sábado, 3 de febrero de 2018

Perfiles de Usuarios

Perfiles de Usuarios

Podemos definir el perfil de un usuario como el entorno cargado por el sistema cuando un usuario inicia una sesión. Incluye todos los valores de configuración de usuario específicas del entorno Windows 2000, como elementos de programa, conexiones de red, conexiones de impresoras, escritorio, documentos, etc. Dichos perfiles de usuario se crean automáticamente la primera vez que un usuario inicia una sesión.

Si en las propiedades del usuario en cuestión se le ha asociado una unidad de red del servidor como ruta de acceso a su perfil, estamos definiendo un perfil denominado "perfil móvil", y que se caracteriza porque el perfil de usuario de servidor se descarga en el equipo local cuando un usuario inicia una sesión, y se actualiza tanto localmente como en el servidor cuando el usuario cierra la sesión. Los perfiles de usuarios móviles están disponibles en el servidor cuando se inicie una sesión en cualquier equipo del dominio.

Los perfiles móviles, a no ser que se indique lo contrario, almacenarán los cambios en la configuración del perfil indicados por el usuario (este tipo de perfil será el utilizado por los profesores de nuestro centro), tales como los archivos almacenados en "Mis Documentos" o los iconos existentes en el "Escritorio", por ejemplo. Los alumnos de nuestro centro también dispondrán de un perfil móvil, pero que no se actualiza cuando el usuario cierra la sesión, denominado perfil obligatorio, y que se descarga cada vez que el usuario inicia sesión. Los perfiles obligatorios son creados por un administrador y asignados a uno o varios usuarios a fin de crear perfiles de usuario invariables.

Para poder definir perfiles móviles (obligatorios para los alumnos y dinámicos para los profesores), lo primero que hemos de hacer es crear una carpeta compartida donde almacenemos la totalidad de los perfiles de los usuarios del centro. Para ello crearemos en la unidad "D:" de nuestro servidor Windows 2000 una carpeta de nombre "Perfiles" y compartirla con el nombre "Perfiles$"; a continuación pulsaremos sobre el botón "Permisos" y hacremos que el usuario "Todos" tenga los permisos "Control Total", "Cambiar" y "Leer" (el usuario "Todos" debe disponer de todos los permisos para que cada usuario pueda grabar su perfil en su carpeta, de ahí el hecho de incluir el "$" en el nombre asignado al recurso para que no sea visible por los usuarios, porque debemos tener en cuenta que cualquier usuario podría grabar lo que quisiera en la raíz de la carpeta "Perfiles" si sabe de su existencia; esto no genera un grave problema de seguridad, pues NUNCA ningún usuario podrá acceder a visualizar el contenido de otra carpeta de perfiles que no sea la suya propia); para finalmente completar el proceso pulsando sobre el botón "Aceptar".

Para crear un perfil obligatorio, lo primero que hemos de tener en cuenta es que NO debemos tener asignada ninguna ruta de acceso al perfil en los usuarios a los que vamos a asociarles el perfil obligatorio ("los usuarios "ESO" y "Bachiller"); si sobre pulsamos con el botón derecho del ratón sobre un usuario, y seleccionamos la opción "Propiedades", podemos pulsar sobre la pestaña "Perfil" y comprobar que la caja de texto "Ruta de acceso al perfil" está vacía.
Una vez comprobado que no existe asociada ruta de acceso al perfil alguna para el usuario en cuestión, iniciaremos sesión en una estación de trabajo del dominio con la cuenta del dominio de dicho usuario (es decir, iniciando sesión con el usuario "ESO" en el dominio "MICENTRO"), modificando en dicha sesión el entorno de trabajo, de modo que personalicemos el perfil tal cual queremos que lo vean mis alumnos de E.S.O.; posteriormente cerraremos sesión y nos autenticaremos en la misma máquina como un administrador del dominio (NO el administrador de la máquina local).
Una vez autenticados como el administrador del dominio, iremos a la opción "Sistema" dentro de "Panel de Control"; una vez allí pulsaremos sobre la pestaña "Opciones Avanzadas" y luego sobre el botón "Configuración" del apartado  "Perfiles de Usuario", seleccionamos el perfil "MICENTRO\ESO", tal y como vemos en la siguiente imagen:
El siguiente paso consistirá en pulsar sobre el botón "Copiar a", indicando como ruta de destino "\\SERVIDOR\Perfiles$\alumno.man" (hemos especificado "alumno.man" como nombre para el perfil móvil obligatorio en vez de "ESO.man", debido a que dicho perfil será utilizado tanto por mis alumnos de "E.S.O." como por lo de "Bachiller").
Además en dicha ventana pulsaremos sobre el botón "Cambiar" para especificar que el perfil puede ser utilizado por el usuario "Todos", tecleando dicho usuario en la caja de texto destinada a tal defecto, tal y como vemos en la siguiente ventana. Finalmente pulsamos sobre el botón "Aceptar".
A la vuelta de la pantalla anterior ya aparecerán especificados los usuarios a los que les estará permitido usar dicho perfil; pulsamos sobre el botón "Aceptar" para concluir este apartado.
Una vez completado el proceso anterior, ya podemos cerrar sesión en la estación de trabajo donde hemos realizado el proceso descrito; en este instante ya encontraremos colgando de nuestra carpeta "Perfiles$" del servidor, una carpeta de nombre "alumno.man". El siguiente paso es ir a nuestro servidor y sobre las "Propiedades" de la carpeta "alumno.man", seleccionar la pestaña "Seguridad", y sobre el usuario "Todos" definir para dicho usuario permisos de "Lectura y ejecución", "Listar el contenido de la carpeta" y "leer", tal y como vemos en la siguiente imagen. 
De este modo evitamos que los usuarios que hagan uso del perfil obligatorio puedan realizar una conexión de red y eliminar el perfil obligatorio (con el consiguiente perjuicio para el resto de usuarios que hagan uso de ese perfil); una vez hecho lo indicado en el párrafo anterior, debemos pulsar sobre el botón "Avanzadas", seleccionar al usuario "Todos" de entre los existentes, pulsar sobre el botón "Ver o Modificar" y confirmar que se encuentran activadas las siguientes casillas: "Recorrer carpeta/Ejecutar archivo", "Listar carpeta/Leer datos", "Atributos de lectura", "Atributos extendidos de lectura" y "Permisos de lectura". 
NOTA: Estos cambios se propagan automáticamente a las subcarpetas que cuelgan de "alumno.man", de modo que los usuarios a los que se les asigne el perfil obligatorio, podrán acceder a leer de él, pero nunca podrán modificar nada, ni siquiera accediendo por medio de una conexión de red al perfil obligatorio.
Además, para forzar a que el perfil de los usuarios sea obligatorio, tenemos que acceder a la carpeta "alumno.dat" y renombrar el fichero oculto "NTUSER.DAT" a "NTUSER.MAN".
En este instante ya tenemos definida la carpeta raíz de la que colgarán los perfiles de los usuarios de nuestro dominio, y también hemos creado colgando de dicha carpeta, el perfil móvil obligatorio para mis alumnos; así pues el siguiente paso es asociar al usuario "ESO" recientemente creado, la ruta correspondiente de acceso a su perfil; para ello accederemos a nuestro servidor Windows 2000, nos ubicamos sobre dicho usuario, y con el botón derecho del ratón seleccionamos la opción "Propiedades", yendo sobre la pestaña "Perfil"; una vez allí especificaremos como "Ruta de acceso al perfil" la ruta "\\SERVIDOR\Perfiles$\alumno.man"
De igual manera que hemos asociado el perfil "alumno.man" al usuario "ESO", asociaremos dicho perfil al usuario "Bachiller".
Para modificar algún aspecto del perfil obligatorio de los alumnos, como por ejemplo incluir un fichero en la ventana inicio o un nuevo acceso directo en el Escritorio, podemos hacerlo directamente sobre la carpeta del perfil "alumno.man" del servidor, sin necesidad de hacer todo el laborioso proceso descrito anteriormente, copiando dicho fichero o acceso directo en la carpeta adecuada de dicho perfil; por ejemplo podemos incluir posteriormente a la copia de dicho perfil, un fichero de nombre "bienvenida.txt" en la carpeta "Inicio" del perfil del alumno, de modo que cuando un alumno inicie sesión en cualquier estación de trabajo del dominio, se le muestre dicho fichero.
Para el resto de usuarios del dominio (los profesores) especificaremos como ruta de acceso al perfil la ruta "\\SERVIDOR\Perfiles$\%username%"; la variable "%username%" está asociada al nombre del usuario sobre el que estemos trabajando, de modo que por ejemplo al usuario "Javier" se le asociará una carpeta una carpeta de perfil de nombre "javier"; finalmente pulsaremos sobre el botón "Aceptar". Repetiremos el proceso para los profesores "miguel" y "joaquin".
Una vez realizado el proceso anterior, cuando el usuario "Javier" inicie por primera vez sesión desde cualquier equipo del dominio, se creará una carpeta de nombre "javier" en la carpeta del servidor donde se almacenan los perfiles; a partir de ese momento cualquier otra autenticación de dicho usuario en cualquier equipo del dominio, provocará el acceso a dicha carpeta del servidor para servir al usuario "Javier" su perfil personalizado (brindándole total movilidad a dicho usuario, pues su perfil siempre será el esperado).
Aunque un usuario pudiera llegar a establecer una conexión a su perfil (al suyo, y sólo al suyo, al resto no podría) y eliminarlo (el alumno no podría eliminar el suyo al no disponer de permisos para ello), en la siguiente autenticación se recrearía de nuevo la carpeta con su perfil en el servidor (obviamente perdería las personalizaciones que hubiera efectuado en el perfil borrado anteriormente).

No hay comentarios:

Publicar un comentario