Administración del entorno de usuario Tutelar al usuario Al organizar la red mediante el Directorio Activo, los administradores disponen de diversos mecanismos para definir el entorno de usuario, con los que pueden ahorrarles inconvenientes, facilitar tareas de mantenimiento de la red y conseguir un mejor control de cómo se utiliza cada ordenador. El entorno utilizando por cada usuario en su trabajo sobre el ordenador, viene determinado por la combinación de varios elementos relacionados con el acceso a los recursos, la configuración del equipo y los privilegios asignados para su utilización. Dejar en manos del usuario la gestión de su entorno, en contra de lo que pueda parecer, supone para los técnicos de soporte un trabajo añadido y muchas veces complicado. Seguro que serán pocos los administradores que no han perdido varias horas delante de un ordenador porque el usuario “ha tocado” lo que no debe, sabiendo o sin saber. O cuántas veces, por casualidad, se descubre que usuarios no utilizan o emplean mal recursos, porque no saben o acceden a ellos como Dios les da a entender. A la hora de afrontar la configuración del entorno de usuario, el objetivo que debe animar la estrategia de los administradores, es automatizar aquellas operaciones del lado cliente repetitivas y ofrecerles un entorno uniforme que haga, en primer lugar, más sencillo y cómoda su utilización, donde los administradores puedan reducir el tiempo y esfuerzo necesario para resolver los pequeños o grandes problemas y la realización de otras tareas de gestión cotidianas. Una correcta definición de este entorno, adaptado a las necesidades de cada escenario y dirigido, permite conseguir un sistema fácil de gestionar, muy flexible para asimilar cambios. Mientras, desde el lado de usuario, estos dejan de percibir su informática como un sistema en bruto que ellos mismos se encargan de pulir, según sus preferencias e iniciativa. No obstante, al implantar un entorno de usuario dirigido, no conviene plantearlo desde una perspectiva de restricción para la maniobra de los usuarios. Debe ofrecerse como la fórmula que mantiene la uniformidad del entorno que facilita el trabajo de administradores y administrados. Carpetas de trabajo. Uno de los principales elementos que delimita el entorno de usuario para su operación en red y su gestión, es el acceso a carpetas. Directorios que, según el propósito de los archivos que alojan y su ubicación, pueden ser clasificadas en carpetas de datos y de configuración, locales y de red. El tratamiento que se puede dar a las carpetas influye directamente en el modo de trabajo que ha de seguir el usuario y la administración de la red. Sin ir más lejos, afecta directamente a la estrategia de backup que se debe implantar o la posibilidad que los usuarios puedan utilizar distintos ordenadores. De las carpetas de usuario a las que debe prestar atención el administrador, destaca la carpeta en la que se aloja el perfil. Cuando el usuario inicia sesión en un ordenador, dentro de la carpeta local “Documents & Settings” se crea automáticamente una subcarpeta con el nombre utilizado para entrar en el ordenador. En esta subcarpeta, por 24/04/2006 | Valor añadido Danysoft | 902 123146 | www.danysoft.com | Página 1.6 defecto, se guarda todo lo que tiene que ver con la personalización que ha hecho el usuario y, opcionalmente, también su trabajo. El aspecto del escritorio, sus favoritos de Internet, la personalización de su procesador de texto, los archivos recientemente utilizados y un largo etc. Una subcarpeta cuyo contenido es exclusivo de cada ordenador, de tal modo que el usuario al iniciar sesión en otro equipo, no encontrará la misma configuración que tuviera en otro. Un comportamiento de Windows que puede superarse mediante los perfiles móviles, característica disponible para usuarios que se encuentran inscritos dentro de un Dominio, lógicamente. Cuando se habilitan los perfiles móviles, una copia del perfil del usuario se aloja en un servidor, de forma que cuando el usuario inicia sesión en una máquina, si no existe su perfil, no se crea. Se descarga desde el servidor de referencia. Cuando el usuario cierra la sesión, los posibles cambios que se hayan podido producir en su perfil, se guardan en local y una copia se lleva al servidor. De esta forma, el sistema sólo crea un perfil en el primer inicio de sesión de usuario en la red. A partir de ese momento, sea cual sea el ordenador que utilice, siempre tendrá disponible el mismo perfil y no tendrá que reconfigurar nada. Las ventajas de esta funcionalidad son evidentes. El usuario puede utilizar distintos ordenadores con total comodidad y los administradores tienen la facilidad de poder actuar sobre algunos de los componentes del perfil, sin desplazamientos. Activar esta funcionalidad resulta tan sencillo como habilitar una carpeta compartida en el servidor para alojar los perfiles individuales, con permisos que permita el acceso sólo al usuario propietario del perfil. Una carpeta compartida para cada usuario o mejor, una carpeta compartida con una subcarpeta para cada usuario. Echo esto, basta con acudir a las propiedades del objeto usuario y en la pestaña de perfil, rellenar el campo Ruta del perfil de usuario con la ruta UNC donde se localiza la carpeta, del estilo \\servidor\perfiles\usuario. Windows se encarga del resto. Para conseguir un mayor grado de uniformidad y facilidad de gestión sobre el perfil, cabe la posibilidad de utilizar directivas de redirección de carpetas. Estas directivas van a permitir cambiar la ubicación de varios componentes del perfil: Datos de programa, Menú de Inicio, Mis Documentos y Escritorio. Windows permite varias opciones en el establecimiento de la ruta de estas carpetas, que se adaptan a distintas necesidades y abren muchas posibilidades para su gestión. Por ejemplo, redireccionando la carpeta de Escritorio a una misma ubicación, los usuarios utilizarán un único escritorio y cualquier cambio que fuera necesario introducir en él, bastará con realizarlo en esa carpeta para que sea inmediatamente efectivo para todos los usuarios. Este cambio en la ubicación de carpetas se realiza por paquete de directivas, GPO. Dentro de Configuración de usuario, en la carpeta Configuración de Windows, en el apartado Redirección de Carpetas. Al situarse en cada una de ellas, con el botón derecho de ratón se accede a sus propiedades y, en consecuencia, a las distintas opciones de configuración disponibles. Sin embargo, para introducir estas modificaciones es necesario contar con una buena infraestructura de red. La calidad de la red es crítica para conseguir la completa efectividad en la redirección de algunas carpetas. Antes de su implantación, es inevitable realizar pruebas concienzudas que avalen la consistencia de la redirección que se quiere aplicar, puesto que, según la configuración, pueden ser más los inconvenientes que las ventajas lo aportado por estos cambios. Inicio de sesión Respecto a otras carpetas de red, el administrador también puede automatizar su asignación, para evitar que sean los usuarios quienes se preocupen de realizarlos, siendo el mejor momento su inicio de sesión. Mediante los scripts de inicio de sesión, el administrador tiene oportunidad de automatizar aquellas operaciones que convienen realizar cuando el usuario arranca su sesión en la red, como puede ser esa asignación de unidades de red, la conexión a impresoras, ajustar determinados parámetros para la ejecución de programas y otros. Un login script es un conjunto de instrucciones que se ejecutarán automáticamente cada vez que el usuario entra en la red. Una especie de autoexec.bat de la red. El login script puede ser cualquier archivo ejecutable, tanto archivos .exe ó .com, como archivos por lotes, .bat ó .cmd. Normalmente son los veteranos archivos por lotes el tipo empleado, puesto que son muy flexibles para introducir la secuencia de comandos requerida de manera rápida y sencilla. No obstante, el empuje de otras tecnologías de programación basadas en visual script y el soporte incluido en el sistema operativo para ellas, están restando protagonismos a estos archivos, que no proporcionan el entorno de gestión potente y versátil que ofrecen las nuevas herramientas. Hay dos métodos para asociar un login script a usuario. En las propiedades del objeto usuario o por paquete de directiva. La segunda opción es más potente y flexible que la primera, puesto que evita tener que editar uno por uno todos los usuarios y las modificaciones son más cómodas de aplicar. Si de software se trata, la configuración de los programas utilizados por los usuarios, también es susceptible de ser accionado de manera centralizada y totalmente transparente para ellos. Parámetros como la ubicación de archivos y otras opciones personalizables pueden ser configurados por el administrador para proporcionar un entorno uniforme de cliente, con carácter obligatorio e inamovible o que sirva como punto de partida para que éstos puedan luego adaptarlos a sus preferencias. Para poder aplicar estos cambios, es necesario considerar previamente los programas sobre los que se quiere intervenir. Más concretamente, si éstos están o no diseñados para integrarse en el Directorio Activo. Si el fabricante ha considerado esta posibilidad, incluirá archivos de plantilla, con extensión .ADM, en los que se definen los parámetros que pueden ser dirigidos desde el dominio de Windows. Tal y como ocurre con la mayoría de los programas con manufactura Microsoft, Office, Window Media Player o Internet Explorer. Para incorporar la gestión de estos programas en la administración ordinaria de la red, basta con importar sus archivos ADM a un paquete de directivas, operación sencilla que se realiza desde el propio paquete, abierto para su modificación. Al situarse sobre Plantillas administrativas, al desplegar el menú contextual disponible con el botón derecho del ratón, aparecerá la opción de importar plantillas. Al seleccionar dicha opción, aparecerá un cuadro de diálogo en el que es posible navegar en busca de la ubicación de los archivos ADM que se quieren agregar y bastará con seleccionar uno o varios de estos archivos para que el sistema los incorpore y aparezcan nuevos parámetros de configuración en el paquete de directiva definido. En el caso que los programas no incluyan estas facilidades de gestión, se puede, no obstante, forzar su configuración centralizada, utilizando script de inicio de sesión. Para ello, es imprescindible averiguar primero las claves de registro y parámetros en archivos de configuración que se han de retocar para conseguirlo. Luego, introducir las modificaciones oportunas en el arranque de sesión del usuario, insertando los comandos adecuados para realizar dichas modificaciones. Aunque factible y relativamente sencillo, esta posibilidad exige un mayor grado de conocimientos y experiencia del administrador, a lo que se une un mayor trabajo de “investigación” y puesta a punto, por lo que sólo está justificado su empleo en caso de evidente necesidad. Interfaz. Otro aspecto del entorno de usuario que suele ser motivo de preocupación de los administradores se encuentra en el interfaz que éstos utilizan. O dicho de otro modo, qué es lo que el usuario ve, cómo lo ve y que parámetros puede modificar. Aunque puedan parecer aspectos banales, muchas intervenciones de soporte están motivadas por el uso que los clientes hacen de su interfaz. Al trabajar con el dominio de Windows 2000-2003, es posible fijar muchos de estos parámetros y evitar que el usuario los modifique a su antojo o que tenga que preocuparse de su configuración. Mediante la definición y aplicación de paquetes de directivas, por ejemplo, se puede fijar con carácter general el fondo de escritorio o el salvapantallas, con lo que el usuario lo tendrá complicado para su modificación. También se puede limitar el acceso al panel de control y evitar que se manipulen los dispositivos instalados, como la resolución de pantalla o la configuración de la tarjeta de red. Parámetros que no sólo cubren el control de acceso a la configuración del ordenador, también pueden utilizarse para establecer otros aspectos del interfaz, como la barra de tareas o el menú de inicio, los accesos directos estándar que aparecen en el escritorio, sus propiedades o las opciones disponibles en distintos menús contextuales. Para configurar estos aspectos del entorno de usuario, son muchos los parámetros que ofrece el Directorio Activo y hay que localizarlos asociados a distintas carpetas, tanto a nivel de máquina como de usuario. Importante tener en cuenta que la definición de parámetros contradictorios a nivel de ordenador y de usuario, prevalecen los primeros frente a los segundos. Igualmente, hay algunas configuraciones que dependen de varios parámetros definidos en distintas áreas o carpetas de la GPO. Para reforzar la configuración del entorno de usuario que se haga, el administrador también puede plantearse la asignación de permisos NTFS a los ordenadores cliente y establecer qué servicios deben ejecutarse sobre estas máquinas. Aspectos que también inciden beneficiosamente sobre la seguridad y el buen funcionamiento del ordenador. Así, los ordenadores que sólo ejecutan los servicios necesarios, evitan vulnerabilidades, las interferencias entre programas que provocan fallos y aumentan su rendimiento, al disponer de más recursos. Un control de la configuración del ordenador cliente que puede realizarse de forma fácil y flexible mediante la definición de GPOs y su oportuna asignación a equipos. Estos parámetros, sólo disponibles en directivas de dominio, se definen dentro de Configuración de equipos, en la carpeta Configuración de Windows, Configuración de seguridad, Servicios del Sistema y Sistema de Archivo, respectivamente. Crear Login Script Activar un login script para el inicio de sesión de usuario, se realiza en dos pasos. Primero, lógicamente, disponer del programa que se lanzará cuando el usuario inicie sesión. El segundo, especificar al sistema que se debe lanzar en ese momento. Como ejemplo, se toma como punto de partida carpetas e impresoras ya definidas, compartidas y con los permisos oportunos. El ejecutable CON2PRN no está incluido de serie con Windows. Es una herramienta disponible en el kit de recursos de Windows 2000 o descargable desde Internet, que se trae a colación para ilustrar el uso de otras utilidades no incluidas en el sistema operativo, de fácil obtención, que potencian y facilitan algunas tareas. Información de este programa y de otros comandos utilizados en el ejemplo, se puede acudir a la ayuda electrónica de Windows o la web de Microsoft. Habitualmente, mediante la opción “/?”, los comandos y programas proporcionan información sobre su propósito y argumentos de ejecución. @echo off REM asignacion de la unidad J a la carpeta compartida “carpeta” Net use J: \\Servidor\Carpeta Rem Conexión con la impresora Printer1 Con2prt /CD \\servidor\Printer1 Rem arrancar la página de inicio de la intranet corporativa C:\archivos de programa\internet explorer\iexplore.exe http://www.empresa.interno/inicio.htm Una vez creado y probado el archivo bat, hay que ubicarlo. Si la asignación de login script se hace utilizando las propiedades del objeto usuario, habrá que indicar la ruta del archivo, que normalmente será un servidor. Si no se especifica la ruta, Windows buscará el archivo en la carpeta netlogon del controlador de dominio. Esta carpeta es un recurso compartido asociado a C:\windows\sysvol\sysvol\[dominio]\scripts. Una vez ubicado el archivo .bat, se edita el objeto usuario y en el campo Comando de inicio de sesión, de la pestaña Perfill, se introduce el nombre del script creado, con o sin ruta, según donde se aloje. En el caso de asignar el login script por directiva, habrá que acudir a la consola de gestión del Directorio Activo, seleccionar el contenedor deseado, dominio o unidad organizativa y en sus propiedades, seleccionar la pestaña Directivas de Grupo. Definir una nueva GPO o seleccionar una ya existente. En cualquiera de los casos, habrá que editarla, seleccionando el botón Modificar. Situarse en el árbol Configuración de Usuario, abrir la carpeta Configuración de Windows y localizar Secuencia de Comandos (inicio de sesión/cierre de sesión). Al seleccionar Iniciar Sesión, se accede a un cuadro de diálogo en el que se puede especificar un archivo por lotes, incluyendo ruta o, directamente, crearlo para que sea guardado dentro de la carpeta en la que se almacenan todos los archivos relacionados con la GPO. Concluidos estos pasos, sólo queda determinar a qué usuarios afectará. Por defecto a todos los incluidos en el contenedor, si se quiere una asignación más selectiva, hay que asignar permisos, utilizando el botón Propiedades, en la pestaña Seguridad. En resumen, a través del Dominio de Windows, los administradores disponen de un excelente medio para configurar muchos de los elementos que componen el entorno de usuario. Fácil de manejar, flexible para cualquier entorno y del que pueden obtener claros beneficios en el cotidiano trabajo de administración. La consola de gestión analisis y configuración de seguridad permite valorar y ensañar distintas configuraciones de seguridad para aplicar sobre clientes y servidores Windows. Para más información. Contacte con los servicios profesionales Danysoft en el 902 123146, o en info@danysoft.com