En esta entrada vamos a trabajar con cuentas de usuarios locales y del dominio en sistemas Windows unidos a un dominio AD.
Cuentas de usuario: locales y del dominio
En un sistema Windows que trabaje en un dominio tenemos dos tipos de cuentas de usuario, las cuentas de usuario locales y las cuentas de usuario del dominio.
Las cuetnas de usuario locales son aquellas que están en el sistema operativo cliente (o servidor) de forma local. Es decir, se han creado en ese sistema, no en el dominio. Por ejemplo, en nuestro caso práctico, cuando hemos unido el S.O. Windows – Developers ya teníamos un monton de cuentas de usuario locales creadas en el sistema. Esas cuentas siguen ahí, están en ese sistema.
¿Cómo podemos acceder a ellas?. Para iniciar sesión en una cuenta local del sistema y no en una cuenta del dominio tenemos que indicáserlo al S.O. en la pantalla de bienvenida.
Por defecto, al estar unido a un dominio, el S.O. nos permite seleccionar otro usuario, del dominio al que está unido, en este caso CASTELAR.
Continuamos escribiendo el nombre del usuario.
Hemos iniciado sesión con un usuario local de este sistema. No estamos con un usuario del dominio. Pero seguimos unidos al dominio.
Vamos a echar un vistacito a los perfiles de usuario que hay en este sistema con la cuenta alumno que resulta que es un administrador local.
Si nos fijamos, tenemos el perfil de marinapg en el dominio CAstelar, es decir este perfil de usuario se creó para la cuenta de usuario del dominio de marinapg. El tipo de perfil es local, esto es así porque la cuenta de usuario del dominio de marinapg está configurada para utilizar perfiles locales. En el siguiente apartado veremos que es un perfil local.
Con la cuenta de alumno pasa lo mismo, tenemos un perfil local, pero en este caso es totalmente lógico puesto que esta cuenta de usuario es local, es decir es solo de este sistema DEVS-01.
Perfiles locales y perfiles móviles
A estas alturas todos sabemos que es un perfil de usuario en el contexto de sistemas Windows. Hasta ahora hemos trabajado siempre con perfiles locales, puesto que siempre hemos trabajado con usuarios locales.
¿Qué es un perfil de usuario local? Se trata de un perfil de un usuario que se crea en un equipo local concreto. Por ejemplo, en nuestro caso práctico hemos iniciado sesión con un usuario del dominio en un equipo unido al dominio. Al iniciar sesión con marinapg se ha creado un perfil de usuario local en esta máquina para que el usuario del dominio marinapg pueda almacenar información.
¿Dónde está configurado esto? Pues en la cuenta de usuario del dominio.
Como no hay nada configurado en el apartado / pestaña Perfil de este usuario, por defecto se utilizan perfiles locales.
¿y si queremos un perfil móvil?. Para que un usuario utilice un perfil móvil (tenéis todas las explicaciones en el apartado correspondiente de SOR en educatica y lo hemos explicado en clase) primero tenemos que crear un directorio compartido que almacene los perfiles móviles de los usuarios.
Como somos muy imaginativos, el directorio lo vamos a llamar perfiles y lo vamos a crear en la unidad C:.
Ahora compartimos el directorio como recurso compartido. Vamos a meter un puntito de seguridad compartiendo el directorio de forma oculta, es decir el recurso se llamara perfiles$ y vamos a configurar los permisos de forma que los usuarios del dominio sean los que puedan acceder al mismo.
Ahora configuramos el perfil del usuario
Vamos a ver el perfil
De hecho, si consultamos el directorio C:\Perfiles que hemos compartido para que almacene los perfiles móviles de los usuarios nos encontramos con un nuevo directorio…
Configurando varios usuarios de una vez
Lo ideal es que configuremos los perfiles móviles de los usuarios desde el principio a través de la plantilla de usuarios que creemos para crear cuentas de usuario del dominio.
Pero en nuestor caso, no lo hemos hecho. Así que tenemos que resolver el problema. Queremos que todos los usuarios que hemos creado utilicen un perfil móvil. Tendremos que editar las propiedades de cada uno de ellos.. para esto la herramienta de Usuarios y equipos nos da cierta flexibilidad.
Podemos seleccionar varios usuarios a la vez manteniendo la tecla CTRL
Ahora accedemos a propiedades, botón secundario, propiedades.
Solo nos muestra las pestañas de configuración que podemos editar para multiples usuarios a la vez.
Necesitamos uisar la variable username para que aparezca el nombre del usuario concreto en la ruta de su perfil. Para ello escribimos %username%.
Aceptamos y se aplica a todos los usuarios. Podríamos comprobarlo, por ejemplo para alfredoff.
Carpeta particular
La carpeta particular en el perfil de los usuarios del dominio nos permite configurar un recurso compartido en red propio para cada usuario. Es decir, se va a crear un directorio para ese usuario como recurso compartido solo para ese usuario.
¿Pero si ya tengo el perfil móvil?. El perfil móvil se copia cada vez que se inicia sesión del servidor al sistema cliente. Si metemos archivos grandes, estos archivos se copian lo que provoca un inicio de sesión y cierre de sesión lentos, porque hay actualizar en caso de cambios.
Para almacenar ficheros de gran tamaño, se puede utilizar la carpeta particular, que no se copia se mantiene dónde esté almacenada como recurso compartido.
¿Cómo se crea?
Igual que los perfiles. Tenemos que crear un directorio dónde se almacenarán todas las carpetas particulares de los usaurios del dominio, y compartirla con los mismos permisos que el directorio de perfiles móviles.
Creamos un nuevo directorio en la unidad C: llamado datos, en el raíz.
Ahora lo compartimos como recurso compartido con el nombre datos oculto y con los permisos de control total para los usuarios del dominio.
Ahora vamos a configurar las cuentas de usuario creadas para que tengan su propia carpeta particular.
De nuevo en la ruta, usamos la variable %username%.
El sistema operativo crea un directorio automáticamente para cada uno de los usuarios con carpeta particular.
Vamos a iniciar sesión con alfredoff@castelar.ex.
Vamos a comprobar el perfil.
Todo está bien 🙂
Perfil obligatorio
Para configurar un perfil como obligatorio primero tiene que existir el perfil. Windows solo crea un perfil cuando el usuario inicia sesión por primera vez en el sistema, en nuestro caso como son perfiles móviles, en el dominio.
¿Tenemos algún perfil creado? Vamos a mirar.
Vamos a configurar uno de ellos como obligatorio, en concreto marinapg.
Tenemos que conseguir acceder al perfil con permisos de lectura y escritura para renombrar un fichero. Para ello tenemos que poner como propietario del perfil al usuario administrador para poder cambiar los permisos del directorio y del fichero. Después tendremos que dejar todo como estaba, es decir propietario del perfil el usuario.
- Cambiamos el propietario.
2. Accedemos al interior del perfil del usuario.
No está el fichero ntuser.dat que es el que tenemos que cambiar a ntuser.man. Mostramos los ficheros ocultos.
3. Cambiamos el propietario de NTUSER.DAT a Administrador
Ahora le damos control total al administrador sobre el fichero para poder cambiar la extensión.
4. Cambia la extensión del fichero NTUSER.DAT a NTUSER.MAN.
5. Cambia el propietario del fichero NTUSER.MAN para que sea su antiguo propietario, es decir el usuario al que pertenece este perfil.
6. Cambia el propiteario del perfil del usuario para que sea su antiguo propietario, es decir el usuario al que pertenece este perfil.
Vamos a ver si esto funciona, para ello iniciamos sesión con marinapg en un equipo unido al dominio y vemos el tipo de perfil que tiene.
Problemas con usuarios con perfil local y movil
Hay veces en los que nos podemos encotrar problemas con cuetnas de usuario que iniciaron sesión en un equipo y se les creó un perfil local antes de configurarlas con perfil móvil.
Es decir, en ese equipo tienen un perfil local y el perfil móvil no funciona correctamente, bien no nos deja iniciar sesión o bien no se actualizan los datos en el servidor.
La solución pasa por cambiar el tipo de perfil o, si no nos queda más remedio, eliminar el perfil local en el equipo en el que tenemos problemas.
Para ello iniciamos sesión con el administrador del dominio o el administrador del equipo local y accedemos a propiedades del sistema, perfiles de usuario.
Desde aquí podemos elimiar el perfil local, si estuviera, o bien cambiar el tipo de perfil para forzar local o móvil.
Dejar una respuesta