Limitar la sesión de un usuario de dominio a un único software

Es posible, mediante la aplicación de una GPO, limitar a un usuario específico (o a todos los usuarios autenticados, a Unidades Organizativas o a prácticamente lo que sea) a utilizar un único software al iniciar la sesión. Esto es, que cuando el usuario se autentifique en el dominio, en vez de tener un escritorio completo, entre directamente a la ejecución de un programa específico y no pueda ejecutar nada más.Podemos lograrlo asignando un truco de registro a la GPO de la siguiente manera:

Hacemos click derecho en la GPO que queremos implementar y le damos a «Editar».

Cuando se abra la ventana del «Editor de administración de directivas de grupo» vamos a:

Configuración de usuario > Preferencias > Configuración de Windows

…y hacemos click sobre «Registro».  Se nos abrirá la sección del registro en la parte derecha de la pantalla. Allí haremos click derecho sobre la parte blanca y seleccionaremos y seleccionaremos «Nuevo» > «Elemento del registro». Dentro pondremos:

Acción: Reemplazar
Subárbol: HKEY_CURRENT_USER
Ruta de la clave: Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Nombre de valor: Shell
Tipo de valor: REG_SZ
Información de valor: c:\windows\system32\notepad.exe

…y le damos a «Aceptar».

En este caso, la aplicación que se abrirá será el editor de notas. Pero podremos abrir cualquier aplicación, siempre que le pongamos la ruta correcta hasta el ejecutable. Además, en el caso del bloc de notas, podemos incluso abrir un archivo específico, directamente. Por ejemplo:

Información de valor: c:\windows\system32\notepad.exe c:\Usuarios\usuariox\Escritorio\Archivo.txt

…