Perfils mòbils en Windows

Es considera un perfil la personalització del sistema operatiu, aplicacions i fitxers base (documents, imatges, música, vídeo, preferits…) de cada usuari. Per tant, cada usuari té un perfil propi que el caracteritza: fons d’escriptori, posició de les icones, plantilles de Word, posició de les barres d’eines, documents, imatges…

Quan l’usuari inicia sessió per primer cop en un equip es crea la seva carpeta amb subcarpetes i arxius personalitzats. Aquesta carpeta és el perfil.

En Windows XP els perfils s’emmagatzemaven a c:\Documents and Settings\, però a partir de Windows Vista canvia tot l’entorn i ara s’ubiquen dins la carpeta c:\Users\. Es poden considerar dues versions: abans de Windows Vista (versió 1, compatible amb Windows XP i 2000) i després de Windows Vista (versió 2, compatible amb Windows Vista, 7 i 8/8.1).

El perfil es divideix en dos apartats:

  • Dades de configuració. Conté part del registre, arxius temporals, arxius de configuració d’aplicacions.
  • Dades d’usuari. Conté les dades que genera el propi usuari: els meus documents, imatges, vídeos, música.

Què passa quan l’usuari canvia d’ordinador?

Doncs que en l’altre ordinador es torna a crear un nou perfil amb fitxers i configuració diferents. Amb un exemple: si l’usuari havia creat documents a l’ordinador A, quan es desplaça al B aquests documents no hi són. Si havia posat un fons d’escriptori a l’ordinador A, a l’ordinador B en té un altre, etc…

Canviar d’un equip a un altre és pot transformar en un trauma per l’usuari, d’aquí que en moltes oficines es doni el cas que cada ordinador és d’un usuari concret. Però què passa quan l’ordinador s’espatlla? La majoria de vegades, l’usuari deixa de treballar perquè ja no té les seves dades, ha perdut la seva eina de treball. “Mi tesoro”. Us sona la situació?

I pels administradors de xarxa?

La cosa encara es complica més si els usuaris van canviant d’ordinador. En cada ordinador nou es deixa un regalet: un nou perfil amb dades. De difícil gestió des del punt de vista de la seguretat de la informació (qui hi té accés, on és la informació…); així com les còpies de seguretat. I què passa quan l’usuari deixa l’empresa i s’han d’esborrar les seves dades per higiene? A saber on són. No és el primer cop que canvio un ordinador i apareixen dades d’usuaris que fa 8 anys han deixat l’empresa.

Què fem doncs amb els perfils?

Per arquitectura del sistema, les dades de configuració es necessiten localment a cada ordinador on l’usuari inicia sessió. En canvi, les dades d’usuari no és necessari que estiguin a tots els ordinadors. Més aviat han d’estar en un únic lloc, accessible des de qualsevol ordinador per part de l’usuari que correspon.

Així, el primer què s’ha de fer és desvincular el perfil de cada màquina. Que el perfil sigui únic per a cada usuari en tots els equips de la xarxa (domini) i, que si un usuari, ha de canviar d’ordinador pels motius que siguin les seves dades vagin amb ell. Ubicant les dades en un únic lloc: servidor de fitxers. El perfil de l’usuari es converteix en un perfil mòbil, viatja amb l’usuari. Però per fer-ho correctament s’han de configurar els dos apartats:

  • Dades de configuració. La part mòbil. Es copia a cada equip cada cop que s’inicia i es tanca la sessió. Per tant ha de ser de menys volum, uns 70 MB és adequat.
  • Dades d’usuari. És la part estàtica. Només hi ha una còpia en un lloc central i no viatja constantment per la xarxa, només l’arxiu al que s’accedeix. És la que ocupa més volum, segons l’usuari va generant la informació.

Els perfils mòbils no és que sigui una tècnica nova que diguem, el primer tipus d’implementació ja ve del sistema operatiu Microsoft Windows NT; però no va ser fins a Windows 2000 que es pot aplicar correctament, separant dades i configuració.

Tampoc és el primer cop que em trobo mal aplicada una configuració de perfils mòbils, en que només s’ha fet una part, normalment la mòbil. En aquests casos, els usuaris es queixen que els tarda molt a aparèixer l’escriptori quan inicien sessió, degut a que es copia tot el contingut amunt i avall per la xarxa.

 

Configuració dels perfils mòbils al domini

Preparació del magatzem central

M’agrada controlar qui accedeix i ha d’accedir a la informació, motiu pel que no utilitzo usuaris o grups generals. En el cas de la informació de l’empresa, sempre creo un grup de seguretat que agrupi els usuaris “reals” per assignar permisos al sistema de fitxers, evitant tant com pugui el grup Usuarios del dominio (que també inclou els usuaris anònims, convidats, serveis). En aquest cas utilitzo el grup “Usuaris corporatius” on s’hi afegeixen els comptes dels diferents usuaris reals que es donen d’alta.

En el servidor de fitxers, es creen dues carpetes per emmagatzemar les dades dels usuaris:

  • Perfils. Contindrà les carpetes de cada usuari amb la part de configuració (part mòbil). Recordar que les dades es copien a cada equip que l’usuari inicia la sessió i s’actualitzen al servidor cada cop que es tanca la sessió. Hi haurà una part que no es mourà de cada equip i per tant serà diferent: fitxers temporals.
  • Usuaris. Contindrà les carpetes de cada usuari amb les dades que genera (part estàtica). S’enganya al sistema operatiu perquè cregui que les carpetes són locals quan en realitat es troben ubicades en un equip extern.

Cada carpeta ha de tenir uns permisos concrets, d’aquesta manera el propi sistema va generant les carpetes sense necessitat que l’administrador les hagi de crear prèviament.

Amb les dues carpetes creades passem a configurar els permisos:

Botó dret damunt del nom de la carpeta. El procés és el mateix per la carpeta de perfils i usuaris). Seleccionar propiedades i clicar a la pestanya Seguridad.

perfilmobil-01

Clicar el botó opciones avanzadas, clicar botó Deshabilitar herencia > Convertir los permisos heredados en permisos explícitos en este objeto per començar a modificar permisos d’aquesta carpeta avall.

perfilmobil-02

Eliminar els grups de seguretat d’usuaris del sistema (Usuarios), seleccionant-los i clicar el botó Quitar.

perfilmobil-03

Afegir el grup que inclou als usuaris reals, clicar el botó Agregar

perfilmobil-04

A Entidad de seguridad, clicar damunt de seleccionar una entidad de seguridad, buscar el grup de seguretat corresponent i clicar el botó Aceptar.

perfilmobil-05

perfilmobil-06

A Tipo, especificar Permitir.

Se aplica a: Solo esta carpeta.

Clicar l’opció Mostrar permisos avanzados i marcar: Mostrar carpeta/leer datos, Crear carpeta/anexar datos i permisos de lectura. Clicar el botó Aceptar.

perfilmobil-29

 

perfilmobil-30

perfilmobil-07

Clicar la pestanya Compartir. Clicar el botó Uso compartido avanzado. Marcar l’opció Compartir esta carpeta. Al nom es pot deixar perfils afegint el símbol $ al final perquè l’amagui de la vista dels usuaris.

perfilmobil-08

Seleccionar el botó Permisos, seleccionar Todos i marcar els permisos Control Total, Cambiar i Leer. Seleccionar el botó Aceptar.

perfilmobil-09

Seleccionar el botó Caché. En el cas de la carpeta de dades de configuració, al ser una carpeta que no ha de viatjar amb l’usuari sinó que es copia localment, millor evitar que es sincronitzi amb la tecnologia d’arxius sense connexió. Marcar l’opció Ningún archivo o programa de la carpeta compartida estará disponible sin conexión. Seleccionar el botó Aceptar per tancar el primer quadre d’opcions. Seleccionar el botó Aceptar per compartir la carpeta i Cerrar per donar per finalitzada la configuració de la carpeta de perfils.

perfilmobil-10

En el cas de les dades d’usuari, de moment només marquem l’opció Todos los programas que el usuario abra desde la carpeta compartida estarán disponibles sin conexión automáticamente. En una altra entrada es veurà com configurar aquests arxius pels usuaris mòbils que surten físicament de l’empresa (portàtils que viatgen) i per tant, perden la comunicació amb el servidor de fitxers.

perfilmobil-11

Seleccionar el botó Aceptar per tancar el primer quadre d’opcions. Seleccionar el botó Aceptar per compartir la carpeta i Cerrar per donar per finalitzada la configuració de la carpeta de dades.

 

Configuració dels perfils mòbils

Obrir la consola de gestió d’usuaris i equips d’Active Directory (es pot trobar a l’Administrador del servidor > menú Herramientas). Per una millor gestió dels usuaris i les polítiques a aplicar he creat la unitat organitzativa Empresa. Dins s’han creat els usuaris: Usuari A i Usuari B.

perfilmobil-13

Seleccionar amb el ratolí els dos usuaris, botó dret i seleccionar Propiedades.

perfilmobil-14

Clicar la pestanya Perfil. Marcar l’opció Ruta de acceso del perfil i indicar la ruta UNC seguit de \ i la variable %username% perquè generi una carpeta amb el nom de cada usuari. Per exemple:

 \\srvdc.laboratoris.local\perfils$\%username%.

Seleccionar el botó Aceptar.

perfilmobil-15

Configuració de la redirecció de carpetes

Toca enganyar a l’ordinador, redirigint les carpetes que han de contenir informació estàtica al servidor en comptes del disc dur local. Obrir la consola Administración de directivas de grupo (es pot trobar a l’Administrador del servidor > menú Herramientas). Desplegar l’arbre de l’esquerra fins a trobar Objetos de Directiva de grupo. Botó dret, seleccionar Nuevo.

perfilmobil-16

Indicar un nom identificatiu de la nova política: Redirecció de carpetes d’usuari. Seleccionar el botó Aceptar.

perfilmobil-17

Seleccionar la nova política, clic amb el botó dret del ratolí i seleccionar Editar.

perfilmobil-18

En una nova finestra s’obre la política. Al ser una política que afecta a l’usuari, no a la màquina, desplegar Configuración de usuario > Directivas > Configuración de Windows > Redirección de carpetas on trobem les diferents carpetes que es poden redirigir al servidor de fitxers.

perfilmobil-19

Seleccionar AppData (Romaing), botó dret del ratolí i clicar a Propiedades.

perfilmobil-20

A l’opció Configuración, indicar Básico: redirigir la carpeta de todos a la misma ubicación.

A Ubicación de la carpeta de destino seleccionar Crear una carpeta para cada usuario en la ruta raíz.

A ruta de acceso raíz indicar la ruta UNC de la carpeta de dades, per exemple: \\srvdc.laboratoris.local\usuaris. Observar que a la part inferior posa l’exemple de com quedarà la ruta sencera a la carpeta.

perfilmobil-21

Clicar la pestanya Configuración. Aquestes opcions són personals i a gust de cada administrador. Per exemple, marcant l’opció Otorgar al usuario derechos exclusivos en AppData (Roaming) bloquejarà fins i tot als administradors de poder accedir a les carpetes d’usuari (recordar LOPD); en cas de necessitat, s’hauria d’apropiar de la carpeta i tornar a establir els permisos.

perfilmobil-22

Clicar el botó Aceptar. S’adverteix que no s’ha marcat la compatibilitat amb sistemes operatius anteriors, s’accepta.

perfilmobil-23

Repetir l’operació per totes les carpetes:

  • Escritorio
  • Menú Inicio (la deixo tal qual, sempre pot dependre de les aplicacions que hi ha instal·lades en cada equip).
  • Documentos
  • Imágenes
  • Música (atenció amb aquesta carpeta que algun usuari pot acabar amb l’espai compartit, recomano lligar-la amb quotes)
  • Vídeo (atenció amb aquesta carpeta que algun usuari pot acabar amb l’espai compartit, recomano lligar-la amb quotes)
  • Favoritos
  • Contactos
  • Descargas
  • Vínculos
  • Búsquedas
  • Juegos guardados

Si deixés alguna carpeta per moure, em puc trobar que es repliqui amb les dades de configuració cada cop que s’engega i es tanca la sessió, per això és una bona pràctica redireccionar-les totes i així evitar la situació.

Ja es pot tancar l’editor de la política. Ara cal assignar la política a la unitat organitzativa corresponent, seguint l’exemple a Empresa. Seleccionar la unitat organitzativa Empresa, botó dret amb el ratolí, seleccionar Vincular una GPO existente.

perfilmobil-24

Seleccionar la política Redirecció de carpetes d’usuari i clicar el botó Aceptar.

perfilmobil-25

Ja hem acabat, només queda comprovar-ho. Però alerta, si tenim més d’un controlador d’Active Directory, hem d’assegurar que s’han replicat els canvis a tots els controladors. Des d’una consola de sistema amb privilegis d’administrador executar:

repadmin /syncall

perfilmobil-26

Comprovació en equip client

Si l’equip ja estava al domini i els usuaris ja havien iniciat sessió, no està de més refrescar les polítiques de seguretat. Des de la consola de sistema amb privilegis d’administrador, executar:

gpupdate /force

perfilmobil-27

Iniciem sessió amb un dels usuaris. Si l’usuari tenia informació en local, la primera vegada mou aquesta informació a les carpetes corresponents del servidor de fitxers; tal i com li hem dit. És normal que tardi una mica més del compte per aquestes operacions. Iniciada la sessió aparentment no ha passat res, però si creem una nova carpeta a l’escriptori, cliquem amb el botó dret damunt la carpeta i seleccionem propiedades. S’observa que la carpeta no es troba ubicada al disc dur local, sinó que apunta a la ruta UNC del servidor de fitxers.

perfilmobil-32

Anant a la carpeta de l’usuari (des de l’escriptori), es veuen que totes les carpetes tenen un símbol verd que indica que és una carpeta d’arxius sense connexió.

perfilmobil-33

Anant a la carpeta de l’usuari del disc dur (c:\Users\), trobem la carpeta buida perquè els arxius no es guarden en aquest disc dur. A excepció de les carpetes de configuració locals, que estan dins la carpeta amagada AppData (a les opcions de la carpeta permetre la visualització dels fitxers amagats).

perfilmobil-35

Si es visualitza, des del compte d’usuari, la carpeta del servidor \\srvdc.laboratoris.local\usuaris\usra, es veuen les carpetes.

perfilmobil-36
Notar que es visualitza AppData sense el símbol verd, és perquè la que es sincronitza és la seva subcarpeta Roaming.

perfilmobil-37
Fer la mateixa comprovació pel perfil de configuració, accedir a la carpeta del servidor \\srvdc.laboratoris.local\perfils$. Es veu una carpeta amb el nom d’usuari seguit de .V2 (indica que és un perfil de Windows Vista o posterior). Aquesta no té el símbol verd, ja què al compartir la carpeta evitem que es faci la sincronització sense connexió.

perfilmobil-38

 

perfilmobil-39
Fem la prova de canvi d’equip. Canviem el fons d’escriptori i tanquem la sessió de l’usuari.

perfilmobil-40

Iniciar sessió amb el mateix usuari en un altre equip. O bé, per fer la prova, iniciem amb el compte d’administrador i esborrem el perfil de l’usuari: Tauler de control > Sistema > Configuració avanzada del sistema > Opciones avanzadas > Perfiles de usuario > Configuración > Seleccionar l’usuari i clicar el botó Eliminar. Assegurar que s’ha esborrat la carpeta de l’usuari de c:\Users.

perfilmobil-41

Iniciar sessió amb l’usuari anterior, es recuperen els mateixos fitxers i el mateix fons d’escriptori.

 

Resolució de problemes

Important per saber què està passant el visor d’esdeveniments, concretament l’apartat d’aplicació. Allí trobem els registres d’origen Folder Redirection correctes:

perfilmobil-42

o amb errors:

perfilmobil-43

En cas d’errors, visualitzant les propietats del mateix, ja ens indica quin és el problema. En aquest cas, comprovar des del propi usuari que arriba correctament a la carpeta UNC, corregir el què calgui, tancar la sessió i tornar a provar.

perfilmobil-44

Ei! Al clicar l’accés directe de la barra de tasques o de l’escriptori em surt un error!

De fet no és un error, simplement que com el fitxer no està signat (el més normal) i s’intenta obrir des d’un lloc que no és de confiança ens demana permís. El que s’ha de fer és indicar que la ruta del servidor és de confiança per eliminar aquest missatge molest.

perfilmobil-45

Obrir l‘Internet Explorer, , es configura des de l’Internet Explorer. Accedir a Opcions de Internet

perfilmobil-46

Seleccionar pestanya Seguridad > Intranet local i clicar al botó Sitios.

perfilmobil-47

Seleccionar el botó Opciones avanzadas

perfilmobil-48

Afegir el protocol (file, http, https, ftp…) i l’adreça UNC que volem establir com de confiança. Es pot utilitzar el comodí * per indicar un tot. Seguint l’exemple: http://*.laboratoris.local i file://*.laboratoris.local o, també, per acceptar tots els protocols de tots els equips del domini laboratoris.local: *://*.laboratoris.local.

perfilmobil-49

 

Tancar les diferents finestres d’opcions. Tornant a provar d’obrir l’accés directe ja no surt l’advertència de seguretat.

 

Però s’ha de fer el mateix per a tots els usuaris (GPOs)?

Si. I què tenim millor que les GPOs per fer-ho? Tornant a la consola d’administració de directives de grup, crear una nova directiva (Equips – Intranet local), en que s’ha de modificar el paràmetre: Configuración del equipo > Directivas > Plantillas administrativas > Componentes de Windows > Internet Explorer > Panel de control de Internet > Página de Seguridad. Opció Lista de asignación de sitio a zona.

perfilmobil-50

Seleccionar Habilitada i clicar el botó Mostrar…

perfilmobil-51

A l’apartat Nombre de valor, introduir el protocol i domini (http://*.laboratoris.local). I l’apartat Valor, un número que va del 1 al 4 segons la zona on volem afegir el nom.

1 – Intranet
2 – Llocs de confiança
3 – Internet
4 – Llocs restringits

perfilmobil-52

Aplicar la política on hi hagi els comptes dels EQUIPS, assegurar que s’han replicat els canvis a tots els controladors de Active Directory (repadmin /syncall) i que l’equip ha actualitzat les directives (gpupdate /force). En aquest cas, la zona queda bloquejada per la directiva del servidor i l’usuari no la pot modificar.

perfilmobil-53

 

T’ha agradat l’article? El pots compartir a les xarxes socials. També pots deixar la teva opinió, comentari o suggeriment. Gràcies!

Similar Posts by The Author:

 

Deixar un comentari

Recorda que no es contestaran preguntes personals, només d´interés comú que ens enriqueixin a tots.
La teva adreça de correu electrònic no serà publicada. Els camps obligatoris estan indicats.

Aquest lloc utilitza Akismet per reduir el correu brossa. Aprendre com la informació del vostre comentari és processada