En esta entrada vamos a configurar perfiles de usuarios del dominio tanto locales como móviles y obligatorios. También repasaremos, a través siempre de capturas de pantalla con las explicaciones pertinentes en el aula, contenidos como perfiles de usuario y configuración de permisos.
Perfiles locales
Perfiles móviles
Para poder configurar periles móviles necesitamos un sitio dónde se almacenen estos perfiles móviles. Este sitio, como es lógico será un directorio dentro de algún sistema de ficheros. Pero esto no es lo único, necesitamos que este directorio esté configurado como un recurso compartido en la red.
Es decir que los sistemas de nuestra organización, de nuestro dominio, tengan acceso a estos perfiles (directorios con los datos de los perfiles) a través de la red. Además, tenemos que configurar los permisos de acceso a través de la red de una forma especial: dándo todos los permisos de acceso a los usuarios del dominio.
Podríamos pensar que esto es un fallo o problema de seguridad, no obstante, veremos como el sistema operativo se encarga de configurar los directorios que contienen los perfiles de los distintos usuarios del dominio de forma que tan solo ellos (y los administradores :)) puedan acceder a sus datos.
Primer paso: Crear el directorio que contendrá a los perfiles móviles
No es recomendable crear este directorio en C:, que es la unidad que contiene al sistema operativo, pero por razones prácticas lo vamos a crear en este caso práctico aquí.
Ya tenemos el directorio
Paso 2: Compartir el directorio como un recurso compartido
Configuramos los permisos de acceso para que este recurso compartido pueda ser utilizado como un almacen de perfiles móviles de usuarios del dominio.
Esta es la configuración de permisos que deberíamos tener. Hemos añadido un caracter $ al final del nombre del recurso compartido para que los SSOO de Microsoft no muestren el recurso compartido cuando algún usuario acceda al servidor en el que se están compartiendo. Pero, hay que tener en cuenta que ese carcter $ forma parte del nombre del recurso compartido. Esto significa que la URL de este recurso compartido será: \\dc01.jpedrerom.ex\Perfiles$
Como ya sabemos los permisos que se aplican al tratar de acceder a un recurso en red a través de la red son la mezcla de los permisos locales y los remotos o de recurso compartido. Vamos a ver qué permisos tenemos en el sistema de ficheros local para el directorio C:\Perfiles.
Según los permisos locales del directorio C:\Perfiles, que además son los que Windows ha aplicado por defecto, los Usuarios del dominio no van a poder realizar operaciones de escritura.
Tercer paso: Configurar los perfiles de los usuarios
Ya tenemos un sitio, un directorio, accesible a través de la red, como un recurso compartido, para que se almacenen los perfiles móviles de los usuarios del dominio que nosotros queramos que utilicen este tipo de perfiles. Además, al estar disponibles a través de la red, cualquier sistema operativo en red cliente en un equipo unido al dominio, podrá acceder a los datos de estos perfiles.
En nuestro caso práctico de ejemplo vamos a configurar la cuenta de mmaring@jpedrerom.ex para que utilice perfil móvil.
Configuramos la ruta del recurso compartido en el que se almacenará el perfil del usuario mmaring. Ojo, en la ruta pondremos la ruta del recurso compartido de todos los perfiles móviles (\\dc01.jpedrerom.ex\Perfiles$) seguida del nombre del usuario, puesto que tendremos que poner la ruta del perfil concreto de ese usuario.
Podemos utilizar la variable de entorno username para no tener que escribir todo el nombre. Esto será muy útil cuando tengamos que configurar varios usuario o queramos crear un usuario plantilla.
Si comprobamos el contenido del directorio C:\Perfiles, veremos que no hay nada
Microsoft Windows no crea el perfil de un usuario hasta que este no inicia sesión por primera vez.
Iniciamos sesión con el usuario mmaring@jpedrerom.ex en el sistema host01.jpedrerom.ex para que se cree el nuevo perfil de usuario.
Está en ello…
Vamos a ver si conseguimos entrar en el sistema y se crea, realmente, un perfil móvil en el directorio C:\Perfiles que tenemos compartido como recurso en red como \\dc01.jpedrerom.ex\Perfiles$
Esto tiene buena pinta. Se está creando el perfil del usuario del dominio mmaring@jpedrerom.ex
Al iniciar sesión en el sistema host01 y no existir ningún perfil móvil creado para este usuario del dominio, el sistema ha creado un perfil nuevo para este usuario usando su perfil por defecto.
La pregunta ahora es, se habrá creado el perfil del usuario en el recurso compartido habilitado para ello.
La respuesta es que si 🙂
Cuando cerremos sesión los perfiles se sincronizarán. Es decir, la copia del perfil que hay en host01.jpedrerom.ex actualizará la copia que hay en el recurso compartido.
Pero.. ¿esto es seguro?
En general, nada es seguro, y la informática no es una excepción. A ver, lo que si es seguro es que los perfiles de usuario almacenados en el recurso compartido Perfiles$, en principio, tan solo serán accesibles por sus usuarios propietario.
«¿Y eso como es posible, si todo el mundo tiene permisos de acceso?» Esto se consigue configurando los permisos del perfil del usuario, algo que hace automáticamente el sistema operativo.
Echemos un vistazo al directorio que contiene el perfil del usuario mmaring
Por lo pronto, ni el usuario administrador puede verlos directamente. Esto ya nos está indicando que los permisos son muy restrictivos. No obstante, el usuario administrador puede hacer lo que quiera.
Tenemos que hacernos propietarios del directorio para después poder configurarnos permisos de acceso.
Seleccionamos administrador como propietario
El administrador del dominio
Aún no tenemos permisos, pero podemos darnoslos 🙂 Para ello, vamos a aceptar primero.
Volvemos a acceder
Si nos fijamos según los permisos locales la única usuario que podrá acceder al directorio para poder realizar cualquier operación es mmaring.
Por todo esto, aunque hayamos configurado los permisos de acceso a través de la red con una configuración muy abierta (usuarios del dominio – control total) realmente en cada perfil que se cree al iniciar sesión en un equipo del dominio, se configurará de forma que solo su usuario propietario pueda acceder a su contenido (y el sistema también :))
Ahora tenemos que restablecer la propiedad del perfil del usuario mmaring@jpedrerom.ex
Seleccionamos el usuario
Lo hemos dejado todo como estaba, así que aceptamos y seguimos disfrutando de la administración.
Perfiles obligatorios
Podemos convertir un perfil local o un perfil móvil en un perfil obligatorio, pero antes debe existir el perfil.
Un perfil obligatorio es un tipo de perfil que tiene como característica principal que no almacena informacion nueva del usuario. Cada vez que el usuario cierre sesión, se borra toda la información que se haya creado o modificado en la sesión. Es decir, siempre que se inicie sesión con esa cuenta de usuario, el usuario tendrá el mismo entorno inicial.
Esto incluyo todos los ficheros que se almacenen dentro del perfil del usuario. Ya sabemos que un perfil de usuario es un directorio, por tanto todo lo que se guarde dentro de ese directorio se perderá como lágrimas en la lluvia.
Lo único que hay que hacer es cambiar la extensión de un fichero: NTUSER.DAT a NTUSER.MAN.
El problema surge en que, como administradores, para cambiar este fichero tenemos que tener permisos de acceso, algo que a priori no tenemos. Esto implica un proceso de «adquisición de permisos» que después tendremos que revertir.
Paso 1: Buscar el perfil del usuario.
En nuestro caso vamos a utilizar el perfil móvil del usuario mmaring.
Antes de nada, vamos a iniciar sesion en host01 con el usuario mmaring y vamos a crear un fichero.
Cerramos sesión y continuamos con el proceso.
Paso 2: Ganamos acceso
Para poder acceder al contenido del perfil del usuario, tenemos que hacernos propietarios del directorio que lo contiene. Lo hemos hecho en un apartado anterior y lo repetimos ahora.
Ahora cambiamos el propietario.
Cambiamos el propietario y aceptamos.
Ahora con acceder el propio SO configurará los permisos.
Ahora tenemos que buscar el fichero NTUSER.DAT, que está oculto porque es un fichero del sistema y el usuario, si lo ve, se puede traumatizar.
Tenemos que darnos permisos en el fichero para poder modificar la extensión. El proceso es similar al que hemos hecho con el directorio.
Nos ponemos de propietario y aceptams.
Ahora nos damos permiso
Nos damos permisos
Comprobamos y aceptamos
Cambiamos la extensión
Tenemos que dejar como propietario al usuario original en el fichero y en el perfil.
Ahora en el perfil
¿Habrá funcionado? hay que probarlo
Vamos a ver que pasa si cerramos e iniciamos.
Vamos a ver información del perfil en un segundo
Vemos que el perfil es obligatorio
Dejar una respuesta