Me he roto los cuernos. En mi trabajo siempre andan los usuarios tocandome las pelotas fastidiando cambiando el fondo de pantalla de los ordenadores de consulta (al público), cambiando de nombre los iconos, poniendo de texto de salvapantallas: “gay el que lo lea”, entrando en “herramientas/propiedades de internet” y cosas así; y yo sufriendo esos almorranas en silencio.
Pues el reconfigurar se va a acabar con WIP EXPRESS (o como se llame).
La cuestión es que el Windows, como bien sabemos es una basura, y el XP también, no se puede negar. No había posibilidad de evitar al 100% que hagan esas tonterías… hasta que se me ocurrió una solución, y tras eso, encontré en internet otros que decían lo mismo (tras pasarme meses buscando dicha solución, la encuentro tras ocurrírseme a mí).
Necesidad
Tenemos un Windos XP en red y un dominio, por lo que existe seguridad a nivel de usuario con posibilidad de dar permisos de lectura, escritura, etc…
Queremos que el usuario UPUBLICO tenga el Windows capado, pero que el Administrador no.
Problema
En principio no hay forma de hacer eso. Se podría poner a UPUBLICO con usuario “Invitado”, pero todavía puede tocar las narices. Queremos que no pueda hacer nada de nada, incluso ni darle al botón derecho del ratón, vamos.
Más problemas
Windows, que es una caca, tiene un “editor de políticas de grupo” llamado poledit. Resulta que eso cambia las políticas de TODOS los usuarios, así que si prohibes cosas con él para un usuario cualquiera, el Administrador tampoco se puede rascar la nariz… malo malo, pues.
Solución
Afortunadamente, el Windows XP trae un editor integrado de políticas de grupo, es el gpedit.msc. Basta ir a [Inicio/Ejecutar/gpedit.msc] y ya se abre. En el menú de [usuarios/plantillas administrativas] aparecen muchas cosas para habilitar y deshabilitar :) ahí está todo. Con eso no basta, ya que lo que se modifique con el gpedit se hace efectivo para todos los usuarios, y no queremos un Administrador capado… ¿no?… mierda mierda, pues.
Mierda$oft ofrece una solución bizarra y negruzca: http://support.microsoft.com/kb/q293655
No la comento aquí porque es asquerosa de verdad, y chapucera.
Mi solución es la siguiente:
Es necesario que el ordenador pertenezca a un dominio de red para que podamos cambiar los permisos de lectura/escritura de ficheros. Si tu ordenador no pertenece a un dominio de red, creo que había una manera de activar los permisos de ficheros, pero la desconozco a ciencia cierta.
El gpedit.msc modifica el fichero %Systemroot%\System32\GroupPolicy\User\Registry.pol , y este fichero se hace efectivo cada 90 minutos y cada vez que se inicia la sesión. Si no existe el fichero, se carga una configuración por defecto que permite hacer todo lo posible según tu rol de usuario (invitado, usuario normal, admin,…)
Lo que se hace es:
- Loggear con el login de Administrador
- Ir a %Systemroot%\System32\GroupPolicy\User\Registry.pol y:
- Hacer una copia de seguridad del fichero por si queremos deshacer todo.
- Eliminamos todos los usuarios que pueden acceder al fichero
- Añadimos el usuario a capar y le ponemos permisos de lectura
- Añadimos el usuario Administrador y le ponemos lectura/escritura.
- Aceptamos
- Abrimos gpedit.msc (inicio->ejecutar->gpedit.msc)
- Vamos a la carpeta: usuarios/plantillas administrativas. Tras esto, el programa habrá cargado la configuración que hay en Registry.pol, por lo que cambiamos los permisos de Registry.pol denegando el permiso de lectura al administrador; de esta manera, cuando logeemos como Administrador no se cargará dicha configuración, pero las modificaciones que realicemos ahora con gpedit.msc sí que se harán efectivas pero sólo visibles para el usuario que queremos capar.
- Capar al gusto.
- Salir de gpedit.msc
- Borrar el administrador como usuario que puede acceder a Registry.pol
Esta misma solución, pero más elegante y por comandos aparece (y lo encontré después, qué mierda) en:
http://juice.altiris.com
http://juice.altiris.com/node