Si al abrir el Explorador de archivos aparece “This operation has been cancelled due to restrictions…”, casi siempre hay una política (GPO/local, SRP/AppLocker/WDAC) bloqueando rutas o unidades. Esta guía explica cómo detectar el origen y restaurar acceso a Este equipo, Escritorio y Documentos.

Resumen del problema

Mensaje: “This operation has been cancelled due to restrictions in effect on this computer. Please contact your system administrator.”

Síntomas: al abrir Este equipo, Escritorio o Documentos desde el Explorador de archivos se muestra la restricción. Ya se intentó editar el Registro, borrar archivos “innecesarios” y abrir desde CMD, sin éxito.

En la práctica, este aviso no suele ser un “error” del Explorador sino el resultado de una directiva (de dominio o local) diseñada para ocultar o impedir el acceso a unidades o carpetas. También puede activarlo una regla de Software Restriction Policies (SRP), AppLocker o Windows Defender Application Control (WDAC). En menor medida, puede deberse a corrupción de archivos del sistema o a un perfil de usuario dañado.

Causas principales y cómo reconocerlas

Causa probable	Indicios típicos	Dónde comprobar
GPO o política local que oculta/bloquea unidades	“Este equipo” vacío; unidades C/D no visibles; opciones de carpeta deshabilitadas	gpresult, rsop.msc, gpedit.msc
SRP / AppLocker bloqueando el proceso o la ruta	Eventos de bloqueo, scripts/EXE negados, solo en ciertas cuentas	Visor de eventos, secpol.msc, políticas de AppLocker
WDAC / Code Integrity	Bloqueos a nivel de kernel, eventos de integridad de código	Visor de eventos, C:\Windows\System32\CodeIntegrity
Valores residuales en Registro	Claves NoDrives o NoViewOnDrive con máscaras activas	Ramas HKCU/HKLM\...\Policies\Explorer
Corrupción de sistema	Fallos intermitentes, servicios afectados, otros errores SFC	sfc y DISM
Perfil de usuario dañado	Solo afecta a un usuario; otro perfil funciona	Prueba con usuario nuevo/local

Diagnóstico rápido

Antes de “tocar” nada, identifica con precisión de dónde viene la restricción.

Comandos clave para obtener el mapa de políticas

:: Informe de Resultant Set of Policy (RSOP)
gpresult /h C:\Temp\gpresult.html
start C:\Temp\gpresult.html

\:: Alternativa gráfica
rsop.msc 

En el informe busca, especialmente bajo Configuración de usuario → Plantillas administrativas → Componentes de Windows → Explorador de archivos, entradas como:

• Prevent access to drives from My Computer (Impedir acceso a unidades desde Mi PC)
• Hide these specified drives in My Computer (Ocultar estas unidades en Mi PC)
• Directivas que oculten carpetas conocidas (Known Folders: Documentos, Escritorio, Descargas, etc.)

Toma nota del GPO de origen (si viene del dominio/Intune/MDM) y del ámbito (equipo vs. usuario). Esto es crucial: aunque deshabilites algo localmente, un GPO de dominio lo volverá a aplicar en cuanto se actualicen las directivas.

Revisión y corrección de directivas del Explorador

Abre el Editor de directivas correspondiente:

• Local: gpedit.msc
• Dominio: Consola de administración de directivas de grupo (GPMC) en el controlador de dominio
• Intune/MDM: Perfiles de configuración / directivas de restricción de dispositivos

Rutas típicas a revisar:

• Configuración de usuario → Plantillas administrativas → Componentes de Windows → Explorador de archivos
• Configuración del equipo → Plantillas administrativas → Sistema → Directivas de grupo (pueden forzar sinergias con SRP/AppLocker)

Establece en No configurada o Deshabilitada (según corresponda) estas directivas si aparecen definidas:

• Prevent access to drives from My Computer
• Hide these specified drives in My Computer
• Remove File Explorer’s default context menu (si impide opciones básicas)
• Turn off Windows+X hotkeys y similares, si se usaron para bloquear rutas shell:

Aplica los cambios y actualiza las políticas:

gpupdate /force

Después, cierra sesión o reinicia el equipo para validar.

Nota organizacional: si la configuración proviene de un GPO de dominio o de Intune, la corrección debe hacerse en el GPO/Perfil de origen. Los cambios locales se sobreescriben con la siguiente actualización de políticas.

Eliminación de valores residuales en el Registro

Si no hay GPO activo pero persiste el bloqueo, revisa las claves de políticas en el Registro. Haz copia de seguridad antes:

reg export "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" "%USERPROFILE%\Desktop\BKHKCUPolicies_Explorer.reg"
reg export "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" "%USERPROFILE%\Desktop\BKHKLMPolicies_Explorer.reg"

Ubicaciones a revisar:

• HKEYCURRENTUSER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
• HKEYLOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

Valores típicos que generan el síntoma:

• NoViewOnDrive
• NoDrives
• NoFolderOptions (oculta Opciones de carpeta)

O bien elimínalos, o ponlos a 0. Ejemplos:

:: Eliminar valores en rama de usuario
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDrives /f
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoViewOnDrive /f
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoFolderOptions /f

\:: Eliminar valores en rama de equipo (requiere consola elevada)
reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDrives /f
reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoViewOnDrive /f
reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoFolderOptions /f 

También puedes preparar un archivo .reg para borrar esos valores al importarlo:

Windows Registry Editor Version 5.00

\[HKEY\CURRENT\USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDrives"=-
"NoViewOnDrive"=-
"NoFolderOptions"=-

\[HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDrives"=-
"NoViewOnDrive"=-
"NoFolderOptions"=- 

Cómo funciona la máscara de bits de NoDrives/NoViewOnDrive

Estos valores usan una máscara de bits para ocultar letras de unidad. Cada letra corresponde a una potencia de 2. Si el número contiene la suma de ciertas potencias, esas letras se ocultan o bloquean. Tabla de referencia:

Letra	Valor	Letra	Valor	Letra	Valor
A	1	J	512	S	262144
B	2	K	1024	T	524288
C	4	L	2048	U	1048576
D	8	M	4096	V	2097152
E	16	N	8192	W	4194304
F	32	O	16384	X	8388608
G	64	P	32768	Y	16777216
H	128	Q	65536	Z	33554432
I	256	R	131072

Ejemplos:

• Ocultar C y D: 4 + 8 = 12
• Ocultar C, D y E: 4 + 8 + 16 = 28
• Ocultar todas las unidades: suma de todas las potencias (no recomendado)

Si ves un número distinto de 0, elimina el valor o ponlo a 0.

Comprobación de SRP, AppLocker y WDAC

Software Restriction Policies (SRP)

1. Abre secpol.msc y ve a Directivas de restricción de software.
2. Si el nivel de seguridad por defecto está en Denegado y no hay reglas de excepción adecuadas, podrían bloquearse rutas de usuario o el propio explorer.exe.
3. Revisa reglas por Ruta, Hash y Certificado. Ajusta o deshabilita las que afecten a:
   %SystemRoot%\explorer.exe, %USERPROFILE%\Desktop, %USERPROFILE%\Documents, shell:Personal, etc.

AppLocker

1. Abre el Visor de eventos y navega a Registros de aplicaciones y servicios → Microsoft → Windows → AppLocker (canales EXE and DLL, MSI and Script, Packaged app-Deployment).
2. Si ves eventos de bloqueo (y no solo de auditoría), identifica la regla y su origen (GPO/MDM). Ajusta la política o agrega excepciones.
3. Para ver la política efectiva desde PowerShell (ejecutar como admin):

# Mostrar política efectiva de AppLocker en XML
(Get-AppLockerPolicy -Effective).ToXml()

Buenas prácticas con AppLocker: arranca en Auditoría, genera reglas por editor/ubicación de confianza (firmas de Microsoft), y solo después aplica Denegar dónde sea necesario.

Windows Defender Application Control (WDAC)

WDAC aplica reglas de integridad de código a bajo nivel. Señales:

• Eventos en Visor de eventos → Microsoft → Windows → CodeIntegrity → Operational
• Presencia de políticas en C:\Windows\System32\CodeIntegrity\

Si WDAC está en modo Enforced con una política restrictiva, puede bloquear procesos o rutas que el Explorador invoca. Revisa la política de origen (Intune/GPO) y, si procede, transiciona temporalmente a Auditing para observar el impacto antes de liberar.

Reparación de archivos del sistema

Si tras corregir políticas crees que hay corrupción de sistema, usa las herramientas integradas:

:: Ejecutar como administrador
sfc /scannow

Si SFC encuentra errores que no repara, usa DISM y repite SFC:

DISM /Online /Cleanup-Image /RestoreHealth
sfc /scannow

En entornos sin acceso a Windows Update, puedes usar una imagen local (install.wim) como origen con /Source y /LimitAccess.

Prueba con otro perfil para aislar el alcance

Crea una cuenta local de prueba y verifica:

• Si en el nuevo usuario sí funciona, el problema está en políticas/perfil del usuario original.
• Si falla en todos, es a nivel de equipo (GPO de equipo, SRP/AppLocker/WDAC o Registro en HKLM).

Secuencia recomendada de solución

1. Obtén RSOP con gpresult y localiza el GPO/MDM implicado.
2. Normaliza directivas del Explorador (No configurada/Deshabilitada en “Impedir acceso” y “Ocultar unidades”).
3. Elimina valores residuales NoDrives/NoViewOnDrive/NoFolderOptions en HKCU y HKLM.
4. Revisa SRP/AppLocker/WDAC y ajusta reglas que afecten a Explorer o a carpetas de usuario.
5. Ejecuta sfc y DISM para descartar corrupción.
6. Valida con un perfil nuevo para confirmar que todo quedó limpio.

Comandos y pruebas útiles del Explorador

Para abrir rutas de Known Folders sin usar accesos directos, prueba:

:: Abre "Este equipo" mediante GUID
explorer.exe shell:::{20D04FE0-3AEA-1069-A2D8-08002B30309D}

\:: Abre "Escritorio" del usuario actual
explorer.exe shell\:Desktop

\:: Abre "Documentos" del usuario actual
explorer.exe shell\:Personal

\:: Abre la carpeta de usuario
explorer.exe %USERPROFILE% 

Si estos comandos fallan con el mismo mensaje, refuerza la hipótesis de política restrictiva; si alguno funciona, puede haber un acceso directo dañado o un handler de shell alterado (poco común, pero posible).

Equivalencias entre directivas y Registro

Directiva (GPO)	Efecto	Clave/Valor de Registro relacionado	Acción de remediación
Prevent access to drives from My Computer	Impide abrir unidades específicas	HKCU/HKLM\...\Policies\Explorer\NoViewOnDrive	Eliminar o fijar a 0
Hide these specified drives in My Computer	Oculta letras de unidad	HKCU/HKLM\...\Policies\Explorer\NoDrives	Eliminar o fijar a 0
Remove Folder Options	Oculta “Opciones de carpeta”	HKCU/HKLM\...\Policies\Explorer\NoFolderOptions	Eliminar o fijar a 0

Automatización con PowerShell

El siguiente script genera un informe rápido, decodifica la máscara de NoDrives/NoViewOnDrive y ofrece limpiar valores en HKCU/HKLM. Ejecuta PowerShell como administrador si vas a tocar HKLM.

# === Informe de políticas y limpieza opcional ===
$report = [System.Collections.Generic.List[object]]::new()

function Get-HideMaskLetters {
param(\[int]\$Mask)
if (\$null -eq \$Mask -or \$Mask -eq 0) { return @() }
\$letters = @()
for (\$i=0; \$i -lt 26; \$i++) {
if (\$Mask -band (1 -shl \$i)) { \$letters += \[char]\(\[byte]\[char]'A' + \$i) }
}
return \$letters
}

\$paths = @(
'HKCU:\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer',
'HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer'
)

foreach (\$p in \$paths) {
\$obj = \[pscustomobject]@{
Path = \$p
NoDrives = \$null
NoDrivesLetters = @()
NoViewOnDrive = \$null
NoViewOnDriveLetters = @()
NoFolderOptions = \$null
}
if (Test-Path \$p) {
\$prop = Get-ItemProperty -Path \$p -ErrorAction SilentlyContinue
foreach (\$name in 'NoDrives','NoViewOnDrive','NoFolderOptions') {
if (\$prop.PSObject.Properties.Name -contains \$name) {
\$val = \[int]\$prop.\$name
\$obj.\$name = \$val
if (\$name -ne 'NoFolderOptions') {
\$obj."\$name\`Letters" = Get-HideMaskLetters -Mask \$val
}
}
}
}
\$report.Add(\$obj)
}

\$report | Format-Table -AutoSize

Mostrar política efectiva de AppLocker (si existe)

try {
\$applockerXml = (Get-AppLockerPolicy -Effective -ErrorAction Stop).ToXml()
"AppLocker effective policy (XML length): \$(\$applockerXml.Length)"
} catch { "AppLocker policy not present or no rights." }

Limpieza opcional (responder Y para confirmar)

\$confirm = Read-Host "¿Eliminar valores NoDrives/NoViewOnDrive/NoFolderOptions en HKCU y HKLM? (Y/N)"
if (\$confirm -match '^\[Yy]\$') {
foreach (\$p in \$paths) {
foreach (\$name in 'NoDrives','NoViewOnDrive','NoFolderOptions') {
try {
Remove-ItemProperty -Path \$p -Name \$name -ErrorAction SilentlyContinue
} catch {}
}
}
"Valores eliminados. Ejecuta 'gpupdate /force' y reinicia sesión."
} 

Escenarios frecuentes y soluciones específicas

• Solo desaparecen unidades de red: una directiva de ocultación combina letras usadas por asignaciones de red. Elimina o ajusta NoDrives/NoViewOnDrive y valida que la asignación de letras sea consistente en inicio de sesión.
• Cuenta estándar afectada, administradores no: la política está bajo Configuración de usuario y aplicada por grupo de seguridad. Revisa el filtrado de seguridad del GPO.
• Solo falla al abrir “Documentos”, pero no otras rutas: podría existir una regla SRP por ruta que impacta %USERPROFILE%\Documents. Ajusta la regla o permite la ruta.
• El mensaje aparece tras instalar software de seguridad: algunos productos aplican políticas endurecidas. Restablece la configuración desde la consola del producto o desinstala temporalmente para aislar la causa.

Buenas prácticas para evitar recurrencias

• Diseña GPOs con claridad: evita mezclar “Ocultar” (usabilidad) con “Impedir acceso” (seguridad) sin un propósito explícito.
• Prefiere controles modernos: usa AppLocker o WDAC bien modelados antes que SRP global en “Denegado”.
• Prueba en Auditoría: implementa primero reglas en modo auditoría para observar el impacto.
• Documenta y versiona: conserva artefactos de diseño (quién, cuándo, por qué) y haz copia de las plantillas administrativas (.admx/.adml).
• Evita cambios “a mano” en Registro cuando hay GPO: el controlador volverá a imponer su estado.

Lista de verificación de cierre

• El informe gpresult.html ya no muestra directivas de ocultar/impedir acceso en el Explorador.
• Los valores NoDrives/NoViewOnDrive/NoFolderOptions no existen o están a 0 en HKCU y HKLM.
• SRP/AppLocker/WDAC no registran bloqueos para explorer.exe o rutas de usuario.
• Este equipo, Escritorio y Documentos abren sin el mensaje de restricción.

Preguntas frecuentes

¿Es seguro eliminar NoDrives/NoViewOnDrive?
Sí, si no hay GPO que deba mantenerlas. Si existe un GPO/MDM que las aplica, se repondrán en el siguiente gpupdate. Corrige el origen.

¿Ocultar una unidad equivale a protegerla?
No. NoDrives solo oculta. Si necesitas bloquear, usa Prevent access… o controles de acceso NTFS, y contempla AppLocker/WDAC para aplicaciones.

¿Puedo “saltar” la política en un equipo corporativo?
No. Respeta las políticas de tu organización. La remediación debe realizarla el administrador responsable del GPO/MDM.

¿Y si el error solo aparece con accesos directos antiguos?
Recrea los accesos directos: clic derecho en el Escritorio → Nuevo → Acceso directo, y usa rutas shell: (por ejemplo, shell:Personal).

Resumen accionable

El mensaje “This operation has been cancelled due to restrictions…” al abrir Este equipo/Escritorio/Documentos se resuelve identificando y deshabilitando directivas que ocultan o bloquean unidades/carpeta (GPO/MDM o locales), limpiando valores residuales del Registro y, si procede, corrigiendo bloqueos de SRP/AppLocker/WDAC. Como verificación final, ejecuta gpupdate /force, cierra sesión y confirma que el Explorador abre con normalidad.

---

Resultado esperado: tras deshabilitar directivas de ocultar/bloquear, limpiar el Registro y reparar el sistema si era necesario, el Explorador abrirá Este equipo, Escritorio y Documentos sin mostrar el mensaje de restricción.

Notas:

• Evita cambios aleatorios en el Registro; prioriza identificar la fuente con gpresult/rsop.msc.
• En entornos gestionados (AD/Intune), corrige la política en el origen; los cambios locales no perduran.
• Haz copia de seguridad antes de modificar políticas o el Registro.