Crear un perfil obligatorio en Active Directory sobre Windows Server 2012 R2
Cuando creamos un perfil móvil para una cuenta de usuario, dicho usuario podrá iniciar una sesión desde diferentes clientes, de modo que mantenga el mismo escritorio de trabajo en todos ellos.Es decir, conseguimos un espacio de trabajo itinerante.
De hecho, ya hemos dedicado el artículo Crear un perfil de usuario móvil en Active Directory sobre Windows Server 2012 R2 a cumplir estos objetivos.
No obstante, en muchas ocasiones esto no es suficiente. Imagina, por ejemplo, que necesitas mantener la identidad corporativa de todos los equipos de la red, o asegurarte de que determinados accesos directos no se eliminan del escritorio (o no se confunden entre la multitud de elementos que el usuario deje sobre él).
En definitiva, necesitas que los usuarios no puedan realizar cambios en sus respectivos perfiles. En otras palabras, necesitas convertir los perfil móviles en obligatorios… Y, precisamente, a eso vamos a dedicar el artículo de hoy.
Conceptos previos
La idea general es muy sencilla: para convertir un perfil móvil en obligatorio, sólo tenemos que localizar uno de sus archivos, llamado NTUSER.DAT y cambiar su nombre por NTUSER.MAN.
Para conseguirlo, debería bastar con acceder a la carpeta del perfil, mostrar todos los archivos ocultos o de sistema y cambiar el nombre del archivo. Sin embargo, cuando lo intentamos con un perfil móvil que ya existe, recibimos un mensaje de error que nos informa de que no tenemos privilegios suficientes para hacerlo.
Es muy probable que este comportamiento te llame la atención. Uno puede pensar que, siendo Administrador, debería poder entrar en cualquier sitio, pero sobre una carpeta de perfil sólo tienen permisos el usuario propietario del perfil y el grupo especial SYSTEM.
La forma de resolverlo es que el administrador tome propiedad de la carpeta del perfil, y después se la devuelva al usuario original. Veamos cómo lograrlo …
Obtener permisos sobre la carpeta contenedora
Cuando creamos la carpeta contenedora, sólo le dimos permisos sobre ella a los miembros del grupo Profesores. Por lo tanto, para poder acceder a su contenido tenemos dos opciones: hacer que la cuenta Administrador sea miembro del grupo Profesores o asignarle permisos a la cuenta Administrador de forma independiente. Aquí optaremos por la segunda opción.
En la ventana del Explorador de archivos, nos desplazamos hasta el lugar donde tenemos las carpetas compartidas (en este caso, el el directorio raíz del servidor).
Recuerda que, para este ejemplo, la carpeta donde se guardan los perfiles móviles se llama Perfiles, pero tú has podido llamarla de otra forma en tu sistema, por lo que todas las referencias que hagamos a dicha carpeta tendrás que adaptarlas a tu caso particular.
El resultado será un mensaje de error indicándonos que no tenemos permisos sobre la carpeta.
Aunque ya hemos explicado antes el proceso a seguir para compartir una carpeta con un usuario o grupo, vamos a volver a incluirlo aquí para no interrumpir la secuencia de acontecimientos de la explicación. Como recordarás, todo comienza por hacer clic sobre la carpeta con el botón derecho del ratón…
Veremos que aparece la ventana Propiedades: Perfiles. En ella, elegimos la solapa Compartir.
Esto hará que se abra la ventana Uso compartido avanzado.
Al hacerlo, se abrirá la ventana Permisos de Perfiles.
Como siempre que nos disponemos a añadir un objeto del directorio activo, se abrirá la ventana Seleccionar Usuarios, Equipos, Cuentas de servicio o Grupos.
Como hay varios objetos que contienen los caracteres que hemos escrito, se muestra la ventana Nombres múltiples encontrados, con la relación de dichos elementos.
Sólo tenemos que hacer clic sobre la cuenta Administrador y, a continuación, sobre el botón Aceptar.
De vuelta en la ventana Seleccionar Usuarios, Equipos, Cuentas de servicio o Grupos, comprobamos que el nombre de la cuenta elegida es correcta …
Al volver a la ventana Permisos de Perfiles, seleccionamos la cuenta Administrador y marcamos la opción Control total.
Tomar propiedad de la carpeta del perfil
Después de cerrar también la ventana Propiedades: Perfiles, comprobaremos que por fin podemos entrar en la carpeta Perfiles. Ahora es cuando, para conseguir nuestro objetivo de crear un perfil obligatorio, tendremos que hacer que el usuario Administrador se convierta en propietario de la carpeta del perfil.
Comenzamos por hacer clic con el botón derecho del ratón sobre la carpeta y, en el menú de contexto que aparece, elegir Propiedades.
Cuando aparezca la ventana Propiedades: Walt.V2 (o como se llame tu usuario), hacemos clic sobre la solapa Seguridad.
De esta forma, conseguimos abrir la ventana Configuración de seguridad avanzada para Walt.V2 y comprobamos que carecemos de permiso para ver o editar permisos de la carpeta. Tampoco se puede mostrar el nombre del propietario actual. Sin embargo, dado que estamos usando la cuenta Administrador, sí tenemos la facultad de poder cambiar el propietario.
Como en otras ocasiones, se abrirá la ventana Seleccionar Usuarios, Equipos, Cuentas de servicio o Grupos.
De nuevo, como hay varios objetos que contienen los caracteres que hemos escrito, se muestra la ventana Nombres múltiples encontrados, con la relación de dichos elementos.
De vuelta en la ventana Configuración de seguridad avanzada para Walt.V2, comprobamos que ahora el propietario es el Administrador y seleccionamos la opción Reemplazar propietario en subcontenedores y objetos para que se aplique también el cambio a todos los archivos y subcarpetas contenidos en el perfil.
Observa que, a pesar de todo, la solapa Permisos sigue sin mostrar la información correcta. Sin embargo, si comprobamos el contenido de la solapa Compartir, observamos que ya está incluida la cuenta Administrador y que dispone de control total sobre la carpeta. El motivo es sencillo: la información de la solapa Permisos no está actualizada.
Para resolverlo, debemos cerrar la ventana y volver a abrirla.
De vuelta en la ventana Propiedades: Walt.V2, volvemos a hacer clic sobre el botón Opciones avanzadas.
Ahora sí que podemos ver el contenido de la solapa Permisos. Sin embargo, observamos que la cuenta Administrador, a pesar de ser la propietaria de la carpeta, no tiene permisos sobre ella.
De esta forma, obtenemos la ventana Entrada de permisos para Walt.V2.
Como de costumbre, se abre la ventana Seleccionar Usuarios, Equipos, Cuentas de servicio o Grupos.
Escribimos de nuevo el principio del nombre de la cuenta y hacemos clic en el botón Comprobar nombres.
Como hay varios objetos que tienen en su nombre los caracteres que hemos escrito, aparece la ventana Nombres múltiples encontrados, con la relación de dichos elementos.
De vuelta en la ventana Seleccionar Usuarios, Equipos, Cuentas de servicio o Grupos, hacemos clic sobre el botón Aceptar.
Cuando volvamos a la ventana Entrada de permisos para Walt.V2 sólo nos quedará hacer clic en el cuadro de verificación Control total. Lógicamente, debemos asegurarnos de que en Tipo se encuentra elegido el valor Permitir y que en Se aplica a aparece el valor Esta carpeta, subcarpetas y archivos, aunque lo normal es que sí, porque son los valores predeterminados.
Ahora, en la solapa Permisos de la ventana Configuración de seguridad avanzada para Walt.V2, ya aparece la cuenta Administrador y que sus valores son correctos.
Cambiar el nombre del archivo NTUSER.DAT por NTUSER.MAN
Después de los cambios realizados en el punto anterior, ya podremos ver el contenido de la carpeta del perfil con la cuenta Administrador.
El motivo es que, de forma predeterminada, no se muestran los archivos ocultos o de sistema. Para resolverlo, comenzamos por mostrar el contenido del menú vista.
De esta forma, logramos que se muestre la ventana Opciones de carpeta.
En ella, buscamos la entrada Ocultar archivos protegidos del sistema operativo (recomendado) y la desmarcamos
Al hacerlo, nos muestra un mensaje de advertencia previniéndonos de lo peligroso que puede ser modificar o borrar alguno de estos archivos de forma accidental.
A continuación, buscamos la categoría Archivos y carpetas ocultos y habilitamos la opción Mostrar archivos, carpetas y unidades ocultos.
Cuando volvamos a ver el contenido de la carpeta, ya encontraremos el archivo NTUSER.DAT. Ahora, para cambiar su nombre, sólo tenemos que hacer clic sobre él con el botón derecho del ratón…
El nombre del archivo se pondrá en modo de edición.
Cuando lo hagamos, aparecerá un mensaje de aviso informando de que estamos cambiando la extensión del archivo. Recuerda que Windows necesita las extensiones de los archivos para saber con qué programa debe abrirlos. Si cambiamos la extensión, Windows podría no saber usar ese archivo.
Como, le estamos cambiando el nombre a un archivo del sistema, aún recibimos una advertencia más, ya que algún componente podría dejar de funcionar correctamente.
Con esto, el nombre del archivo habrá cambiado.
Devolver la carpeta de perfil a su propietario original
Ahora, para que todo funcione sin problemas, deberemos conseguir que el usuario original vuelva a ser el propietario de su carpeta de perfil.
Como antes, hacemos clic con el botón derecho del ratón sobre la carpeta y, en el menú de contexto que aparece, elegimos Propiedades.
Volverá a aparecer la ventana Propiedades: Walt.V2. Hacemos clic, de nuevo, sobre la solapa Seguridad.
Como antes, habremos conseguido que se abra la ventana Configuración de seguridad avanzada para Walt.V2.
Como siempre que nos disponemos a elegir un objeto del directorio activo, se abrirá la ventana Seleccionar Usuarios, Equipos, Cuentas de servicio o Grupos. Escribimos el principio del nombre de la cuenta y hacemos clic en el botón Comprobar nombres. Como en este caso no hay más nombres con el mismo texto, ya aparece la cuenta correcta.
De vuelta en la ventana Configuración de seguridad avanzada para Walt.V2, comprobamos que el propietario vuelve a ser Walt. Seleccionamos la opción Reemplazar propietario en subcontenedores y objetos para que se aplique también el cambio a todos los archivos y subcarpetas contenidos en el perfil.
Con esto, habremos terminado la tarea. Si quieres comprobarlo, sólo tienes que iniciar sesión con la cuenta de usuario en el ordenador cliente e intentar cambiar cualquier aspecto del entorno. Parecerá que los cambios tienen efecto, pero cuando acabes la sesión y vuelvas a entrar, habrán desaparecido.
Aunque el perfil sea obligatorio, debes recordar que, para este ejemplo particular hicimos una redirección de su carpeta Documentos, que ahora se encuentra en una ubicación fuera del perfil. La consecuencia de esto es que el usuario sí podrá guardar archivos en la carpeta Documentos y estos perdurarán a la siguiente sesión (sin la mencionada redirección, no habría ocurrido de esta forma).
Y hasta aquí el artículo de hoy. Espero que te resulte útil.