Saltar a contenido

12. AWS: Perfiles de usuario y Redirección de carpetas

Objetivo

Configurar perfiles móviles (roaming) y redirección de carpetas en un entorno de laboratorio en AWS con Active Directory, aplicando permisos correctos y GPO paso a paso.

Prerrequisitos

  • Dominio AD operativo con DNS y tiempo correctos.
  • 1 servidor de ficheros Windows Server unido al dominio (puede ser el DC en laboratorio pequeño).
  • 1 cliente Windows unido al dominio.
  • Usuario con permisos de administración de AD y GPO.

1) Preparación de recursos compartidos

1.1. Redirección de carpetas

  1. En el servidor, crea D:\PerfilesRedir\Usuarios.
  2. Comparte como \\SRV\Redir.
  3. Permisos de compartición: Authenticated Users: Cambiar.
  4. NTFS en D:\PerfilesRedir\Usuarios:
  5. Quita herencia si procede.
  6. Administrators: Control total (esta carpeta, subcarpetas y archivos).
  7. SYSTEM: Control total.
  8. CREATOR OWNER: Control total (solo subcarpetas y archivos).
  9. No otorgues permisos a usuarios en la raíz; cada subcarpeta será del propietario.

1.2. Perfiles móviles (roaming)

  1. Crea D:\Perfiles.
  2. Comparte como \\SRV\Perfiles.
  3. Permisos de compartición: Authenticated Users: Cambiar.
  4. NTFS en D:\Perfiles:
  5. Quita herencia si procede.
  6. Administrators: Control total.
  7. SYSTEM: Control total.
  8. (Opcional) Domain Users: Lectura en raíz.
  9. Las subcarpetas por usuario deberán tener: Usuario: Full; Administrators: Full; SYSTEM: Full.

2) Redirección de carpetas por GPO

  1. En el DC, abre Group Policy Management.
  2. Crea una GPO: "GPO_Redir_Usuarios" y vincúlala a la OU de usuarios.
  3. Edita: User Configuration → Policies → Windows Settings → Folder Redirection.
  4. Documents → Basic → Ruta: \\SRV\Redir\Usuarios\%USERNAME%\Documentos.
  5. Desktop → Basic → Ruta: \\SRV\Redir\Usuarios\%USERNAME%\Escritorio.
  6. En Settings de cada una:
  7. Move the contents to the new location: Enabled.
  8. Grant the user exclusive rights: Disabled.
  9. Policy Removal: Leave contents.

3) Configurar perfiles móviles (roaming)

  1. En Active Directory Users and Computers, abre el usuario de pruebas.
  2. Pestaña Profile → Profile path: \\SRV\Perfiles\%username%.
  3. (Opcional) Home folder → Connect H: to \\SRV\Home\%username% si gestionas carpetas personales.
  4. Repite para varios usuarios si lo necesitas.

4) GPO complementarias para roaming

  1. Edita o crea GPO "GPO_Perfiles_Roaming" (vinculada a la OU de usuarios o equipos según política).
  2. User Configuration → Administrative Templates → System → User Profiles:
  3. Only allow local user profiles: Disabled.
  4. Delete cached copies of roaming profiles: Enabled.
  5. Exclude directories in roaming profile: Enabled → AppData\Local; AppData\LocalLow; Downloads.

5) Verificación en el cliente

  1. Inicia sesión con el usuario objetivo en el cliente unido al dominio.
  2. Ejecuta gpupdate /force.
  3. Comprueba con gpresult /h C:\temp\gp.html que las GPO aplicaron.
  4. Verifica que Documentos y Escritorio apuntan a las rutas UNC configuradas (Propiedades → Ubicación o probando crear archivos).
  5. Cierra sesión y vuelve a iniciar en otro equipo (si hay) para validar el perfil roaming.

6) Troubleshooting

  • Perfil temporal al iniciar: revisa permisos NTFS en \\SRV\Perfiles\<usuario>, espacio y conectividad; mira eventos 1509/1511/1521.
  • Redirección no aplica: revisa GPO en gpresult, ACL del share \\SRV\Redir y que exista la ruta.
  • Inicio de sesión lento: añade exclusiones, revisa tamaño de perfil y usa más redirecciones si procede.

Limpieza

  • Elimina GPO de prueba si no se va a usar.
  • Quita la ruta de perfil en ADUC si no deseas mantener perfiles móviles.

Relación con teoría