Jugando con Active Directory. 5 – Perfiles obligatorios

Introducción

Hasta ahora hemos creado Las UOs que nos facilitarán la organización del resto de objetos del servicio de directorio. Hemos creado grupos globales que modelan o representan las agrupaciones de empleados / usuarios de la empresa en el mundo real. Hemos utilizado cuentas de usuario a modo de plantilla para configurar y crear las cuentas de usuario de distintos tipos con distintas configuraciones, en concreto de usuarios del dpto. de Informática y de Marketing.

También hemos configurado recursos compartidos en red, así como perfiles locales y móviles y carpetas particulares o de datos para usuarios.

En este apartado vamos a configurar perfiles de usuario obligatorio. Podéis consultar los contenidos sobre perfiles obligatorios en la página de perfiles obligatorios de los contenidos de Sistemas Operativos en red.

Básicamente, un perfil obligatorio es un perfil de usuario en el que el usuario no puede realizar cambios. Realmente, el usuario si puede cambiar su perfil, puede crear ficheros en su perfil de usuario, pero cuando cierre la sesión, todos los cambios que haya hecho y los ficheros que haya creado se perderán como lágrimas en la lluvia…

La próxima vez que inicie sesión, se encontrará el perfil en el estado inicial haya hecho los cambios que haya hecho previamente.

Podemos utilizar un perfil obligatorio cuando queramos que un usuario siempre tenga un perfil inicial base qure no pueda cambiar. Es decir, por ejemplo, podemos usarlo para usuarios a los que les vamos a permitir trabajar en el sistema, pero que no puedan cambiar su entorno ni dejar «basura».

Cómo configurar un perfil obligatorio

Para configurar un perfil obligatorio, lo primero que necesitamos es que exista el perfil del usuario. Para ello, tendremos que tener primero la cuenta de usuario del dominio creada. En este caso práctico, vamos a hacerlo con la cuenta de usuario de Manuel Cáceres Cuevas que pertenece al Departamento de Marketing.

Vamos a ver si la configuración del perfil del usuario es móvil.

NOTA: Esta configuración de perfil obligatorio se puede hacer tanto con cuentas de usuario local como con cuentas que tengan perfil local. No obstante, tendríamos que repetir el proceso que vamos a llevar a cabo en este caso práctico en cada uno de los equipos del dominio para el perfil del usuario, en el caso de perfil local, o en la cuenta local del usuario, en el caso de cuentas locales.

Ahora, vamos a ver si este usuario tiene creado ya su perfil móvil en el servidor. Para ello consultamos el contenido del directorio en el que se están guardando los perfiles móviles de los usuario.

Como no existe perfil de este usuario, ahora mismo no podríamos configurar su perfil obligatorio. Tenemos que conseguir que el sistema operativo cree su perfil móvil. Para ello, tenemos que iniciar sesión con este usuario en un equipo del dominio.

NOTA: Windows Server 2016 por defecto no deja iniciar sesión a cuentas de usuario del dominio que no sean administrador. Tenemos que iniciar sesión en un SOR Cliente, por ejemplo W10.

Vamos a lanzar el Windows 10 que está conectado al dominio educatica.ex. Miramos las credenciales del usuario: mcaceresc@educatica.ex es el nombre del usuario en el dominio.

Iniciamos sesión en Windows 10 con mcaceresc@educatica.ex

Ahora, el sistema operativo se encargará de crear el perfil del usuario mcaceresc@educatica.ex porque no existía en el servidor.

Ya hemos iniciado sesión y podemos utilizar la cuenta del usuario. ¿Se habrá creado el perfil móvil en el recurso compartido \\dc01.educatica.ex\Perfiles.

Ahora podríamos realizar las configuraciones que queramos sobre el perfil. Todo lo que hagamos ahora, se quedará para siempre en este perfil.

Una vez hemos cerrado sesión y ya existe el perfil móvil del usuario en el directorio de perfiles móviles podemos llevar a cabo la configuración del perfil como perfil obligatorio. Para ello, vamos a dar una serie de pasos ordenados que se detallan a continuación.

1. Cambiar el propietario del directorio perfil del usuario. El nuevo propietario será el administrador.
2. Entrar en el directorio perfil del usuario. Al entrar en el directorio el SO nos configurará permiso de Control total sobre el directorio.
3. Mostramos los archivos del sistema y buscamos el fichero NTUSER.DAT.
4. Sobre NTUSER.DAT configuramos los permisos para que el propietario sea el administrador y le damos control total.
5. Cambiamos la extensión del fichero NTUSER.DAT para que se llame NTUSER.MAN.
6. Cambiamos el propietario del fichero NTUSER.MAN para que sea el usuario.
7. Cambiamos el propietario del directorio perfil de usuario para que el propietario sea el usuario.

Resumiendo: tenemos que cambiar de extensión el fichero NTUSER.DAT a NTUSER.MAN que está dentro del perfil del usuario para el que queramos configurar el perfil móvil. Para ello, tenemos que cambiar de propietario de forma temporal ciertos ficheros: directorio perfil de usuario y ntuser.dat, y después dejarlos como estaban, devolviendo la propiedad del directorio y del fichero.

1. Cambiar propietario del perfil móvil del usuario.

Ahora al ser el administrador el propietario, puede cambiar los permisos de acceso del directorio.

2. Acceder al directorio

Al acceder al directorio el propio SO nos da permisos sobre el directorio.

3. Mostrar los ficheros del sistema

Si nos fijamos, no se ve el fichero NTUSER.DAT en el contenido del perfil.

4. Configuramos permisos sobre NTUSER.DAT

Como queremos poder modificar la extensión de ese fichero, primero tenemos que tener permiso para ello. Así que configuramos los permisos del fichero para que el administrador sea el propiteario y tenga acceso de control total.

Tenemos que modificar los permisos de acceso.

Aceptamos los cambios y salimos, para que lo que hemos hecho surta efecto. Volvemos a entrar en Seguridad.

Ahora que ya tenemos permisos, cambiamos la extensión a MAN.

7. Devolvemos la propiedad del fichero y del directorio

Para que todo funcione bien, tenemos que devolver la propiedad del fichero NTUSER.MAN y del directorio que contiene el perfil móvil al usuario al que pertenecían, en este caso a mcaceresc@educatica.ex.

Ahora hacemos lo mismo para el directorio que contiene el perfil del usuario.

Vamos a crear un nuevo directorio y ficheros y vamos a borrar y vamos a hacer cosas…

Vamos a ver el tipo de perfil de usuario que tenemos.

Tenemos que poner las credenciales de la cuenta de Administrador del dominio.

Vamos a cerrar sesión e iniciar una nueva con el mismo usuario.

Vamos a iniciar sesión de nuevo.

Todo esta como estaba antes.. es decir el perfil no se modifica.

Actividad

Configura perfil obligatorio para la cuenta de usuario de Saray Cabrera Puebla.