¿La unidad (C:) deja de mostrarse cuando agregas al usuario a ciertos grupos de Active Directory? Este artículo te guía, con enfoque causa–efecto, para diagnosticar si se trata de una política que la oculta o de permisos NTFS, aislar la GPO responsable y aplicar una corrección limpia y sostenible en tu domino.

Resumen del escenario

Administradores reportan que usuarios de dominio ven la unidad C: normalmente al inicio. Sin embargo, tras agregarlos a uno o varios grupos de seguridad, la unidad deja de aparecer en el Explorador de archivos o se vuelve inaccesible. El comportamiento suele estar provocado por Group Policy (ocultar o impedir acceso) o por una GPO que aplica ACLs sobre C:\. Este contenido resume un método de resolución orientado a resultados, con verificaciones rápidas, comprobaciones profundas y medidas preventivas.

Diagnóstico rápido

Antes de revisar GPOs, define el tipo de síntoma. Esto evita perseguir la causa equivocada.

Prueba	Resultado	Interpretación	Siguiente acción
Abrir C:\ desde la barra de direcciones o Win+R	Se abre la carpeta	La unidad está oculta por política de Explorer	Revisar políticas “Ocultar estas unidades” y “Impedir el acceso a las unidades”
Abrir C:\ desde la barra de direcciones o Win+R	Mensaje “Acceso denegado”	Permisos NTFS restringidos en raíz o rutas críticas	Auditar ACLs aplicadas mediante GPO (File System)
Explorar \\localhost\c$ (con credenciales admin)	Acceso OK	El recurso existe; el bloqueo es de shell o permisos de usuario	Confirmar si es directiva de usuario y/o Loopback

Comandos de verificación inmediata

gpresult /h %temp%\gp.html
start %temp%\gp.html

whoami /groups

icacls C:\\

Opcional si tienes privilegios de admin:

$$localhost\c$

Con gpresult obtendrás el conjunto de GPOs de Usuario y de Equipo aplicadas. whoami /groups revela la lista efectiva de grupos (clave para saber por qué una GPO se filtró o no). icacls te permite inspeccionar permisos de la raíz de C:.

Aislar la GPO responsable

La forma más rápida de llegar a la causa es comparar el estado “sano” vs “afectado”.

1. Elige dos cuentas: una que vea C: normalmente y otra a la que “desaparece”. Ejecuta gpresult /h en ambos y compara las GPO de Usuario y Equipo.
2. En la Consola de Administración de Directivas de Grupo (GPMC), inspecciona cada GPO aplicada al usuario y al equipo. Observa la sección Security Filtering y la pestaña Delegation para identificar si alguno de los grupos recién agregados aparece como filtro de “Apply group policy”.
3. Comprueba si en la OU del equipo existe Loopback de directiva de usuario (modo Merge o Replace):
   Equipo → Plantillas administrativas → Sistema → Directiva de grupo → Modo de procesamiento de directiva de grupo de usuario en bucle de retroalimentación.
4. Genera un RSOP en HTML desde PowerShell si tienes RSAT:
   Get-GPResultantSetOfPolicy -ReportType Html -Path $env:TEMP\rsop.html y compáralo entre ambos usuarios.

Configuraciones típicas que provocan el síntoma

Políticas del Explorador que ocultan o bloquean unidades

Estas son las más comunes y afectan al shell, no a NTFS:

• Ocultar estas unidades especificadas en Mi PC (Hide these specified drives in My Computer)
• Impedir el acceso a las unidades desde Mi PC (Prevent access to drives from My Computer)

Ruta: Usuario → Plantillas administrativas → Componentes de Windows → Explorador de archivos (o “Windows Explorer” en versiones antiguas).

Acción recomendada: establece ambas en No configurado (o Deshabilitado) en la GPO que esté llegando por pertenencia a grupos. Si necesitas ocultar unidades solo a ciertos colectivos, separa la configuración en GPOs dedicadas y utiliza Security Filtering, WMI o Loopback según corresponda.

Claves de Registro asociadas a esas políticas

Cuando estas políticas están activas, suelen aparecer estas entradas:

• HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives
• HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewOnDrive
• En algunos escenarios, equivalentes bajo HKLM\... si se aplican a nivel de equipo.

Si la GPO usa Group Policy Preferences para escribir Registro, elimina las entradas o colócalas a 0. La máscara de bits controla qué letras se ocultan o bloquean:

Unidad	Bit (2^n)	Decimal	Hex
A:	2^0	1	0x1
B:	2^1	2	0x2
C:	2^2	4	0x4
D:	2^3	8	0x8
E:	2^4	16	0x10
F:	2^5	32	0x20
G:	2^6	64	0x40
H:	2^7	128	0x80
I:	2^8	256	0x100
J:	2^9	512	0x200
K:	2^10	1024	0x400
L:	2^11	2048	0x800
M:	2^12	4096	0x1000
N:	2^13	8192	0x2000
O:	2^14	16384	0x4000
P:	2^15	32768	0x8000
Q:	2^16	65536	0x10000
R:	2^17	131072	0x20000
S:	2^18	262144	0x40000
T:	2^19	524288	0x80000
U:	2^20	1048576	0x100000
V:	2^21	2097152	0x200000
W:	2^22	4194304	0x400000
X:	2^23	8388608	0x800000
Y:	2^24	16777216	0x1000000
Z:	2^25	33554432	0x2000000

Ejemplos prácticos: NoDrives=4 oculta solo C:. NoDrives=12 (4+8) oculta C: y D:. Si la clave está en HKCU, dependerá del usuario que inicia sesión; si está en HKLM, afectará a todos los usuarios del equipo (o a aquellos afectados por Loopback).

GPO que modifica permisos NTFS en C:\

Otra causa es una GPO con Equipo → Configuración de Windows → Configuración de seguridad → Sistema de archivos que define ACLs sobre C:\ o rutas sensibles (%SystemDrive%, %SystemRoot%, etc.).

Síntoma típico: La unidad aparece pero al entrar ves “Acceso denegado” o no puedes listar contenido.

Permisos recomendados en la raíz (valores orientativos comunes):

• SYSTEM: Control total
• Administrators: Control total
• Users: Lectura y ejecución, Mostrar el contenido de la carpeta

Evita entradas DENY a grupos amplios como Domain Users o Authenticated Users. Si sospechas de una GPO de “File System”, exporta su configuración o inspecciona con icacls:

icacls C:\

Si necesitas revertir, quita la sección de Sistema de archivos en la GPO o restaura los permisos por defecto con una ventana de mantenimiento planificada.

Otras configuraciones que confunden el síntoma

• Redirección de carpetas: no oculta C:, pero hace que “Este equipo” muestre rutas de red y puede dar la impresión de que falta la unidad.
• AppLocker / SRP: bloquea ejecución de binarios pero no oculta la letra de unidad.
• MDM/Intune o scripts de login/startup: podrían escribir NoDrives/NoViewOnDrive o tocar ACLs fuera de GPOs tradicionales.

Procedimiento recomendado paso a paso

1. Confirmar tipo de fallo con las pruebas del diagnóstico rápido.
2. Generar reportes con gpresult /h y, si es posible, Get-GPResultantSetOfPolicy.
3. Comparar GPOs entre usuario afectado y no afectado. Fíjate especialmente en GPOs de Usuario que entregan Explorer/Registro y en GPOs de Equipo con Loopback.
4. Revisar Security Filtering de la GPO sospechosa y su Scope (vínculo a la OU, herencia, Enforced).
5. Buscar claves de Registro NoDrives/NoViewOnDrive en HKCU y HKLM. Si se aplicaron por Preferencias, identifica el ítem GPP responsable.
6. Inspeccionar ACLs si hay “Acceso denegado” en C:\. Comprueba si alguna GPO de Sistema de archivos define entradas sobre la raíz.
7. Corregir:
   • Colocar políticas de Ocultar/Impedir acceso en No configurado o ajustar el filtrado para que excluya al usuario/grupo.
   • Eliminar o neutralizar (valor 0) las entradas de Registro de GPP que escriben NoDrives/NoViewOnDrive.
   • Quitar definiciones de Sistema de archivos sobre C:\ o restablecer permisos correctos.
8. Aplicar gpupdate /force y cerrar sesión/iniciar sesión.
9. Validar en Visor de eventos (Microsoft → Windows → GroupPolicy → Operational) que se haya aplicado la corrección (IDs como 5312/5310).
10. Documentar la GPO corregida y su alcance (quién la recibe y por qué).

Scripts y comandos de apoyo

Detección rápida de claves en el perfil del usuario

reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDrives
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoViewOnDrive

Neutralización temporal por línea de comandos

Usar solo para pruebas puntuales; la corrección debe hacerse en la GPO de origen.

reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDrives /t REG_DWORD /d 0 /f
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoViewOnDrive /t REG_DWORD /d 0 /f
gpupdate /target:user /force

Listado de GPOs aplicadas con PowerShell (si RSAT presente)

# Reporte RSOP en HTML
Get-GPResultantSetOfPolicy -ReportType Html -Path "$env:TEMP\RSOP.html"

GPOs aplicadas al usuario (resumen)
$u = whoami
(gpresult /scope user /v) | Out-String

Buenas prácticas para que no vuelva a ocurrir

• Separar por objetivo: no mezcles en la misma GPO ajustes de Explorer, Registro y ACLs de Sistema de archivos. Crea GPOs específicas y nómbralas de forma descriptiva (por ejemplo, “UX – Ocultar C para kiosco”).
• Filtrado de seguridad bien diseñado: aplica la GPO solo a los grupos que realmente la necesitan y crea un Grupo de exclusión con Deny Apply group policy para excepciones.
• Loopback con intención: si usas Loopback, documenta si es Merge o Replace. En Replace, cualquier usuario que inicie en esos equipos recibirá las políticas de usuario definidas a nivel de equipo.
• Preferencias de Registro con “Reemplazar” vs “Actualizar”: utiliza “Actualizar” y condiciones de destino (Item-level targeting) para no sobrescribir sin control.
• Control de cambios: documenta qué GPO oculta unidades y por qué, fecha de creación, propietarios y tickets asociados. Añade una breve descripción técnica en el campo “Comment” de la GPO.
• Pruebas por anillos: prueba en OU de staging con dispositivos/usuarios piloto antes de vincular a producción.

Validación posterior a la corrección

1. Ejecuta gpupdate /force y pide al usuario que vuelva a iniciar sesión.
2. Revisa GroupPolicy/Operational para confirmar que la GPO problemática ya no se aplica o que su configuración quedó “No configurada”.
3. Genera un nuevo gpresult /h para confirmar el estado final.
4. Comprueba que C: sea visible en el Explorador y accesible en el cuadro Win+R y mediante icacls (solo lectura para Users salvo necesidades especiales).

Soluciones temporales para salir del paso

• Retirar temporalmente al usuario de los grupos que disparan la GPO mientras aplicas la corrección definitiva.
• Mover el equipo a una OU sin herencia de la GPO en cuestión (considera el impacto de seguridad).
• Aplicar un grupo de exclusión con Deny Apply group policy sobre la GPO que oculta/bloquea C:, mientras ajustas el diseño.

FAQ breve

¿Por qué a administradores locales sí les aparece C:?
Porque la política que oculta C: suele estar bajo HKCU y filtrada por grupos de usuarios estándar; además, administradores mantienen visibilidad aunque existan restricciones de shell menos agresivas.

¿BitLocker puede ocultar la unidad?
No. BitLocker cifra, no oculta. Si la letra desaparece, no es BitLocker: busca políticas de Explorer o entradas de Registro asociadas.

¿La redirección de carpetas “elimina” C: de la vista?
No. Puede cambiar el foco hacia bibliotecas/red, pero la letra de unidad permanece visible salvo que una política la oculte.

¿Loopback puede causar el problema aunque la GPO sea de usuario?
Sí. Con Loopback, las políticas de usuario se determinan por el equipo. En modo Replace, las GPO de usuario vinculadas a la OU del equipo sustituyen a las del usuario.

Errores comunes que conviene evitar

• Configurar simultáneamente “Ocultar estas unidades” y “Impedir el acceso” en múltiples GPOs sin control de precedencia ni exclusiones.
• Usar DENY en ACLs NTFS sobre C:\ para grupos amplios (bloqueos impredecibles y costosos de revertir).
• Distribuir claves de Registro con GPP en modo “Reemplazar” sin Item-level targeting; el valor vuelve tras cada actualización de directiva.
• Olvidar revisar Security Filtering y Delegation en GPMC; ahí suele estar la pista del grupo que activa el problema.

Resumen operativo de la solución

• Determina si el síntoma es ocultación (NoDrives/NoViewOnDrive) o permisos (ACLs NTFS).
• Compara GPOs aplicadas (gpresult) entre usuario sano y afectado; identifica la GPO filtrada por el grupo añadido.
• Neutraliza las políticas de Explorer o corrige ACLs en la GPO; separa configuraciones en GPOs pequeñas y orientadas a propósito.
• Valida con gpupdate, visor de eventos y nueva comprobación de acceso.
• Documenta y protege el diseño (filtrado, exclusiones, Loopback) para evitar recurrencias.

Checklist rápida

• [ ] Confirmar si la unidad está oculta o sin permisos.
• [ ] Ejecutar gpresult y revisar GPOs aplicadas por pertenencia a grupos.
• [ ] Desactivar “Ocultar estas unidades” / “Impedir el acceso a las unidades” en la GPO implicada.
• [ ] Eliminar o poner a 0 NoDrives / NoViewOnDrive si se aplicaron por GPP.
• [ ] Verificar si existe una GPO de File System que toque C:\ y corregir ACLs.
• [ ] Revisar si hay Loopback en la OU del equipo.
• [ ] Validar con gpupdate, Visor de eventos y nueva prueba de acceso.

Plantilla de investigación para equipos de soporte

# 1) Confirmación de síntoma
- ¿Win+R > C:\ abre o muestra acceso denegado?
- ¿La letra C aparece en “Este equipo”?

2) Datos del usuario y equipo
- Usuario:   Equipo:   OU: _
- Grupos agregados recientemente: 

3) Recolección de evidencias
- gpresult /h adjunto (usuario y equipo)
- whoami /groups adjunto
- Capturas de claves NoDrives / NoViewOnDrive
- icacls C:\ (salida adjunta)

4) Hipótesis
- GPO de usuario con Explorer/Registro
- GPO de equipo con Loopback
- GPO con File System ACLs

5) Acción correctiva
- Ajuste aplicado:
- Riesgos/rollback:
- Validación realizada:

6) Documentación
- GPO(s) cambiadas:
- Security Filtering actualizado:
- Ticket/Change ID:

Conclusión

La desaparición de la unidad C: vinculada a la pertenencia a determinados grupos de AD casi siempre remite a una relación clara entre filtrado de seguridad y configuraciones de Explorer o ACLs. Con un diagnóstico rápido (oculta vs permisos), la comparación de gpresult y una revisión cuidadosa de Security Filtering y Loopback, podrás identificar la GPO culpable, revertir el ajuste y dejar un diseño más robusto y auditable para el futuro.