Uso de perfiles de usuario obligatorios (solo lectura) en Windows 10

Un perfil de usuario obligatorio es un tipo especial preconfigurado de perfil de usuario itinerante que solo pueden cambiar los administradores. Los usuarios a los que se les ha asignado un perfil obligatorio pueden trabajar en Windows como de costumbre durante la sesión de inicio de sesión, pero no se guardan cambios en el perfil después del cierre de sesión del usuario. En el siguiente inicio de sesión, el perfil obligatorio se carga sin cambios.

Un directorio con el perfil obligatorio puede ubicarse en la carpeta compartida de red y asignarse a varios usuarios de dominio a la vez: por ejemplo, a usuarios de servidor terminal (RDS), quioscos de información o usuarios que no necesitan un perfil personal (escolares, estudiantes, visitantes). El administrador puede configurar la redirección de carpetas para perfiles obligatorios y los usuarios pueden mantener archivos personales en los servidores de archivos (por supuesto, se recomienda habilitar cuotas de disco usando NTFS o FSRM) para evitar que los usuarios almacenen archivos sin importancia en las carpetas redirigidas. ).

Tipos de perfiles de usuario obligatorios en Windows

Hay dos tipos de perfiles de usuario obligatorios en Windows:

  • Un perfil de usuario obligatorio normal – un administrador cambia el nombre del archivo NTuser.dat (contiene la sección de registro de usuarios HKEY_CURRENT_USER) a NTuser.man. Al usar Ntuser.man, el sistema asume que este perfil es de solo lectura y no guarda ningún cambio en él. Si el perfil obligatorio se almacena en un servidor remoto y el servidor deja de estar disponible, los usuarios pueden iniciar sesión utilizando la versión en caché del perfil obligatorio;
  • Un perfil de usuario súper obligatorio – cuando se utiliza este tipo de perfil, se cambia el nombre del directorio que contiene el perfil de usuario y se agrega la extensión .man al final del nombre de la carpeta. Los usuarios con este tipo de perfil no podrán iniciar sesión si el servidor en el que está almacenado su perfil no está disponible.

Algunos escenarios también permiten usar perfiles obligatorios para usuarios locales, por ejemplo, en computadoras públicas (quioscos, salas de reuniones, etc.) en lugar de usar un filtro UWF. Cualquier usuario puede trabajar en el mismo entorno y no se guardan cambios cuando un usuario cierra la sesión.

Ahora mostraremos cómo crear un perfil obligatorio normal en Windows 10 y asignarlo a un usuario. En este ejemplo, consideraremos cómo crear un perfil de usuario obligatorio en una computadora local (el perfil se almacenará en la unidad local), sin embargo, explicaremos cómo asignar un perfil de usuario obligatorio a las cuentas de dominio.

Cómo crear un perfil de usuario obligatorio en Windows 10

  1. Inicie sesión en una computadora con la cuenta de administrador e inicie la consola Usuarios y grupos locales (lusrmgr.msc);
  2. Cree una nueva cuenta, por ejemplo, ConfRoom;configurar perfiles de usuarios obligatorios en Windows 10
  3. Ahora necesita copiar el perfil predeterminado en un directorio separado con una extensión determinada. Como usamos Windows 10 1703, esta carpeta debe tener V6 sufijo. Por ejemplo, el nombre de la carpeta será C: ConfRoom.V6;
  4. Abra las Propiedades del sistema (SystemPropertiesAdvanced.exe);
  5. En Perfiles de usuario sección, haga clic en Ajustes;
  6. Selecciona el Perfil por defecto y haga clic en Copiar a;
  7. Seleccione C: ConfRoom.V6 como una carpeta para copiar el perfil (o puede copiar la plantilla de perfil en la carpeta compartida de red en el servidor de archivos especificando una ruta UNC, por ejemplo, \ lon-fs01 profiles ConfRoom.V6).
  8. Seleccione NT AUTHORITY Usuarios autenticados en los permisos. copiar carpeta de perfil de usuario

Consejo. En Windows 10 1709 o versiones más recientes, hay una opción separada de «Perfil obligatorio» cuando intentas copiar una plantilla de perfil. Al usar esta opción, un grupo seleccionado de usuarios obtiene automáticamente permisos NTFS de solo lectura en la carpeta.

Cómo asignar un perfil obligatorio a los usuarios

Ahora puede asignar el perfil obligatorio al usuario que desee.

Si está utilizando un perfil obligatorio local, vaya a Perfil pestaña de las propiedades del usuario y especifique la ruta al directorio C: ConfRoom.v6 en el Ruta del perfil campo.

establecer ruta de perfil obligatoria en Windows

Si configura un perfil de usuario de itinerancia obligatorio en el dominio AD, debe especificar la ruta UNC al directorio con el perfil en las propiedades de la cuenta en la consola ADUC.

establecer la ruta del perfil en la configuración del usuario de Active Directory

Luego inicie sesión en el sistema con la nueva cuenta de usuario y realice todos los ajustes necesarios (seleccione la apariencia, coloque los accesos directos, los archivos necesarios, configure el software, etc.).

Finalice la sesión de usuario e inicie sesión con la cuenta de administrador. Entonces cambia el nombre NTUSER.dat dentro NTUSER.man en la carpeta de perfil de usuario.

cambiar el nombre de NTUSER.dat a NTUSER.man

Ahora intente iniciar sesión en el sistema como un usuario con el perfil obligatorio y asegúrese de que después de cerrar la sesión no se guarden cambios en el perfil.

Si después de iniciar sesión con el perfil de usuario obligatorio, aparece el error:

The User Profile Service service failed the sign-in. User profile cannot be loaded.

Y el siguiente evento aparece en el registro del sistema:

Windows could not load your roaming profile and is attempting to log you on with your local profile. Changes to the profile will not be copied to the server when you log off. Windows could not load your profile because a server copy of the profile folder already exists that does not have the correct security. Either the current user or the Administrators group must be the owner of the folder.

Asegúrese de que los siguientes permisos estén asignados al directorio del perfil (con la herencia de permisos para todos los objetos secundarios):

  • TODOS LOS PAQUETES DE APLICACIÓN – Control total (el menú Inicio no funciona correctamente sin él);
  • Usuarios autenticados: leer y ejecutar;
  • SISTEMA – Control total;
  • Administradores: control total.

Se deben asignar los mismos permisos al subárbol del registro de usuarios cargando el archivo de perfil ntuser.dat usando Expediente -> Cargar colmena en regedit.exe.

Al usar perfiles de roaming, para que el menú Inicio se muestre correctamente en todos los dispositivos, debe configurar la clave REG_DWORD con el nombre SpecialRoamingOverrideAllowed y el valor 1 en la sección HKLM Software Microsoft Windows CurrentVersion Explorer del registro.

Si necesita realizar cambios en un perfil obligatorio, cambie el nombre de ntuser.man a ntuser.dat y configure el entorno en la cuenta de usuario. Luego, cambie el nombre del archivo nuevamente.

Cuando utilice un perfil obligatorio en servidores RDS, puede utilizar las siguientes Políticas de grupo, en las que puede especificar la ruta al directorio del perfil y habilitar el uso de perfiles obligatorios. La sección de GPO correspondiente es: Configuración de la computadora -> Políticas -> Plantillas administrativas -> Componentes de Windows -> Servicios de escritorio remoto -> Host de sesión de escritorio remoto -> Perfiles.

  1. Usar perfiles obligatorios en el servidor Host de sesión de Escritorio remoto = Habilitado;
  2. Establecer ruta para el perfil de usuario móvil de servicios de escritorio remoto = Habilitado + especifique la ruta UNC.

Tenga en cuenta que si decidió utilizar la redirección de carpetas junto con el perfil obligatorio, no se recomienda redirigir la carpeta AppData (Roaming).

Artículos Interesantes

Relacionados:

Iniciar sesión automáticamente en Windows 10 sin una contraseña
Solución: el control de brillo de la pantalla de Windows 10 no funciona
El modo de licencia para el host de sesión de escritorio remoto no está configurado
¿Cómo administrar recursos compartidos de archivos de Windows usando PowerShell?