Uso de objetos de directiva de grupo para ocultar unidades especificadas


Resumen


Cuando se utilizan objetos de directiva de grupo (GPO) en Windows, se puede seleccionar la opción "Ocultar estas unidades especificadas en Mi PC", que permite ocultar las unidades especificadas. Sin embargo, puede que solo sea necesario ocultar una determinada unidad y seguir accediendo a las demás.


Hay siete opciones predeterminadas para restringir el acceso a las unidades. Puede agregar más restricciones modificando el archivo System.adm de la directiva de dominio predeterminado o cualquier objeto de directiva de grupo (GPO) personalizado. Las siete opciones predeterminadas son las siguientes:
  • Restringir solo las unidades A, B, C y D
  • Restringir solo las unidades A, B y C
  • Restringir solo las unidades A y B
  • Restringir todas las unidades
  • Restringir solo la unidad C
  • Restringir solo la unidad D
  • No restringir unidades
Microsoft recomienda no modificar el archivo System.adm y, en su lugar, crear un archivo .adm e importarlo en el GPO. Esto se debe a que, al modificar el archivo System.adm, estos cambios pueden sobrescribirse si Microsoft publica una nueva versión del archivo System.adm en un Service Pack.

Más información


La ubicación predeterminada del archivo System.adm de una directiva de dominio predeterminado es la siguiente:

%SystemRoot%\Sysvol\Sysvol\SuNombreDeDominio\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Adm\System.adm
El contenido de estas carpetas queda replicado en todo el dominio mediante el servicio de replicación de archivos (FRS). Tenga en cuenta que la carpeta Adm y su contenido solo se crean cuando se carga por primera vez la directiva de dominio predeterminado.


Para modificar cualquiera de los siete valores predeterminados de esta directiva:

  1. Inicie Microsoft Management Console. En el menú Consola, haga clic en Agregar o quitar complemento.
  2. Agregue el complemento de directiva de grupo para la directiva de dominio predeterminado. Para ello, haga clic en Examinar cuando se le pida que seleccione un objeto de directiva de grupo (GPO). El GPO predeterminado es Equipo local. También puede agregar GPO para otras particiones de dominio (concretamente, Unidades organizativas).
  3. Abra las secciones siguientes: Configuración del usuario, Plantillas administrativas, Componentes de Windows y Explorador de Windows.
  4. Haga clic en Ocultar estas unidades especificadas en Mi PC.
  5. Haga clic para seleccionar la casilla Ocultar estas unidades especificadas en Mi PC.
  6. Haga clic en la opción adecuada en el cuadro desplegable.
Esta configuración elimina los iconos que representan a los discos duros seleccionados en Mi PC, Explorador de Windows y Mis sitios de red. Estas unidades tampoco aparecen en el cuadro de diálogo Abrir de ningún programa.


Esta directiva se ha diseñado para proteger unidades específicas, incluidas las de disquete, frente a un uso inadecuado. También puede utilizarse para indicar a los usuarios que guarden su trabajo en las unidades especificadas.


Para utilizar esta política, seleccione una unidad o una combinación de unidades en el cuadro desplegable. Para mostrar todas las unidades (opción de no ocultar ninguna), deshabilite esta directiva o haga clic en la opción No restringir unidades.


Esta directiva no evita que los usuarios utilicen otros programas para acceder a unidades locales o de red ni que vean o modifiquen características de las unidades mediante el complemento Administración de discos.


Los valores predeterminados no son los únicos que puede utilizar. Puede agregar valores personalizados modificando el archivo System.adm. Esta es la sección del archivo System.adm que tendría que modificar:

POLICY !!NoDrives 
EXPLAIN !!NoDrives_Help
PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
VALUENAME "NoDrives"
ITEMLIST
NAME !!ABOnly VALUE NUMERIC 3
NAME !!COnly VALUE NUMERIC 4
NAME !!DOnly VALUE NUMERIC 8
NAME !!ABConly VALUE NUMERIC 7
NAME !!ABCDOnly VALUE NUMERIC 15
NAME !!ALLDrives VALUE NUMERIC 67108863
;low 26 bits on (1 bit per drive)
NAME !!RestNoDrives VALUE NUMERIC 0 (Default)
END ITEMLIST
END PART
END POLICY

[strings]
ABCDOnly="Restrict A, B, C and D drives only"
ABConly="Restrict A, B and C drives only"
ABOnly="Restrict A and B drives only"
ALLDrives="Restrict all drives"
COnly="Restrict C drive only"
DOnly="Restrict D drive only"
RestNoDrives="Do not restrict drives"
La sección [strings] representa las sustituciones de los valores reales en el cuadro desplegable.


Esta directiva solo muestra las unidades especificadas en el equipo cliente. La clave del Registro a la que afecta esta directiva tiene un número decimal que corresponde a una cadena binaria de 26 bits en la que cada bit representa una letra de unidad:


11111111111111111111111111
ZYXWVUTSRQPONMLKJIHGFEDCBA
Esta configuración corresponde a 67108863 en formato decimal y oculta todas las unidades. Si desea ocultar la unidad C, asigne el número 1 al tercer bit más bajo y, después, convierta la cadena binaria en decimal.


No es necesario crear una opción para mostrar todas las unidades, ya que, al desactivar la casilla, se elimina por completo la entrada "NoDrives" y se muestran todas las unidades automáticamente.


Si desea configurar esta directiva para que muestre una combinación de unidades distinta, cree la cadena binaria adecuada, conviértala en decimal y agregue una entrada nueva a la sección ITEMLIST con su entrada [strings] correspondiente. Por ejemplo, para ocultar las unidades L, M, N y O, cree la cadena siguiente


00000000000111100000000000
ZYXWVUTSRQPONMLKJIHGFEDCBA
y conviértala a formato decimal. Esta cadena binaria sería 30720 como decimal. Agregue esta línea a la sección [strings] del archivo System.adm:


LMNO_Only="Restrict L, M, N and O drives only"
Agregue esa entrada en la sección ITEMLIST de arriba y guarde el archivo.


NAME !!LMNO_Only VALUE NUMERIC 30720
Se creará una octava entrada en el cuadro desplegable para ocultar únicamente las unidades L, M, N y O. Utilice este método para incluir más valores en el cuadro desplegable. La sección modificada del archivo System.adm aparece de la siguiente manera:

POLICY !!NoDrives 
EXPLAIN !!NoDrives_Help
PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
VALUENAME "NoDrives"
ITEMLIST
NAME !!ABOnly VALUE NUMERIC 3
NAME !!COnly VALUE NUMERIC 4
NAME !!DOnly VALUE NUMERIC 8
NAME !!ABConly VALUE NUMERIC 7
NAME !!ABCDOnly VALUE NUMERIC 15
NAME !!ALLDrives VALUE NUMERIC 67108863
;low 26 bits on (1 bit per drive)
NAME !!RestNoDrives VALUE NUMERIC 0 (Default)
NAME !!LMNO_Only VALUE NUMERIC 30720
END ITEMLIST
END PART
END POLICY

[strings]
ABCDOnly="Restrict A, B, C and D drives only"
ABConly="Restrict A, B and C drives only"
ABOnly="Restrict A and B drives only"
ALLDrives="Restrict all drives"
COnly="Restrict C drive only"
DOnly="Restrict D drive only"
RestNoDrives="Do not restrict drives"
LMNO_Only="Restrict L, M, N and O drives only"
Esta sección [strings] representa las sustituciones de los valores reales en el cuadro desplegable.


Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

230263: Cómo crear herramientas personalizadas de complementos de MMC utilizando Microsoft Management Console