| Capítulo 24. Gestión de perfiles de escritorio: Una guía básica | ||
|---|---|---|
| Anterior | Capítulo 24. Gestión de perfiles de escritorio | Siguiente |
El tratamiento de los perfiles móviles es distinto entre 9x/Me y Windows NT4/200x.
Antes de ver como configurar perfiles móviles, puede ser útil ver como los clientes Windows 9x/Me y Windows NT4/200x desarrollan estas características.
Los clientes Windows 9x/Me envían una petición NetUserGetInfo al servidor para obtener la ubicación en el servidor del perfil del usuario. Sin embargo, la respuesta no tiene un espacio para un campo de ubicación de perfiles separado, sólo para el directorio personal. Esto implica que los perfiles de 9x/Me están restringidos a almacenarse en sólo en el directorio personal del usuario.
Los clientes Windows NT4/200x envían una petición RPC NetSAMLogon, que contiene muchos campos, incluyendo un campo separado para ubicación del perfil del usuario.
Esta sección documenta como configurar Samba para soporte de perfiles a clientes MS Windows.
Perfiles de usuario NT4/200x
Por ejemlo, para admitir clientes defina en la sección [global] del fichero smb.conf:
Esto normamente se desarrola como:
donde %L equivale al nombre del servidor Samba y %u equivale al nombre de usuario.
El valor preseterminado de esta opción es \\%N\%U\profile, resumiendo \\sambaserver\username\profile. El servicio \\%N\%U se crea automáticamente a través del servicio [homes]. Si usa un servidor Samba para los perfiles, tiene que crear el recurso especificado en logon path listable. Por favor consulte la página de manual de smb.conf para más detalles sobre las diferencias entre %L y %N, y también las existentes entre %U y %u.
Observación
Los clientes MS Windows NT/200x hasta el momento no cortan una conexión a un servidor entre presentaciones. Se recomienda no usar el metaservicio homes como parte de la ruta del recurso de perfiles.
Perfiles de usuario en Windows 9x/Me
Para admitir clientes Windows 9x/Me, tiene que usar el parámetro logon home. Samba se ha corregido para que net use /home funcione también y eso recae en el parámetro logon home.
Al usar el parámetro logon home se restringe a poner los perfiles Windows 9x/Me en el directorio personal del usuario. Pero espere, hay un truco que puede usar. Si pone lo siguiente en la sección [global] del fichero smb.conf:
entonces sus clientes Windows 9x/Me pondrán sus perfiles en un subdirectorio del directorio personal llamado .profiles (haciéndolo oculto).
No sólo, pero net use /home también funcionará gracias a una caracteristica de Windows 9x/Me. Elimina cualquier cosa del directorio y sólo la parte del servidor y del recurso. Esto es, se parece a lo que especifica \\%L\%U para logon home.
Perfiles de usuario Windows 9x/Me y Windows NT4/200x mezclados
Puede admitir perfiels para clientes Windows 9x y Windows NT fijando los parámetros logon home y logon path. Por ejemplo:
Una pregunta frecuente es: ¿Cómo puedo forzar el uso de perfiles locales? o ¿Cómo deshabilito los perfiles móviles?
Hay tres formas de hacerlo:
En smb.conf
Cambia los siguientes parámetros y TODOS los clientes se verán obligados a usar el perfil local: logon home y logon path
Registro MS Windows
Usando la consola de gestión de Microsoft Management Console gpedit.msc configure su máquina MS Windows XP para usar sólo el perfil local. Esto, por supuesto, modifica los valores del registro. La ruta completa de esta opción es:
Local Computer Policy\
Computer Configuration\
Administrative Templates\
System\
User Profiles\
Desactivar: Permitir sólo perfiles locales de usuario
Desactivar: Prevent Roaming Profile Change from Propagating to the Server
Cambiar el tipo de perfil:
En el menú inicio, botón derecho sobre el icono MiPC, seleccione propiedades y pulse sobre la pestaña Perfiles de usuario, seleccione el perfil que quiere cambiar de tipo móvil a tipo local y seleccione cabiar tipo.
En la guía del registro de MS Windows encontrará más información sobre el caso particular de su versión de MS Windows para saber qué claves del registro tiene que modificar para usar sólo perfiles locales.
Observacion
Los detalles específicos sobre como convertir el perfil local a móvil o móvil a local varían según la version de MS Windows que esté usando. Consulte el Kit de recursos de su versión para tener información específica.
Configuración de perfiles Windows 9x/Me
Cuando un usuario se identifica por primera vez en un Windows 9X se crea el fichero user.DAT, los directorios Menú Inicio, Escritorio, Programas, and Entorno de red. Esto directorios y sus contenidos se mezclan con las versiones locales guardadas en c:\windows\profiles\usuario en subsiguientes conexiones, tomando el más reciente de ellos. Tendrá que usar las opciones de [global] preserve case = yes, short preserve case = yes y case sensitive = no para mantener en mayúsculas en los accesos directos de cualquiera de las carpetas del perfil.
El fichero user.DAT contiene todas las preferencias del usuario. Si quiere forzar un conjunto de preferencias, renombre su fichero usuario.DAT como user.MAN, y deniegue el acceso de escritura sobre este fichero.
En la máquina Windows 9x/Me vaya al Panel de Control -> Contraseñas y seleccione la pestaña Perfil de usuario. Seleccione el nivel de preferencias móviles. Pulse Aceptar pero no reinicie el ordenador.
En la máquina Windows 9x/Me vaya al Panel de Control -> Red -> Cliente pare redesr Microsoft -> Preferencias. Seleccione iniciar sesión en el Dominio NT. Entonces asegúrese de que el inicio de conexión es Cleinte para redes Microsoft. Pulse OK y ahora sí, reinicie la computadora.
Bajo Windows 9x/ME, los perfiles se cargan del inicio principal de sesión. Si tiene un inicio principal de sesión con Cliente de redes Novell, el perfil y el script de inicio se cargan del servidor Novell. Si tiene el inicio de sesión con Windows , entonces el perfil se cargaráde la máquina local, un poco en contra del concepto deperfil móvil como podría parecer.
Ahora verá que la ventana de conexión a redes Microsoft contiene [usuario, contraseña, dominio] en lugar de sólo [user, password]. Escriba el nombre de dominio del servidor Samba (u otro dominio que sepa que exista, pero tenga en cuenta que el usuario se valida en ese dominio y los perfiles se cargan de él, si el servidor de dominio lo admite), el nombrede usuario y la contraseña.
Una vez que se ha validado correctamente, la máquina Windows 9x/Me le informará que el usuario no se ha iniciado sesión anteriormente y le pregunta si ¿quiere guardar las preferencias de usuario?. Seleccione Sí.
Una vez que el cliente Windows 9x/Me ha entrado en el escritorio, debería pode examinar los contenidos del del directorio especificado en logon path en el servidor Samba y verificar que los directorios Escritori, Menú Inicio, Programas y Entorno de red se han creado.
Estos directorios se guardan localmente en el cliente y se actualizan cuando el usuario cierra la sesión (si no los ha creado como sólo lectura). Ahora verá que si el usuario crea más carpetas o enlaces, el cliente combinará los contenidos del perfil descargado con los contenidos del directorio de perfil existente en la máquina local, tomando las carpetas y acesos directos más recientes en cada uno de ellos.
Si definió los carpetas y ficheros como sólo lectura en el servidor Samba entonces surgirá un error en las conexiones y desconexiones de los clientes Windows 9x/Me debido a que intenta combinar los perfiles local y remoto. Básicamente, si tiene algún error de las máqinas Windows 9x/Me, verifique los permisos y propietario Unix de los ficheros contenidos el directorio del perfil del servidor Samba.
Si tiene problemas al crear lso perfiles de usuario, puede reiniciar el cache del escritorio local como se muestra más abajo. Cuando el usuario se conecte la próxima vez, se le comunica al usuario que inicia sesión por primera vez.
En lugar de rellenar el diálogo [usuario, contraseña, dominio], pulse escape.
Ejecute el programa regedit.exe y mire en:
HKEY_LOCAL_MACHINE\Windows\CurrentVersion\ProfileList
Verá una entrada para ProfilePath para cada usuario. Vaya al contenido de esta clave (probablemente será c:\windows\profiles\usuario), y elimine la clave ProfilePath del usuario correespondiente.
Salga del editor del registro.
Busque el fichero de caché de contraseñas .PWLen el directorio c:\windows y bórrelo.
Cierre sesión en el cliente Windows 9x/Me.
Compruebe el contenido del profile path (vea logon path descrito anteriormente) y borre el fichero usuario.DAT o usuario.MAN del usuario correspondiente, haciendo una copia de seguridad si fuera necesario.
Atención
Antes de borrar los contenidos del directorio listado en ProfilePath (probablemente será c:\windows\profiles\usuario), pregunte al propietario si tiene algún fichero importante guardado en su escritorio o en el menú inicio. Borre los contenidos del directorio ProfilePath (haciendo una copìa de seguridad de estos ficheros si fuera necesario).
Esto tendrá el efecto de eliminar el fichero user.DAT (fichero de lsistema ocuulto y sólo lectura) en su directorio de perfil así como las carpetas locales Escritorio, Entorno de red, Menú inicio, y programas.
Si todo los demás falla, aumente el nivel de depuración de Samba entre 3 y 10, y/o ejecute un sniffer como ethereal o netmon.exe, y busque los mensajes de error.
Si tiene acceso a un servidor Windows NT4/200x, primero configure los perfiels móviles y/o sesiones en el servidor Windows NT4/200x. Haga una traza de los paquetes o examine los ejemplos de trazas de paquetes suministrados con los servidores Windows NT4/200x y vea las diferencias que hay con los equivalentes de Samba.
Estaciones de trabajo Windows NT4
Cuando un usuario inicia sesión por primera vez en una estación de trabajo Windows NT, se crea el perfil NTuser.DAT. Se puede especificar la ubicación del perfil mediante el parámetro logon path.
Hay un parámetro que ahora está disponible para usarse con perfiels NT: logon drive. Debería tener el valor H: o culquie otra unidad y se usa de forma conjunta con el nuevo parámetro logon home.
La entrada del perfil NT4 es un directorio, no un fichero. La ayuda de NT para Perfiles mencion que también se crea un directorio con extensión .PDS. El usuario, mientras inicia sesión, tiene que tener permiso de escritura para crear la ruta completa del perfil (y la carpeta con extensión .PDS para las situaciones en las que deba crearse).
En el directorio del perfil, Windows NT4 crea mas carpetas que Windows 9x/Me. Crea Application Data y otras, así como también Escritorio, Entorno de red, Menú inicio, y Programas. El propio perfil se almacena en NTuser.DAT. No parece guardarse nada en el directorio .PDS y su propósito es actualmente desconocido.
Ouede usar el Panel de Control de Sistema para copiar un perfil local en el servidor Samba (vea la ayduda de NT sobre Perfiles; también puede lanzar la ubicación correcta en el Panel de Control de Sistema). El fichero de ayuda NY también menciona que renombrando NTuser.DAT como NTuser.MAN lo define como perfil obligatorio.
El tipo de letra mayúscula y minúscula del perfil es significativo. El fichero se debe llamar NTuser.DAT o, para un perfil obligatorio, NTuser.MAN.
Windows 2000/XP Profesional
Primero tiene que convertir el perfil de local a perfil de dominio en las estaciones de trabajo MS Windows de la siguiente forma:
Inicie sesión como administrador local de la estación de trabajo.
Pulse el botón derecho del ratón en el icomo MiPC, seleccione propiedades.
Pulse en la pestaña Perfil de usuario (Opciones avanzadas).
Seleccione el perfil que quiere convertir (puse una vez).
Pulse en el botón Copiar A.
Pulse en el botón cambiar.
Pulse en el área que lista el nombre de la máquina. Cuando pulse se abrirá una caja deselección. Puse en el dominio en el que quiere que el perfil esté accesible.
Observación
Necesitará iniciar sesión si se abre una ventana de inicio de sesión. Por ejemplo, conéctese como DOMINIO\root, contraseña: mipassword.
Para asegurarse de que el perfil puede usarse porcualquiera, seleccione Todos.
Pulse en OK y el cuadro de selección desaparecerá.
Ahora pulse en Aceptar para crear la ruta del perfil.
Hecho. Ahora tiene un perfil que se puede editar usando la herramienta Samba para perfiles.
Observación
Bajo Windows NT/200x, el uso de perfiles obligatorios fuerza el uso de almacenamiento de correo de MS Exchange y lo mantiene fuera del perfil de escritorio. Esto puede hacer que los perfiles se hagan inutilizables.
Windows XP Service Pack 1
Hay una comprobación de seguridad nueva en Windows XP (o quizás sólo en Windows XP service pack 1). Se puede desactivar mediante la política de grupo en Active Directory. La política se llama:
Computer Configuration\Administrative Templates\System\User Profiles\Do not check for user ownership of Roaming Profile Folders
Se debería poner como Activa.
¿Tiene la nueva versión de Samba un análogo a Active Directory? Si es así, puede fijar la política mediante esto.
Si no puede fijar políticas de grupo en Samba, entonces puede fijar las políticas localmente en cada máquina. Si intenta esto, haga lo siguiente(N.B. No estoy seguro de que esto funcione igual que una política de grupo de dominio):
En la estación XP inicie sesión con una cuenta Administrativa.
Pulse en Inicio -> Ejecutar.
Pulse mmc.
Pulse en Aceptar
Se abrirá una ventana de Microsoft Management Console.
Puse en Archivo -> Añadir/Borrar Snap-in -> Añadir
Doble-click en Política de Grupo.
Pulse en Finalizar -> Cerrar.
Puse en aceptar.
En Console Root la ventana expande Política Local Máquina -> Configuración de Máquina -> Plantillas Administrativas -> Sistema -> Perfiles de usuario.
Doble-click en "Do not check for user ownership of Roaming Profile Folders." ("No comprobar la propiedad del usuario de las carpetas de perfiles móviles").
Seleccion Activar.
Pulse Aceptar.
Cierre toda la consola. No necesita guardar las modificaciones (esto se refiere a los valores de la consola más que a ls políticas que ha modificado).
Reinicie
No se recomienda compartir perfiles de escritorio entre versiones de Windows. Los perfiles de escritorio tienen características distintas que pueden interferir con versiones previas de clientes MS Windows. Probablemente la mejor razón para no mezclar perfiles es que cuando se cierra una sesión en una versión previa de MS Windows, el formato viejo puede sobrescribir información que pertenece a versiones más recientes ocasionando pérdida de información del perfil cuando el usuario inicia sesión de nuevo con la nueva versión de MS Windows.
Si quiere compartir el mimso Menu Inicio/Escritori con W9x/Me, tendrá que especificar una ubicación común para los perfiles. Los parámetros de smb.conf que tienen que ser comunes son logon path y logon home.
Si tiene esto configurado correctamente, tendrá ficheros user.DAT y NTuser.DAT distintos en el mismo directorio del perfil.
No hay nada que le impida especificar cualquier ruta de acceso que quiera para la ubicación de los perfiles de usuario. Por tanto, puede especificar que el perfil se almacene en el servidor Samba u otro servidor SMB siempre que admitan contraseñas cifradas.
Herramientas Windows NT4 de gestión de perfiles
Por desgracia la información del Kit de Recursos es específica para la versión de MS Windows NT4/200x. Cada plataforma necesita su porpio Kit de recursos.
Aquí tiene una guíarápida:
En su controlador de dominio NT4 pulse el botón derecho en MiPC y seleccione la pestaña Perfiles de Usuario.
Seleccione el perfil de usuario quequiere migrar y pulse sobre él.
Observación
Uso el término migrar limitadamente. Puede copiar un perfil para para crear un perfil de grupo. Puede dar al usuario Everyone derechos sobre el perfil que copia. Esto es lo que necesita hacer, ya que su dominio Samba no es miembro de una relación de confianza con su PDC NT4.
Puse en el botón Copiar A:
En la pestaña llamada Copiar Perfil paraañadir su nueva ruta, v.g., c:\temp\foobar
Puse en Cambiar en permitido usar.
Puse en el grupo Cualquiera, pulse en Aceptar. Esto cierra al ventana elegir usuario.
Ahora puse Acetar.
Siga los paso anteriores para cada perfil que necesite migrar.
Observaciones Side Bar
Debería obtener el SID se su dominio NT4. Puede usar smbpasswd para hacerlo. Lea la página del manual.
moveuser.exe
El kit de recursos Windows 200x professional tiene moveuser.exe. moveuser.exe cambia la seguridad de un perfil de un usuario a otro. Esto permite cambiar la cuenta de dominio y/o el nombre de usuario.
Esta orden es como la herramienta Samba de perfiles.
Obtener SID
Puede identificar el SID usando GetSID.exe del kit de recursos Windows NT Server 4.0.
Windows NT 4.0 guarda la información del perfil local en el registro en l aclave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
En la clave ProfileList, habrá subclaves con el nombre de los SIDs de los usuarios que han iniciado una sesión en esta computadora. (Para encontrar la información del perfil del usuario que tiene el perfil cachedo localmente que quiere mover, encuentre el SID del usuario con la utilidad GetSID.exe). Dentro, en la subclave correspoondiente verá un valor de texto llamado ProfileImagePath.