Poledit (Tutorial)

22 04 2008

Fuente:

http://www4.elisoft.net/g-poledit/index.htm

POLEDIT

Editor de Directivas del Sistema

NOTAS INICIALES

Una cuestión típica a la hora de compartir un ordenador entre varios usuarios es la de poder restringir lo que unos y otros pueden hacer, o a lo que tienen o no tienen acceso. Un padre que quiere dejar jugar a sus hijos, pero no quiere que le destrocen la configuración. Un hermano pequeño al que queremos dejar “tocar” el ordenador, pero sin que pueda “romper” nada. Ese ordenador de la oficina en el que estás cansado de colocar el escritorio a tu gusto… y unas cuantas situaciones parecidas más.

Para resolver todos estos casos existe una solución que está perdida en el CD-ROM de instalación de Windows. Se llama POLEDIT, y se puede utilizar así…

¿Que es POLEDIT?

POLEDIT.EXE, o el “Editor de Directivas del Sistema” es una utilidad de Microsoft diseñada para personalizar “el perfil” de un usuario. Esta utilidad está pensada para configurar máquinas que trabajan en red, pero nada nos impide que se utilice “en local” sin disponer de ella.

Eso de “el perfil” no es más que una serie de parámetros internos de Windows que permiten restringir el acceso a ciertos servicios, personalizar opciones de usuario, activar o desactivar ciertas funciones, o hacer que estas se comporten de una forma determinada. Naturalmente, casi todos esos parámetros están en el registro. En última instancia POLEDIT no es más que eso, un editor del registro, pero que usa una plantilla que sólo muestra ciertas partes, y mediante la cual la edición de sus parámetros se hace de forma controlada.

La utilidad puede trabajar de dos formas diferentes. Una de ellas es en modo “edición directa del registro”. En este modo los cambios que se hacen al registro se inyectan directamente y tienen efecto de inmediato, o como mucho tras reiniciar o cerrar la sesión. El otro modo es el de “edición de perfiles”. Las opciones de configuración son las mismas que en el “modo directo”, pero las modificaciones no se hacen sobre el registro, sino sobre un archivo que posteriormente se inyecta al registro como si se tratase de un típico archivo de extensión REG. Activar y utilizar correctamente esta forma de trabajo de POLEDIT es un poco enrevesada, pero ofrece unas posibilidades de configuración que bien merecen el esfuerzo.

Como ya he comentado antes POLEDIT edita el registro usando una plantilla. Esa plantilla no es más que un archivo de texto modificable con el bloc de notas. Estos archivos suelen ser de extensión ADM y es imprescindible tener uno de ellos para poder usar la utilidad.

¿Dónde está POLEDIT?

Podrás encontrar la utilidad POLEDIT y alguna plantilla lista para utilizar en el CD-ROM de instalación de Windows. Dependiendo de la versión de Windows estará en…

WINDOWS 95

<cdrom>\ADMIN\APPTOOLS\POLEDIT

WINDOWS 98

<cdrom>\TOOLS\RESKIT\NETADMIN\POLEDIT

WINDOWS 98 SE

<cdrom>\TOOLS\RESKIT\NETADMIN\POLEDIT

WINDOWS MILLENNIUM

En la versión OEM no aparece. El que lo encuentre que me diga dónde está.

La instalación no requiere nada especial. Puedes copiar el contenido de la carpeta POLEDIT del CD-ROM directamente a tu disco duro y poner un acceso directo en tu menú Inicio, o puedes pulsar el botón secundario sobre le archivo POLEDIT.INF, y en el menú que aparecerá seleccionar la opción “instalar”. Con la primera opción se copiarán todos los archivos desde el CD-ROM y con la segunda sólo los necesarios.

Primer arranque

La primera vez que inicies POLEDIT te pedirá que selecciones una plantilla a través de la que poder editar el registro. Te recomiendo que selecciones ADMIN.ADM, que es una de las más completas de las que tienes disponibles (sólo para usuarios W98).

Si no se selecciona una plantilla, POLEDIT arrancará, pero no se podrá hacer nada más que mirar las opciones del menú.

Modo de edición

Una vez seleccionada una plantilla (recomendablemente ADMIN.ADM) se tendrá acceso a todas las funciones de POLEDIT.

Atento al detalle de la barra de título del programa. En ella se puede ver el modo de trabajo actual. Si aparece “Registro local”, indicará que estamos en el modo de edición directa del registro, y si aparece un nombre de archivo, o “(Sin título)” indicará que estamos en el modo de edición de perfiles.

Edición directa del registro

Comenzaremos por lo más sencillo, que es editar directamente el registro. Para ello se selecciona la opción del menú “Archivo > Abrir registro”. Aparecerán dos iconos en la ventana de POLEDIT. Uno de ellos tiene por nombre “Usuario local” y el otro “PC local”. La razón de ser de estos dos iconos es que el registro de Windows se divide en dos partes bien diferenciadas. Una parte incluye las claves, parámetros y valores que afectan a la totalidad del equipo (la presencia de un dispositivo hardware o la ruta de instalación de un programa, por ejemplo) y la otra parte del registro recoge los valores personalizables por el usuario (la posición de una ventana o los colores del escritorio, por ejemplo).

Usuario local

Si pulsas dos veces sobre el icono “Usuario local” que aparece en esa ventana se mostrará la típica ficha de propiedades. Ojo, desde este momento estás editando el contenido del registro…

Los parámetros modificables se muestran en una estructura de árbol que los agrupa por temas. Me parece que las opciones disponibles se explican por si solas. Lo único que debes tener en cuenta es que… si no estás seguro de lo que hace una opción “NO LA TOQUES”. Para que los cambios que hagas tengan efecto deberás pulsar el botón “Aceptar” de la ficha de propiedades y seleccionar la opción del menú “Archivo > Guardar”, y muy posiblemente reiniciar el sistema o cerrar la sesión.

Por si se plantean dudas sobre el significado de las opciones aquí tienes una breve descripción de los bloques principales:

Panel de control

Desde este bloque se aplican casi todas las restricciones que afectan al Panel de Control. Principalmente las restricciones consisten en hacer desaparecer las fichas de propiedades típicas de los iconos del Panel de Control.

Escritorio

Desde este bloque se configuran un par de detalles sobre la apariencia del escritorio.

Red

Desde este bloque se activa y desactiva la opción de “Compartir” que aparece en el menú de contexto cuando estamos en red.

Shell – Carpetas personalizadas

Desde aquí se pueden personalizar las rutas de algunas carpetas que forman parte del perfil del usuario. Mucho ojo con lo que tocas, que te puedes quedar sin menú Inicio muy fácilmente.

Shell – Restricciones

En este bloque se encuentran las opciones más sabrosas a la hora de poner restricciones a la utilización del equipo. Creo que las opciones de este apartado se explican ellas solas por sus nombres.

Sistema

Las opciones de este bloque señalan restricciones un poco más severas. Sobre todo, mucho cuidado con la opción que limita la ejecución de aplicaciones a las “compatibles con Windows”. Al marcar esta casilla se impide automáticamente la ejecución de cualquier programa que no esté incluido en la lista. Si juegas con esta opción asegúrate de incluir en esa lista REGEDIT.EXE y POLEDIT.EXE, o de otra forma no podrás desactivar las restricciones.

PC local

El otro icono que aparece en la ventana de POLEDIT es el de “PC local”. Pulsándolo dos veces aparece esta ficha de propiedades…

Como en el caso de las opciones del “Usuario local” las descripciones de las casillas explican perfectamente su función, así que no me detendré en explicaciones que me parecen innecesarias. Se debe tener en cuenta que casi todas las restricciones aplicables están enfocadas al trabajo en red, así que no te sorprendas si encuentras opciones sin sentido para el ordenador de casa. La máxima aplicable para configurar las casillas de esta ficha de propiedades es la de siempre… si no estás seguro de lo que hace una opción “NO LA TOQUES”. Para que los cambios que realices tengan efecto deberás pulsar el botón “Aceptar” de la ficha de propiedades y seleccionar la opción del menú “Archivo > Guardar”, y muy posiblemente reiniciar el sistema o cerrar la sesión.

Edición de perfiles

El otro modo de funcionamiento de POLEDIT es el de “edición de perfiles”. La plantilla puede ser la misma que se usa para el modo de “edición directa” del registro, así que las opciones de configuración disponibles serán las mismas. La diferencia está en que las modificaciones no se hacen directamente sobre el registro, sino que se guardan en un archivo de extensión POL que se inyecta en el registro en un momento muy concreto. Primero veremos como se crea un archivo POL, y después veremos cómo y dónde se inyecta ese archivo en el registro.

Crear un archivo POL

Si seleccionas la opción del menú “Archivo > Nuevo archivo” aparecerán dos iconos con los nombres “Usuario predeterminado” y “PC predeterminado”. Si pinchas dos veces sobre uno de ellos se abrirá la ficha de propiedades desde la que podrás crear una configuración personalizada, tanto para el usuario como para la máquina. Hasta aquí no existen diferencias con respecto al modo de edición directa del registro. Lo único digno de mención es que ahora las casillas de las opciones tienen tres estados en lugar de los dos (con marca o sin ella) que tienen normalmente.

  • La casilla con la marca puesta indica una opción activada.
  • La casilla sin marca indica una opción desactivada.
  • La casilla en gris indica una opción que se dejará tal y como está en el registro actualmente, es decir, que no se modificará su actual estado de activación o desactivación (lo que no sepas para que sirve debes dejarlo así).
Añadir usuarios, PCs y grupos

Esta opción puede resultar un poco chocante, pero no se debe olvidar que la razón de ser de POLEDIT es configurar entornos de red, y en un entorno de red existen varios usuarios que pueden estar organizados en grupos de trabajo y que pueden utilizar varios ordenadores. Desde la opción del menú “Edición > Agregar usuario…” se pueden añadir tantos como sea necesario. Lo mismo se pude hacer para añadir PCs y grupos de trabajo, pero estas dos últimas opciones son poco interesantes para un usuario doméstico, que suele tener un único PC compartido por todos los miembros de la casa.

Pensando en ese caso de un único PC compartido por varios usuarios, vamos a crear un perfil de restricciones para cada uno de ellos que nos permita controlar lo que pueden y no pueden hacer. Se supone que has activado la opción de “Compartir el equipo por varios usuario” desde el Panel de Control, y que ya has creado tantos usuarios como necesitas. No es imprescindible hacerlo antes, pero ayuda a organizar el trabajo.

Desde la opción del menú “Edición > Agregar usuario…” se añaden tantos usuarios nuevos como quieras configurar, teniendo en cuenta que el nombre que pongas a cada uno de ellos debe coincidir exactamente con el nombre que tiene como usuario de Windows.

Si te fijas, cada nuevo usuario ha heredado el perfil que tenía el “Usuario predeterminado” en el momento de ser creado. Esa es la única función del “Usuario predeterminado”, servir de patrón al perfil de los nuevos usuarios que se vayan creando, tanto desde POLEDIT, como desde la ventana de usuario/contraseña en el inicio de sesión si se pone un nombre de usuario que no existía hasta el momento.

Es necesario hacer una matización sobre el significado de los tres posibles estados de las casillas en el caso del perfil de un usuario diferente del “predeterminado”:

  • La casilla con la marca puesta indica una opción activada.
  • La casilla sin marca indica una opción desactivada.
  • La casilla en gris indica que su estado final se tomará de cómo este esa misma casilla en el “Usuario predeterminado”. Es decir, si el “Usuario predeterminado” tiene la casilla marcada los usuarios que la tengan en gris heredarán ese mismo valor. Ojo a este detalle, que puede confundir. Una casilla gris en el perfil de un usuario no indica que se deja el registro como estaba, indica que se pone el valor que tenga el “Usuario predeterminado”.

Y una buena noticia, el perfil de un usuario se puede copiar en el de otro usando las opciones del menú “Edición > Copiar” y “Edición > Pegar”.

Una vez creado el nuevo archivo de configuración de perfiles, y ajustadas las opciones de cada uno de ellos, se debe guardar en disco usando la opción del menú “Archivo > Guardar”. Para evitar problemas te recomiendo que uses un nombre de ocho letras como máximo y que no tenga símbolos extraños ni letras acentuadas. La ubicación del archivo no tiene mucha importancia, pero un buen sitio para dejarlo puede ser la carpeta \WINDOWS\PROFILES, que es donde se guarda todo lo referente a las configuraciones de los usuarios (menú, escritorio, registro, etc.).

Inyectar el archivo POL en el registro

Una vez que tienes creado el archivo POL con los perfiles de los usuarios del equipo se debe hacer que Windows lo lea. Para ello sigue estos pasos:

  1. Desde cualquier usuario ejecuta POLEDIT
  2. Asegúrate de estar usando la plantilla “ADMIN.ADM”
  3. Selecciona la opción del menú “Archivo > Abrir registro”
  4. Pincha dos veces sobre el icono “PC local”
  5. Abre la rama “Red > Actualizar”
  6. Marca la casilla “Actualización remota”
  7. Selecciona el “Modo de Actualización” en “Manual”
  8. En el campo de “Ruta” escribe el nombre del archivo POL con su ruta completa
  9. Pulsa en botón “Aceptar” de esta ficha de propiedades
  10. Guarda las modificaciones en el registro con la opción del menú “Archivo > Guardar”

Puede parecer un proceso sin sentido, pero es la forma de hacer que Windows lea el contenido del archivo POL en cada inicio de sesión de cada usuario, y que inyecte en el registro las restricciones que contenga. Además, hacerlo de esta forma tiene una ventaja adicional. Si decides cambiar las restricciones de un usuario, sólo tendrás que modificar su perfil en el archivo POL, y la próxima vez que ese usuario inicie su sesión Windows inyectará el nuevo perfil sin que tú tengas que preocuparte de nada más. Esto también es aplicable si lo que haces es añadir un nuevo usuario.

Una precaución para evitar problemas:

Asegúrate de que en el archivo POL, en el perfil del “PC predeterminado”, no modificas el estado de estas casilla y campos. Lo mejor es dejar la marca de “Actualización remota” en gris.

El usuario por defecto de Windows

Se supone que todo esto lo estás haciendo sobre un equipo en el que está activado el mecanismo de “Múltiples usuarios”. En esta situación, al iniciar Windows, aparece la famosa ventana de usuario/contraseña. En esta venta Windows te invita a escribir o seleccionar un nombre de usuario, y ocasionalmente a poner su contraseña. Si se usa un nombre de usuario existente se iniciará la sesión en un Windows personalizable por ese usuario, y controlable con los perfiles creados con POLEDIT.

Esta situación sería casi perfecta de no ser por un pequeño contratiempo. Si en esa famosa ventana de usuario/contraseña se pulsa la tecla <Escape> o el botón “Cancelar”, Windows inicia una sesión para un usuario sin nombre que no es controlable con los perfiles de POLEDIT… triste pero cierto.

La única forma de aplicar restricciones con POLEDIT a ese “usuario por defecto” es con el modo de edición directa del registro en una sesión iniciada por ese usuario.

Particularmente yo no me entretengo en aplicar restricciones a ese usuario. Directamente “elimino” la posibilidad de iniciar su sesión. Pare ello utilizo uno de mis trucos, concretamente el de “Salir de Windows con un batch“. El truco consiste en cerrar esa sesión tan pronto como se inicia, de forma que se regrese inmediatamente a la ventana de usuario/contraseña o se salga de Windows.

Se puede hacer de muchas maneras. La más sencilla es esta…

  • Abre una ventana del Explorador de Windows
  • Localiza la carpeta \WINDOWS\Menú Inicio\Inicio
  • Coloca en ella un acceso directo con el siguiente contenido…
    • Para Windows 95
      RUNDLL.EXE USER.EXE,ExitWindows
    • Para Windows 98
      RUNDLL32.EXE SHELL32.DLL,SHExitWindowsEx 0

Otra forma un poco más sofisticada, y algo más segura, es colocar estas instrucciones en el registro…

  • Desde cualquier usuario con permiso para ello ejecuta REGEDIT
  • Localiza la clave…
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
  • Crea un valor de cadena de nombre “BloquearUsuario”
  • Asigna a ese valor de cadena el siguiente contenido…
    • Para Windows 95
      RUNDLL.EXE USER.EXE,ExitWindows
    • Para Windows 98
      RUNDLL32.EXE SHELL32.DLL,SHExitWindowsEx 0
  • Cierra REGEDIT

Con cualquiera de estas dos opciones se consigue que ese “usuario por defecto” de Windows, que no podemos controlar con POLEDIT, quede anulado.

NOTAS FINALES

Si todo nos ha salido bien, cuando un usuario de un equipo en el que se ha usado POLEDIT para aplicar restricciones intente hacer algo que hemos decidido no dejarle hacer, debería ver ventanas de aviso como estas…

Estoy seguro de que existen más formas de utilizar POLEDIT, y de que un Administrador de Red conoce una docena de utilidades y trucos para mejorar lo que se puede hace con esta sencilla aplicación. Pero mi intención al escribir esta guía ha sido hacerlo fácil, y no emplear nada más que lo que está disponible en el CD-ROM de instalación de Windows.

Creo que este texto cumple perfectamente su cometido como iniciación al tema del control de usuarios, configuraciones múltiples y seguridad local de un equipo.

Anuncios

Acciones

Information

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s




A %d blogueros les gusta esto: