo para su Perfil
este no tendr problema con las polticas del usuario Local.

Si la actualizacin es manual: se debe de especificar la Ruta de acceso al Archivo de

Plantilla o sea al Configw9.pol pero siempre este lo podremos en el NETLOGON del
servidor Primario o de control, BDC, estacin remota, servidor de archivos la ruta definida
es la que manda, para el ejemplo ser. \\MHDGT\NETLOGON\CONFIGW9.POL

para la plantilla CONFIGW9.POL seleccionar manual y definir la

ruta de su controlador, modificar tambin la PC local del registro
con esta misma ruta
esta poltica se debe de implementar por partes primero use el archivo
configw9.pol para no afectar los dems equipos mientras efecta sus
pruebas despus le cambia el nombra a config.pol si es Windows 9x
si tiene NT WS 3x, 4x puede usar confignt.pol

6.2 SISTEMAS

6.2.1 ACTIVAR PERFILES DE USUARIO

Seleccionarla para que siempre estn los perfile, de esta manera no necesita el
capitulo 8 definicin del entorno en equipos Windows 98
6.2.2 RUTA DE ACCESO A LA RED PARA INSTALAR WINDOWS
Esta es la ruta en donde estn los archivos *.cab de Windows se debe dejar
sombreada
6.2.3 RUTA DE ACCESO A LA RED PARA EL PASEO DE WINDOWS
Debe estar sombreada

6.2.4 EJECUTAR

Autor: Jos Alirio Meja Amaya 20

Correos: panoramicosv.yahoo.com, amejia@mh.gob.sv
 Debe de estar sombreada
6.2.5 EJECUTAR UNA VEZ
Esta opcin se debe dejar siempre sombreada nunca se le ocurra dejarla en
blanco
6.2.6 EJECUTAR SERVICIOS
Esta opcin se debe dejar siempre sombreada nunca se le ocurra dejarla en
blanco

7.- PLANTILLA CONFIGW9.POL O CONFIG.POL

Despus de la explicacin del uso del Editor de Polticas, y la creacin del archivo de
polticas tomando como base los puntos al final de cada numeral o imagen de los capitos 5,
6 de este manual y en los casos que no se crearon imgenes por espacio o el tamao de estas
solo se habla de la opcin a definir en esta plantilla Configw9.pol, a finalizar guarde el
archivo de plantilla como configw9.pol y este se vera igual al de la imagen siguiente:

Anexos adicionales para un buen control con polticas

Verificar o modificar que los equipos de prueba tengan definida en Archivo, Registro y
En el icono PC local la ubicacin fsica exacta a donde usted copio el archivo configw9.pol
y si es un servidor primario despus de las pruebas usted deber poner en automtico la
lnea actualizar y borrar la ubicacin fsica que le defini para las pruebas y el archivo
configw9.pol renombrarlo a config.pol para que todo funcione a la perfeccin. Leer imagen
de actualizacin remota de PC local 6.1.10

Figura de configw9.pol creado con los siguientes grupos restrictivos:

1. El usuario amejia, no tienen restricciones todas las casillas estn en blanco

2. Grupo Soporte, no tienen restricciones todas las casillas estn en blanco
3. La computadora ingresos no aceptan polticas local aunque se le definan este
archivo se las elimina prevalecen la de red.
4. PC predeterminada esta configurado para habilitar los perfiles y cargar el archivo
configw9.pol del servidor de control MHDGT.

Autor: Jos Alirio Meja Amaya 21

Correos: panoramicosv.yahoo.com, amejia@mh.gob.sv
 5. El usuario predeterminado, es el que pone todas las polticas a los Usuarios que no
estn dentro de este archivo, aunque sea administradores de red pero si no esta
dentro del configw9 y este entra a una PC win9x este es un usuario Predeterminado
y como tal lo trata la poltica.
6. Este archivo puede estar en un servidor NT o tambin se puede crear en el disco
duro de una PC local si esta no tiene red solo se desactiva la validacin de un
dominio NT
7. Tambin se usa el software de administracin de computadoras de nombre VNC

Despus de terminar la plantilla configw9.pol copiarla en la carpeta netlogon de

Windows NT controlador de dominio, que en ste caso es el servidor MHDGT.
Cuando se cargue la Poltica de Sistema, en una PC de la empresa afectar a aquellos
Usuarios que estn definidos en el archivo CONFIGW9.POL y aquellos que no estn
definidos (Usuarios extraos) asumirn las restricciones del usuario por defecto (Default
User).Todas las computadoras asumirn las restricciones de Default Computer.

En las polticas de Usuario estn desactivadas:

Las propiedades de red, pero se les creo un icono en el escritorio compartido con
el winipcfg para que sepan como se llama el equipo as como ver la direccin IP.
No pueden compartir archivos, pero tienen una carpeta compartida en el servidor,
en la que se puede pasar archivos hasta por 20 MB y despus ellos borran los datos
por que esta publica este acceso esta en el escritorio de nombre de carpeta
compartida.
Se crearon carpetas compartidas, a las que se les creo accesos directos para evitar
hacer mapeos. Estas estn en el escritorio y solo tienen acceso los grupos definidos
en el servidor NT, ver imagen de inicio del manual.
Se copio un logo del MH, que se enva a la PC que no lo tiene y despus se carga
con l la poltica. Esto se hace con el Scripts del Usuario en NT.
Cuando hay un Icono nuevo solo se agrega al escritorio y este les aparece a
automticamente a los equipos de Windows 2000 los de win9x cuando reinician.

8.- DEFINICIN DE LOS ENTORNOS DE WINDOWS

CONFIGURAR LOS EQUIPOS DE LA EMPRESA PARA INICIAR POLTICAS

Debemos seguir entonces los siguientes pasos:
1. Preparar la mquina con una configuracin estndar, es decir, con el software
correspondiente, sin papel tapiz, resolucin 800*600, color 16 bits, apariencia estndar
de Windows 9X, sin salvador de pantalla, conexin a la red
Impresora Lser Jet 4P, configuracin regional Espaol-Per, teclado Espaol(Mxico)
-Latinoamericano. El ltimo punto es muy importante pues los perfiles de usuario han
sido diseados usando ste tipo de teclado. Un teclado distinto ocasionar que, la
segunda vez que ingresemos al recuadro de logon, el teclado quede inhabilitado pues
surge un conflicto entre el teclado definido localmente en la computadora con el teclado
personalizado del usuario. sta es una falla o bug del Windows 95 (versiones a y b) que
debemos tener en cuenta.. Para win95 c y win98 as como ME no aplica la
recomendacin
2.Habilitar el inicio de sesin en el dominio de Windows NT (Panel de control icono

Autor: Jos Alirio Meja Amaya 22

Correos: panoramicosv.yahoo.com, amejia@mh.gob.sv
Red-Cliente para redes Microsoft-Propiedades) y los perfiles de usuario personalizados
(Panel de control - Icono contraseas -Perfiles de usuario - Los usuarios pueden
personalizar sus preferencias y configuracin de escritorio). Debemos crear el entorno
de cada usuario o profile, es decir, los conos, grupos de programas, y papel tapiz, que
aparecer al ingresar con un usuario determinado. El profile tiene la forma de un
directorio con el nombre del usuario que a su vez tiene varios subdirectorios donde cada
uno representa a un grupo de programas o documentos. El contenido final de cada
subdirectorio son atajos o shortcuts a dichos programas o documentos. El profile define
el perfil del usuario. Los iconos de accesos directos sern descargados desde el
directorio Escritorio del servidor primario a las mquinas de la Empresa. El directorio
Escritorio est compartido como Escritorio$ con acceso de solo lectura. Despus de
crear y compartir el directorio Escritorio debemos crear los iconos de acceso directos
estndares de la Empresa, en esta carpeta compartida (Escritorio$) del servidor primario
con derechos a los usuarios de este dominio. As al ingresar un usuario y una contrasea
predeterminadas segn el uso que el empleado desee darle a la computadora. Por
ejemplo, si el empleado desea usar los servicios Internet debe ingresar con el usuario
asignando seguido de la contrasea propia. Luego el servidor valida al usuario y su
contrasea en el dominio mhdgt y empieza la carga del entorno predeterminado junto
con las restricciones de seguridad y los iconos de accesos directos.

9.- DESINSTALAR LAS POLITICAS:

Para una mquina que ha sido configurada con el System Policies observar que es
Diferente abrir el registro de la computadora durante la sesin n de un usuario que abrir el
Registro despus de hacer Esc a la ventana de inicio de sesin. Si abrimos el registro
durante la sesin de un usuario, al que se le han aplicado las polticas de seguridad,
observaremos un Local User y un Local Computer afectados por el System Police y
Correspondiente al del usuario con el que se ha ingresado. Modificaciones hechas en l
Local User y/o en Local Computer durante una sesin de usuario tendrn efecto slo
Hasta que terminemos la sesin pues una vez reiniciada seguiremos con la configuracin
Inicial debido a que las configuraciones del System Police tienen prioridad y han sido
Aplicadas a la mquina, no a un usuario.
El entorno que obtenemos al hacer Esc a la ventana de inicio de sesin es el que nos
Permitir hacer modificaciones en el Registro del sistema para poder desinstalar el
System Police, sin embargo, en la seccin anterior la mquina se configur para que al
Hacer Esc no se obtuviera ningn tipo de acceso a la mquina. Tenemos entonces que
Ingresar al Modo Seguro del Windows 9X y desde aqu desactivar el System Police.
Debemos seguir los siguientes pasos:
1. Ingresar al Modo Seguro a Prueba de Fallas del Windows9x, para ello
Reiniciar la PC y enseguida presionar F8.
2. Ejecutar el Poledit y desmarcar todas las opciones indicadas en los pasos
De la seccin anterior. Guardar.
3. Adicionalmente tambin desactivar las opciones indicadas en el paso 1,
Seccin anterior, correspondiente al inicio de sesin en el dominio del Windows
NT y la activacin de perfiles personalizados.
4. Entrando en modo msdos y usando scanreg para recuperar una copia del registro de
unos das o meses anteriores esta prctica no aplica a Windows 95
5. Para usuarios avanzados borrar la llave de registro policies y desactivando la opcin
actualizar[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\P
olicies] despus solo se renombra el directorio profiles de Windows y todos los que
entren no tendrn directivas de polticas.

Autor: Jos Alirio Meja Amaya 23

Correos: panoramicosv.yahoo.com, amejia@mh.gob.sv
10.- TRABAJANDO SIN EL EDITOR DE POLTICAS, USANDO EL
EDITOR DE REGISTRO.

10.1 Polticas con llaves de registro.

Las siguientes restricciones no son opciones de Poledit, pero complementan a ste y

ayudan a configurar una proteccin eficaz de nuestra red de ordenadores.

Para que las polticas sean un xito en tu empresa tambin debes de saber que sin usar
el POLEDIT se puede modificar las opciones de configuracin que un archivo de
polticas crea al momento de acceder a una red o a una PC local.
Para saber en que lugar se guardan las polticas del usuario DEFOULT de una PC esta
este ejemplo y aunque usted inicie a pruebas de fallas esta configuracin siempre se
carga en el registro de Windows. Vemos el registro:

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Ex
plorer\RestrictRun]
"1"="acsisino.bat"
"2"="actmonie.pif"
"3"="actmovie.exe"
"4"="actsiat.bat"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Ne
twork]
"NoNetSetup"=dword:00000001
"NoNetSetupIDPage"=dword:00000001
"NoNetSetupSecurityPage"=dword:00000001
"NoFileSharingControl"=dword:00000001
"NoEntireNetwork"=dword:00000001
"NoWorkgroupContents"=dword:00000001

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Sy
stem]
"NoAdminPage"=dword:00000001
"NoProfilePage"=dword:00000001
"NoDevMgrPage"=dword:00000001
"NoConfigPage"=dword:00000001
"NoFileSysPage"=dword:00000001
"NoVirtMemPage"=dword:00000001

En esta ubicacin nos restringe todo solo nos permite usar los programas que en esta se
mencionan.
Y si el caso es el usuario jose esta restriccin estara en la rama:
[HKEY_USERS\.jose\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
RestrictRun]
Con las mismas restricciones anteriores adems de restringirme el acceso al entorno de
red..

Autor: Jos Alirio Meja Amaya 24

Correos: panoramicosv.yahoo.com, amejia@mh.gob.sv
Si no desea que el equipo se valide en un DOMINIO NT

[HKEY_LOCAL_MACHINE\Network\Logon]
"username"="amejia"
"PrimaryProvider"="Microsoft Network"
"PolicyHandler"="GROUPPOL.DLL,ProcessPolicies"
"logonvalidated"=hex:01,00,00,00
"UserProfiles"=dword:00000001
"LMLogon"=hex:00,00,00,00

10.2 Seguridad sin usar el editor de Polticas

para Windows 98 y ms

usar la llave siguiente:

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"BloquearUsuarios"="RUNDLL32.EXE SHELL32.DLL,SHExitWindowsEx 0"
Esto hace que la PC no permita entrar otro usuario que no sea los definidos en los
perfiles de Windows a la fecha de ingresado la modificacin.

Para win95 es otra forma no tan probada pero aqu esta:

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"BloquearUsuarios"="RUNDLL.EXE user.exe,ExitWindows"

10.3 Explorador de Windows apuntando a un directorio fijo sin posibilidad de ir

a otro.
Es posible hacer que el explorador de Windows quede apuntando a un
determinado directorio o unidad sin posibilidad de desplazarnos a travs de los dems
directorios o unidades, lo que puede permitirnos bloquear el acceso a determinadas
partes del ordenador a cualquier usuario, evitando que estos borren o pongan programas
y archivos en directorios no deseados por nosotros.
Para ello ir a Inicio -> Programas -> Explorador de Windows y pulsando con el
botn derecho del ratn abrir sus propiedades. En el cuadro de dilogo que aparece
escribir en el campo destino: c:\windows\explorer.exe /e, /root, c:\Mis documentos.
Con esto hacemos que la ventana del explorador slo apunte al directorio mis
documentos sin posibilidad de desplazarnos por los dems.
Tambin podemos hacer que apunte a una determinada unidad, por ejemplo A: sin
posibilidad de acceder al disco duro, escribiendo: c:\windows\explorer.exe /e, /root, A:\

Autor: Jos Alirio Meja Amaya 25

Correos: panoramicosv.yahoo.com, amejia@mh.gob.sv
10.4 Ocultar unidades en MiPc.
En la seccin 2.1 vimos la posibilidad de ocultar todas las unidades a un usuario
determinado, pero que pasara si slo deseamos ocultar determinadas unidades. Para
ello es necesario editar el registro para ese usuario.
Las unidades estn controladas por una palabra de bits:
Letra de unidad G F E D C B A
Palabra de bits 1 1 1 1 1 1 1
Si el bit est a 1 la unidad no se ve. Por ejemplo para ocultar las unidades:
Unidad a Valor
ocultar Valor binario Hexadecimal
A 00001 01
C 00100 04
D 01000 08
E 10000 10
CyD 01100 0C

Veamos un ejemplo prctico, supongamos que deseamos ocultar el disco duro

(C:) Y el CDROM (D:), el valor hexadecimal a colocar en el registro es "OC".
a) Ejecutar Regedit.

b) Expandir la rama:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Poli
cies\Explorer
c) Aadir un "Nuevo Valor DWORD"
d) Darle el nombre "NoDrives"
e) Darle el valor 0C
f) Salvar la configuracin y reiniciar.
Al reiniciar no aparecern estas unidades en MiPc o el Explorador (cuidado, s el
explorador es el estndar de Windows siempre aparece la unidad C:, Salvo que lo
modifiquemos como hemos hecho anteriormente, apuntando a otra unidad o carpeta sin
posibilidad de ir a otro sitio).

10.5 Negar el uso de fondos de pantalla desde el Internet explorer

Autor: Jos Alirio Meja Amaya 26

Correos: panoramicosv.yahoo.com, amejia@mh.gob.sv
 1)- Se debe copiar un archivo que a usted le guste para un fondo Comn en los
escritorios en mi empresa definimos el logo y lo renombramos como
rayado.bmp y tambin lo copiamos como Internet Explorer Wallpaper.bmp que
esta dentro de c:\windows y lo pones de lectura y oculto
2)- Le cambiamos a los dos bmp las propiedades de solo lectura y oculto y esto
slo definimos al archivo de polticas para que lea el archivo rayado.bmp y todos
tendrn el mismo logo en sus PCS. Si tiene un servidor puede enviar el archivo a
todos las computadoras por medio de un archivo bat y definirlo en el perfil de
todos los usuarios.

11.- EXCEPCIONES DE LAS POLTICAS:

1. Que no tenga definido perfiles de usuario, esto hace que la PC no funcione bien
o que el usuario tenga un perfil creado antes de que se iniciaran las polticas esto
hace que este tenga derecho a otros cosas. En unos casos se recomienda
renombrar el profiles y crearle uno nuevo.
2. Problemas con la integracin del Office 2000 al profiles del usuario, cuando se
dan es recomendable copiar los perfiles de otro usuario que funcione bien.

12.- CONCLUSIONES

1. Estas plantilla es posible dejarlas en un directorio de Windows y que el registro

las lea en la ubicacin que se defina y funciona bien, lo que no es posible hacer
es el escritorio con iconos con acceso solo de lectura porque estamos en una
unidad FAT y a esta no se le puede aplicar seguridad para los archivos, en un
servidor Windows NT es efectiva por que tiene particiones NTFS a las que se
les puede dar derechos a archivos y carpetas con mayor seguridad. Pero se puede
crear esta plantilla y copiarla a una PC, con Windows y en esta darle acceso solo
lectura as esta sirve como un NT y se efecta automtica la configuracin de
esta a las dems computadoras.
2. La Configuracin para Computadora en las Polticas de Sistema, previene que el
usuario pueda modificar la configuracin del hardware o el ambiente del sistema
operativo, asegurando que Windows iniciar de manera predecible. Usted puede
definir opciones para restringir el acceso a caractersticas especficas del sistema
y la red. Cuando aplica Polticas de Sistema a una computadora, afectan a todos
los usuarios de esa computadora. Para el ejemplo, abrimos el archivo registro
que se encuentra en su computador. Aqu encontramos todos los tipos de
polticas que podemos definir, detalladas anteriormente. Seleccionar la
computadora profile o perfil del usuario que contiene la serie de opciones y
programas que aparecen a partir de que presionamos el botn INICIO, y a
restricciones a las modificaciones que se hacen a los archivos user.dat y
system.dat, es decir, los archivos que definen el Registro. En el archivo
USER.DAT se guarda informacin concerniente al usuario y en el archivo
SYSTEM.DAT se almacena informacin con respecto al hardware del sistema.
El SYSTEM POLICIES acta sobre el registro del sistema modificando los
archivos USER.DAT y SYSTEM.DAT implementando las restricciones que el
administrador crea conveniente. Una computadora puede ser usada por distintos

Autor: Jos Alirio Meja Amaya 27

Correos: panoramicosv.yahoo.com, amejia@mh.gob.sv
 usuarios y el hardware sigue siendo el mismo. De la misma forma se puede
habilitar un archivo USER.DAT para cada usuario con diferentes restricciones
pero el SYSTEM.DAT es nico en dicha computadora. Debido a que se usar el
System Policies con usuarios validados por el Servidor se puede usar todas las
herramientas de Administracin de usuarios de que dispone el servidor para
imponer accesos permitidos, slo en determinadas horas, a las computadoras de
los Empleados a determinados usuarios as como la implementacin de Scripts
para el mantenimiento de la PC.

3. Eestas polticas se pueden usar de manera local poniendo el archivo en cada una
de las COMPUTADORAS en una carpeta NO compartida y en una ubicacin
definida en la PC local. Ejemplo c:\windows\local.pol.

4. Se pude usar tambin en modo Windows sin entrar a un dominio solo debe de
ubicar el archivo en una PC que este siempre encendida y esta puede tener como
sistema Operativo WINDOWS 2000, NT WS 4.X Y Windows 9x. ME. Y en
esta crea una capeta compartida de lectura con acceso a todos y en ella copia la
plantilla configw9.pol

5. Si un equipo despus de haberle configurado no recibe las directivas hay que

verificar la PC local en capitulo 6.1.10 entrar al poledit abrir el registro y
verificar la forma de actualizacin que esta efectuando y si no esta chequeada
chequearla y definirla directiva segn este si es a un config.pol en un servidor
primario es automtica no mas si es un caso contrario a una estacin de
trabajo, carpetas compartidas ponerlo en modo actualizacin: manual y
definirle la ruta a donde esta la plantilla Ejp. c:\windows\local.pol.

13. BIBLIOGRAFIA

www.cybercursos.net, documento systempolice.zip ejemplo de Centros de

computo con usuarios diferentes en NT.

para los usuarios que se inician es recomendable leer primero el documento

de http://ciudadfutura.com/mundopc/cursos/poledit/poledit.htm es como la
primera parte de este manual

Ayuda de windows 95 y windows NT Server

Tambin Si se desea una revisin a profundidad de lo que puede hacer el

System Policies se puede revisar el Resource Kit de Windows 95/98 en el
Captulo 15.

Autor: Jos Alirio Meja Amaya 28

Correos: panoramicosv.yahoo.com, amejia@mh.gob.sv