5.8. Crear un perfil obligatorio
Un perfil móvil nos permite que un usuario pueda iniciar una sesión desde diferentes clientes, manteniendo su escritorio de trabajo. Sin embargo, en muchas ocasiones esto no es suficiente y necesitamos también que el usuario no pueda realizar cambios en ese perfil. Para ello, sólo tenemos que convertir el perfil móvil en obligatorio. Algo que se consigue sólo con modificar el nombre del un archivo oculto, que inicialmente se llama NTUSER.DAT por el de NTUSER.MAN.
Para conseguirlo, sólo tendríamos que acceder a la carpeta del perfil, mostrar todos los archivos ocultos o de sistema y cambiar el nombre del archivo. Sin embargo, cuando intentamos entrar en la carpeta, recibimos un mensaje de error que nos informa de que no tenemos privilegios suficientes para hacerlo. Como estamos trabajando con la cuenta Administrador, la ventana que nos muestra el error incluye también un botón que nos permite tomar posesión de la carpeta.
Es muy probable que este comportamiento te llame la atención. Uno puede pensar que, siendo Administrador, debería poder entrar en cualquier sitio, pero sobre una carpeta de perfil sólo tienen permisos el propio usuario al que pertenezca el perfil y el grupo especial SYSTEM.
En este momento, podríamos hacer clic sobre el botón Continuar y tomar posesión de la carpeta. De ese modo podríamos hacer cualquier cambio en su contenido. Sin embargo, la experiencia me dice que, más tarde, cuando el usuario utilice el perfil, podría encontrarse con errores…
Otra de las cosas que podríamos hacer es que el Administrador fuese miembro del grupo SYSTEM. Sin embargo, yo prefiero dejar las cosas como están.
En realidad, lo que haremos es dar un pequeño rodeo: iniciaremos sesión en el equipo cliente con la cuenta de usuario y, como esta cuenta tiene todos los privilegios sobre la carpeta de perfil, concederemos privilegios al administrador para acceder a la carpeta.
Una vez en la carpeta donde almacenamos los perfiles, hacemos clic con el botón derecho del ratón sobre la carpeta del perfil de este usuario (no olvides que trabajando en un dominio real aquí podrían aparecer bastantes perfiles distintos)
Cuando aparezca la ventana de propiedades de la carpeta, hacemos clic sobre la solapa Seguridad.
En la ventana de permisos podemos comprobar lo que comentábamos antes: Sólo pueden acceder el propio usuario y los miembros del grupo SYSTEM y en ambos casos disponen de Control total sobre la carpeta.
La ventana Seleccionar Usuarios, Equipos, Cuentas de servicio o Grupos que aparece es prácticamente idéntica a la que estamos acostumbrados a ver desde Windows Server 2008.
6
En ella escribimos el principio del nombre de la cuenta Administrador y hacemos clic en el botón Comprobar nombres.
Aparecerá una ventana con todas las cuentas de usuario y grupos que coinciden con el texto escrito.
De vuelta en la ventana Seleccionar Usuarios, Equipos, Cuentas de servicio o Grupos comprobamos que la elección es correcta.
Ya en la ventana de permisos, elegimos la cuenta Administrador y hacemos clic sobre la casilla de verificación Control total de la columna Permitir.
De momento, el trabajo en el ordenador cliente ha terminado. Te recomiendo que antes de continuar, cierres la sesión con la cuenta de usuario, ya que vamos a modificar el perfil en el servidor y éste no se actualizará en el cliente hasta que reiniciemos la sesión, lo que puede producir comportamientos inesperados.
Cuando volvamos al servidor, ya si podremos ver el contenido de la carpeta del perfil del usuario.
Para cambiar esta situación, nos dirigimos al menú Herramientas.
El sistema nos muestra la ventana Opciones de carpeta. En su interior, nos dirigimos a la solapa Ver.
12
En la categoría Archivos y carpetas ocultos, habilitamos la opción Mostrar todos los archivos y carpetas ocultos.
Más abajo deshabilitamos la opción Ocultar archivos protegidos del sistema operativo (recomendado), pero, al hacerlo, el sistema nos avisa de los peligros que conlleva esta acción.
Cuando se cierre la ventana de aviso, comprobamos que se ha desactivado la opción
De vuelta en la ventana del explorador de archivos, comprobamos que ahora aparecen algunos archivos más. Localizamos el archivo NTUSER.DAT y hacemos clic sobre él con el botón derecho del ratón.
Y procedemos a cambiar el nombre del archivo por NTUSER.MAN. Al pulsar la tecla Intro para concluir el cambio, aparece un nuevo aviso indicando que el archivo podrá quedar inutilizable. Este tipo de aviso aparece de forma automática cuando cambiamos la extensión a cualquier archivo, porque Windows utiliza dicha extensión para reconocer el tipo de archivo del que se trata. Sin embargo, en este caso no existe ningún problema.
Como el nombre del archivo que estamos cambiando se corresponde con un archivo de sistema, las repercusiones de un error pueden ser más graves. Por este motivo, Windows Server vuelve a preguntarnos si estamos seguros de lo que estamos haciendo.
Con esto, habremos terminado la tarea. Si quieres comprobarlo, sólo tienes que iniciar sesión con la cuenta de usuario en el ordenador cliente e intentar cambiar cualquier aspecto del entorno. Parecerá que los cambios tienen efecto, pero cuando acabes la sesión y vuelvas a entrar, habrán desaparecido.
Recuerda que, aunque el perfil sea obligatorio, para este ejemplo particular realizamos, en el apartado anterior, una redirección de su carpeta Documentos, que ahora se encuentra en una ubicación fuera del perfil. La consecuencia de esto es que el usuario sí podrá guardar archivos en la carpeta Documentos y estos perdurarán a la siguiente sesión (sin la mencionada redirección, no habría ocurrido de esta forma).