Crear un perfil obligatorio en Active Directory sobre Windows Server 2012 R2

Cuando creamos un perfil móvil para una cuenta de usuario, dicho usuario podrá iniciar una sesión desde diferentes clientes, de modo que mantenga el mismo escritorio de trabajo en todos ellos.Es decir, conseguimos un espacio de trabajo itinerante.

De hecho, ya hemos dedicado el artículo Crear un perfil de usuario móvil en Active Directory sobre Windows Server 2012 R2 a cumplir estos objetivos.

No obstante, en muchas ocasiones esto no es suficiente. Imagina, por ejemplo, que necesitas mantener la identidad corporativa de todos los equipos de la red, o asegurarte de que determinados accesos directos no se eliminan del escritorio (o no se confunden entre la multitud de elementos que el usuario deje sobre él).

n definitiva, necesitas que los usuarios no puedan realizar cambios en sus respectivos perfiles. En otras palabras, necesitas convertir los perfil móviles en obligatorios… Y, precisamente, a eso vamos a dedicar el artículo de hoy.

Conceptos previos

La idea general es muy sencilla: para convertir un perfil móvil en obligatorio, sólo tenemos que localizar uno de sus archivos, llamado NTUSER.DAT y cambiar su nombre por NTUSER.MAN.

Para conseguirlo, debería bastar con acceder a la carpeta del perfil, mostrar todos los archivos ocultos o de sistema y cambiar el nombre del archivo. Sin embargo, cuando lo intentamos con un perfil móvil que ya existe, recibimos un mensaje de error que nos informa de que no tenemos privilegios suficientes para hacerlo.

Es muy probable que este comportamiento te llame la atención. Uno puede pensar que, siendo Administrador, debería poder entrar en cualquier sitio, pero sobre una carpeta de perfil sólo tienen permisos el usuario propietario del perfil y el grupo especial SYSTEM.

La forma de resolverlo es que el administrador tome propiedad de la carpeta del perfil, y después se la devuelva al usuario original. Veamos cómo lograrlo …

Obtener permisos sobre la carpeta contenedora

Cuando creamos la carpeta contenedora, sólo le dimos permisos sobre ella a los miembros del grupo Profesores. Por lo tanto, para poder acceder a su contenido tenemos dos opciones: hacer que la cuenta Administrador sea miembro del grupo Profesores o asignarle permisos a la cuenta Administrador de forma independiente. Aquí optaremos por la segunda opción.

Comenzamos por abrir la ventana del Explorador de archivos.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2012-R2-001

En la ventana del Explorador de archivos, nos desplazamos hasta el lugar donde tenemos las carpetas compartidas (en este caso, el el directorio raíz del servidor).

Recuerda que, para este ejemplo, la carpeta donde se guardan los perfiles móviles se llama Perfiles, pero tú has podido llamarla de otra forma en tu sistema, por lo que todas las referencias que hagamos a dicha carpeta tendrás que adaptarlas a tu caso particular.

Tratamos de entrar en la carpeta que contiene los perfiles para comprobar qué sucede…

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2012-R2-002

El resultado será un mensaje de error indicándonos que no tenemos permisos sobre la carpeta.

Hacemos clic sobre el botón Cerrar.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2012-R2-003

Aunque ya hemos explicado antes el proceso a seguir para compartir una carpeta con un usuario o grupo, vamos a volver a incluirlo aquí para no interrumpir la secuencia de acontecimientos de la explicación. Como recordarás, todo comienza por hacer clic sobre la carpeta  con el botón derecho del ratón…

… y, en el menú de contexto que aparece, elegir la opción Propiedades.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2012-R2-004

Veremos que aparece la ventana Propiedades: Perfiles. En ella, elegimos la solapa Compartir.

Dentro, hacemos clic sobre el botón Uso compartido avanzado.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2012-R2-005

Esto hará que se abra la ventana Uso compartido avanzado.

Para continuar, hacemos clic sobre el botón Permisos.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2012-R2-006

Al hacerlo, se abrirá la ventana Permisos de Perfiles.

En ella, hacemos clic sobre el botón Agregar.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2012-R2-007

Como siempre que nos disponemos a añadir un objeto del directorio activo, se abrirá la ventana Seleccionar Usuarios, Equipos, Cuentas de servicio o Grupos.

Comenzamos a escribir el nombre de la cuenta y hacemos clic en el botón Comprobar nombres.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2012-R2-008

Como hay varios objetos que contienen los caracteres que hemos escrito, se muestra la ventana Nombres múltiples encontrados, con la relación de dichos elementos.

Sólo tenemos que hacer clic sobre la cuenta Administrador y, a continuación, sobre el botón Aceptar.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2012-R2-009

De vuelta en la ventana Seleccionar Usuarios, Equipos, Cuentas de servicio o Grupos, comprobamos que el nombre de la cuenta elegida es correcta …

… y hacemos clic sobre el botón Aceptar.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2012-R2-010

Al volver a la ventana Permisos de Perfiles, seleccionamos la cuenta Administrador y marcamos la opción Control total.

Para terminar, hacemos clic sobre el botón Aceptar.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2012-R2-011

Tomar propiedad de la carpeta del perfil

Después de cerrar también la ventana Propiedades: Perfiles, comprobaremos que por fin podemos entrar en la carpeta Perfiles. Ahora es cuando, para conseguir nuestro objetivo de crear un perfil obligatorio, tendremos que hacer que el usuario Administrador se convierta en propietario de la carpeta del perfil.

Comenzamos por hacer clic con el botón derecho del ratón sobre la carpeta y, en el menú de contexto que aparece, elegir Propiedades.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2012-R2-012

Cuando aparezca la ventana Propiedades: Walt.V2 (o como se llame tu usuario), hacemos clic sobre la solapa Seguridad.

Después, hacemos clic sobre el botón Opciones avanzadas.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2012-R2-013

De esta forma, conseguimos abrir la ventana Configuración de seguridad avanzada para Walt.V2 y comprobamos que carecemos de permiso para ver o editar permisos de la carpeta. Tampoco se puede mostrar el nombre del propietario actual. Sin embargo, dado que estamos usando la cuenta Administrador, sí tenemos la facultad de poder cambiar el propietario.

Hacemos clic sobre el enlace Cambiar.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2012-R2-014

Como en otras ocasiones, se abrirá la ventana Seleccionar Usuarios, Equipos, Cuentas de servicio o Grupos.

Escribimos el principio del nombre de la cuenta y hacemos clic en el botón Comprobar nombres.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2012-R2-015

De nuevo, como hay varios objetos que contienen los caracteres que hemos escrito, se muestra la ventana Nombres múltiples encontrados, con la relación de dichos elementos.

Hacemos clic sobre la cuenta Administrador y, a continuación, sobre el botón Aceptar.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2012-R2-016

De vuelta en la ventana Configuración de seguridad avanzada para Walt.V2, comprobamos que ahora el propietario es el Administrador y seleccionamos la opción Reemplazar propietario en subcontenedores y objetos para que se aplique también el cambio a todos los archivos y subcarpetas contenidos en el perfil.

Después de esto, podemos hacer clic sobre el botón Aplicar.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2012-R2-017

Observa que, a pesar de todo, la solapa Permisos sigue sin mostrar la información correcta. Sin embargo, si comprobamos el contenido de la solapa Compartir, observamos que ya está incluida la cuenta Administrador y que dispone de control total sobre la carpeta. El motivo es sencillo: la información de la solapa Permisos no está actualizada.

Para resolverlo, debemos cerrar la ventana y volver a abrirla.

Hacemos clic sobre el botón Aceptar.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2012-R2-018

De vuelta en la ventana Propiedades: Walt.V2, volvemos a hacer clic sobre el botón Opciones avanzadas.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2012-R2-019

Ahora sí que podemos ver el contenido de la solapa Permisos. Sin embargo, observamos que la cuenta Administrador, a pesar de ser la propietaria de la carpeta, no tiene permisos sobre ella.

Para resolverlo, hacemos clic sobre el botón Agregar.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2012-R2-020

De esta forma, obtenemos la ventana Entrada de permisos para Walt.V2.

En ella, hacemos clic sobre el enlace Seleccionar una entidad de seguridad.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2012-R2-021

Como de costumbre, se abre la ventana Seleccionar Usuarios, Equipos, Cuentas de servicio o Grupos.

Escribimos de nuevo el principio del nombre de la cuenta y hacemos clic en el botón Comprobar nombres.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2012-R2-022

Como hay varios objetos que tienen en su nombre los caracteres que hemos escrito, aparece la ventana Nombres múltiples encontrados, con la relación de dichos elementos.

Hacemos clic sobre la cuenta Administrador y, a continuación, sobre el botón Aceptar.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2012-R2-023

De vuelta en la ventana Seleccionar Usuarios, Equipos, Cuentas de servicio o Grupos, hacemos clic sobre el botón Aceptar.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2012-R2-024

Cuando volvamos a la ventana Entrada de permisos para Walt.V2 sólo nos quedará hacer clic en el cuadro de verificación Control total. Lógicamente, debemos asegurarnos de que en Tipo se encuentra elegido el valor Permitir y que en Se aplica a aparece el valor Esta carpeta, subcarpetas y archivos, aunque lo normal es que sí, porque son los valores predeterminados.

Si todo es correcto, hacemos clic sobre el botón Aceptar.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2012-R2-025

Ahora, en la solapa Permisos de la ventana Configuración de seguridad avanzada para Walt.V2, ya aparece la cuenta Administrador y que sus valores son correctos.

Hacemos clic sobre el botón Aceptar.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2012-R2-026

Cambiar el nombre del archivo NTUSER.DAT por NTUSER.MAN

Después de los cambios realizados en el punto anterior, ya podremos ver el contenido de la carpeta del perfil con la cuenta Administrador.

.. Aunque no aparece el archivo NTUSER.DAT

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2012-R2-027

El motivo es que, de forma predeterminada, no se muestran los archivos ocultos o de sistema. Para resolverlo, comenzamos por mostrar el contenido del menú vista.

En su interior, hacemos clic sobre el icono Opciones.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2012-R2-028

De esta forma, logramos que se muestre la ventana Opciones de carpeta.

En ella, buscamos la entrada Ocultar archivos protegidos del sistema operativo (recomendado) y la desmarcamos

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2012-R2-029

Al hacerlo, nos muestra un mensaje de advertencia previniéndonos de lo peligroso que puede ser modificar o borrar alguno de estos archivos de forma accidental.

No obstante, hacemos clic sobre el botón .

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2012-R2-030

Cuando se cierre la ventana de aviso, comprobamos que se ha desactivado la opción

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2012-R2-031

A continuación, buscamos la categoría Archivos y carpetas ocultos y habilitamos la opción Mostrar archivos, carpetas y unidades ocultos.

Después, hacemos clic sobre el botón Aceptar.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2012-R2-032

Cuando volvamos a ver el contenido de la carpeta, ya encontraremos el archivo NTUSER.DAT. Ahora, para cambiar su nombre, sólo tenemos que hacer clic sobre él con el botón derecho del ratón…

… y en el menú de contexto que aparece, elegimos Cambiar nombre

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2012-R2-033

El nombre del archivo se pondrá en modo de edición.

Ahora, sólo tenomos que sustituir la extensión .DAT por .MAN y pulsar la tecla Intro.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2012-R2-034

Cuando lo hagamos, aparecerá un mensaje de aviso informando de que estamos cambiando la extensión del archivo. Recuerda que Windows necesita las extensiones de los archivos para saber con qué programa debe abrirlos. Si cambiamos la extensión, Windows podría no saber usar ese archivo.

Sin embargo, como ese no es nuestro caso, hacemos clic sobre el botón .

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2012-R2-035

Como, le estamos cambiando el nombre a un archivo del sistema, aún recibimos una advertencia más, ya que algún componente podría dejar de funcionar correctamente.

De nuevo, volvemos a hacer clic sobre el botón .

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2012-R2-036

Con esto, el nombre del archivo habrá cambiado.

Devolver la carpeta de perfil a su propietario original

Ahora, para que todo funcione sin problemas, deberemos conseguir que el usuario original vuelva a ser el propietario de su carpeta de perfil.

Como antes, hacemos clic con el botón derecho del ratón sobre la carpeta y, en el menú de contexto que aparece, elegimos Propiedades.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2012-R2-037

Volverá a aparecer la ventana Propiedades: Walt.V2. Hacemos clic, de nuevo, sobre la solapa Seguridad.

Después, hacemos clic sobre el botón Opciones avanzadas.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2012-R2-038

Como antes, habremos conseguido que se abra la ventana Configuración de seguridad avanzada para Walt.V2.

Volvemos a hacer clic sobre el enlace Cambiar.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2012-R2-039

Como siempre que nos disponemos a elegir un objeto del directorio activo, se abrirá la ventana Seleccionar Usuarios, Equipos, Cuentas de servicio o Grupos. Escribimos el principio del nombre de la cuenta y hacemos clic en el botón Comprobar nombres. Como en este caso no hay más nombres con el mismo texto, ya aparece la cuenta correcta.

Nos limitamos a hacer clic sobre el botón Aceptar.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2012-R2-040

De vuelta en la ventana Configuración de seguridad avanzada para Walt.V2, comprobamos que el propietario vuelve a ser Walt. Seleccionamos la opción Reemplazar propietario en subcontenedores y objetos para que se aplique también el cambio a todos los archivos y subcarpetas contenidos en el perfil.

Después de esto, podemos hacer clic sobre el botón Aplicar.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2012-R2-041

Con esto, habremos terminado la tarea. Si quieres comprobarlo, sólo tienes que iniciar sesión con la cuenta de usuario en el ordenador cliente e intentar cambiar cualquier aspecto del entorno. Parecerá que los cambios tienen efecto, pero cuando acabes la sesión y vuelvas a entrar, habrán desaparecido.

Aunque el perfil sea obligatorio, debes recordar que, para este ejemplo particular hicimos una redirección de su carpeta Documentos, que ahora se encuentra en una ubicación fuera del perfil. La consecuencia de esto es que el usuario sí podrá guardar archivos en la carpeta Documentos y estos perdurarán a la siguiente sesión (sin la mencionada redirección, no habría ocurrido de esta forma).

Y hasta aquí el artículo de hoy. Espero que te resulte útil.