Para abrir en un equipo Windows el editor de directivas de grupo local, se ejecuta el programa gpedit.msc como administrador.

Usando las “directivas de grupo local” en una maquina Windows, podemos:

Modificar políticas o directivas como deshabilitar el Administrador de equipos, deshabilitar la configuración de la red, obligar a un fondo de escritorio...
Asignar archivos ejecutables o scripts que se ejecutaran automáticamente cuando el sistema se encienda, se apague, inicie sesión un usuario o cierre sesión.
Especificar opciones especiales de seguridad.

Al modificar las directivas locales, lo que estamos realizando es modificar el registro, pero de una forma más amigable que utilizando el editor de registro. Es bastante más simple utilizar gpedit.msc, que regedit. En el editor de políticas locales, se explica el significado de cada directiva.

Si estamos trabajando en una red Windows bajo un dominio (con un Windows Server administrando dicho dominio) las políticas de grupo cobran mayor protagonismo. Pero en un ambiente de red de grupo de trabajo (sin Windows Server), las políticas de grupo son locales, es decir controlan solo los aspectos de la propia máquina.

Ilustración que muestra editor de directivas, con 2 configuraciones principales: equipo y usuario — Miguel Ángel García Lara (CC BY-NC-SA)

Dentro de las directivas de grupo locales hay dos opciones: Configuración del equipo y Configuración del usuario. En el caso de directivas locales es prácticamente indistinto trabajar con una opción u otra.
Algunas directivas aparecen tanto en la configuración del equipo como en la configuración del usuario. En caso de conflicto, la configuración del equipo siempre tiene preferencia.

Respecto a la configuración, cada directiva tiene 3 posibles valores:

No configurar la directiva, con lo que se comportará según el criterio por defecto para dicha directiva.
Habilitarla, con lo que la pondremos en marcha en el sistema.
Deshabilitarla, con lo que impediremos que se ponga en marcha dicha directiva.

Para modificar la configuración de una directiva, simplemente tenemos que realizar doble clic sobre dicha directiva para que nos aparezca el cuadro de dialogo que nos permite modificar dicha directiva. En dicho cuadro de dialogo nos mostrará una explicación de la funcionalidad de dicha directiva.

Ejercicio Resuelto

Deshabilitar la ejecución de una ventana de símbolo de sistema (cmd.exe).

Los pasos son:

Abrir gpedit.msc
Seleccionar Configuración de usuario / Símbolo / Impedir el acceso al símbolo del sistema
Leer la descripción para entender la directiva
Seleccionar la opción “Habilitada”.
Pulsar Aceptar

Ilustración que deshabilita ejecutar cmd — Miguel Ángel García Lara (CC BY-NC-SA)

Una vez deshabilitado cmd, si el usuario intenta abrir la consola de comandos, se muestra el mensaje de error que se muestra a continuación.

Ilustración que muestra la terminal muestra que está deshabilitado cmd — Miguel Ángel García Lara (CC BY-NC-SA)

Se recomienda leer cuidadosamente la explicación de cada directiva para entender sus efectos sobre el sistema y decidir habilitarla o no.

Vemos como desde las directivas de grupo podemos modificar el comportamiento de Windows, dándonos una gran potencia en la administración del equipo.

Para saber más

En la siguiente dirección web de Microsoft, se descarga un archivo Excel con las distintas directivas. Hay muchas directivas comunes para todos los Windows, y otras que solo sirven para algunos.
https://www.microsoft.com/en-us/download/details.aspx?id=25250