MENU
  1. Inicio
  2. Windows
  3. Deshabilitar “Buscar en Active Directory” en el Explorador de archivos (Windows 10/11)

Deshabilitar “Buscar en Active Directory” en el Explorador de archivos (Windows 10/11)

Windows

¿Necesitas impedir que los usuarios exploren el directorio corporativo desde el Explorador de archivos? A continuación encontrarás métodos probados con GPO, ADMX, scripts y otras estrategias para ocultar o deshabilitar el comando “Buscar en Active Directory” en equipos con Windows 10 y Windows 11.

Índice

Por qué eliminar la búsqueda en Active Directory

La opción Buscar en Active Directory permite localizar objetos del dominio directamente desde la cinta de opciones de Red. Aunque resulta cómoda, también puede:

  • Exponer información sensible (usuarios, grupos, impresoras) a personas no autorizadas.
  • Facilitar la enumeración de cuentas por insiders o actores externos que consigan acceso.
  • Añadir ruido de red (tráfico LDAP) en entornos con cientos de estaciones.

Bloquearla refuerza la superficie de ataque y cumple buenas prácticas de PoLP.

Métodos disponibles

EnfoqueVentajasLimitacionesIdeal para
Política de grupo (GPO)Centralizado, reversible, auditable; desaparece el botón.Requiere ADMX actualizados y ediciones Pro/Enterprise.Dominios con control total sobre estaciones.
Clave de RegistroFunciona sin GPO; aplica por usuario o equipo.No impide reactivación manual; exige script o EEM.Equipos Home o escenarios “Bring Your Own Device”.
Desactivar descubrimiento de redNo precisa privilegios administrativos altos.El botón permanece, solo queda inactivo.Entornos mixtos donde no se permite cambiar plantillas.

Implementación con GPO

Requisitos previos

  • Controlador de dominio con Central Store de plantillas ADMX.
  • Mínimo Windows 10 v1903 o Windows Server 2019 para disponer del archivo FileExplorer.admx.
  • Cuenta con permisos de edición en GPMC.

Pasos detallados

  1. Descarga los ADMX más recientes (Microsoft Security Compliance Toolkit) o copia C:\Windows\PolicyDefinitions\* desde un equipo totalmente actualizado.
  2. Copia los ficheros FileExplorer.admx y el recurso de idioma (FileExplorer.adml) a \<dominio>\SYSVOL<dominio>\Policies\PolicyDefinitions.
  3. En la consola Administración de directivas de grupo crea o edita un GPO vinculado a la OU deseada.
  4. Navega a Configuración de usuario → Plantillas administrativas → Componentes de Windows → Explorador de archivos.
  5. Habilita “Quitar Buscar en Active Directory”. Guarda y cierra.
  6. En un equipo de la OU, ejecuta gpupdate /force o inicia sesión de nuevo.

Verificación

Abre el Explorador de archivos y dirígete a Red. El botón ya no debería mostrarse. Si persiste, revisa que la GPO se aplique (comando gpresult /H resultado.html) y que el SID del usuario esté dentro del alcance de la directiva.

Solución cuando la directiva no aparece

Muchos administradores se sorprenden al no hallar la opción en gpedit. Las causas típicas son:

  1. Plantillas ADMX desactualizadas.
  2. Edición del sistema sin soporte (Home).
  3. Lag de replicación en SYSVOL.

Después de importar las últimas ADMX reinicia la consola GPMC o la sesión cítrica (MMC mantiene caché). Si sigues sin verla, ejecuta Get-Winver para confirmar tu versión; la política existe solo desde la compilación 18362.

Aplica la restricción con Registro

Cuando una GPO no es viable (versiones Home, equipos fuera de dominio, escenarios temporales) puedes recurrir al Registro. El valor se lee en tiempo de login, por lo que basta cerrar sesión; sin embargo, reiniciar explorer.exe es más rápido.

; Ocultar “Buscar en Active Directory”
[HKEYCURRENTUSER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoActiveDirectorySearch"=dword:00000001

Automatiza la clave con PowerShell:

New-Item -Path HKCU:\Software\Microsoft\Windows\CurrentVersion\Policies -Name Explorer -Force |
  New-ItemProperty -Name NoActiveDirectorySearch -PropertyType DWord -Value 1 -Force
Stop-Process -Name explorer -Force

Distribución masiva

  • Script de inicio de sesión: Cópiase bajo \\NETLOGON y se invoca desde la sección de scripts de usuario en la GPO.
  • Herramientas EEM (Intune, MECM, Ivanti): implementan la clave como política OMA-URI.
  • LGPO.exe: exporta una GPO local desde un PC Pro y la inyecta en sistemas Home o fuera de dominio (LGPO.exe /g C:\Policy\NoADS).

Deshabilitar Descubrimiento de red

No siempre es posible modificar políticas o Registro; quizá solo necesites que el botón quede inactivo porque el servicio subyacente no responde.

  1. Abre Panel de control → Centro de redes y recursos compartidos.
  2. Haz clic en Cambiar configuración de uso compartido avanzado.
  3. Para todos los perfiles, marca Desactivar el descubrimiento de red y Desactivar el uso compartido de archivos e impresoras.

La opción seguirá presente, pero al ejecutarla muestra error “El servicio de directorio no está disponible” y, funcionalmente, impedirá consultas LDAP.

Buenas prácticas y consideraciones de seguridad

  • Auditoría: habilita el registro de eventos 4672 y 4738 para rastrear cambios de políticas.
  • Inventario: usa Get-ItemProperty en PowerShell para comprobar remotamente si la clave existe.
  • Baselines: las referencias CIS Benchmarks y Microsoft Security Baselines incluyen la política; mantén la configuración en tu pipeline de CI/CD de imagen.
  • Rollback: deshabilitar la GPO o eliminar la clave revierte el cambio al instante tras reiniciar Explorer.

Automatización completa con Intune (ejemplo)

Intune admite scripts y configuración de dispositivos. Un método habitual es la plantilla “Settings catalog”:

  1. Endpoint Manager → Devices → Configuration profiles → Create profile.
  2. Selecciona Platform = Windows 10 y posterior, Profile type = Settings catalog.
  3. Agrega la configuración File Explorer → Remove Search Active Directory; establece Enabled.
  4. Asigna la política a grupos AAD y revisa el estado de implantación.

Tras la sincronización (sync cada 8 h aprox. o manual), el botón desaparece en todos los dispositivos gestionados.

FAQ

¿Puedo quitar la opción solo a usuarios estándar y dejarla para administradores?

Sí. Crea dos GPO: una con la directiva habilitada y vinculada a la OU Usuarios estándar; la otra configurada como No configurada o deshabilitada para la OU Administradores. Prioriza el Link order o usa Security Filtering (Grupos de seguridad).

¿Hay consecuencias colaterales al eliminar la búsqueda LDAP?

La directiva afecta solo al botón y al comando de la cinta. No interfiere con la libreta de direcciones, el diálogo de impresoras ni los scripts que usen dsquery o Get-ADUser.

¿Funciona en Windows Server con escritorio?

Sí, mientras el servidor tenga File Explorer. En servidores Core no aplica.

Conclusión

Eliminar Buscar en Active Directory reduce la posibilidad de enumeración de objetos y mejora la postura de seguridad sin sacrificar funcionalidad para la mayoría de los usuarios. La vía recomendada es una GPO con plantillas ADMX recientes; para entornos sin dominio, el Registro y LGPO.exe logran un efecto idéntico.

Windows
Active Directory Windows Registro Política de Grupo File Explorer
Índice