Crear un perfil obligatorio en Active Directory sobre Windows Server 2016

Cuando creamos un perfil móvil para una cuenta de usuario, dicho usuario podrá iniciar una sesión desde diferentes clientes, de modo que mantenga el mismo escritorio de trabajo en todos ellos.Es decir, conseguimos un espacio de trabajo itinerante.

De hecho, ya hemos dedicado el artículo Crear un perfil de usuario móvil en Active Directory sobre Windows Server 2016 a cumplir estos objetivos.

No obstante, en muchas ocasiones esto no es suficiente. Imagina, por ejemplo, que necesitas mantener la identidad corporativa de todos los equipos de la red, o asegurarte de que determinados accesos directos no se eliminan del escritorio (o no se confunden entre la multitud de elementos que el usuario deje sobre él).

En definitiva, necesitas que los usuarios no puedan realizar cambios en sus respectivos perfiles. En otras palabras, necesitas convertir los perfil móviles en obligatorios… Y, precisamente, a eso vamos a dedicar el artículo de hoy.

Conceptos previos

La idea general es muy sencilla: para convertir un perfil móvil en obligatorio, sólo tenemos que localizar uno de sus archivos, llamado NTUSER.DAT y cambiar su nombre por NTUSER.MAN.

Para conseguirlo, debería bastar con acceder a la carpeta del perfil, mostrar todos los archivos ocultos o de sistema y cambiar el nombre del archivo. Sin embargo, cuando lo intentamos con un perfil móvil que ya existe, recibimos un mensaje de error que nos informa de que no tenemos privilegios suficientes para hacerlo.

Es muy probable que este comportamiento te llame la atención. Uno puede pensar que, siendo Administrador, debería poder entrar en cualquier sitio, pero sobre una carpeta de perfil sólo tienen permisos el usuario propietario del perfil y el grupo especial SYSTEM.

Hay diferentes formas de resolverlo, pero no te preocupes, hoy veremos la más fácil… Aunque sólo funciona cuando el servidor y el cliente pertenecen a la misma generación. En nuestro caso, el servidor será Windows Server 2016 y el cliente Windows 10.

La idea consiste en iniciar sesión de forma local con el usuario al que queremos establecerle un perfil obligatorio, hacer el cambio en el archivo NTUSER.DAT y, a continuación, copiar la carpeta de perfil al lugar donde se encuentren los perfiles móviles. Para lograrlo, seguiremos los siguientes pasos:

  1. Para iniciar sesión de forma local en el servidor con la cuenta que nos interesa, ésta deberá tener los suficientes privilegios, o formar parte de un grupo que ya los tenga. Ambas cuestiones las abordamos ya en los artículos Asignar derechos a usuarios y grupos del dominio en Windows Server 2016 (Parte I y Parte II).

    Nosotros aquí elegiremos la segunda opción.

  2. Iniciar sesión, de forma local con la cuenta y configurar su aspecto.

  3. Copiar la carpeta de perfil local que se habrá creado en el punto anterior a lugar donde tengamos los perfiles móviles.

  4. Ajustar el nombre de la carpeta.

  5. Mostrar todo su contenido (incluyendo los elementos ocultos), y renombrar el archivo NTUSER.DAT.

  6. Establecer la ruta del perfil en las propiedades de la cuenta.

  7. Comprobar que funciona.

  8. Quitar la cuenta del grupo que nos permitió el inicio de sesión local.

Como puedes ver, la tarea no es complicada, pero tampoco es corta. Así es que, comencemos…

Convertir a la cuenta de usuario en miembro de Operadores de copia de seguridad

Como hemos dicho más arriba, lo único que necesitamos es que la cuenta de usuario sobre la que vamos a actuar pueda iniciar sesión de forma local. Una forma de conseguirlo, consiste en convertirla en miembro de un grupo que tenga ese privilegio.

En realidad, el grupo que elijas es indiferente, siempre que tenga el mencionado permiso. De forma predeterminada tendrás las siguientes opciones:

  • Administradores.
  • Operadores de cuentas.
  • Operadores de impresión.
  • Operadores de servidores.
  • Operadores de copia de seguridad.

Para nuestro ejemplo, elegiremos este último. Y, como en ocasiones anteriores, comenzaremos por abrir la herramienta Usuarios y equipos de Active Directory.

Recuerda que hemos aprendido a llegar hasta Usuarios y equipos de Active Directory de tres modos diferentes:

  1. Desde el menú Herramientas del Administrador del Servidor.

  2. Ejecutando la orden dsa.msc desde la ventana Ejecutar (que puedes abrir fácilmente usando la combinación de teclas Windows + R).

  3. Recurriendo a la consola que obtubimos en el artículo Crear una consola con las herramientas más usadas en Windows Server 2016.

Una vez en ella, en el panel izquierdo hacemos clic sobre el contenedor donde se encuentren las cuentas de usuario (en nuestro caso, en la unidad organizativa Usuarios y grupos propios). Después, hacemos clic sobre la cuenta de usuario, con el botón derecho del ratón.

… Y en el menú de contexto que aparece, elegimos Agregar a un grupo.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2016-001

Cuando aparezca la ventana Seleccionar grupos, añadimos el grupo Operadores de copia de seguridad al cuadro de texto Escriba los nombres de objeto que desea seleccionar.

Si necesitas ayuda con esta tarea, puedes consultar el artículo Operaciones frecuentes sobre cuentas de usuario en un dominio Windows Server 2016 (Parte II).

Para cerrar la ventana, hacemos clic sobre el botón Aceptar.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2016-002

Al hacerlo, aparecerá una ventana que nos confirma la asignación.

Sólo tenemos que hacer clic sobre el botón Aceptar.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2016-003

Después de esto, estamos listos para el siguiente paso pero, antes, debemos cerrar la sesión con la cuenta Administrador. Hacemos clic, con el botón derecho del ratón,k sobre el botón Inicio y, en el menú que aparece, elegimos Apagar o cerrar sesión.

… Y después, Cerrar sesión.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2016-004

Iniciar sesión de forma local con la cuenta

Cuando te encuentres en la pantalla de autenticación, el sistema te ofrecerá de forma predeterminada la última cuenta con la que hayas trabajado. En este caso, Administrador.

En lugar de eso, hacemos clic sobre Otro usuario.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2016-005

La pantalla cambiará para pedirnos un nombre de usuario y una contraseña.

Escribimos los datos de la cuenta sobre la que queremos trabajar y pulsamos la tecla Intro.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2016-006

Una vez iniciada la sesión, hacemos los ajustes que queremos fijar en el perfil. En nuestro caso, elegiremos un fondo de escritorio corporativo y crearemos un acceso directo a una página que utilizamos muy a menudo.

En tu caso, puedes hacer los ajustes que consideres necesarios.

Aspecto que tendrá el escritorio del perfil obligatorio.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2016-007

Cuando estemos listos, volvemos a cerrar la sesión, ahora en la cuenta de trabajo.

Cerramos la sesión.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2016-008

Copiar la carpeta del perfil local a la carpeta de perfiles móviles

Como es lógico, lo primero que debemos hacer es volver a iniciar sesión con la cuenta Administrador.

A continuación, nos desplazaremos hasta donde se encuentra la carpeta del perfil local. Para lograrlo, hacemos clic en el icono del Explorador de archivos en el Escritorio y, cuando se abra la ventana, volvemos a hacer clic sobre Disco local (C:) en el panel izquierdo.

Después, hacemos clic sobre la carpeta Usuarios.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2016-009

En su interior, encontraremos una carpeta para cada usuario que haya iniciado sesión local en el servidor.

Hacemos clic, con el botón derecho del ratón, sobre la carpeta de perfil de la cuenta anterior.

…Y en el menú de contexto que aparece, elegimos la opción Copiar.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2016-010

Lo siguiente será desplazarnos hasta la carpeta donde se almacenen los perfiles móviles (puedes consultar el artículo Crear un perfil de usuario móvil en Active Directory sobre Windows Server 2016) y, en cualquier lugar libre de la ventana, hacer clic son el botón derecho del ratón.

En el menú de contexto que aparece, elegimos la opción Pegar.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2016-011

Aparecerá una ventana que nos informa sobre el número de archivos copiados y el porcentaje de la tarea que se ha completado.

Esperamos a que termine la copia.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2016-012

Observa que el perfil móvil que ya existe tiene la extensión .V6 mientras que la carpeta que acabamos de copiar no tiene extensión. Para resolverlo, hacemos clic, con el botón derecho del ratón sobre el nombre de la carpeta.

…Y en el menú de contexto que aparece, elegimos la opción Cambiar nombre.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2016-013

Al hacerlo, el nombre de la carpeta se pone en modo edición.

Sólo tenemos que añadirle la extensión .V6.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2016-014

Cambiar el nombre al archivo NTUSER.DAT

Lo siguiente será hacer doble clic sobre la carpeta para ver su contenido. Al hacerlo, observarás que no aparece el archivo NTUSER.DAT. El motivo es que la configuración predeterminada de Windows nos oculta los archivos del sistema.

Para resolverlo, hacemos clic en el menú Vista y, en la barra de herramientas que aparece, volvemos a hacer clic sobre el elemento Mostrar u ocultar.

A continuación, marcamos la opción Elementos ocultos.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2016-015

Verás que, al hacerlo, aparece el archivo NTUSER.DAT. Ahora sí podemos proceder a cambiarle el nombre.

Hacemos clic sobre él son el botón derecho del ratón y, en el menú de contexto que aparece, elegimos la opción Cambiar nombre.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2016-016

El nombre de archivo se pondrá en modo edición y podremos sustituir la extensión .DAT por .MAN.

Para terminar la edición, pulsamos la tecla Intro.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2016-017

Esto ocasionará la aparición de una ventana de aviso informándonos de que, cuando cambiamos la extensión de un archivo, éste puede quedar inaccesible para el programa que lo interprete. Sin embargo, éste no será nuestro caso.

Por lo tanto, hacemos clic sobre el botón .

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2016-018

Establecer la ruta del perfil en las propiedades de la cuenta

A partir de aquí, actuamos como en el artículo Crear un perfil de usuario móvil en Active Directory sobre Windows Server 2016.

Comenzamos abriendo a ventana Ejecutar (por ejemplo, con la combinación de teclas Windows + R) y ejecutando la orden dsa.msc.

Escribimos el comando y pulsamos la tecla Intro.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2016-019

Cuando se abra la ventana Usuarios y equipos de Active Directory, en el panel izquierdo hacemos clic sobre el contenedor donde se encuentren las cuentas de usuario (en nuestro caso, en la unidad organizativa Usuarios y grupos propios). Después, hacemos clic sobre la cuenta de usuario, con el botón derecho del ratón.

En el menú de contexto que aparece, elegimos la opción Propiedades.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2016-020

Cuando se abra la ventana Propiedades de la cuenta, seleccionamos la solapa Perfil y, en el cuadro Ruta de acceso al perfil escribimos la ruta de la carpeta.

En nuestro caso, en lugar del nombre de la carpeta, hemos optado por la variable de entorno %username%. Si lo prefieres, puedes poner directamente el nombre de la carpeta, pero recuerda no incluir la extensión .V6.

Cuando estemos listos, hacemos clic sobre el botón Aceptar.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2016-021

Comprobar que funciona

En realidad, ya hemos terminado la tarea, pero si queremos comprobar que funciona, basta con irnos hasta un equipo cliente que esté ejecutando Windows 10 e iniciar sesión con la cuenta que hemos configurado.

Comenzaremos escribiendo el nombre de usuario y la contraseña en la pantalla de autenticación.

Como será la primera vez que inicias sesión con esta cuenta, necesitarás comenzar haciendo clic sobre el botón Otro usuario.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2016-022

Puede que el inicio de sesión tarde un poco, porque el cliente está importando toda la información del perfil desde el servidor.

Esperamos unos instantes.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2016-023

Pero poco después, tendrás delante el escritorio.

… Con el mismo aspecto que fijaste en el servidor.

Crear-un-perfil-obligatorio-en-Active-Directory-sobre-Windows-Server-2016-024

Y lo que es mejor: cualquier cambio que se haga en el perfil, se perderá cuando se cierre la sesión.

Quitar la cuenta del grupo que nos permitió el inicio de sesión local

El último detalle que nos falta es conseguir que la cuenta de usuario deje de ser miembro del grupo Operadores de copia de seguridad. Si no lo hacemos, el perfil obligatorio funcionará perfectamente, pero hemos dado a un usuario más privilegios de los que tenía inicialmente.

Para no alargar más este artículo, no voy a detallar este proceso pero, si necesitas ayuda, recuerda que ya lo explicamos en el artículo Administrar cuentas de grupo en un dominio de Windows Server 2016 desde la interfaz gráfica (Parte II).

Y hasta aquí el artículo de hoy. Espero que te resulte útil.