Cómo crear una directiva GPO en dominio Active Directory para cambiar la ubicación de la carpeta del perfil de los usuarios a una ubicación de red. Mostramos cómo aplicar esta directiva a los equipos agregados al dominio y cómo quedarían las carpetas: Mi música, Mis vídeos, Mis documentos, Mis imágenes, Appdata (roaming), Contactos, Recientes, etc.. Con este proceso se crearán perfiles móviles, esto dotará a la organización de la opción de que un usuario podrá iniciar sesión en cualquier equipo y obtendrá su configuración del escritorio y demás opciones del perfil personalizadas. El usuario «verá» su escritorio igual en cada equipo en el que inicie sesión.
- Crear carpeta de red en servidor de ficheros para perfiles móviles.
- Crear directiva GPO en dominio Active Directory de Windows Server para redirección de carpetas (perfiles móviles).
- Aplicar directiva a grupo de usuarios de una unidad organizativa.
- Claves de registro implicadas en redirección de carpetas.
Crear carpeta de red en servidor de ficheros para perfiles móviles
En primer lugar, crearemos una carpeta en un servidor de ficheros. Compartiremos dicha carpeta y le estableceremos los permisos básicos:
Compartiremos esta carpeta:
Compartiremos la carpeta. En el recurso compartido podemos indicar en la seguridad Todos con permiso de Modificar, dado que lo que prevalece es el permiso del sistema (que se le asignará posteriormente cuando se aplique la directiva):
Esta carpeta compartida en red será la que contenga todas las carpetas de todos los perfiles de los usuarios.
En nuestro caso, el servidor donde se almacenarán los perfiles móviles de los usuarios será server_perfiles y la carpeta compartida con los perfiles será \\server_perfiles\perfiles_moviles.
Crear directiva GPO en dominio Active Directory de Windows Server para redirección de carpetas (perfiles móviles)
Desde el controlador del dominio AD DS crearemos una directiva de seguridad GPO, desde Administración de directivas de grupo (gpmc.msc). Pulsaremos con el botón derecho del ratón sobre «Objetos de directiva de grupo» y elegiremos «Nuevo» en el menú emergente:
Introduciremos un nombre para la directiva GPO (Group Policy Object), por ejemplo «dr_Perfiles_Moviles»:
Sobre la directiva GPO creada pulsaremos con el botón derecho del ratón y elegiremos «Editar»:
Se abrirá el Editor de administración de directivas de grupo con la nueva directiva creada «dr_Perfiles_Moviles». Accederemos a las ramas:
- Configuración de usuario [1]
- Directivas [2]
- Configuración de Windows [3]
- Redirección de carpetas [4]
Una vez abierta la rama «Redirección de carpetas», en la parte derecha, nos mostrará todas las carpetas del perfil del usuario que pueden ser susceptibles de ser redirigidas. Iremos pulsando con el botón derecho del ratón sobre cada una de ellas y pulsando en «Propiedades»:
En la pestaña «Destino», elegiremos los siguientes valores:
- Configuración: seleccionaremos «Básico: redirigir la carpeta de todos a la misma ubicación» [1].
- Ubicación de la carpeta de destino:
- En el desplegable, elegiremos «Crear una carpeta para cada usuario en la ruta raíz» [2].
- En «Ruta de acceso raíz» introduciremos la ruta UNC de la carpeta compartida anteriormente en el servidor de ficheros, en nuestro caso \\server_perfiles\perfiles_moviles» [3].
Muy importante, antes de pulsar en Aceptar en la ventana anterior, iremos a la pestaña «Configuración». En esta pestaña debemos elegir el comportamiento que tendrá la directiva a la hora de crear la carpeta del perfil y, también, si en un futuro dicha directiva se elimna:
- Otorgar al usuario derechos exclusivos en AppData(Roaming): si marcamos esta opción, la directiva establecerá los permisos de acceso necesarios para que únicamente el usuario tenga permisos sobre su carpeta de perfil. De esta forma, cada usuario sólo verá y podrá modificar su carpeta de perfil y no las del resto. En caso de no marcar esta opción, tendremos que establecer los permisos de acceso a cada carpeta de cada usuario de forma manual conforme se vayan creando (en el primer inicio de sesión cuando se les aplique la directiva).
- Mover el contenido de AppData(Roaming) a la nueva ubicación: si marcamos esta opción, cuando se aplique la directiva (en el primer inicio de sesión del usuario en el equipo), el sistema moverá todos los ficheros del perfil del usuario local a la ubicación de red. Esto es muy interesante porque moverá, de forma automática, toda la personalización del perfil del usuario. Pero, hay que tener precaución porque si tenemos muchos usuarios y los usuarios guardan muchos datos en local del equipo (escritorio, mis documentos, mis imágenes, appdata, mis vídeos, contactos, recientes, etc.), esto ralentizará considerablemente el primer inicio de sesión del usuario (puede tardar media hora o más) y podría llenar la unidad del servidor de ficheros.
- Aplicar también la directiva de redirección en los sistemas operativos Windows 2000, Windows 2000 Server, Windows XP y Windows Server 2003: si tenemos equipos legacy podremos aplicar esta directiva también a equipos con Windows XP.
- Eliminación de la directiva: el comportamiento que tendrá si de decide eliminar esta directiva:
- Cuando se quite la directiva, dejar la carpeta en la nueva ubicación: si se marca esta opción y se eliminara la directiva, en el siguiente inicio de sesión, la directiva no haría ninguna acción, dejaría la carpeta del perfil en la ubicación en la que esté actualmente.
- Devolver la carpeta a la ubicación local de perfil de usuario cuando la directiva se haya quitado: si marcamos esta opción, en cuanto se elimine esta directiva, en el próximo inicio de sesión, se moverán los ficheros de todo el perfil del usuario de la carpeta móvil a la ubicación local del equipo (normalmente C:\Users\usuario). Esto es interesante para cuando queramos revertir el proceso de redirección de carpetas. Pero puede ser, como hemos indicado anteriormente, bastante lento en el primer inicio de sesión, porque tendrá que mover todos los ficheros del perfil del usuario de la carpeta de red a la carpeta local del equipo (puede tardar más de media hora).
Al pulsar «Aceptar» en la ventana anterior nos mostrará una advertencia:
Si existen configuraciones de la directiva de grupo relacionadas con Redirección de carpetas que no se aplican a Windows 2000, Windows 2000 Server, Windows XP o Windows Server 2003, ya no podrá cambiar ninguna configuración de Redirección de carpetas en este objeto de directiva de grupo (GPO) para dichos sistemas operativos .
Pulsaremos en «Sí»:
Repetiremos el proceso para todas las carpetas que queramos redirigir, estableciendo la configuración que deseemos por cada carpeta. Cerrando la ventana de Editor de administración de directivas de grupo la directiva quedará creada:
Aplicar directiva a grupo de usuarios de una unidad organizativa
Una vez creada la directiva, estableceremos a qué grupo de usuarios se aplicará. Para ello, por ejemplo, podemos usar las unidades organizativas. Desde Usuarios y equipos de Active Directory (dsa.msc), tendremos una (o varias) unidades organizativas con usuarios dentro. Por ejemplo:
- Usuarios.
- Desarrollo.
- Facturación.
- SOC.
Cada unidad organizativa contendrá los usuarios que pertenezcan a ella:
Volveremos a Administración de directivas de grupo (gpmc.msc) y seleccionaremos la unidad organizativa a la que queramos aplicar la directiva, en nuestro caso a «Usuarios» – «Facturación». Pulsaremos con el botón derecho del ratón sobre ella y elegiremos «Vincular un GPO existente…»:
Seleccionaremos la directiva GPO creada anteriormente y pulsaremos «Aceptar»:
A partir de ahora, en cuanto un usuario de esta unidad organizativa inicie sesión, se le aplicará la directiva y realizará el movimiento de las carpetas locales de su perfil a la ubicación de red. En algunos casos puede que la directiva no se aplique hasta un segundo inicio de sesión. En caso de necesitar forzar la aplicación de la directiva, desde el equipo cliente agregado al dominio, desde PowerShell o desde Símbolo de sistema (cmd), se puede ejecutar el siguiente comando:
|
1 |
gpupdate /force |
Y para ver las directivas aplicadas, se puede usar el comando:
|
1 |
gpresult /r |
Claves de registro implicadas en redirección de carpetas
A título informatico, a continuación se muestran las claves de registro que afectan a la redirección de carpetas del usuario. Modificando de forma manual estos valores, también se podrá modificar la ruta de cada carpeta del usuario:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 |
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders] "AppData"="\\servidor_perfiles\perfiles_moviles\usuario\AppData\Roaming" "My Video"="\\servidor_perfiles\perfiles_moviles\usuario\Documents\Mis vídeos" "My Pictures"="\\servidor_perfiles\perfiles_moviles\usuario\Documents\Mis imágenes" "Desktop"="\\servidor_perfiles\perfiles_moviles\usuario\Desktop" "NetHood"="\\servidor_perfiles\perfiles_moviles\usuario\AppData\Roaming\Microsoft\Windows\Network Shortcuts" "{56784854-C6CB-462B-8169-88E350ACB882}"="\\servidor_perfiles\perfiles_moviles\usuario\Contacts" "{00BCFC5A-ED94-4E48-96A1-3F6217F21990}"="\servidor_perfiles\perfiles_moviles\usuario\AppData\Local\Microsoft\Windows\RoamingTiles" "Favorites"="\\servidor_perfiles\perfiles_moviles\usuario\Favorites" "SendTo"="\\servidor_perfiles\perfiles_moviles\usuario\AppData\Roaming\Microsoft\Windows\SendTo" "Start Menu"="\\servidor_perfiles\perfiles_moviles\usuario\Start Menu" "My Music"="\\servidor_perfiles\perfiles_moviles\usuario\Documents\Mi música" "Programs"="\\servidor_perfiles\perfiles_moviles\usuario\Start Menu\Programs" "Recent"="\\servidor_perfiles\perfiles_moviles\usuario\AppData\Roaming\Microsoft\Windows\Recent" "PrintHood"="\\servidor_perfiles\perfiles_moviles\usuario\AppData\Roaming\Microsoft\Windows\Printer Shortcuts" "{7D1D3A04-DEBB-4115-95CF-2F29DA2920DA}"="\\servidor_perfiles\perfiles_moviles\usuario\Searches" "{374DE290-123F-4565-9164-39C4925E467B}"="\\servidor_perfiles\perfiles_moviles\usuario\Downloads" "{A520A1A4-1780-4FF6-BD18-167343C5AF16}"="\servidor_perfiles\perfiles_moviles\usuario\AppData\LocalLow" "Startup"="\\servidor_perfiles\perfiles_moviles\usuario\Start Menu\Programs\Startup" "Administrative Tools"="\\servidor_perfiles\perfiles_moviles\usuario\Start Menu\Programs\Administrative Tools" "Personal"="\\servidor_perfiles\perfiles_moviles\usuario\Documents" "{BFB9D5E0-C6A9-404C-B2B2-AE6DB6AF4968}"="\\servidor_perfiles\perfiles_moviles\usuario\Links" "Templates"="\\servidor_perfiles\perfiles_moviles\usuario\AppData\Roaming\Microsoft\Windows\Templates" "{4C5C32FF-BB9D-43B0-B5B4-2D72E54EAAA4}"="\\servidor_perfiles\perfiles_moviles\usuario\Saved Games" |
Los GUID identificativos en el registro de cada carpeta son:
| Carpeta | Nombre de clave de registro (GUID de carpeta) |
|---|---|
| AppData(Roaming) | {3EB685DB-65F9-4CF6-A03A-E3EF65729F3D} |
| Desktop | {B4BFCC3A-DB2C-424C-B029-7FE99A87C641} |
| Start Menu | {625B53C3-AB48-4EC1-BA1F-A1EF4146FC19} |
| Documents | {FDD39AD0-238F-46AF-ADB4-6C85480369C7} |
| Pictures | {33E28130-4E1E-4676-835A-98395C3BC3BB} |
| Music | {4BD8D571-6D19-48D3-BE97-422220080E43} |
| Videos | {18989B1D-99B5-455B-841C-AB7C74E4DDFC} |
| Favorites | {1777F761-68AD-4D8A-87BD-30B759FA33DD} |
| Contacts | {56784854-C6CB-462b-8169-88E350ACB882} |
| Downloads | {374DE290-123F-4565-9164-39C4925E467B} |
| Links | {BFB9D5E0-C6A9-404C-B2B2-AE6DB6AF4968} |
| Searches | {7D1D3A04-DEBB-4115-95CF-2F29DA2920DA} |
| Saved Games | {4C5C32FF-BB9D-43B0-B5B4-2D72E54EAAA4} |
