martes, 27 de marzo de 2012

Curso XII. Active Directory Perfiles Obligatorios

Los usuarios de nuestra empresa ya tienen las contraseñas bien configuradas gracias a nuestras directivas GPO, ahora vamos a controlar los perfiles ... hay muchos tutoriales para configurar perfiles móviles, pero estos además van a ser Obligatorios, es decir, al cerrar sesión cada usuario no se guardara ningún cambio.

En las propiedades de las cuentas de usuario, consola equipos y usuarios de Active Directory esta la pestaña del Perfil, indica la ruta desde donde se carga el perfil de un usuario.

Recuerda escribir una dirección de Red si quieres modificar dicha ubicación, y configurar los permisos NTFS y Compartir para que puedan acceder los usuarios.

Esto deberías hacerlo para cada usuario, aunque si pertenecen a un mismo grupo vamos a publicar un Script cortesía de Diaz Antuña, que nos facilita la labor, configurando esta ruta para todo el Grupo mediante Consola de Comandos.

Primero
Inicia sesión en un Windows 7.
Botón Derecho sobre Equipo/Propiedades Avanzadas.
Perfiles -> Copiar Perfil Predeterminado.
                  \\Maquina\Carpeta Compartida\obligatorio.V2
                  Permisos a Todos.

Segundo
Añadimos esa ruta a un usuario de Prueba.
Usuarios y Equipos/Propied.Usuario/Pestaña Perfil->\\Maquina\CarpetaCompartida\obligatorio[sin .V2].
Iniciamos Sesión con ese Usuario y Modificamos el Perfil a Nuestro Gusto XD.

Tercero
En la carpeta obligatorio.V2.
Renombramos el archivo ntuser.dat a ntuser.man [Esto evitara que se modifique].

Todos los Usuarios que tengan en sus propiedades la ruta a ese perfil, no podrán modificarlo y cada vez que inicien sesión lo harán con esta plantilla.

Script de Diaz Antuña
Para configurar esta ruta a todos los usuarios de un grupo tendríamos que ir uno por uno o implementar el siguiente comando.

dsquery group "CN=publico,OU=empresa,DC=seguridad,DC=jabali"
 | dsget group -members | dsmod user -profile "\\SERVER\comp\obligatorio"

Seguridad a lo Jabali para Todos!!

3 comentarios:

  1. esto no funciona por las directivas de seguridad de inicio de sesión. Sólo lo admite para un usuario

    ResponderEliminar
    Respuestas
    1. en Windows Server 2008R2 funciona perfectamente, y funciona para varios usuarios que evidentemente tendran el mismo perfil obligatorio, que es diferente de los prefiles moviles para cada usuario XD

      Eliminar
  2. Seria Bueno que mostraras un video tutorial para eso para poder ver mas detalladamente todo esto

    ResponderEliminar

Archivo del blog

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias