Gestion de perfiles moviles y obligatorios (2) en PDF

Anuncio
Administración del entorno de usuario
Tutelar al usuario
Al organizar la red mediante el Directorio Activo, los administradores
disponen de diversos mecanismos para definir el entorno de usuario,
con los que pueden ahorrarles inconvenientes, facilitar tareas de
mantenimiento de la red y conseguir un mejor control de cómo se utiliza
cada ordenador.
El entorno utilizando por cada usuario en su trabajo sobre el ordenador, viene
determinado por la combinación de varios elementos relacionados con el acceso a los
recursos, la configuración del equipo y los privilegios asignados para su utilización. Dejar
en manos del usuario la gestión de su entorno, en contra de lo que pueda parecer,
supone para los técnicos de soporte un trabajo añadido y muchas veces complicado.
Seguro que serán pocos los administradores que no han perdido varias horas delante de
un ordenador porque el usuario “ha tocado” lo que no debe, sabiendo o sin saber. O
cuántas veces, por casualidad, se descubre que usuarios no utilizan o emplean mal
recursos, porque no saben o acceden a ellos como Dios les da a entender.
A la hora de afrontar la configuración del entorno de usuario, el objetivo que debe
animar la estrategia de los administradores, es automatizar aquellas operaciones del lado
cliente repetitivas y ofrecerles un entorno uniforme que haga, en primer lugar, más
sencillo y cómoda su utilización, donde los administradores puedan reducir el tiempo y
esfuerzo necesario para resolver los pequeños o grandes problemas y la realización de
otras tareas de gestión cotidianas. Una correcta definición de este entorno, adaptado a
las necesidades de cada escenario y dirigido, permite conseguir un sistema fácil de
gestionar, muy flexible para asimilar cambios. Mientras, desde el lado de usuario, estos
dejan de percibir su informática como un sistema en bruto que ellos mismos se encargan
de pulir, según sus preferencias e iniciativa. No obstante, al implantar un entorno de
usuario dirigido, no conviene plantearlo desde una perspectiva de restricción para la
maniobra de los usuarios. Debe ofrecerse como la fórmula que mantiene la uniformidad
del entorno que facilita el trabajo de administradores y administrados.
Carpetas de trabajo.
Uno de los principales elementos que delimita el entorno de usuario para su operación en
red y su gestión, es el acceso a carpetas. Directorios que, según el propósito de los
archivos que alojan y su ubicación, pueden ser clasificadas en carpetas de datos y de
configuración, locales y de red. El tratamiento que se puede dar a las carpetas influye
directamente en el modo de trabajo que ha de seguir el usuario y la administración de la
red. Sin ir más lejos, afecta directamente a la estrategia de backup que se debe implantar
o la posibilidad que los usuarios puedan utilizar distintos ordenadores.
De las carpetas de usuario a las que debe prestar atención el administrador, destaca la
carpeta en la que se aloja el perfil. Cuando el usuario inicia sesión en un ordenador,
dentro de la carpeta local “Documents & Settings” se crea automáticamente una
subcarpeta con el nombre utilizado para entrar en el ordenador. En esta subcarpeta, por
24/04/2006 | Valor añadido Danysoft | 902 123146 | www.danysoft.com | Página 1.6
defecto, se guarda todo lo que tiene que ver con la personalización que ha hecho el
usuario y, opcionalmente, también su trabajo. El aspecto del escritorio, sus favoritos de
Internet, la personalización de su procesador de texto, los archivos recientemente
utilizados y un largo etc. Una subcarpeta cuyo contenido es exclusivo de cada ordenador,
de tal modo que el usuario al iniciar sesión en otro equipo, no encontrará la misma
configuración que tuviera en otro. Un comportamiento de Windows que puede superarse
mediante los perfiles móviles, característica disponible para usuarios que se encuentran
inscritos dentro de un Dominio, lógicamente.
Cuando se habilitan los perfiles móviles, una copia del perfil del usuario se aloja en un
servidor, de forma que cuando el usuario inicia sesión en una máquina, si no existe su
perfil, no se crea. Se descarga desde el servidor de referencia. Cuando el usuario cierra
la sesión, los posibles cambios que se hayan podido producir en su perfil, se guardan en
local y una copia se lleva al servidor. De esta forma, el sistema sólo crea un perfil en el
primer inicio de sesión de usuario en la red. A partir de ese momento, sea cual sea el
ordenador que utilice, siempre tendrá disponible el mismo perfil y no tendrá que
reconfigurar nada. Las ventajas de esta funcionalidad son evidentes. El usuario puede
utilizar distintos ordenadores con total comodidad y los administradores tienen la facilidad
de poder actuar sobre algunos de los componentes del perfil, sin desplazamientos.
Activar esta funcionalidad resulta tan sencillo como habilitar una carpeta compartida en
el servidor para alojar los perfiles individuales, con permisos que permita el acceso sólo al
usuario propietario del perfil. Una carpeta compartida para cada usuario o mejor, una
carpeta compartida con una subcarpeta para cada usuario. Echo esto, basta con acudir a
las propiedades del objeto usuario y en la pestaña de perfil, rellenar el campo Ruta del
perfil de usuario con la ruta UNC donde se localiza la carpeta, del estilo
\\servidor\perfiles\usuario. Windows se encarga del resto.
Para conseguir un mayor grado de uniformidad y facilidad de gestión sobre el perfil,
cabe la posibilidad de utilizar directivas de redirección de carpetas. Estas directivas van a
permitir cambiar la ubicación de varios componentes del perfil: Datos de programa, Menú
de Inicio, Mis Documentos y Escritorio. Windows permite varias opciones en el
establecimiento de la ruta de estas carpetas, que se adaptan a distintas necesidades y
abren muchas posibilidades para su gestión. Por ejemplo, redireccionando la carpeta de
Escritorio a una misma ubicación, los usuarios utilizarán un único escritorio y cualquier
cambio que fuera necesario introducir en él, bastará con realizarlo en esa carpeta para
que sea inmediatamente efectivo para todos los usuarios.
Este cambio en la ubicación de carpetas se realiza por paquete de directivas, GPO.
Dentro de Configuración de usuario, en la carpeta Configuración de Windows, en el
apartado Redirección de Carpetas. Al situarse en cada una de ellas, con el botón derecho
de ratón se accede a sus propiedades y, en consecuencia, a las distintas opciones de
configuración disponibles.
Sin embargo, para introducir estas modificaciones es necesario contar con una buena
infraestructura de red. La calidad de la red es crítica para conseguir la completa
efectividad en la redirección de algunas carpetas. Antes de su implantación, es inevitable
realizar pruebas concienzudas que avalen la consistencia de la redirección que se quiere
aplicar, puesto que, según la configuración, pueden ser más los inconvenientes que las
ventajas lo aportado por estos cambios.
Inicio de sesión
Respecto a otras carpetas de red, el administrador también puede automatizar su
asignación, para evitar que sean los usuarios quienes se preocupen de realizarlos, siendo
el mejor momento su inicio de sesión. Mediante los scripts de inicio de sesión, el
administrador tiene oportunidad de automatizar aquellas operaciones que convienen
realizar cuando el usuario arranca su sesión en la red, como puede ser esa asignación de
unidades de red, la conexión a impresoras, ajustar determinados parámetros para la
ejecución de programas y otros. Un login script es un conjunto de instrucciones que se
ejecutarán automáticamente cada vez que el usuario entra en la red. Una especie de
autoexec.bat de la red.
El login script puede ser cualquier archivo ejecutable, tanto archivos .exe ó .com, como
archivos por lotes, .bat ó .cmd. Normalmente son los veteranos archivos por lotes el tipo
empleado, puesto que son muy flexibles para introducir la secuencia de comandos
requerida de manera rápida y sencilla. No obstante, el empuje de otras tecnologías de
programación basadas en visual script y el soporte incluido en el sistema operativo para
ellas, están restando protagonismos a estos archivos, que no proporcionan el entorno de
gestión potente y versátil que ofrecen las nuevas herramientas.
Hay dos métodos para asociar un login script a usuario. En las propiedades del objeto
usuario o por paquete de directiva. La segunda opción es más potente y flexible que la
primera, puesto que evita tener que editar uno por uno todos los usuarios y las
modificaciones son más cómodas de aplicar.
Si de software se trata, la configuración de los programas utilizados por los usuarios,
también es susceptible de ser accionado de manera centralizada y totalmente
transparente para ellos. Parámetros como la ubicación de archivos y otras opciones
personalizables pueden ser configurados por el administrador para proporcionar un
entorno uniforme de cliente, con carácter obligatorio e inamovible o que sirva como punto
de partida para que éstos puedan luego adaptarlos a sus preferencias.
Para poder aplicar estos cambios, es necesario considerar previamente los programas
sobre los que se quiere intervenir. Más concretamente, si éstos están o no diseñados
para integrarse en el Directorio Activo. Si el fabricante ha considerado esta posibilidad,
incluirá archivos de plantilla, con extensión .ADM, en los que se definen los parámetros
que pueden ser dirigidos desde el dominio de Windows. Tal y como ocurre con la mayoría
de los programas con manufactura Microsoft, Office, Window Media Player o Internet
Explorer. Para incorporar la gestión de estos programas en la administración ordinaria de
la red, basta con importar sus archivos ADM a un paquete de directivas, operación
sencilla que se realiza desde el propio paquete, abierto para su modificación. Al situarse
sobre Plantillas administrativas, al desplegar el menú contextual disponible con el botón
derecho del ratón, aparecerá la opción de importar plantillas. Al seleccionar dicha opción,
aparecerá un cuadro de diálogo en el que es posible navegar en busca de la ubicación de
los archivos ADM que se quieren agregar y bastará con seleccionar uno o varios de estos
archivos para que el sistema los incorpore y aparezcan nuevos parámetros de
configuración en el paquete de directiva definido.
En el caso que los programas no incluyan estas facilidades de gestión, se puede, no
obstante, forzar su configuración centralizada, utilizando script de inicio de sesión. Para
ello, es imprescindible averiguar primero las claves de registro y parámetros en archivos
de configuración que se han de retocar para conseguirlo. Luego, introducir las
modificaciones oportunas en el arranque de sesión del usuario, insertando los comandos
adecuados para realizar dichas modificaciones. Aunque factible y relativamente sencillo,
esta posibilidad exige un mayor grado de conocimientos y experiencia del administrador,
a lo que se une un mayor trabajo de “investigación” y puesta a punto, por lo que sólo está
justificado su empleo en caso de evidente necesidad.
Interfaz.
Otro aspecto del entorno de usuario que suele ser motivo de preocupación de los
administradores se encuentra en el interfaz que éstos utilizan. O dicho de otro modo, qué
es lo que el usuario ve, cómo lo ve y que parámetros puede modificar. Aunque puedan
parecer aspectos banales, muchas intervenciones de soporte están motivadas por el uso
que los clientes hacen de su interfaz.
Al trabajar con el dominio de Windows 2000-2003, es posible fijar muchos de estos
parámetros y evitar que el usuario los modifique a su antojo o que tenga que preocuparse
de su configuración. Mediante la definición y aplicación de paquetes de directivas, por
ejemplo, se puede fijar con carácter general el fondo de escritorio o el salvapantallas, con
lo que el usuario lo tendrá complicado para su modificación. También se puede limitar el
acceso al panel de control y evitar que se manipulen los dispositivos instalados, como la
resolución de pantalla o la configuración de la tarjeta de red. Parámetros que no sólo
cubren el control de acceso a la configuración del ordenador, también pueden utilizarse
para establecer otros aspectos del interfaz, como la barra de tareas o el menú de inicio,
los accesos directos estándar que aparecen en el escritorio, sus propiedades o las
opciones disponibles en distintos menús contextuales.
Para configurar estos aspectos del entorno de usuario, son muchos los parámetros que
ofrece el Directorio Activo y hay que localizarlos asociados a distintas carpetas, tanto a
nivel de máquina como de usuario. Importante tener en cuenta que la definición de
parámetros contradictorios a nivel de ordenador y de usuario, prevalecen los primeros
frente a los segundos. Igualmente, hay algunas configuraciones que dependen de varios
parámetros definidos en distintas áreas o carpetas de la GPO.
Para reforzar la configuración del entorno de usuario que se haga, el administrador
también puede plantearse la asignación de permisos NTFS a los ordenadores cliente y
establecer qué servicios deben ejecutarse sobre estas máquinas. Aspectos que también
inciden beneficiosamente sobre la seguridad y el buen funcionamiento del ordenador. Así,
los ordenadores que sólo ejecutan los servicios necesarios, evitan vulnerabilidades, las
interferencias entre programas que provocan fallos y aumentan su rendimiento, al
disponer de más recursos.
Un control de la configuración del ordenador cliente que puede realizarse de forma fácil
y flexible mediante la definición de GPOs y su oportuna asignación a equipos. Estos
parámetros, sólo disponibles en directivas de dominio, se definen dentro de Configuración
de equipos, en la carpeta Configuración de Windows, Configuración de seguridad,
Servicios del Sistema y Sistema de Archivo, respectivamente.
Crear Login Script
Activar un login script para el inicio de sesión de usuario, se realiza en dos pasos.
Primero, lógicamente, disponer del programa que se lanzará cuando el usuario inicie
sesión. El segundo, especificar al sistema que se debe lanzar en ese momento. Como
ejemplo, se toma como punto de partida carpetas e impresoras ya definidas, compartidas
y con los permisos oportunos. El ejecutable CON2PRN no está incluido de serie con
Windows. Es una herramienta disponible en el kit de recursos de Windows 2000 o
descargable desde Internet, que se trae a colación para ilustrar el uso de otras utilidades
no incluidas en el sistema operativo, de fácil obtención, que potencian y facilitan algunas
tareas. Información de este programa y de otros comandos utilizados en el ejemplo, se
puede acudir a la ayuda electrónica de Windows o la web de Microsoft. Habitualmente,
mediante la opción “/?”, los comandos y programas proporcionan información sobre su
propósito y argumentos de ejecución.
@echo off
REM asignacion de la unidad J a la carpeta compartida
“carpeta”
Net use J: \\Servidor\Carpeta
Rem Conexión con la impresora Printer1
Con2prt /CD \\servidor\Printer1
Rem arrancar la página de inicio de la intranet corporativa
C:\archivos de programa\internet explorer\iexplore.exe
http://www.empresa.interno/inicio.htm
Una vez creado y probado el archivo bat, hay que ubicarlo. Si la asignación de login
script se hace utilizando las propiedades del objeto usuario, habrá que indicar la ruta del
archivo, que normalmente será un servidor. Si no se especifica la ruta, Windows buscará
el archivo en la carpeta netlogon del controlador de dominio. Esta carpeta es un recurso
compartido asociado a C:\windows\sysvol\sysvol\[dominio]\scripts. Una vez ubicado el
archivo .bat, se edita el objeto usuario y en el campo Comando de inicio de sesión, de la
pestaña Perfill, se introduce el nombre del script creado, con o sin ruta, según donde se
aloje.
En el caso de asignar el login script por directiva, habrá que acudir a la consola de
gestión del Directorio Activo, seleccionar el contenedor deseado, dominio o unidad
organizativa y en sus propiedades, seleccionar la pestaña Directivas de Grupo. Definir
una nueva GPO o seleccionar una ya existente. En cualquiera de los casos, habrá que
editarla, seleccionando el botón Modificar. Situarse en el árbol Configuración de Usuario,
abrir la carpeta Configuración de Windows y localizar Secuencia de Comandos (inicio de
sesión/cierre de sesión). Al seleccionar Iniciar Sesión, se accede a un cuadro de diálogo
en el que se puede especificar un archivo por lotes, incluyendo ruta o, directamente,
crearlo para que sea guardado dentro de la carpeta en la que se almacenan todos los
archivos relacionados con la GPO. Concluidos estos pasos, sólo queda determinar a qué
usuarios afectará. Por defecto a todos los incluidos en el contenedor, si se quiere una
asignación más selectiva, hay que asignar permisos, utilizando el botón Propiedades, en
la pestaña Seguridad.
En resumen, a través del Dominio de Windows, los administradores disponen de un
excelente medio para configurar muchos de los elementos que componen el entorno de
usuario. Fácil de manejar, flexible para cualquier entorno y del que pueden obtener claros
beneficios en el cotidiano trabajo de administración.
La consola de gestión analisis y configuración de seguridad permite valorar y ensañar distintas
configuraciones de seguridad para aplicar sobre clientes y servidores Windows.
Para más información.
Contacte con los servicios profesionales Danysoft en el 902 123146, o en
info@danysoft.com
Descargar