Mes: junio 2010

Perfiles móviles

Uso de perfiles móviles

Se configuran perfiles móviles en el servidor, por lo que el usuario ha de ser miembro del mismo e iniciar sesión en DOMINIO para su uso. NT, 2000, XP y 2003 son compatibles con perfiles móviles.

En Windows Server 2003:

  1. Primero creamos una carpeta en el servidor donde almacenaremos los perfiles, carpeta raíz donde irán las carpetas individuales de perfil.
  2. Compartiremos la carpeta, Control Total a Todos.
  3. En el elemento de consola de Usuarios y Equipos de Active Directory de un DC, configuraremos las cuentas de los usuarios que usarán los perfiles móviles: Seleccionamos la cuenta de usuario, doble clic, pestaña Perfil del cuadro de propiedades, indicamos la ruta de almacenamiento del perfil, estilo \ServidorRecurso_CompartidoNombre_de_usuario , también podemos usar la variable %Username% y AD automáticamente lo substituirá por la cuenta actualmente del cuadro de propiedades.

seccionperfil06

Si se quiere hacer con múltiples cuentas debe utilizarse alguna herramienta de terceros o usar un script de AD (ADSI) para ello, ya que manualmente resulta bastante engorroso.

Scripts Cuentas de Usuario

Redireccionar carpetas es un complemento ideal para perfiles de usuario, especialmente para los perfiles móviles. Este complemento nos permite la redirección de algunas carpetas del perfil hacia una unidad de la Red. No hay nada mágico en esto, la directiva de grupo únicamente cambia la ubicación de las carpetas en la clave User Shell Folders y que las aplicaciones automáticamente busquen la carpeta en la red. Desde la perspectiva del usuario es similar a un perfil móvil ya que sus documentos irán con él de equipo en equipo. A diferencia de los perfiles móviles las carpetas redireccionadas permanecen siempre en el mismo lugar. Pueden redireccionarse carpetas con o sin perfiles móviles. Si lo usamos en conjunto, podemos reducir la cantidad de datos que se transmiten por la red en el inicio de sesión del usuario, ya que al estar ubicadas en la red y fuera del perfil no se intentarán transmitir en cada inicio de sesión(uno de los problemillas de los perfiles móviles).

Carpeta

En perfil móvil?

¿La podemos redireccionar?
Datos de programa
Cookies No
Escritorio
Favoritos No
Configuración Local No No
Mis Documentos
Documentos recientes No
Mis sitios de red No
Impresoras No
Enviar a No
Menú Inicio
Plantillas No

Si usamos perfiles móviles:

  • Redireccionar la carpeta Mis Documentos, es decir, quitarla del perfil móvil. Acelerará el inicio de sesión y evitará posibles errores de inicio si la red va sobrecargada.
  • No usar cifrado en los archivos de un perfil móvil, no es compatible e impedirá la carga del perfil.
  • No establezcas cuotas a los perfiles móviles y si lo haces que no sean excesivamente restrictivas, la sincronización puede dar errores.
  • No configures carpetas disponibles off-line en el perfil móvil. Provoca errores de sincronización, ya que ambos intentan sincronizar al mismo tiempo. Si queremos carpetas off-line, las redireccionamos.
  • Ojo con los bucles de proceso de directivas de grupo, este proceso aplica diferentes directivas por-usuario basadas en según el equipo donde se inicia la sesión.
  • Deshabilita el inicio rápido en red mediante directiva. Esto impedirá conflictos en cuanto los perfiles cambian de local a móvil.

Administrar perfiles móviles

La directiva de grupo proporciona varias políticas que podemos utilizar en la administración de cómo Windows maneja los perfiles de usuario. Podemos configurar estas políticas en una GPO local o en red.

roamingprofiles01

roamingprofiles02 

  • Conectar el directorio principal a la raíz del recurso compartido. Restaura la definición de las variables de entorno %HomeShare% y %HomePath% a las que se usaban en Windows NT y anteriores.
  • Limitar el tamaño del perfil. Establece el tamaño máximo que cada perfil y determina la respuesta del sistema cuando se alcanza dicho límite. Para evitar perfiles grandes, redireccionar la carpeta Mis Documentos.
  • Excluir directorios en el perfil móvil. Nos permite establecer una lista de carpetas que se excluirán del perfil móvil.
  • Eliminar copias en caché de perfiles móviles. Esta determina si el sistema guarda una copia del perfil móvil en el equipo local cuando el usuario cierra sesión.
  • No detectar las conexiones de red lentas. Característica de detección de enlaces de red lentos.
  • Tiempo de espera de conexión de red a baja velocidad para los perfiles del usuario. Aquí se define una conexión lenta para perfiles móviles.
  • Esperar el perfil remoto del usuario. Esto obliga al sistema a esperar a la copia remota del perfil de usuario para cargarlo, aun cuando dicha carga sea lenta. También espera aun si el usuario ha sido advertido de que la conexión es lenta y no ha respondido en el tiempo permitido.
  • Avisar al usuario cuando se detecte un vínculo lento. Notificación al usuario de la lentitud de carga de su perfil móvil. Los usuarios pueden decidir si usan una copia local o esperan a la carga del perfil móvil.
  • Tiempo de espera para cuadros de diálogo. Tiempo que el sistema espera la respuesta del usuario antes de actuar de forma predeterminada.
  • Cerrar las sesiones de usuarios cuando se produzca un error en el perfil móvil. Cierra la sesión automáticamente si el sistema es incapaz de cargar el perfil móvil.
  • Límite de reintentos para descargar y actualizar el perfil de usuario. Cuantas veces el sistema intentará descargar y actualizar el perfil. Una vez alcanzado el número de veces establecido, el sistema parará y como consecuencia el perfil de usuario puede no ser actual o que el local y el móvil no coincidan.
  • Agregar el grupo de seguridad de administradores a los perfiles móviles de usuario. Añade el grupo de seguridad de Administradores al recurso compartido de perfiles móviles. El comportamiento predeterminado impide a los administradores la administración de carpetas de perfil individuales si no se toma la propiedad de ellas.
  • Impedir que se propaguen al servidor los cambios de perfil móvil. Aquí se determina si los cambios hechos por el usuario a su perfil se combinarán con la copia existente en el servidor. (Método para perfiles obligatorios)
  • Permitir sólo perfiles de usuario locales. Se establece si los perfiles de usuario móviles están disponibles en un equipo en concreto. De forma predeterminada, cuando los usuario de perfil móvil inician sesión en un equipo, su perfil se copia al equipo local. Si ya hubiesen iniciado sesión con anterioridad, el perfil móvil se combinará con el local, de igual manera, al cerrar la sesión, su copia local, incluyendo cualquier cambio, se combinará con la copia del servidor.
  • No comprobar a qué usuario pertenecen las carpetas de perfiles móviles. Si se habilita Windows no comprobará los permisos de la carpeta si esta ya existía.
  • Conservar los datos de instalación de software de Windows Installer y de Directiva de grupo. Determina si el sistema conserva los datos de instalación basados en Windows Installer y directiva de grupo de un usuario móvil al eliminar su perfil.

Como se ve hay políticas por-usuario y otras por-equipo.

Perfiles de usuario

Tanto XP como Server 2003 almacenan la configuración de usuario separada de la del equipo. La configuración de Equipo afecta a cada usuario que inicie sesión en Windows; contiene la configuración de hardware, de red y otras. Normalmente sólo el grupo de administradores puede modificar dicha configuración, aunque hay algunos valores al alcance del grupo de usuarios avanzados. Por otra parte, el perfil de usuario contiene la configuración de un usuario específico. Los usuarios personalizan el sistema a su gusto y su configuración no afecta a otros usuarios. Los usuarios tienen control total sobre sus perfiles, que contienen más que su configuración también archivos y carpetas propios de cada uno.

Desplegar y administrar perfiles de usuario son dos de los temas más significantes dirigidos a profesionales de IT. Un despliegue y administración apropiada pueden significar ahorros, incluso ecónomicos. Advirtamos que la mayoría de útiles directivas que administran la configuración del sistema y las aplicaciones se encuentran en los perfiles de usuario. Y se administra la configuración de los perfiles de usuario mediante la aplicación de directivas a los mismos.

El dominio de perfiles de usuario no es sólo para profesionales de IT; los usuarios avanzados, especialmente aquéllos que usan múltiples cuentas en sus equipos o que trabajan en una red casera, pueden crear perfiles de usuario para simplificar su experiencia. Pueden personalizar un perfil de usuario predeterminado, entonces siempre que reinstalen Windows o crean una nueva cuenta, el inicio se efectua sobre una configuración familiar y no han de pasarse tiempo para volver a personalizar el sistema para satisfacer sus gustos. Los perfiles de usuario no son complicados y los usuarios avanzados pueden sacar provecho de ellos.

En cuanto un usuario inicia sesión en un equipo Windows carga el perfil de dicho usuario y así, en cuanto cierra sesión lo descarga. El perfil de usuario contiene una sección del Registro con configuración por-usuario y carpetas, que contienen documentos y archivos de datos.

La ubicación es distinta si se trata de Windows NT, aquí se encuentran en %raíz_del_sistema%perfiles, que si es en Windows 2000, XP y Windows Server 2003, que los almacena en %unidad_del_sistema%Documents and Settings, excepto si hemos actualizado el sistema desde uno anterior a los comentados.

Secciones del perfil

La primera parte de un perfil de usuario es NTUSER.DAT. Esta sección del perfil se halla en la raíz de la carpeta de perfil del usuario. Ya vimo como trabajar con secciones del Registro. La configuración del sistema yde las aplicaciones del usuario se almacenan en secciones del perfil. Estas secciones también contienen configuraciones del Panel de Control, impresoras y barra de tareas por-usuario.

Cuando Windows carga un perfil de usuario, el sistema carga la sección del perfil NTUSER.DAT dentro de la subclave HKUSID donde el SID es el del usuario. Entonces enlaza la clave raíz HKCU a HKUSID.

seccionperfil01

Windows y muchas de las aplicaciones referencian la configuración del usuario mediante HKCU y no con HKUSID, ya que la primera resuelve que sub-clave de HKU contiene la configuración de consola del usuario. HKU contiene una segunda sección, HKUSID_Classes, que contiene las asociaciones de archivo y los registros de clase por-usuario.

HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionProfileList contiene una lista de perfiles, una subclave por cada perfil de usuario, donde su nombre es el de la sección en HKU o el SID de la cuenta. El valor de ProfileImagePath es la ruta de NTUSER.DAT para ese perfil de usuario. ProfileList no contiene un valor a la sección SID_Classes, sin embargo HKLMSYSTEMCurentControlSetControlhivelist contiene un valor por cada sección en HKLM y HKU que el sistema está actualmente utilizando. La diferencia entre los valores ProfileList y HiveList es que el primero contiene una lista de perfiles de usuario de los que Windows tiene constancia de su existencia, estén o no cargados, mientras que la segunda contiene una lista de todas las secciones actualmente cargadas.

seccionperfil02 seccionperfil03

Carpetas del perfil

Las carpetas de un perfil de usuario contienen los archivos de aplicación por-usuario. Por ejemplo, Office 2003 instala plantillas y diccionarios personalizados, IE almacena las cookies y sus accesos directos. La carpeta más interesante es Application Data Folder o como aparece en la primera imagen donde está el NTUSER.DAT: DATOS DE PROGRAMA. Algunas de las carpetas están ocultas por lo que hay que habilitar mostrar las ocultas y los archivos del sistema para verlas al completo, así nos encontramos con:

Datos de programa (Application Data)

Su contenido son archivos de programa: e-mail, accesos directos, plantillas, etc… Cada distribuidor de software elige que archivos almacena aquí. Esta carpeta puede redireccionarse a una ubicación de red mediante directivas de grupo.

– Cookies

Las famosas cookies de Internet Explorer.

– Escritorio (Desktop)

Archivos, carpetas y accesos directos del Escritorio. Su contenido se ve en el escritorio de Windows, podemos redireccionarla a una ubicación de red mediante directivas de grupo.

– Favoritos (Favorites)

Accesos directos favoritos del Internet Explorer. Se ven en el menú de Favoritos del Internet Explorer. No podemos redireccionarla con directiva de grupo, pero si manualmente.

– Configuración Local (Local Settings)

Archivos de aplicaciones que no viajan con el perfil. Los archivos que encontramos aquí son por-equipo o demasiado grandes para copiarlos vía red. Contiene algunas subcarpetas:

– Datos de Programa (Application Data)

Datos específicos de aplicaciones por-equipo.

– Historial (History)

Historial del Internet Explorer.

– Temp

Archivos temporales por-usuario.

– Archivos Temporales de Internet (Temporary Internet Files)

Archivos desconectados de Internet Explorer.

– Mis Documentos (My Documents)

Esta carpeta contiene la ubicación predeterminada de los documentos de usuario. Las aplicaciones deben guardar los documentos de usuario aquí por defecto y es la ubicación que se muestra en los cuadros de diálogo predeterminados cuando se abren. Esta carpeta contiene además la de Mis Imágenes (My Pictures), que es la predeterminada para las imágenes del usuario y opcionalmente la carpeta Mi Música (My Music) que es la predeterminada para archivos de música del usuario. Podemos redireccionarla a una ubicación de red mediante directiva de grupo.

– Entorno de Red (NeetHood)

Accesos a los objetos de la Red. Los usuarios pueden navegar por las carpetas donde enlazan estos accesos directos en la carpeta Mis sitios de Red (My Network Places).

– Impresoras (PrintHood)

Accesos directos a los objetos de impresora. Los usuarios ven el contenido en la carpeta de impresoras.

– Documentos Recientes (Recent)

Accesos directos a los documentos usados más recientemente. Los documentos se listan en el menú Documentos Recientes del Menú de Inicio.

– SendTo

Accesos directos a unidades, carpetas y aplicaciones de destino. Si hacemos doble clic en un objeto y pulsamos en Enviar a, obtenemos una lista de estos destinos, y si pulsamos en cualquiera de ellos el objeto se enviará a esa unidad, carpeta o aplicación.

– Menú Inicio (Start Menu)

Accesos directos a los programas. Puede redireccionarse a una ubicación de red mediante directiva de grupo.

– Templates

Archivos de plantilla. Si hacemos clic derecho en una carpeta y pulsamos en nuevo, obtenemos los contenidos de esta carpeta.

seccionperfil04

HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders es la clave donde guarda Windows la ubicación de cada carpeta parte del perfil de usuario. Cada valor representa una carpeta, valores REG_EXPAND_SZ con lo que podemos usar variables de entorno en ellos.

seccionperfil05

Perfiles especiales

Además de los perfiles de usuario que Windows crea cuando estos inician sesión en el sistema, existen cuatro (4) perfiles de usuario especiales, que son:

  • All Users (Todos los usuarios). Esta carpeta de perfil contiene la configuración que se aplica a todos los usuarios que inicien sesión en el equipo. Contiene una sección de perfil, NTUSER.DAT, que el sistema no carga. Contiene también las carpetas compartidas de documentos y música, accesos del menú de inicio compartidos y algo más. La clave HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerUser Shell Folders tiene los vínculos a las subcarpetas de la carpeta del perfil de All Users.
  • Default User (Usuario predeterminado). Contiene el perfil de usuario predeterminado que Windows copia cuando crea un nuevo perfil de usuario. Contiene la mayoría de archivos y carpetas que se han visto. Personalizar esta carpeta es una buena vía para iniciar cada usuario que inicia sesión en el equipo con la misma configuración. Windows comprueba primero la existencia de la carpeta de usuario predeterminado en el recurso compartido NETLOGON del servidor antes de usar la misma carpeta local si la copia en red no está disponible. Al personalizarla podemos implementar configuraciones que no queremos administrar.
  • LocalService (Servicio Local). Carpeta de perfil para la cuenta integrada de Servicio Local, la cual usa el Service Control Manager para los servicios que no necesitan ejecutarse bajo la cuenta LocalSystem. Es un perfil normal de usuario con datos limitados. No lo vemos en el cuadro de diálogo de perfiles de usuario y sus carpetas están super-ocultas.
  • NetworkService (Servicio de Red). Carpeta de perfil para la cuenta integrada de Servicio de Red, la cual usa el Service Control Manager para los servicios de red que no necesitan ejecutarse bajo la cuenta LocalSystem. Perfil normal como el anterior, no lo vemos en el cuadro de diálogo y sus carpetas también están super-ocultas.

De las cuatro digamos que las dos primeras son más de interés que las dos segundas.

Recibiendo el perfil de usuario

El cómo reciben los perfiles los usuarios dependerá del tipo del perfil configurado para la cuentas que lo usan:

  1. Perfil Local: Perfil que se crea la primera vez que el usuario inicia sesión en su equipo. Se almacena en el disco local. Si se le hacen cambios, estos no se mostrarán si el usuario inicia sesión en otro equipo.
  2. Perfil móvil: Perfil disponible para los usuarios desde cualquier equipo de la red. Todos los cambios que se le hagan seguirán al usuario inicie sesión en el equipo que inicie.
  3. Perfil obligatorio: Similar al perfil móvil. Los administradores asignan perfiles obligatorios a usuario y Windows ignora los cambios que se la hagan durante la sesión en cuanto el usuario la cierra. Es decir, siempre tendrán la misma configuración al iniciar sesión. Es una herencia de NT 4.0 y hoy es mejor usar las directivas de grupo en su lugar.

Perfil Local

  1. El usuario inicia sesión
  2. Windows comprueba la lista de perfiles de usuario en la clave ProfileList si existe o no. En el primer caso, lo usa; en otro caso el sistema realiza una de las siguientes acciones:
    1. Si el equipo es un miembro de dominio, Windows busca el recurso compartido NETLOGON en un DC el perfil de usuario predeterminado en la carpeta Default User. Si lo hay, lo copia a %Unidad_del_sistema%Documents and settingsNombre_usuario.
    2. Si no pertenece a un dominio o Windows no encuentra el perfil en NETLOGON, usa el perfil de usuario predeterminado Local, copiándolo desde %Unidad_del_sistema%Documents and settingsDefault User a %Unidad_del_sistema%Documents and settingsNombre_usuario.
  3. Windows carga la sección del perfil NTUSER.DAT en la clave HKU y enlaza la clave raíz HKCU al mismo.

Cuando el usuario cierra sesión, el sistema guarda los cambios en el perfil en la carpeta del perfil de usuario. No copia la carpeta de perfil en la red, y también descarga la sección desde el Registro.

Perfil móvil

  1. El usuario inicia sesión
  2. Windows comprueba la lista de perfiles de usuario en la clave ProfileList si existe o no. En el primer caso, el sistema combina la copia del perfil en la red dentro de la carpeta del perfil local; en otro caso el sistema realiza una de las siguientes acciones:
    1. Windows comprueba si existe la carpeta de Default User en el recurso compartido NETLOGON de un DC. Si existe, copia la carpeta Default User a %Unidad_del_sistema%Documents and setingsNombre_usuario.
    2. Si Windows no encuentra la carpeta Default User en NETLOGON, copia %Unidad_del_sistema%Documents and settingsDefault User a %Unidad_del_sistema%Documents and settingsNombre_usuario.
  3. Windows carga la sección del perfil NTUSER.DAT en la clave HKU y enlaza la clave raíz HKCU al mismo.

Cuando el usuario cierra sesión, el sistema guarda los cambios en el perfil a la carpeta del perfil local y descarga las secciones de HKU. Después, copia la carpeta de perfil a la ubicación de red especificada. Si esta carpeta ya existe en la red, el sistema combina la local dentro de la copia de red.

Dos diferencias entre móvil y obligatorio: cuando creamos un perfil obligatorio y lo copiamos en la carpeta del perfil del usuario no dejamos a Windows que lo cree cuando el usuario inicia sesión y el perfil copiado lo renombramos de NTUSER.DAT a NTUSER.MAN para que Windows lo utilice como obligatorio y Windows no combina los perfiles obligatorios con la red al cerrar el usuario la sesión.