Joan zuzenean edukira

3.5. Perfiles de usuario en Windows

Objetivo

Entender los tipos de perfiles de usuario en entornos con Active Directory y aprender a configurarlos paso a paso: perfiles locales, móviles (roaming), obligatorios (mandatory) y redirección de carpetas (Folder Redirection).

1. Tipos de perfiles

  • Local: se crea en C:\Users\<usuario> del equipo. Rápido, pero no se traslada entre equipos.
  • Móvil (Roaming): el perfil se guarda en un servidor y se descarga al iniciar sesión. Útil en aulas/oficinas con cambios de puesto.
  • Obligatorio (Mandatory): perfil de solo lectura. El usuario no conserva cambios al cerrar sesión. Útil para kioskos/aulas.
  • Temporal: se carga si hay errores; los cambios no se guardan. Indica problema de permisos/espacio/ruta.

2. Ubicación y estructura

  • Local: C:\Users\<usuario>
  • Ruta de perfil de red (sugerencia): \\SRV\Perfiles\%username%
  • Carpetas más pesadas: AppData, Downloads, Pictures. Recomendación: usar Redirección para Escritorio/Documentos/Imágenes y evitar redirigir AppData salvo casos muy concretos.

3. Redirección de carpetas (Folder Redirection)

3.1. Preparación del recurso compartido

  1. En el servidor de ficheros, crea D:\PerfilesRedir\Usuarios.
  2. Comparte como \\SRV\Redir (o \\SRV\PerfilesRedir).
  3. Permisos de compartición: Authenticated Users: Cambiar (o solo lectura si prefieres controlar todo con NTFS).
  4. NTFS en D:\PerfilesRedir\Usuarios:
  5. Quita herencia si procede y agrega:
  6. Administrators: Control total (esta carpeta, subcarpetas y archivos).
  7. SYSTEM: Control total.
  8. CREATOR OWNER: Control total (solo subcarpetas y archivos).
  9. Usuarios: no dar permisos a nivel raíz; cada subcarpeta del usuario será de su propiedad.

3.2. Configuración por GPO

  1. Abre GPMC en el DC.
  2. Crea una GPO y vincúlala a la OU de usuarios (p. ej., OU=Aulas).
  3. Edita la GPO → User Configuration → Policies → Windows Settings → Folder Redirection.
  4. Configura, por ejemplo:
  5. Documents → Basic → Redirigir a \\SRV\Redir\Usuarios\%USERNAME%\Documentos.
  6. Desktop → Basic → Redirigir a \\SRV\Redir\Usuarios\%USERNAME%\Escritorio.
  7. En cada carpeta, pestaña Settings:
  8. Move the contents to the new location: Enabled.
  9. Grant the user exclusive rights: Disabled (recomendado en aulas para evitar bloqueos de soporte).
  10. Policy Removal: Leave contents (dejar los datos en el servidor si se quita la GPO).
  11. Aplica y fuerza gpupdate /force en un cliente de prueba. Verifica con rsop.msc o gpresult /r.

4. Perfiles móviles (Roaming)

4.1. Preparación del recurso compartido de perfiles

  1. Crea D:\Perfiles y comparte como \\SRV\Perfiles.
  2. Permisos de compartición: Authenticated Users: Cambiar (o restringido, controlando con NTFS).
  3. NTFS en D:\Perfiles:
  4. Herencia desactivada si procede.
  5. Administrators: Control total.
  6. SYSTEM: Control total.
  7. Usuarios del dominio: Lectura en raíz (opcional). No dar escritura en raíz.
  8. Cada carpeta D:\Perfiles\<usuario> debe tener: Usuario: Control total (esta carpeta, subcarpetas y archivos); Administrators: Control total; SYSTEM: Control total.

4.2. Asignación del perfil en las cuentas de usuario

  1. En Active Directory Users and Computers (ADUC), abre las propiedades del usuario.
  2. Pestaña Profile → Profile path: \\SRV\Perfiles\%username%.
  3. Opcional: Home folder → Connect H: to \\SRV\Home\%username% (si usas carpetas personales).
  4. El primer inicio de sesión creará la carpeta. Comprueba que la propiedad y permisos son correctos.

4.3. GPO recomendadas para roaming

  1. User Config → Administrative Templates → System → User Profiles:
  2. Set roaming profile path for all users logging onto this computer: Not Configured (dejamos por usuario).
  3. Only allow local user profiles: Disabled.
  4. Delete cached copies of roaming profiles: Enabled (en aulas para liberar espacio y evitar conflictos).
  5. Exclude directories in roaming profile: Enabled → añade AppData\Local; AppData\LocalLow; Downloads (ajusta a tus necesidades).

5. Perfiles obligatorios (Mandatory)

5.1. Creación

  1. En un equipo limpio, inicia sesión con un usuario “plantilla” y personaliza lo justo (fondo, opciones básicas).
  2. Cierra sesión y como administrador copia C:\Users\plantilla a \\SRV\Perfiles\mandatory.v6.
  3. En la carpeta destino, renombra NTUSER.DAT a NTUSER.MAN.
  4. Asegura permisos NTFS: Users: Read & Execute (no escritura), Administrators/SYSTEM: Full Control.

5.2. Asignación

  1. En ADUC, para los usuarios objetivo, en Profile → Profile path indica \\SRV\Perfiles\mandatory.v2.
  2. Alternativa por GPO: Computer Config → Policies → Administrative Templates → System → User Profiles → Set roaming profile path for all users → \\SRV\Perfiles\mandatory.v2 (filtrando por seguridad o WMI si procede).
  3. Verifica que al cerrar sesión no se guardan cambios del usuario.

6. Troubleshooting (rápido)

  • Perfil temporal al iniciar: revisa permisos en \\SRV\Perfiles\<usuario>, espacio en disco, conectividad y eventos 1509/1511/1521 en Visor de eventos → Application.
  • Fallo “User Profile Service failed the logon”: revisa claves en HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList (SID del usuario) y rutas inválidas.
  • Redirección no aplica: revisa GPO en gpresult /h, comprueba permisos y que el recurso \\SRV\Redir sea accesible.
  • Inicio de sesión lento: reduce tamaño del perfil; añade exclusiones; usa redirección para minimizar copia de datos.

Checklist

  • Ruta de red para perfiles creada y con permisos correctos.
  • GPO de redirección aplicada y verificada.
  • Usuarios con perfil móvil asignado (si procede).
  • Mandatory profile probado (si procede).
  • Documentadas exclusiones y políticas de borrado de copias en caché.

Práctica AWS relacionada

Configura perfiles móviles y redirección de carpetas en AWS con la guía: Perfiles y redirección en AWS