Compartir a través de

Paso: guía deBy-Step para controlar la instalación de dispositivos mediante la directiva de grupo

  • Artículo

 

Dave Bishop

Actualizado junio de 2007

Resumen: Mediante el uso de los sistemas operativos Windows Server 2008 y Windows Vista, los administradores pueden determinar qué dispositivos se pueden instalar en los equipos que administran. En la guía se resume el proceso de instalación de dispositivos y se muestran varias técnicas para controlar la instalación de dispositivos. (34 páginas impresas).

Contenido

Introducción
   ¿Quién debe usar esta guía?
   Ventajas de controlar la instalación de dispositivos mediante la directiva de grupo
Información general sobre escenarios
Revisión de tecnología
   Instalación de dispositivos en Windows
   Configuración de directiva de grupo para la instalación de dispositivos
   Configuración de directiva de grupo para acceso de almacenamiento extraíble
Requisitos para completar los escenarios
   Procedimientos de requisitos previos
Impedir la instalación de todos los dispositivos
   Requisitos previos para evitar la instalación de todos los dispositivos
   Pasos para evitar la instalación de todos los dispositivos
Permitir que los usuarios instalen solo dispositivos autorizados
   Requisitos previos para permitir que los usuarios instalen solo dispositivos autorizados
   Pasos para permitir que los usuarios instalen solo dispositivos autorizados
Impedir la instalación de dispositivos prohibidos
   Requisitos previos para evitar la instalación de dispositivos prohibidos
   Pasos para evitar la instalación de dispositivos prohibidos
Controlar los permisos de lectura y escritura en medios extraíbles
   Requisitos previos para controlar los permisos de lectura y escritura en medios extraíbles
   Pasos para controlar los permisos de lectura y escritura en medios extraíbles
Conclusión
Recursos adicionales
Registro de errores y comentarios

Introducción

En esta guía paso a paso se describe cómo controlar la instalación de dispositivos en los equipos que administra, incluida la designación de los dispositivos que los usuarios pueden instalar y no pueden instalar. En concreto, en Windows Server 2008 y Windows Vista puede aplicar la directiva de equipo a:

  • Impedir que los usuarios instalen cualquier dispositivo.
  • Permitir que los usuarios instalen solo los dispositivos que están en una lista "aprobada". Si un dispositivo no está en la lista, el usuario no puede instalarlo.
  • Impedir que los usuarios instalen dispositivos que estén en una lista "prohibida". Si un dispositivo no está en la lista, el usuario puede instalarlo.
  • Deniegue el acceso de lectura o escritura a los usuarios para dispositivos que se puedan mover, o que usen medios extraíbles, como quemadores de CD y DVD, unidades de disco disquete, unidades de disco duro externas y dispositivos portátiles, como reproductores multimedia, teléfonos inteligentes o dispositivos Pocket PC.

En esta guía se describe el proceso de instalación de dispositivos y se presentan las cadenas de identificación que Windows usa para hacer coincidir un dispositivo con los paquetes de controladores de dispositivo disponibles en un equipo. En la guía también se muestran tres métodos para controlar la instalación de dispositivos. Cada escenario muestra, paso a paso, un método que puede usar para permitir o evitar la instalación de un dispositivo específico o una clase de dispositivos. En el cuarto escenario se muestra cómo denegar el acceso de lectura o escritura a los usuarios para dispositivos que son extraíbles o que usan medios extraíbles.

El dispositivo de ejemplo usado en los escenarios es un dispositivo de almacenamiento USB. Puede realizar los pasos descritos en esta guía mediante un dispositivo diferente. Sin embargo, si usa un dispositivo diferente, las instrucciones de la guía no coincidirán exactamente con la interfaz de usuario que aparece en el equipo.

Importante Los pasos proporcionados en esta guía están diseñados para su uso en un entorno de laboratorio de pruebas. Esta guía paso a paso no está pensada para usarse para implementar características de Windows Server sin documentación complementaria y debe usarse con discreción como documento independiente.

¿Quién debe usar esta guía?

Esta guía está dirigida a las siguientes audiencias:

  • Planificadores y analistas de tecnologías de la información que evalúan Windows Vista y Windows Server 2008
  • Planificadores y diseñadores de tecnología de la información empresarial
  • Arquitectos de seguridad responsables de implementar la informática de confianza en su organización
  • Administradores que quieren familiarizarse con la tecnología

Ventajas de controlar la instalación de dispositivos mediante la directiva de grupo

Restringir los dispositivos que los usuarios pueden instalar proporcionan las siguientes ventajas:

Reducir el riesgo de robo de datos

  • Es más difícil que los usuarios realicen copias no autorizadas de los datos de la empresa si los equipos de los usuarios no pueden instalar dispositivos no aprobados que admiten medios extraíbles. Por ejemplo, si los usuarios no pueden instalar un dispositivo CD-R, no pueden grabar copias de los datos de la empresa en un CD grabable. Esta ventaja no puede eliminar el robo de datos, pero crea otra barrera para la eliminación no autorizada de datos. También puede reducir el riesgo de robo de datos mediante la directiva de grupo para denegar el acceso de escritura a los usuarios para dispositivos que son extraíbles o que usan medios extraíbles. Puede conceder acceso por grupo al usar la directiva de grupo.

Reducir los costos de soporte técnico

  • Puede asegurarse de que los usuarios instalen solo los dispositivos que el departamento de soporte técnico esté entrenado y equipado para admitir. Esta ventaja reduce los costos de soporte técnico y la confusión del usuario.

Información general sobre escenarios

Los escenarios presentados en esta guía muestran cómo controlar la instalación y el uso de dispositivos en los equipos que administra. Los escenarios usan la directiva de grupo en un equipo local para simplificar el uso de los procedimientos de un entorno de laboratorio. En un entorno en el que administra varios equipos cliente, debe aplicar esta configuración mediante la directiva de grupo implementada por Active Directory. Con la directiva de grupo implementada por Active Directory, puede aplicar la configuración a todos los equipos que son miembros de un dominio o una unidad organizativa de un dominio. Para obtener más información sobre cómo usar la directiva de grupo para administrar los equipos cliente, consulte directiva de grupo en el sitio web de Microsoft.

A continuación se muestran descripciones de los escenarios presentados en esta guía:

  • Impedir la instalación de todos los dispositivos

    En este escenario, el administrador quiere impedir que los usuarios estándar instalen cualquier dispositivo, pero permiten a los administradores instalar o actualizar dispositivos. Para completar este escenario, configure dos directivas de equipo. La primera directiva de equipo impide que todos los usuarios instalen dispositivos y la segunda directiva exime a los administradores de las restricciones.

  • Permitir que los usuarios instalen solo dispositivos autorizados

    En este escenario, el administrador quiere permitir que los usuarios instalen solo los dispositivos incluidos en una lista de dispositivos autorizados. Este escenario se basa en el primer escenario y, por tanto, debe completar el primer escenario antes de intentar este escenario. Para completar este escenario, creará una lista de dispositivos autorizados para que los usuarios puedan instalar solo los dispositivos que especifique.

  • Impedir la instalación de solo dispositivos prohibidos

    En este escenario, el administrador quiere permitir a los usuarios estándar instalar la mayoría de los dispositivos, pero evitar que instalen dispositivos incluidos en una lista de dispositivos prohibidos. Para completar este escenario, debe quitar las directivas que creó en los dos primeros escenarios. Una vez que haya quitado esas directivas, cree una lista de dispositivos prohibidos para que los usuarios puedan instalar cualquier dispositivo excepto los que especifique.

  • Controlar el uso de dispositivos de almacenamiento de medios extraíbles

    En este escenario, el administrador quiere impedir que los usuarios estándar escriban datos en dispositivos de almacenamiento extraíbles o dispositivos con medios extraíbles, como una unidad de memoria USB o un quemador de CD o DVD. Para completar este escenario, configura una directiva de equipo para permitir el acceso de lectura, pero deniega el acceso de escritura al dispositivo de ejemplo y a cualquier dispositivo quemador de CD o DVD en el equipo.

Revisión de tecnología

En las secciones siguientes se proporciona una breve introducción a las tecnologías principales que se describen en esta guía.

Instalación de dispositivos en Windows

Un dispositivo es un elemento de hardware con el que Windows interactúa para realizar alguna función. Windows solo puede comunicarse con un dispositivo a través de un fragmento de software denominado controlador de dispositivo. Para instalar un controlador de dispositivo, Windows detecta el dispositivo, reconoce su tipo y, a continuación, busca el controlador de dispositivo que coincide con ese tipo.

Windows usa dos tipos de identificadores para controlar la instalación y configuración del dispositivo. Puedes usar la configuración de directiva de grupo en Windows Vista y Windows Server 2008 para especificar cuáles de estos identificadores permiten o bloquean.

Los dos tipos de identificadores son:

  • Cadenas de identificación del dispositivo
  • Clases de configuración de dispositivos

Cadenas de identificación del dispositivo

Cuando Windows detecta un dispositivo que nunca se ha instalado en el equipo, el sistema operativo consulta al dispositivo para recuperar su lista de cadenas de identificación del dispositivo. Normalmente, un dispositivo tiene varias cadenas de identificación de dispositivo, que el fabricante del dispositivo asigna. Las mismas cadenas de identificación del dispositivo se incluyen en el archivo .inf que forma parte del paquete de controladores del dispositivo. Windows elige qué paquete de controladores de dispositivo se va a instalar mediante la coincidencia de las cadenas de identificación del dispositivo recuperadas del dispositivo a las incluidas con los paquetes de controladores.

Windows puede usar cada cadena para que coincida con un dispositivo con un paquete de controladores. Las cadenas van desde la muy específica, que coincide con una sola marca y modelo de un dispositivo, hasta el muy general, posiblemente aplicando a toda una clase de dispositivos. Hay dos tipos de cadenas de identificación de dispositivos: identificadores de hardware e identificadores compatibles.

identificadores de hardware

Los identificadores de hardware son los identificadores que proporcionan la coincidencia más exacta entre un dispositivo y un paquete de controladores. La primera cadena de la lista de identificadores de hardware se conoce como identificador de dispositivo, ya que coincide con la marca exacta, el modelo y la revisión del dispositivo. Los otros identificadores de hardware de la lista coinciden con los detalles del dispositivo menos exactamente. Por ejemplo, un identificador de hardware podría identificar la marca y el modelo del dispositivo, pero no la revisión específica. Este esquema permite a Windows usar un controlador para una revisión diferente del dispositivo, si el controlador para la revisión correcta no está disponible.

identificadores compatibles

Windows usa estos identificadores para seleccionar un controlador de dispositivo si el sistema operativo no encuentra una coincidencia con el identificador de dispositivo o con ninguno de los otros identificadores de hardware. Los identificadores compatibles se enumeran en el orden de disminución de la idoneidad. Estas cadenas son opcionales y, cuando se proporcionan, son muy genéricas, como Disk. Cuando se realiza una coincidencia con un identificador compatible, normalmente solo se pueden usar las funciones más básicas del dispositivo.

Al instalar un dispositivo, como una impresora, un dispositivo de almacenamiento USB o un teclado, Windows busca paquetes de controladores que coincidan con el dispositivo que intenta instalar. Durante esta búsqueda, Windows asigna una "clasificación" a cada paquete de controladores que detecta con al menos una coincidencia con un identificador compatible o de hardware. La clasificación indica el grado en que el controlador coincide con el dispositivo. Los números de clasificación inferiores indican mejores coincidencias entre el controlador y el dispositivo. Una clasificación de cero representa la mejor coincidencia posible. Una coincidencia con el identificador de dispositivo en uno del paquete de controladores da como resultado una clasificación inferior (mejor) que una coincidencia con uno de los otros identificadores de hardware. De forma similar, una coincidencia con un identificador de hardware da como resultado una mejor clasificación que una coincidencia con cualquiera de los identificadores compatibles. Una vez que Windows clasifica todos los paquetes de controladores, instala el que tiene la clasificación general más baja. Para obtener más información sobre el proceso de clasificación y selección de paquetes de controladores, vea Cómo selecciona el programa de instalación los controladores en MSDN Library.

Nota Para obtener más información sobre el proceso de instalación del controlador de dispositivo, consulte la sección "Revisión de la tecnología" de la guía paso a paso de guía paso a paso sobre la firma de controladores de dispositivo y el almacenamiento provisional.

Algunos dispositivos físicos crean uno o varios dispositivos lógicos cuando están instalados. Cada dispositivo lógico puede controlar parte de la funcionalidad del dispositivo físico. Por ejemplo, un dispositivo de varias funciones, como un escáner, fax o impresora todo en uno, podría tener una cadena de identificación de dispositivo diferente para cada función.

Cuando se usa DMI para permitir o evitar la instalación de un dispositivo que usa dispositivos lógicos, debe permitir o impedir todas las cadenas de identificación del dispositivo para ese dispositivo. Por ejemplo, si un usuario intenta instalar un dispositivo multifunción y no ha permitido o evitado todas las cadenas de identificación para dispositivos físicos y lógicos, podría obtener resultados inesperados del intento de instalación. Para obtener información más detallada sobre los identificadores de hardware, consulte cadenas de identificación de dispositivos en MSDN Library.

Clases de configuración de dispositivos

Las clases de configuración de dispositivos son otro tipo de cadena de identificación. El fabricante asigna la clase de configuración del dispositivo a un dispositivo en el paquete de controladores del dispositivo. La clase de configuración de dispositivos agrupa los dispositivos que están instalados y configurados de la misma manera. Por ejemplo, todas las unidades de CD pertenecen a la clase de configuración del dispositivo CDROM y usan el mismo co-instalador cuando se instalan. Un número largo denominado identificador único global (GUID) representa cada clase de configuración de dispositivo. Cuando Se inicia Windows, crea una estructura de árbol en memoria con los GUID para todos los dispositivos detectados. Junto con el GUID de la clase de configuración de dispositivo del propio dispositivo, Windows puede que tenga que insertar en el árbol el GUID de la clase de configuración del dispositivo del bus al que está conectado el dispositivo.

Cuando usa clases de configuración de dispositivos para permitir o impedir que los usuarios instalen controladores de dispositivo, debe especificar los GUID para todas las clases de configuración de dispositivos del dispositivo o es posible que no logre los resultados que desee. Es posible que se produzca un error en la instalación (si quiere que se realice correctamente) o que se realice correctamente (si quiere que se produzca un error).

Por ejemplo, un dispositivo de varias funciones, como un escáner, fax o impresora todo en uno, tiene un GUID para un dispositivo genérico de varias funciones, un GUID para la función de impresora, un GUID para la función de escáner, etc. Los GUID de las funciones individuales son "nodos secundarios" en el GUID del dispositivo de varias funciones. Para instalar un nodo secundario, Windows también debe poder instalar el nodo primario. Debe permitir la instalación de la clase de configuración del dispositivo primario para el dispositivo multifunción además de los GUID secundarios para las funciones de impresora y escáner.

Para obtener más información, consulte clases de configuración de dispositivos en MSDN Library.

En esta guía no se muestran escenarios que usan clases de configuración de dispositivos. Sin embargo, los principios básicos que se muestran con las cadenas de identificación de dispositivos de esta guía también se aplican a las clases de configuración de dispositivos. Después de detectar la clase de configuración de dispositivos para un dispositivo específico, puede usarla en una directiva para permitir o impedir la instalación de controladores de dispositivos para esa clase de dispositivos.

Configuración de directiva de grupo para la instalación de dispositivos

Para habilitar el control sobre la instalación de dispositivos, Windows Vista y Windows Server 2008 presentan varias opciones de configuración de directiva. Puede configurar estas opciones de directiva individualmente en un solo equipo, o puede aplicarlas a un gran número de equipos mediante el uso de la directiva de grupo en un dominio de Active Directory. Para obtener más información sobre cómo usar la directiva de grupo para administrar los equipos cliente, consulte directiva de grupo.

Tanto si quiere aplicar la configuración a un equipo independiente como a muchos equipos de un dominio de Active Directory, use el Editor de objetos de directiva de grupo para configurar y aplicar la configuración de directiva. Para obtener más información, vea Referencia técnica del Editor de objetos de directiva de grupo.

A continuación se muestra una breve descripción de la configuración de directiva DMI que se usa en esta guía.

Nota Esta configuración de directiva afecta a todos los usuarios que inician sesión en el equipo en el que se aplica la configuración de directiva. No puede aplicar estas directivas a usuarios o grupos específicos, excepto para la directiva Permitir que los administradores invaliden la directiva de instalación de dispositivos. Esta directiva exime a los miembros del grupo de administradores locales de cualquiera de las restricciones de instalación de dispositivos que aplique al equipo mediante la configuración de otras opciones de directiva, tal y como se describe en esta sección.

  • Impedir la instalación de dispositivos no descritos por otras opciones de configuración de directiva.

    Esta configuración de directiva controla la instalación de dispositivos que no se describen específicamente mediante ninguna otra configuración de directiva. Si habilita esta configuración de directiva, los usuarios no pueden instalar ni actualizar el controlador para dispositivos a menos que se describan mediante la Permitir la instalación de dispositivos que coincidan con estos identificadores de dispositivo configuración de directiva o la configuración de directiva Permitir la instalación de dispositivos para estas clases de dispositivos configuración de directiva. Si deshabilita o no establece esta configuración de directiva, los usuarios pueden instalar y actualizar el controlador para cualquier dispositivo que no se describa en el Impedir la instalación de dispositivos que coincidan con estos identificadores de dispositivo configuración de directiva, el Impedir la instalación de dispositivos para estas clases de dispositivos configuración de directiva, o la Impedir la instalación de dispositivos extraíbles configuración de directiva.

  • Permitir que los administradores invaliden la directiva de instalación de dispositivos.

    Esta configuración de directiva permite a los miembros del grupo de administradores locales instalar y actualizar los controladores de cualquier dispositivo, independientemente de la configuración de otra directiva. Si habilita esta configuración de directiva, los administradores pueden usar el Asistente para agregar hardware o el Asistente para actualizar controladores para instalar y actualizar los controladores de cualquier dispositivo. Si deshabilita o no establece esta configuración de directiva, los administradores estarán sujetos a todas las configuraciones de directiva que restrinjan la instalación del dispositivo.

  • Impedir la instalación de dispositivos que coincidan con estos identificadores de dispositivo.

    Esta configuración de directiva especifica una lista de identificadores de hardware Plug and Play e identificadores compatibles para dispositivos que los usuarios no pueden instalar. Si habilita esta configuración de directiva, los usuarios no pueden instalar ni actualizar el controlador de un dispositivo si su identificador de hardware o identificador compatible coincide con uno de esta lista. Si deshabilita o no establece esta configuración de directiva, los usuarios pueden instalar dispositivos y actualizar sus controladores, tal como lo permiten otras opciones de configuración de directiva para la instalación del dispositivo.

    Nota Esta configuración de directiva tiene prioridad sobre cualquier otra configuración de directiva que permita a los usuarios instalar un dispositivo. Esta configuración de directiva impide que los usuarios instalen un dispositivo incluso si coincide con otra configuración de directiva que permitiría la instalación de ese dispositivo.

  • Impedir la instalación de controladores que coincidan con estas clases de configuración de dispositivos.

    Esta configuración de directiva especifica una lista de GUID de clase de configuración de dispositivos Plug and Play para dispositivos que los usuarios no pueden instalar. Si habilita esta configuración de directiva, los usuarios no pueden instalar ni actualizar dispositivos que pertenezcan a ninguna de las clases de configuración de dispositivos enumeradas. Si deshabilita o no establece esta configuración de directiva, los usuarios pueden instalar y actualizar dispositivos según lo permita otra configuración de directiva para la instalación del dispositivo.

    Nota Esta configuración de directiva tiene prioridad sobre cualquier otra configuración de directiva que permita a los usuarios instalar un dispositivo. Esta configuración de directiva impide que los usuarios instalen un dispositivo incluso si coincide con otra configuración de directiva que permitiría la instalación de ese dispositivo.

  • Permitir la instalación de dispositivos que coincidan con cualquiera de estos identificadores de dispositivo.

    Esta configuración de directiva especifica una lista de identificadores de hardware Plug and Play e identificadores compatibles que describen los dispositivos que los usuarios pueden instalar. Esta configuración está pensada para usarse solo cuando el Impedir la instalación de dispositivos no descritos por otras opciones de configuración de directiva está habilitada y no tiene prioridad sobre ninguna configuración de directiva que impida que los usuarios instalen un dispositivo. Si habilita esta configuración de directiva, los usuarios pueden instalar y actualizar cualquier dispositivo con un identificador de hardware o un identificador compatible que coincida con un identificador de esta lista si la instalación no se ha impedido específicamente en la Impedir la instalación de dispositivos que coincidan con estos identificadores de dispositivo configuración de directiva, la Impedir la instalación de dispositivos para estas clases de dispositivos configuración de directiva, o la Impedir la instalación de dispositivos extraíbles configuración de directiva. Si otra configuración de directiva impide que los usuarios instalen un dispositivo, los usuarios no pueden instalarlo incluso si el dispositivo también se describe mediante un valor en esta configuración de directiva. Si deshabilita o no establece esta configuración de directiva y ninguna otra directiva describe el dispositivo, el Impedir la instalación de dispositivos no descritos por otras opciones de configuración de directiva configuración de directiva determina si los usuarios pueden instalar el dispositivo.

  • Permitir la instalación de dispositivos mediante controladores para estas clases de dispositivo.

    Esta configuración de directiva especifica una lista de GUID de clase de configuración de dispositivos que describen los dispositivos que los usuarios pueden instalar. Esta configuración está pensada para usarse solo cuando el Impedir la instalación de dispositivos no descritos por otras opciones de configuración de directiva está habilitada y no tiene prioridad sobre ninguna configuración de directiva que impida que los usuarios instalen un dispositivo. Si habilita esta configuración, los usuarios pueden instalar y actualizar cualquier dispositivo con un identificador de hardware o un identificador compatible que coincida con uno de los identificadores de esta lista si la instalación no se ha impedido específicamente en la Impedir la instalación de dispositivos que coincidan con estos identificadores de dispositivo configuración de directiva, la Impedir la instalación de dispositivos para estas clases de dispositivos configuración de directiva, o la Impedir la instalación de dispositivos extraíbles configuración de directiva. Si otra configuración de directiva impide que los usuarios instalen un dispositivo, los usuarios no pueden instalarlo incluso si el dispositivo también se describe mediante un valor en esta configuración de directiva. Si deshabilita o no establece esta configuración de directiva y ninguna otra configuración de directiva describe el dispositivo, el Impedir la instalación de dispositivos no descritos por otras opciones de configuración de directiva configuración de directiva determina si los usuarios pueden instalar el dispositivo.

Algunas de estas directivas tienen prioridad sobre otras directivas. El diagrama de flujo que se muestra a continuación muestra cómo Windows los procesa para determinar si un usuario puede instalar un dispositivo o no, como se muestra en la figura 1 (a continuación).

Bb530324.grouppolicydeviceinstall01(en-us,MSDN.10).gif

Figura 1. Cómo Windows procesa las directivas al determinar si un usuario puede instalar un dispositivo

Configuración de directiva de grupo para acceso de almacenamiento extraíble

En Windows Vista y Windows Server 2008, un administrador puede aplicar una directiva de equipo para controlar si los usuarios pueden leer o escribir en cualquier dispositivo con medios extraíbles. Estas directivas se pueden usar para ayudar a evitar que se escriba material confidencial o confidencial en medios extraíbles o en un dispositivo extraíble que contenga almacenamiento y, a continuación, se lleve fuera del entorno local.

Puede aplicar esta configuración de directiva en el nivel de equipo para que afecten a todos los usuarios que inicien sesión en el equipo. También puede aplicarlas en el nivel de usuario y limitar la aplicación a una cuenta de usuario específica. Si usa la directiva de grupo en un entorno de Active Directory, puede aplicar la configuración de directiva a grupos de usuarios además de cuentas de usuario únicas. La directiva de grupo también permite aplicar estas directivas de forma eficaz a un gran número de equipos. Para obtener más información sobre cómo usar la directiva de grupo para administrar los equipos cliente, consulte directiva de grupo.

La configuración de la directiva de acceso de almacenamiento extraíble también incluye una configuración para permitir que un administrador obligue a un reinicio. Si un dispositivo está en uso cuando se aplica una directiva de restricción, es posible que la directiva no se aplique hasta que se reinicie el equipo.

La configuración de directiva se puede encontrar en dos ubicaciones. La configuración de directiva que se encuentra en Configuración del equipo\Plantillas administrativas\Sistema\Acceso de almacenamiento extraíble afecta a un equipo y a todos los usuarios que inician sesión en él. La configuración de directiva que se encuentra en Configuración de usuario\Plantillas administrativas\Sistema\Acceso de almacenamiento extraíble afecta solo a los usuarios a los que se aplica la configuración de directiva, incluidos los grupos si se aplica la directiva de grupo mediante Active Directory.

A continuación se muestra una breve descripción de las directivas que permiten controlar el acceso de lectura o escritura a unidades de almacenamiento extraíbles. Cada categoría de dispositivo admite dos directivas: una para denegar el acceso de lectura y otra para denegar el acceso de escritura:

  • tiempo (en segundos) para forzar el reinicio

    Establezca la cantidad de tiempo (en segundos) que el sistema esperará para reiniciarse con el fin de aplicar un cambio en los derechos de acceso a los dispositivos de almacenamiento extraíbles.

    Nota Si no se fuerza ningún reinicio, el cambio no surtirá efecto hasta que se reinicie el sistema.

  • de CD y DVD

    Esta configuración de directiva le permite denegar el acceso de lectura o escritura a los dispositivos de la clase de almacenamiento extraíble CD y DVD, incluidos los dispositivos conectados a USB.

  • clases personalizadas

    Esta configuración de directiva permite denegar el acceso de lectura o escritura a cualquier dispositivo cuyo GUID de clase de configuración de dispositivo se encuentre en las listas que proporcione.

  • unidades de disquete de

    Esta configuración de directiva le permite denegar el acceso de lectura o escritura a los dispositivos de la clase Floppy Drive, incluidos los dispositivos conectados a USB.

  • discos extraíbles

    Esta configuración de directiva permite denegar el acceso de lectura o escritura a dispositivos extraíbles que son o emulan discos duros, como unidades de memoria USB o unidades de disco duro USB externas.

  • unidades de cinta de

    Esta configuración de directiva le permite denegar el acceso de lectura o escritura a las unidades de cinta, incluidos los dispositivos conectados a USB.

  • de dispositivos WPD de

    Esta configuración de directiva permite denegar el acceso de lectura o escritura a los dispositivos de la clase Dispositivo portátil de Windows. Estos dispositivos incluyen dispositivos "inteligentes", como reproductores multimedia, teléfonos móviles, dispositivos Windows CE, etc.

  • todas las clases de almacenamiento extraíble: denegar todo el acceso

    Esta configuración de directiva tiene prioridad sobre cualquiera de las opciones de configuración de directiva de esta lista y, si está habilitada, deniega el acceso de lectura y escritura a cualquier dispositivo que se identifique como mediante almacenamiento extraíble. Si deshabilita o no establece esta configuración de directiva, se permite el acceso de lectura y escritura a clases de almacenamiento extraíbles, sujeto a las restricciones impuestas por la otra configuración de directiva de esta lista.

Requisitos para completar los escenarios

Para completar cada uno de los escenarios, debe tener:

  • Un equipo cliente que ejecuta Windows Vista. Esta guía hace referencia a este equipo como DMI-Client1.

  • Una unidad de memoria USB. Los escenarios descritos en esta guía usan una unidad de memoria USB como dispositivo de ejemplo. Este dispositivo actúa como una unidad de disco extraíble y también se conoce como "unidad pulgar", una "unidad flash" o una "unidad de llave". La mayoría de las unidades de memoria USB no requieren controladores proporcionados por el fabricante y estos dispositivos funcionan con los controladores proporcionados con Windows Vista y Windows Server 2008.

    Nota Las instrucciones suponen que el dispositivo no requiere controladores distintos de los que se incluyen con Windows Vista y Windows Server 2008. Si el dispositivo requiere un controlador del fabricante, debe proporcionar el archivo de controlador cuando Windows le pida que lo haga. Este paso no se incluye en los escenarios.

  • (Opcional) Un grabador de CD o DVD. En el último escenario se muestra cómo hacer que los dispositivos con medios extraíbles sean de solo lectura. Puede establecer la directiva de equipo sin tener realmente instalado un cd o un quemador de DVD. Sin embargo, si desea comprobar que la directiva de equipo es efectiva, debe tener un dispositivo que quemador de CD o DVD para usarlo.

  • Acceso a una cuenta de administrador protegida en DMI-Client1. En esta guía se llama a esta cuenta TestAdmin. Los procedimientos de esta guía requieren privilegios de administrador para la mayoría de los pasos. Debe iniciar sesión en DMI-Client1 usar esta cuenta de administrador al principio de cada procedimiento, a menos que se le indique lo contrario.

    Nota Windows Vista y Windows Server 2008 presentan el concepto de una cuenta de administrador protegida. Esta cuenta es miembro del grupo Administradores, pero de forma predeterminada, ese privilegio de seguridad no se usa directamente. Cualquier intento de llevar a cabo una tarea que requiera los derechos elevados de un administrador genera un cuadro de diálogo que solicita permiso para realizar esa tarea. Este cuadro de diálogo se describe en la sección Respuesta a la página Control de cuentas de usuario. Microsoft recomienda usar una cuenta de administrador protegida, en lugar de la cuenta de administrador integrada siempre que sea posible.

  • Acceso a una cuenta de usuario estándar en DMI-Client1. Esta cuenta de usuario no tiene pertenencias especiales que conceden ningún tipo de permisos elevados. En esta guía se llama a esta cuenta TestUser. Inicie sesión solo en el equipo con esta cuenta cuando se le indique que lo haga. Con una cuenta de usuario estándar, cualquier intento de llevar a cabo una tarea que requiera los derechos elevados de un administrador puede provocar que un cuadro de diálogo solicite las credenciales de una cuenta con privilegios de administrador. Este cuadro de diálogo se describe en la sección Respuesta a la página Control de cuentas de usuario.

Procedimientos de requisitos previos

Para poder implementar cualquier directiva para permitir o impedir que los usuarios instalen un dispositivo, debe conocer las cadenas de identificación del dispositivo para el dispositivo. También debe saber cómo desinstalar completamente la unidad de memoria USB y su controlador asociado. Los procedimientos siguientes configuran el equipo para ejecutar correctamente los escenarios de esta guía:

  1. Respuesta a la página Control de cuentas de usuario
  2. Determinación de las cadenas de identificación del dispositivo para la unidad de memoria USB
  3. Desinstalación de la unidad de memoria USB

Respuesta a la página Control de cuentas de usuario

En esta guía se le pide que realice tareas que solo puede realizar un miembro del grupo Administradores. En Windows Vista y Windows Server 2008, cuando se intenta realizar una tarea que requiere derechos de administrador, se produce lo siguiente:

  • Si ha iniciado sesión como la cuenta de administrador integrada (no recomendada), la operación simplemente continúa. La cuenta de administrador integrada está deshabilitada de forma predeterminada.
  • Si es miembro del grupo Administradores que no es la cuenta de administrador integrada, aparece un cuadro de diálogo Cuenta de usuarioCuentaControl que solicita permiso para continuar. Si hace clic en Continuar, la tarea continúa.
  • Si ha iniciado sesión como usuario estándar, podría impedirse realizar la tarea. En función de la tarea, se puede presentar una página de Cuenta de usuarioControl para proporcionar el nombre de usuario y la contraseña de una cuenta de administrador. Si proporciona credenciales válidas, la tarea se ejecuta en el contexto de seguridad de la cuenta de administrador proporcionada. Si no puede proporcionar esas credenciales, no podrá realizar la tarea.

Importante: Antes de proporcionar credenciales o permisos para ejecutar cualquier tarea administrativa, asegúrese de que la página control de cuentas de usuario de se muestra en respuesta a una tarea que inició. Si la página aparece inesperadamente, haga clic en el botón Detalles y asegúrese de que la tarea que desee permitir.

Esta guía no documenta todas las apariciones del cuadro de diálogo control de cuentas de usuario de que encontrará en la realización de estos procedimientos. Cuando se requieren pasos especiales para ejecutar tareas específicas como administrador, estos pasos se documentan en la guía.

Determinación de las cadenas de identificación del dispositivo para la unidad de memoria USB

Si sigue estos pasos, puede determinar las cadenas de identificación del dispositivo. Si los identificadores de hardware y los identificadores compatibles del dispositivo no coinciden con los que se muestran en esta guía, use los identificadores adecuados para el dispositivo.

Nota En los escenarios siguientes, debe instalar y, a continuación, desinstalar la unidad de memoria USB. En las instrucciones se supone que el dispositivo no requiere controladores distintos de los controladores que se incluyen con Windows Vista y Windows Server 2008. Si el dispositivo requiere un controlador del fabricante, debe proporcionar el archivo de controlador cuando Windows le pida que lo haga. Este paso no se incluye en los escenarios.

Puede determinar los identificadores de hardware y los identificadores compatibles para el dispositivo de dos maneras. Puede usar el Administrador de dispositivos, una herramienta gráfica incluida con el sistema operativo o DevCon, una herramienta de línea de comandos disponible para su descarga como parte del Kit de desarrollo de controladores (DDK). Use el procedimiento siguiente para ver las cadenas de identificación del dispositivo para la unidad de memoria USB.

importante Estos procedimientos son específicos de una unidad de memoria USB. Si usa un tipo diferente de dispositivo, debe ajustar los pasos según corresponda. La diferencia significativa será la ubicación del dispositivo en la jerarquía del Administrador de dispositivos. En lugar de ubicarse en el nodo unidades de disco, debe buscar el dispositivo en el nodo adecuado.

Para buscar cadenas de identificación de dispositivos mediante el administrador de dispositivos

  1. Inicie sesión en el equipo como DMI-Client1\TestAdmin.

  2. Conecte la unidad de memoria USB y, a continuación, permita que se complete la instalación.

  3. Para abrir el Administrador de dispositivos, haga clic en el botón Iniciar , escriba mmc devmgmt.msc en el cuadro Iniciar búsqueda y presione ENTRAR.

  4. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que muestra es lo que desea y haga clic en Continuar.

    El Administrador de dispositivos se inicia y muestra un árbol que representa todos los dispositivos detectados en el equipo. En la parte superior del árbol hay un nodo con el nombre de los equipos junto a él. Los nodos inferiores representan las distintas categorías de hardware en las que se agrupan los dispositivos de los equipos.

  5. Haga doble clic en unidades de disco para abrir la lista.

    Bb530324.grouppolicydeviceinstall02(en-us,MSDN.10).gif

    Figura 2. Para abrir la unidad de disco USB, haga doble clic en

  6. Haga clic con el botón derecho en la entrada de la unidad de memoria USB y, a continuación, haga clic en Propiedades. Aparece el cuadro de diálogo Propiedades del dispositivo .

    Bb530324.grouppolicydeviceinstall03(en-us,MSDN.10).gif

    Figura 3. Aparecerá el cuadro de diálogo Propiedades del dispositivo para la unidad USB.

  7. Haga clic en la pestaña Detalles de .

  8. En la lista propiedad de , haga clic en identificadores de hardware.

  9. En Valor, anote las cadenas que se muestran.

    Bb530324.grouppolicydeviceinstall04(en-us,MSDN.10).gif

    Figura 4. Recuerde las cadenas que se muestran en Valor en el cuadro de diálogo Propiedades de la unidad USB.

    Nota: Puede copiar las cadenas en el Portapapeles resaltando el texto y presionando CTRL-C. Dado que muchos identificadores de hardware tienen varios caracteres de subrayado, resulta útil copiarlos en un archivo de texto desde el que se puede pegar cuando se debe especificar un identificador. Este enfoque reduce considerablemente la posibilidad de un error cuando se debe agregar un identificador específico a una lista de dispositivos aprobados o prohibidos.

  10. En la lista propiedad de , haga clic en id. compatibles.

  11. En Valor, anote las cadenas que se muestran.

    Bb530324.grouppolicydeviceinstall05(en-us,MSDN.10).gif

    Figura 5. Recuerde las cadenas que se muestran en Valor en el cuadro de diálogo Propiedades de la unidad USB.

Nota También puede determinar las cadenas de identificación del dispositivo mediante la utilidad de línea de comandos DevCon. Puede descargar DevCon desde el sitio de Ayuda y soporte técnico de Microsoft. Para obtener más información, vea La utilidad de línea de comandos DevCon funciona como alternativa a Device Manager.

DevCon

de HwID de DevCon

Desinstalación de la unidad de memoria USB

En el uso diario normal de una unidad de memoria USB, normalmente se puede extraer la unidad del puerto USB. Sin embargo, para esta guía, también debe desinstalar el controlador de dispositivo para asegurarse de que cada escenario se inicia con el equipo en un estado adecuado. Si no puede desinstalar y quitar el dispositivo cuando se le indique, las directivas probadas en los escenarios siguientes no tendrán ningún efecto y no verá los resultados esperados. Siga estos mismos pasos en esta guía cuando se le indique que desinstale y quite el dispositivo.

Importante No desconectar físicamente el dispositivo del puerto USB hasta llegar al último paso.

Para desinstalar la unidad de memoria USB

  1. Inicie sesión en el equipo DMI-Client1\TestAdmin.

  2. Para abrir el Administrador de dispositivos, haga clic en el botón Iniciar , escriba mmc devmgmt.msc en el cuadro Iniciar búsqueda y presione ENTRAR.

  3. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que muestra es la que desea y, a continuación, haga clic en Continuar.

  4. Haga clic con el botón derecho en la entrada de la unidad de memoria USB y, a continuación, haga clic en Desinstalar.

    Bb530324.grouppolicydeviceinstall06(en-us,MSDN.10).gif

    Figura 6. Haga clic con el botón derecho para desinstalar la unidad de memoria USB.

  5. En el cuadro de diálogo confirmar de eliminación de dispositivos , haga clic en Aceptar para permitir que se complete el proceso de desinstalación.

  6. Cuando Windows completa el proceso de desinstalación, quita la entrada del dispositivo del árbol administrador de dispositivos.

  7. Desconecte la unidad de memoria USB del puerto USB.

Impedir la instalación de todos los dispositivos

En este escenario se documentan los pasos típicos necesarios para implementar la configuración más restrictiva, donde se impiden todas las instalaciones de dispositivos y los dispositivos existentes no se pueden actualizar con nuevos controladores de dispositivo. Los usuarios no podrán instalar un dispositivo y usarlo sin intervención de un administrador. Los administradores todavía pueden instalar o actualizar cualquier dispositivo según sea necesario.

Requisitos previos para evitar la instalación de todos los dispositivos

Para completar los procedimientos de este escenario, debe desinstalar la unidad de memoria USB como se describe en la sección Desinstalación de la unidad de memoria USB anteriormente en este documento.

Pasos para evitar la instalación de todos los dispositivos

  1. Configurar la directiva para evitar la instalación de cualquier dispositivo
  2. Configuración de la directiva para permitir que los administradores invaliden las restricciones de instalación de dispositivos
  3. Probar los efectos de la configuración de restricción como usuario

Configurar la directiva para evitar la instalación de cualquier dispositivo

Para configurar la directiva que impide la instalación o actualización de cualquier dispositivo

  1. Inicie sesión en el equipo como DMI-Client1\TestAdmin.

  2. Para abrir el Editor de objetos de directiva de grupo, haga clic en el botón Iniciar, escriba mmc gpedit.msc en el cuadro Iniciar búsqueda y presione ENTRAR.

  3. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que muestra es la que desea y, a continuación, haga clic en Continuar.

  4. En el panel de navegación Editor de objetos de directiva de grupo, haga doble clic en Configuración del equipo para abrirlo. A continuación, abra Plantillas administrativas, abra System, abra de instalación de dispositivos y, a continuación, abra Restricciones de instalación de dispositivos.

    Bb530324.grouppolicydeviceinstall07(en-us,MSDN.10).gif

    Figura 7. Panel de navegación del Editor de objetos de directiva de grupo

  5. En el panel de detalles, haga clic con el botón derecho en Impedir la instalación de dispositivos no descritos por otras opciones de configuración de directivay haga clic en Propiedades.

  6. Aparece el cuadro de diálogo directiva con la configuración actual.

  7. En la pestaña Configuración, haga clic en Habilitado para activar la directiva.

  8. Haga clic en Aceptar para guardar la configuración y volver al Editor de objetos de directiva de grupo.

Configuración de la directiva para permitir que los administradores invaliden las restricciones de instalación de dispositivos

La siguiente directiva permite a los administradores invalidar las restricciones impuestas por la otra configuración de directiva de instalación de dispositivos, incluida la directiva que acaba de habilitar.

Para configurar la directiva para permitir que los administradores invaliden las restricciones de instalación de dispositivos

  1. En el panel de detalles, haga clic con el botón derecho en Permitir que los administradores invaliden la directiva de instalación de dispositivosy, a continuación, haga clic en Propiedades de .

  2. Aparece el cuadro de diálogo directiva con la configuración actual.

  3. En la pestaña configuración de , haga clic en Habilitado para activar la configuración de directiva.

  4. Haga clic en Aceptar para guardar la configuración y volver al Editor de objetos de directiva de grupo.

  5. Ambas directivas ahora muestran su estado como habilitado.

    Bb530324.grouppolicydeviceinstall08s(en-us,MSDN.10).gif

    Figura 8. Ambas directivas mostrarán su estado como habilitado

Probar los efectos de la configuración de restricción como usuario

Con ambas directivas habilitadas, puede aplicarlas al equipo e intentar instalar el dispositivo para ver que funcionan las restricciones.

Para probar los efectos de la configuración de restricción como usuario

  1. Si el dispositivo está instalado, desinstale y quítelo siguiendo los pasos descritos en la sección Desinstalación de la unidad de memoria USB anteriormente en este documento.

  2. Haga clic en el botón Iniciar , escriba gpupdate /force en el cuadro Iniciar búsqueda y presione ENTRAR.

  3. Cuando finalice el comando GPUdate, cierre sesión en el equipo y, a continuación, inicie sesión como DMI-Client1\TestUser.

  4. Para abrir el Administrador de dispositivos, haga clic en el botón Iniciar , escriba mmc devmgmt.msc en el cuadro Iniciar búsqueda y presione ENTRAR.

  5. Aparece el mensaje siguiente, que indica que no tiene permisos para realizar ningún cambio en el Administrador de dispositivos.

    Bb530324.grouppolicydeviceinstall09(en-us,MSDN.10).gif

    Figura 9. Aparecerá un mensaje para indicar que no tiene permisos.

  6. Haga clic en Aceptar para confirmar el mensaje. (El Administrador de dispositivos se iniciará y podrá ver los dispositivos en el equipo).

  7. Conecte la unidad de memoria USB.

  8. Hasta que la instalación se complete correctamente, el dispositivo aparece en el Administrador de dispositivos en el nodo Otros dispositivos.

    Bb530324.grouppolicydeviceinstall10(en-us,MSDN.10).gif

    Figura 10. El dispositivo aparecerá en Otros dispositivos hasta que se complete la instalación.

  9. Dado que ha iniciado sesión como usuario estándar sin derechos administrativos y la instalación de dispositivos está restringida, aparece el siguiente cuadro de diálogo:

    Bb530324.grouppolicydeviceinstall11(en-us,MSDN.10).gif

    Figura 11. Cuadro de diálogo que aparece cuando ha iniciado sesión como usuario estándar sin derechos administrativos

  10. Para simular una respuesta de usuario típica, haga clic en Buscar e instalar software de controlador (recomendado).

  11. Aparece una variante del cuadro de diálogo Control de cuentas de usuario, pidiéndole un nombre de usuario y una contraseña para una cuenta que tenga derechos de administrador.

  12. Dado que un usuario no tendría credenciales de administrador para proporcionar, haga clic en Cancelar para anular el intento como lo haría un usuario.

  13. Se produce un error en la instalación del controlador de dispositivo y el dispositivo permanece bajo la nodo Otros dispositivos y no es funcional.

    Bb530324.grouppolicydeviceinstall12(en-us,MSDN.10).gif

    Figura 12. Se produce un error en la instalación del dispositivo y el dispositivo no es funcional

Permitir que los usuarios instalen solo dispositivos autorizados

Este escenario se basa en el primer escenario, Impedir la instalación de todos los dispositivos, donde se impedía la instalación de cualquier dispositivo. En este escenario, agregará una lista de dispositivos permitidos a la directiva e incluirá el identificador de hardware de la unidad de memoria USB.

Requisitos previos para permitir que los usuarios instalen solo dispositivos autorizados

Para completar esta tarea, primero debe completar todos los pasos del primer escenario, Impedir la instalación de todos los dispositivos.

Pasos para permitir que los usuarios instalen solo dispositivos autorizados

En esta sección, agregará dispositivos permitidos a las restricciones impuestas en Impedir la instalación de todos los dispositivos mediante la creación de una lista de dispositivos autorizados.

  1. Crear una lista de dispositivos autorizados
  2. Prueba de los efectos de los dispositivos autorizados

Crear una lista de dispositivos autorizados

Para crear una lista de dispositivos aprobada

  1. Inicie sesión en el equipo como DMI-Client1\TestAdmin.

  2. Si el dispositivo está instalado actualmente, desinstale y quítelo siguiendo los pasos descritos en la sección Desinstalación de la unidad de memoria USB anteriormente en este documento.

  3. Para abrir el Editor de objetos de directiva de grupo, haga clic en el botón Iniciar, escriba mmc gpedit.msc en el cuadro Iniciar búsqueda y presione ENTRAR.

  4. En el panel de navegación Editor de objetos de directiva de grupo, haga doble clic en Configuración del equipo para abrirlo. A continuación, abra Plantillas administrativas, abra System, abra de instalación de dispositivos y, a continuación, abra Restricciones de instalación de dispositivos.

  5. En el panel de detalles, haga clic con el botón derecho en Permitir la instalación de dispositivos que coincidan con cualquiera de estos identificadores de dispositivoy, a continuación, haga clic en Propiedades.

  6. Aparece el cuadro de diálogo directiva con la configuración actual.

  7. En la pestaña Configuración, haga clic en habilitado para activar esta directiva.

    Bb530324.grouppolicydeviceinstall13(en-us,MSDN.10).gif

    Figura 13. Haga clic en Habilitado para activar la directiva.

  8. Haga clic en Mostrar para ver la lista de dispositivos permitidos en el cuadro de diálogo Mostrar contenido. (De forma predeterminada, la lista está vacía).

  9. Haga clic en Agregar para abrir el cuadro de diálogo Agregar elemento.

  10. Escriba el identificador de dispositivo (el primer identificador de hardware) del dispositivo.

    Bb530324.grouppolicydeviceinstall14(en-us,MSDN.10).gif

    Figura 14. Escriba el identificador de dispositivo para el dispositivo USB.

  11. Haga clic en Aceptar para volver al cuadro de diálogo Mostrar contenido. El dispositivo aparece ahora en la lista.

    Bb530324.grouppolicydeviceinstall15(en-us,MSDN.10).gif

    Figura 15. El dispositivo ya está aprobado para la instalación

  12. Haga clic en Aceptar para volver al cuadro de diálogo de directiva y, a continuación, haga clic en Aceptar para guardar la nueva configuración de directiva.

Probar la lista de dispositivos autorizados

Con la configuración de directiva habilitada, puede aplicarla al equipo e intentar instalar el dispositivo.

Para probar la lista de dispositivos autorizados

  1. Haga clic en el botón Iniciar , escriba gpupdate/force en el cuadro Iniciar búsqueda y presione ENTRAR.

  2. Cuando finalice el comando gpudate, cierre sesión en el equipo y, a continuación, inicie sesión como DMI-Client1\TestUser.

  3. Para abrir el Administrador de dispositivos, haga clic en el botón Iniciar , escriba mmc devmgmt.msc en el cuadro Iniciar búsqueda y presione ENTRAR.

  4. Aparece el mensaje siguiente, que indica que no tiene permisos para realizar ningún cambio en el Administrador de dispositivos.

    Bb530324.grouppolicydeviceinstall16s(en-us,MSDN.10).gif

    Figura 16. Aparecerá un mensaje para indicar que no tiene permisos.

  5. Haga clic en Aceptar para cerrar el mensaje. El Administrador de dispositivos se iniciará y podrá ver los dispositivos en el equipo.

  6. Conecte la unidad de memoria USB.

  7. El dispositivo aparece en el Administrador de dispositivos en el nodo Otros dispositivos hasta que Windows complete la instalación.

    Bb530324.grouppolicydeviceinstall17(en-us,MSDN.10).gif

    Figura 17. El dispositivo aparecerá en Otros dispositivos hasta que se complete la instalación.

  8. Una vez que Windows completa la instalación, el dispositivo se mueve al nodo Unidades de disco del Administrador de dispositivos y es totalmente funcional.

    Bb530324.grouppolicydeviceinstall18(en-us,MSDN.10).gif

    Figura 18. Una vez completada la instalación, el dispositivo será totalmente funcional.

Impedir la instalación de dispositivos prohibidos

Este escenario presenta una manera alternativa de controlar la instalación de dispositivos. En los dos primeros escenarios, ha impedido la instalación de todos los dispositivos excepto los permitidos por una lista de dispositivos autorizados. En este escenario, se permite la instalación de todos los dispositivos excepto los de una lista de dispositivos prohibidos. También se quita la excepción de los administradores que creó en el primer escenario para que incluso un administrador se vea afectado por la directiva.

Requisitos previos para evitar la instalación de dispositivos prohibidos

Si completó los pasos descritos en Impedir la instalación de todos los dispositivos y Permitir que los usuarios instalen solo dispositivos autorizados, debe deshabilitar esas directivas mediante los pasos siguientes:

  • Habilite la instalación de todos los dispositivos.
  • Quite la excepción para los miembros del grupo Administradores para permitir la instalación del dispositivo.
  • Quite el identificador de hardware de la lista de dispositivos aprobados.

Habilitar la instalación de todos los dispositivos

  1. Inicie sesión en el equipo como DMI-Client1\TestAdmin.
  2. Para abrir el Editor de objetos de directiva de grupo, haga clic en el botón Iniciar, escriba mmc gpedit.msc en el cuadro Iniciar búsqueda y presione ENTRAR.
  3. En el panel de navegación Editor de objetos de directiva de grupo, haga doble clic en Configuración del equipo para abrirlo. A continuación, abra Plantillas administrativas, abra System, abra de instalación de dispositivos y, a continuación, abra Restricciones de instalación de dispositivos.
  4. En el panel de detalles, haga clic con el botón derecho en el nodo Impedir la instalación de dispositivos no descritos por otras opciones de configuración de directivay, a continuación, haga clic en Propiedades.
  5. Aparece el cuadro de diálogo directiva con la configuración actual.
  6. Haga clic en deshabilitado para desactivar la configuración de directiva.
  7. Haga clic en Aceptar para guardar la configuración y volver al Editor de objetos de directiva de grupo.

El siguiente paso consiste en quitar la directiva que concedió una excepción a los miembros del grupo Administradores.

Para quitar la excepción de los administradores a restricciones de directiva de grupo

  1. En el Editor de objetos de directiva de grupo, haga clic con el botón derecho en Permitir que los administradores invaliden la directiva de instalación de dispositivosy, a continuación, haga clic en propiedades de .
  2. Aparece el cuadro de diálogo directiva con la configuración actual.
  3. En la pestaña Configuración, haga clic en Deshabilitado para desactivar la configuración de directiva.
  4. Haga clic en Aceptar para guardar la configuración y volver al Editor de objetos de directiva de grupo.

El siguiente paso consiste en quitar el identificador de hardware de la lista de dispositivos autorizados que creó en el segundo escenario.

Para quitar el identificador de hardware de la lista de dispositivos autorizados

  1. En el Editor de objetos de directiva de grupo, haga clic con el botón derecho en Permitir la instalación de dispositivos que coincidan con cualquiera de estos identificadores de dispositivoy, a continuación, haga clic en Propiedades. Aparece el cuadro de diálogo directiva con la configuración actual.
  2. En la pestaña Configuración, haga clic en Mostrar para ver la lista de dispositivos autorizados.
  3. En el cuadro de diálogo Mostrar contenido, seleccione el nombre de la unidad de memoria USB y, a continuación, haga clic en Quitar. Windows quita el dispositivo de la lista.
  4. Haga clic en Aceptar para cerrar el cuadro de diálogo Mostrar contenido y volver al cuadro de diálogo de directiva.
  5. Haga clic en deshabilitado para desactivar la configuración de directiva.
  6. Haga clic en Aceptar para guardar los cambios y volver al Editor de objetos de directiva de grupo.

Pasos para evitar la instalación de dispositivos prohibidos

Para evitar que los usuarios instalen dispositivos específicos, cree una lista de dispositivos prohibidos. En esta sección, hará lo siguiente:

  1. Crear una lista de dispositivos prohibidos
  2. Probar la lista de dispositivos prohibidos

Crear una lista de dispositivos prohibidos

Para crear una lista de dispositivos prohibidos

  1. Si el dispositivo está instalado actualmente, desinstale y quítelo siguiendo los pasos descritos en la sección Desinstalación de la unidad de memoria USB anteriormente en este documento.

  2. Inicie sesión en el equipo como DMI-Client1\TestAdmin.

  3. Si aún no se está ejecutando, inicie el Editor de objetos de directiva de grupo. Para ello, haga clic en el botón Inicio, escriba mmc gpedit.msc en el cuadro Iniciar búsqueda y presione ENTRAR.

  4. En el árbol, haga doble clic en Configuración del equipo para abrirlo. A continuación, abra Plantillas administrativas, abra Sistema, instalación de dispositivos y, después, restricciones de instalación de dispositivos.

  5. En el panel de detalles, haga clic con el botón derecho en Impedir la instalación de dispositivos que coincidan con estos identificadores de dispositivo y, a continuación, haga clic en Propiedades. Aparece el cuadro de diálogo directiva con la configuración actual.

  6. En la pestaña Configuración, haga clic en Habilitado para activar esta directiva.

    Bb530324.grouppolicydeviceinstall19(en-us,MSDN.10).gif

    Figura 19. Haga clic en Habilitado para activar la directiva.

  7. Haga clic en Mostrar para ver la lista de dispositivos prohibidos.

  8. En el cuadro de diálogo Mostrar contenido, haga clic en Agregar.

  9. En el cuadro de diálogo Agregar elemento, escriba el identificador de dispositivo (el primer identificador de hardware) que encontró para el dispositivo.

  10. Haga clic en Aceptar para volver al cuadro de diálogo Mostrar contenido.

  11. El dispositivo aparece ahora en la lista.

    Bb530324.grouppolicydeviceinstall20(en-us,MSDN.10).gif

    Figura 20. La instalación de este dispositivo ahora estará prohibida

  12. Haga clic en Aceptar para volver al cuadro de diálogo de directiva y, a continuación, haga clic en Aceptar para guardar la nueva configuración de directiva.

Probar la lista de dispositivos prohibidos

Ahora puede intentar instalar el dispositivo. Puede instalar otros dispositivos porque la directiva ya no impide su instalación, pero no puede instalar este dispositivo específico, incluso cuando haya iniciado sesión como miembro del grupo Administradores.

Para probar la lista de dispositivos prohibidos

  1. Haga clic en el botón Iniciar , escriba gpupdate /force en el cuadro Iniciar búsqueda y presione ENTRAR.

  2. Cuando finalice el comando gpudate, cierre el símbolo del sistema.

  3. Para abrir el Administrador de dispositivos, haga clic en el botón Iniciar , escriba mmc devmgmt.msc en el cuadro Iniciar búsqueda y presione ENTRAR.

  4. Conecte la unidad de memoria USB.

  5. El dispositivo aparece en el Administrador de dispositivos en el nodo Otros dispositivos.

  6. La instalación no se completa y el dispositivo no funciona.

    Bb530324.grouppolicydeviceinstall21(en-us,MSDN.10).gif

    Figura 21. La instalación no se completará y el dispositivo no funcionará.

  7. Windows muestra un mensaje en el área de notificación que indica el motivo por el que se produjo un error en la instalación:

    Bb530324.grouppolicydeviceinstall22(en-us,MSDN.10).gif

    Figura 22. Aparecerá un mensaje para indicar el motivo por el que se produjo un error en la instalación

  8. Puede intentar omitir las restricciones instalando manualmente el controlador para el dispositivo. Haga clic con el botón derecho en el dispositivo y, a continuación, haga clic en Update Driver Software.

  9. El sistema operativo le pide que proporcione el controlador de dispositivo para el dispositivo.

    Bb530324.grouppolicydeviceinstall23(en-us,MSDN.10).gif

    Figura 23. Aparecerá un mensaje para el controlador de dispositivo.

  10. Para simular lo que un usuario podría intentar, haga clic en Buscar automáticamente el software de controlador actualizado.

  11. Aparece un mensaje que indica que Windows encontró pero no pudo instalar el controlador. En el último párrafo se explica que se produjo un error en el intento de instalación porque está prohibido por la directiva que creó.

    Bb530324.grouppolicydeviceinstall24(en-us,MSDN.10).gif

    Figura 24. El cuadro de diálogo explicará por qué se produjo un error en la instalación

Controlar los permisos de lectura y escritura en medios extraíbles

En este escenario se muestra cómo controlar el acceso de lectura o escritura a dispositivos extraíbles o dispositivos que usan medios extraíbles, en equipos que ejecutan Windows Vista y Windows Server 2008. En este escenario, se establece la directiva de equipo para que la unidad de memoria USB sea de solo lectura. También establece la directiva de equipo para que cualquier cd o dvd quemador conectado al equipo sea de solo lectura, en efecto deshabilitando la característica de grabación.

Requisitos previos para controlar los permisos de lectura y escritura en medios extraíbles

Para poder probar los procedimientos de esta sección, debe deshabilitar la directiva que impide la instalación de unidades de memoria USB.

Deshabilitar la directiva que impide la instalación de unidades de memoria USB

  1. Si el dispositivo está instalado actualmente, desinstale y quítelo siguiendo los pasos descritos en la sección Desinstalación de la unidad de memoria USB anteriormente en este documento.
  2. En el panel de detalles del Editor de objetos de directiva de grupo, haga clic con el botón derecho en Impedir la instalación de dispositivos que coincidan con estos identificadores de dispositivoy, a continuación, haga clic en Propiedades.
  3. El cuadro de diálogo de directiva aparecerá con la configuración actual.
  4. En la pestaña Configuración, haga clic en Mostrar para ver la lista de dispositivos prohibidos.
  5. En el cuadro de diálogo Mostrar contenido, haga clic en la unidad de memoria USB , haga clic en Quitary, a continuación, haga clic en Aceptar.
  6. En la pestaña Configuración, haga clic en deshabilitado para desactivar esta configuración de directiva.
  7. Haga clic en Aceptar para guardar el cambio.

Pasos para controlar los permisos de lectura y escritura en medios extraíbles

  1. Establecer la directiva de equipo para denegar el acceso de escritura a clases de dispositivos extraíbles específicas
  2. Prueba de la configuración de la directiva del equipo

Establecer la directiva de equipo para denegar el acceso de escritura a clases de dispositivos extraíbles específicas

Las directivas establecidas en este procedimiento bloquearán el acceso de escritura a muchos dispositivos de almacenamiento extraíbles. Sin embargo, la directiva de equipo exacta que bloquea el acceso de escritura al dispositivo puede variar en función de la marca y el dispositivo de modelo específicos. También puede usar la directiva de clases personalizadas, pero requiere que identifique el GUID de clase de configuración del dispositivo para el dispositivo específico.

Para denegar el acceso de escritura a clases de dispositivos extraíbles específicas

  1. En el panel de navegación Editor de objetos de directiva de grupo, abra Configuración del equipoy, a continuación, abra Plantillas administrativas, abra Sistemay, a continuación, abra Acceso de almacenamiento extraíble.
  2. Haga clic con el botón derecho en CD y DVD: Denegar acceso de escrituray, a continuación, haga clic en Propiedades .
  3. En el cuadro de diálogo Propiedades , haga clic en Habilitado para activar la restricción y, a continuación, haga clic en Aceptar.
  4. Repita los pasos 2 y 3 para las siguientes directivas de equipo:
    • Discos extraíbles: denegar el acceso de escritura
    • Unidades de disquete: denegar el acceso de escritura
    • Dispositivos WPD: Denegar el acceso de escritura
  5. Cierre el Editor de objetos de directiva de grupo.

Prueba de la configuración de la directiva del equipo

Si un dispositivo está en uso, no se puede aplicar inmediatamente la directiva de restricción de acceso de escritura. Para aplicar la directiva de equipo, reinicie el equipo.

Para probar la configuración de directiva del equipo

  1. Haga clic en el botón Iniciar , escriba gpupdate /force en el cuadro Iniciar búsqueda y presione ENTRAR.

  2. Cuando finalice el comando gpudate, reinicie el equipo.

  3. Inicie sesión en el equipo como DMI-Client1\TestAdmin.

  4. Conecte la unidad de memoria USB y espere a que Windows le notifique que está operativo.

  5. Haga clic en Inicio, haga clic en Equipoy, a continuación, haga doble clic en la unidad de memoria USB.

  6. En el Explorador de Windows, haga clic con el botón derecho en un área abierta del panel de detalles, haga clic en Nuevoy, a continuación, haga clic en Carpeta.

  7. Windows muestra un mensaje de error que explica por qué se produjo un error en el intento de crear una carpeta.

    Bb530324.grouppolicydeviceinstall25(en-us,MSDN.10).gif

    Figura 25. El mensaje de error explicará por qué se ha producido un error al intentar crear una carpeta

  8. Haga clic en Continuar para intentar solucionar la restricción.

  9. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que muestra es la que desea y, a continuación, haga clic en Continuar.

  10. Windows muestra un segundo mensaje que indica el motivo por el que no puede escribir en la carpeta.

    Bb530324.grouppolicydeviceinstall26(en-us,MSDN.10).gif

    Figura 26. Un segundo mensaje de error indicará el motivo por el que no se permiten los permisos de escritura.

Conclusión

En esta guía ha usado un dispositivo de ejemplo en un entorno de laboratorio para aprender a controlar si los usuarios pueden instalar o no un dispositivo. También ha aprendido a restringir el acceso a dispositivos de almacenamiento extraíbles o dispositivos que usan medios extraíbles. Controlar la instalación y el uso de dispositivos de esta manera mejora la seguridad y mejora la eficacia del departamento de soporte técnico limitando los dispositivos que los usuarios pueden instalar en esas organizaciones aprueban y admiten. Los escenarios usados para mostrar estas configuraciones incluyen:

  • Impedir la instalación de todos los dispositivos.

    En este escenario, ha impedido que los usuarios estándar instalen cualquier dispositivo, pero permiten a los administradores instalar o actualizar dispositivos.

  • Permitir que los usuarios instalen solo dispositivos autorizados.

    En este escenario, permitió a los usuarios estándar instalar solo los dispositivos incluidos en una lista de dispositivos autorizados.

  • Impedir la instalación de solo dispositivos prohibidos.

    En este escenario, permitió a los usuarios estándar instalar la mayoría de los dispositivos, pero les impedía instalar dispositivos incluidos en una lista de dispositivos prohibidos.

  • Controlar el uso de dispositivos de almacenamiento de medios extraíbles.

    En este escenario, ha evitado que los usuarios estándar escriban datos en dispositivos de almacenamiento extraíbles o dispositivos con medios extraíbles, como una unidad de memoria USB o un quemador de CD o DVD.

Recursos adicionales

Para obtener más información sobre la instalación de dispositivos:

Para obtener más información sobre la herramienta DevCon:

Para obtener más información sobre el control de cuentas de usuario en Windows Vista:

  • de control de cuentas de usuario de

Para obtener más información sobre la directiva de grupo:

  • de directiva de grupo de

Registro de errores y comentarios

Sus comentarios son bienvenidos. Si los escenarios incluidos no funcionan como se describe o si no pueden capturar la forma en que desea usar la tecnología, por favor díganoslo. Usaremos los comentarios que proporcione para mejorar la calidad de esta documentación. Envíe sus comentarios en esta documentación a Vista Feedback (vistafb@microsoft.com).

Para obtener comentarios sobre Windows Vista, use el vínculo "Póngase en contacto con nosotros" en la parte inferior de la página web de Windows Vista en https://www.microsoft.com/windowsvista.