Perfiles móviles en Windows

Se considera un perfil la personalización del sistema operativo, aplicaciones y archivos base (documentos, imágenes, música, vídeo, favoritos…) de cada usuario. Por lo tanto, cada usuario tiene un perfil propio que lo caracteriza: fondo de escritorio, posición de los iconos, plantillas de Word, posición de las barras de herramientas, documentos, imágenes…

Cuando el usuario inicia sesión por primera vez en un equipo se crea su carpeta con subcarpetas y archivos personalizados. Esta carpeta es el perfil.

En Windows XP los perfiles se almacenaban en c:\Documents and Settings\, pero a partir de Windows Vista cambia todo el entorno y ahora se ubican dentro de la carpeta c:\Users\. Se pueden considerar dos versiones: antes de Windows Vista (versión 1, compatible con Windows XP y 2000 y después de Windows Vista (versión 2, compatible con Windows Vista, 7 y 8/8.1).

El perfil se divide en dos apartados:

  • Datos de configuración. Contiene parte del registro, archivos temporales, archivos de configuración de aplicaciones.
  • Datos de usuario. Contiene los datos que genera el propio usuario: mis documentos, imágenes, vídeos, música.

¿Que pasa cuando el usuario cambia de ordenador?

Pues que en el otro ordenador se vuelve a crear un nuevo perfil con archivos y configuración diferentes. Con un ejemplo: si el usuario había creado documentos en el ordenador A, cuando se desplaza al B estos documentos no están. Si había puesto un fondo de escritorio en el ordenador A, en el ordenador B tiene otro, etc…

Cambiar de un equipo a otro se puede transformar en un trauma para el usuario, de aquí que en muchas oficinas se dé el caso que cada ordenador es de un usuario concreto. ¿Pero qué pasa cuando el ordenador se estropea? La mayoría de veces, el usuario deja de trabajar porque ya no tiene sus datos, ha perdido su herramienta de trabajo. «Mi tesoro». ¿Os suena la situación?

¿Y para los administradores de red?

La cosa aún se complica más si los usuarios van cambiando de ordenador. En cada ordenador nuevo se deja un regalito: un nuevo perfil con datos. De difícil gestión desde el punto de vista de la seguridad de la información (quien tiene acceso, donde está la información…); así como las copias de seguridad. ¿Y qué pasa cuando el usuario deja la empresa y se tienen que borrar sus datos por higiene? A saber donde están. No es la primera vez que cambio un ordenador y aparecen datos de usuarios que hace 8 años han dejado la empresa.

¿Qué hacemos entonces con los perfiles?

Por arquitectura del sistema, los datos de configuración se necesitan localmente en cada ordenador donde el usuario inicia sesión. En cambio, los datos de usuario no es necesario que estén en todos los ordenadores. Más bien deben estar en un único lugar, accesible desde cualquier ordenador por parte del usuario que corresponde.

Así, lo primero que se debe hacer es desvincular el perfil de cada máquina. Que el perfil sea único para cada usuario en todos los equipos de la red (dominio) y, que si un usuario, tiene que cambiar de ordenador por los motivos que sean sus datos vayan con él. Ubicando los datos en un único sitio: servidor de archivos. El perfil del usuario se convierte en un perfil móvil, viaja con el usuario. Pero para hacerlo correctamente se deben configurar los dos apartados:

  • Datos de configuración. La parte móvil. Se copia en cada equipo cada vez que se inicia y se cierra la sesión. Por lo tanto tiene que ser de menos volumen, unos 70 MB es adecuado.
  • Datos de usuario. Es la parte estática. Sólo hay una copia en un lugar central y no viaja constantemente por la red, sólo el archivo al que se accede. Es la que ocupa más volumen, según el usuario va generando la información.

Los perfiles móviles no es que sea una técnica nueva que digamos, el primer tipo de implementación ya viene del sistema operativo Microsoft Windows NT; pero no fue hasta Windows 2000 que se puede aplicar correctamente, separando datos y configuración.

Tampoco es la primera vez que me encuentro mal aplicada una configuración de perfiles móviles, en que sólo se ha hecho una parte, normalmente la móvil. En estos casos, los usuarios se quejan que les tarda mucho en aparecer el escritorio cuando inician sesión, debido a que se copia todo el contenido arriba y abajo por la red.

Configuración de los perfiles móviles en el dominio

Preparación del almacén central

Me gusta controlar quien accede y tiene que acceder a la información, motivo por el que no utilizo usuarios o grupos generales. En el caso de la información de la empresa, siempre creo un grupo de seguridad que agrupe los usuarios «reales» para asignar permisos al sistema de archivos, evitando tanto como pueda el grupo Usuarios del dominio (que también incluye los usuarios anónimos, invitados, servicios). En este caso utilizo el grupo «Usuarios corporativos» donde se añaden las cuentas de los diferentes usuarios reales que se den de alta.

En el servidor de archivos, se crean dos carpetas para almacenar los datos de los usuarios:

  • Perfiles. Contendrá las carpetas de cada usuario con la parte de configuración (parte móvil). Recordar que los datos se copian en cada equipo que el usuario inicia la sesión y se actualizan en el servidor cada vez que se cierra la sesión. Habrá una parte que no se moverá de cada equipo y por lo tanto será diferente: archivos temporales.
  • Usuarios. Contendrá las carpetas de cada usuario con los datos que genera (parte estática). Se engaña al sistema operativo para que crea que las carpetas son locales cuando en realidad se encuentran ubicadas en un equipo externo.

Cada carpeta debe tener unos permisos concretos, de esta manera el propio sistema va generando las carpetas sin necesidad que el administrador las tenga que crear previamente.

Con las dos carpetas creadas pasamos a configurar los permisos:

Botón derecho sobre el nombre de la carpeta. El proceso es el mismo para la carpeta de perfiles y usuarios). Seleccionar propiedades y hacer clic en la pestaña Seguridad.

perfilmobil-01

Hacer clic en el botón opciones avanzadas, hacer clic en el botón Deshabilitar herencia > Convertir los permisos heredados en permisos explícitos en este objeto para empezar a modificar permisos de esta carpeta abajo.

perfilmobil-02

Eliminar los grupos de seguridad de usuarios del sistema (Usuarios), seleccionándolos y hacer clic en el botón Quitar.

perfilmobil-03

Añadir el grupo que incluye a los usuarios reales, hacer clic en el botón Agregar

En Entidad de seguridad, hacer clic sobre seleccionar una entidad de seguridad, buscar el grupo de seguridad correspondiente y hacer clic en el botón Aceptar.

 

perfilmobil-05

perfilmobil-06

En Tipo, especificar Permitir.

Se aplica a: Solo esta carpeta.

Hacer clic en la opción Mostrar permisos avanzados y marcar: Mostrar carpeta/leer datos, Crear carpeta/anexar datos y permisos de lectura. Hacer clic en el botón Aceptar.

perfilmobil-29

 

perfilmobil-30

perfilmobil-07

Hacer clic en la pestaña Compartir. Hacer clic en el botón Uso compartido avanzado. Marcar la opción Compartir esta carpeta. Al nombre se puede dejar perfiles añadiendo el símbolo $ al final para que lo oculte de la vista de los usuarios.

perfilmobil-08

Seleccionar el botón Permisos, seleccionar Todos y marcar los permisos Control Total, Cambiar y Leer. Seleccionar el botón Aceptar.

perfilmobil-09

Seleccionar el botón Caché. En el caso de la carpeta de datos de configuración, al ser una carpeta que no tiene que viajar con el usuario sino que se copia localmente, mejor evitar que se sincronice con la tecnología de archivos sin conexión. Marcar la opción Ningún archivo o programa de la carpeta compartida estará disponible sin conexión. Seleccionar el botón Aceptar para cerrar el primer cuadro de opciones. Seleccionar el botón Aceptar para compartir la carpeta y Cerrar para dar por finalizada la configuración de la carpeta de perfiles.

perfilmobil-10

En el caso de los datos de usuario, de momento sólo marcamos la opción Todos los programas que el usuario abra desde la carpeta compartida estarán disponibles sin conexión automáticamente. En otra entrada se verá como configurar estos archivos para los usuarios móviles que salen físicamente de la empresa (portátiles que viajan) y por lo tanto, pierden la comunicación con el servidor de archivos.

perfilmobil-11

Seleccionar el botón Aceptar para cerrar el primer cuadro de opciones. Seleccionar el botón Aceptar para compartir la carpeta y Cerrar para dar por finalizada la configuración de la carpeta de datos.

 

Configuración de los perfiles móviles

Abrir la consola de gestión de usuarios y equipos de Active Directory (se puede encontrar en el Administrador del servidor > menú Herramientas). Para una mejor gestión de los usuarios y las políticas a aplicar he creado la unidad organizativa Empresa. Dentro se han creado los usuarios: Usuario A y Usuario B.

perfilmobil-13

Seleccionar con el ratón los dos usuarios, botón derecho y seleccionar Propiedades.

perfilmobil-14

Hacer clic en la pestaña Perfil. Marcar la opción Ruta de acceso del perfil y indicar la ruta UNC seguido de \ y la variable %username% para que genere una carpeta con el nombre de cada usuario. Por ejemplo:

 \\srvdc.laboratoris.local\perfils$\%username%.

Seleccionar el botón Aceptar.

perfilmobil-15

Configuración de la redirección de carpetas

Toca engañar al ordenador, redirigiendo las carpetas que tienen que contener información estática en el servidor en lugar del disco duro local. Abrir la consola Administración de directivas de grupo (se puede encontrar en el Administrador del servidor > menú Herramientas). Desplegar el árbol de la izquierda hasta encontrar Objetos de Directiva de grupo. Botón derecho, seleccionar Nuevo.

perfilmobil-16

Indicar un nombre identificativo de la nueva política: Redirección de carpetas de usuario. Seleccionar el botón Aceptar.

perfilmobil-17

Seleccionar la nueva política, hacer clic con el botón derecho del ratón y seleccionar Editar.

perfilmobil-18

En una nueva ventana se abre la política. Al ser una política que afecta al usuario, no a la máquina, desplegar Configuración de usuario > Directivas > Configuración de Windows > Redirección de carpetas donde encontramos las diferentes carpetas que se pueden redirigir al servidor de archivos.

perfilmobil-19

Seleccionar AppData (Romaing), botón derecho del ratón y hacer clic en Propiedades.

perfilmobil-20

En la opción Configuración, indicar Básico: redirigir la carpeta de todos a la misma ubicación.

En Ubicación de la carpeta de destino seleccionar Crear una carpeta para cada usuario en la ruta raíz.

En ruta de acceso raíz indicar la ruta UNC de la carpeta de datos, por ejemplo: \\srvdc.laboratoris.local\usuaris. Observar que en la parte inferior pone el ejemplo de como quedará la ruta entera en la carpeta.

perfilmobil-21

Hacer clic en la pestaña Configuración. Estas opciones son personales y a gusto de cada administrador. Por ejemplo, marcando la opción Otorgar al usuario derechos exclusivos en AppData (Roaming) bloqueará incluso a los administradores de poder acceder a las carpetas de usuario (recordar LOPD); en caso de necesidad, se tendría que apropiar de la carpeta y volver a establecer los permisos.

perfilmobil-22

Hacer clic en el botón Aceptar. Se advierte que no se ha marcado la compatibilidad con sistemas operativos anteriores, se acepta.

perfilmobil-23

Repetir la operación para todas las carpetas:

  • Escritorio
  • Menú Inicio (la dejo tal cual, siempre puede depender de las aplicaciones que hay instaladas en cada equipo).
  • Documentos
  • Imágenes
  • Música (atención con esta carpeta que algún usuario puede terminar con el espacio compartido, recomiendo enlazarla con cuotas)
  • Vídeo (atención con esta carpeta que algún usuario puede terminar con el espacio compartido, recomiendo enlazarla con cuotas)
  • Favoritos
  • Contactos
  • Descargas
  • Vínculos
  • Búsquedas
  • Juegos guardados

Si dejase alguna carpeta para mover, me podría encontrar que se replique con los datos de configuración cada vez que se inicia y se cierra la sesión, por eso es una buena práctica redireccionarlas todas y así evitar la situación.

Ya se puede cerrar el editor de la política. Ahora hay que asignar la política a la unidad organizativa correspondiente, siguiendo el ejemplo en Empresa. Seleccionar la unidad organizativa Empresa, botón derecho con el ratón, seleccionar Vincular una GPO existente.

perfilmobil-24

Seleccionar la política Redirección de carpetas de usuario y hacer clic en el botón Aceptar.

perfilmobil-25

 

Ya hemos terminado, sólo queda comprobarlo. Pero alerta, si tenemos más de un controlador de Active Directory, tenemos que asegurarnos que se han replicado los cambios a todos los controladores. Desde una consola de sistema con privilegios de administrador ejecutar:

repadmin /syncall

perfilmobil-26

Comprobación en equipo cliente

Si el equipo ya estaba en el dominio y los usuarios ya habían iniciado sesión, no está de más refrescar las políticas de seguridad. Desde la consola de sistema con privilegios de administrador, ejecutar:

gpupdate /force

perfilmobil-27

Iniciamos sesión con uno de los usuarios. Si el usuario tenía información en local, la primera vez mueve esta información a las carpetas correspondientes del servidor de archivos; tal y como le hemos dicho. Es normal que tarde un poco más de la cuenta para estas operaciones. Iniciada la sesión aparentemente no ha pasado nada, pero si creamos una nueva carpeta en el escritorio, hacemos clic con el botón derecho sobre la carpeta y seleccionamos propiedades. Se observa que la carpeta no se encuentra ubicada en el disco duro local, sino que apunta a la ruta UNC del servidor de archivos.

perfilmobil-32

Yendo a la carpeta del usuario (desde el escritorio), se ven que todas las carpetas tienen un símbolo verde que indica que es una carpeta de archivos sin conexión.

perfilmobil-33

Yendo a la carpeta del usuario del disco duro (c:\Users\), encontramos la carpeta vacía porque los archivos no se guardan en este disco duro. A excepción de las carpetas de configuración locales, que están dentro de la carpeta escondida AppData (en las opciones de la carpeta permitir la visualización de los archivos escondidos).

perfilmobil-35

Si se visualiza, desde la cuenta de usuario, la carpeta del servidor \\srvdc.laboratoris.local\usuaris\usra, se ven las carpetas.

perfilmobil-36
Notar que se visualiza AppData sin el símbolo verde, es porque la que se sincroniza es su subcarpeta Roaming.

perfilmobil-37

Hacer la misma comprobación para el perfil de configuración, acceder a la carpeta del servidor \\srvdc.laboratoris.local\perfils$. Se ve una carpeta con el nombre de usuario seguido de .V2 (indica que es un perfil de Windows Vista o posterior). Esta no tiene el símbolo verde, ya que al compartir la carpeta evitamos que se haga la sincronización sin conexión.

perfilmobil-38

 

perfilmobil-39

Hacemos la prueba de cambio de equipo. Cambiamos el fondo de escritorio y cerramos la sesión del usuario.

perfilmobil-40

Iniciar sesión con el mismo usuario en otro equipo. O bien, para hacer la prueba, iniciamos con la cuenta de administrador y borramos el perfil del usuario: Panel de control > Sistema > Configuración avanzada del sistema > Opciones avanzadas > Perfiles de usuario > Configuración > Seleccionar el usuario y hacer clic en el botón Eliminar. Asegurar que se ha borrado la carpeta del usuario de c:\Users.

perfilmobil-41

Iniciar sesión con el usuario anterior, se recuperan los mismos archivos y el mismo fondo de escritorio.

Resolución de problemas

Importante para saber que está pasando el visor de eventos, concretamente el apartado de aplicación. Allí encontramos los registros de origen Folder Redirection correctos:

perfilmobil-42

o con errores:

perfilmobil-43

En caso de errores, visualizando las propiedades del mismo, ya nos indica cuál es el problema. En este caso, comprobar desde el propio usuario que llega correctamente a la carpeta UNC, corregir lo que sea necesario, cerrar la sesión y volver a probar.

perfilmobil-44

¡Ei! ¡Al hacer clic en el acceso directo de la barra de tareas o del escritorio me sale un error!

De hecho no es un error, simplemente que como el archivo no está firmado (lo más normal) y se intenta abrir desde un lugar que no es de confianza nos pide permiso. Lo que se debe de hacer es indicar que la ruta del servidor es de confianza para eliminar este mensaje molesto.

perfilmobil-45

Abrir el Internet Explorer, , se configura desde el Internet Explorer. Acceder a Opciones de Internet

perfilmobil-46

Seleccionar pestaña Seguridad > Intranet local y hacer clic en el botón Sitios.

perfilmobil-47

Seleccionar el botón Opciones avanzadas

perfilmobil-48

Añadir el protocolo (file, http, https, ftp…) y la dirección UNC que queremos establecer como de confianza. Se puede utilizar el comodín * para indicar un todo. Siguiendo el ejemplo: http://*.laboratoris.local y file://*.laboratoris.local o, también, para aceptar todos los protocolos de todos los equipos del dominio laboratoris.local: *://*.laboratoris.local.

perfilmobil-49

Cerrar las diferentes ventanas de opciones. Volviendo a probar de abrir el acceso directo ya no sale la advertencia de seguridad.

 

¿Pero se tiene que hacer lo mismo para todos los usuarios (GPOs)?

Si. ¿Y que tenemos mejor que las GPOs para hacerlo? Volviendo a la  consola de administración de directivas de grupo, crear una nueva directiva (Equipos – Intranet local), en que se debe modificar el parámetro: Configuración del equipo > Directivas > Plantillas administrativas > Componentes de Windows > Internet Explorer > Panel de control de Internet > Página de Seguridad. Opción Lista de asignación de sitio a zona.

perfilmobil-50

Seleccionar Habilitada y hacer clic en el botón Mostrar…

perfilmobil-51

En el apartado Nombre de valor, introducir el protocolo y dominio (http://*.laboratoris.local). Y el apartado Valor, un número que va del 1 al 4 según la zona donde queremos añadir el nombre.

1 – Intranet
2 – Sitios de confianza
3 – Internet
4 – Sitios restringidos

perfilmobil-52

Aplicar la política dónde estén las cuentas de los EQUIPOS, asegurar que se han replicado los cambios a todos los controladores de Active Directory (repadmin /syncall) y que el equipo ha actualizado las directivas (gpupdate /force). En este caso, la zona queda bloqueada por la directiva del servidor y el usuario no la puede modificar.

perfilmobil-53

 

¿Te ha gustado el artículo? Lo puedes compartir en las redes sociales. También puedes dejar tu opinión, comentario o sugerencia. ¡Gracias!

Similar Posts by The Author:

 

6 comentaris per a
“Perfiles móviles en Windows”

  1. HOla,
    excelente artículo. En cuanto pueda quiero ponerlo en práctica. Te quería hacer una pregunta, si un usuario tiene instalado google drive en su equipo al usar el perfil móvil…¿también se hará un backup de los archivos que haga en google drive?

    Saludos.

     
    1. Depende de donde tenga la carpeta configurada de los archivos sin conexión de Google Drive. Si está en el perfil local (%user%\Appdata\local o %user%\) no. Si está en Roaming (%user%\Appdata\Roaming), sí.

       
  2. Buenas tardes Josep.
    Primero, felicitarte por tu blog, ya que tiene información muy interesante en la que se aprende muchísimo.
    Tengo una duda respecto a esta nota, ya que la estoy implementando en la empresa, pero no consigo que me salga, y, por más que leo y leo la nota no encuentro lo que estoy haciendo mal.
    A ver si me puedes ayudar, por favor:

    Te pongo los pasos desde donde quedé sin saber que hacer:

    «Iniciamos sesión con uno de los usuarios. Si el usuario tenía información en local, la primera vez mueve esta información a las carpetas correspondientes del servidor de archivos; tal y como le hemos dicho. Es normal que tarde un poco más de la cuenta para estas operaciones. Iniciada la sesión aparentemente no ha pasado nada, pero si creamos una nueva carpeta en el escritorio, hacemos clic con el botón derecho sobre la carpeta y seleccionamos propiedades. Se observa que la carpeta no se encuentra ubicada en el disco duro local, sino que apunta a la ruta UNC del servidor de archivos.»

    https://ibb.co/tmSk43b

    «Yendo a la carpeta del usuario (desde el escritorio), se ven que todas las carpetas tienen un símbolo verde que indica que es una carpeta de archivos sin conexión.»

    https://ibb.co/hBn8RCY

    https://ibb.co/2t4KhZn

    «Yendo a la carpeta del usuario del disco duro (c:\Users\), encontramos la carpeta vacía porque los archivos no se guardan en este disco duro. A excepción de las carpetas de configuración locales, que están dentro de la carpeta escondida AppData (en las opciones de la carpeta permitir la visualización de los archivos escondidos).»

    https://ibb.co/jWFXkLV

    «Si se visualiza, desde la cuenta de usuario, la carpeta del servidor \\srvdc.laboratoris.local\usuaris\usra, se ven las carpetas.»

    https://ibb.co/D9svp0j

    «Hacer la misma comprobación para el perfil de configuración, acceder a la carpeta del servidor \\srvdc.laboratoris.local\perfils$. Se ve una carpeta con el nombre de usuario seguido de .V2 (indica que es un perfil de Windows Vista o posterior). Esta no tiene el símbolo verde, ya que al compartir la carpeta evitamos que se haga la sincronización sin conexión.»

    https://ibb.co/99M0c2G

    No sé si esto te puede ayudar, así es como tengo configurado la carpeta «perfiles» y la carpeta «usuarios»:

    https://ibb.co/C0DdShG

    https://ibb.co/wBjdwFc

    A ver si puedes echarme una mano, por favor.

    Muchas gracias.

    Un saludo.

     
  3. Buenas noches Josep.

    Muchas gracias por responder tan rápido.

    Pues el problema que tengo exactamente es que no consigo que se me replican los datos, ni documentos, ni descargas, ni escritorio….

    No tengo nada replicado y no sé que estoy haciendo mal exactamente.

    Gracias por tu ayuda.

    Buen fin de semana.

     
    1. Hola Anxo, solo te puedo recomendar que revises el artículo y más en concreto estos puntos que pueden provocar que no se estén sincronizando los archivos en local:

      ¿Has asegurado que la carpeta compartida tenga habilitada la opción de Archivos sin conexión?
      ¿Has configurado la GPO para que esa carpeta esté disponible sin conexión?
      ¿Has forzado la disponibilidad de la carpeta en el usuario para que esté disponible sin conexión?

      Saludos,

       

Deixar un comentari

Recorda que no es contestaran preguntes personals, només d´interés comú que ens enriqueixin a tots.
La teva adreça de correu electrònic no serà publicada. Els camps obligatoris estan indicats.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.