Una de las preocupaciones de muchos administradores es cómo evitar que los usuarios guarden información localmente en sus equipos, que por supuesto no tienen los recaudos de seguridad y continuidad que tiene un servidor.
Mediante Directivas de Grupo (GPO) podemos facilitar el tema, redirigiendo la carpeta local Documentos a una ubicación centralizada en un servidor de archivos; donde además de contar con copias de seguridad, podemos contar con tolerancia a fallas
Con esto no se evita que si alguien quiere guardar datos localmente no lo pueda hacer, pero por lo menos ayuda, la carpeta por omisión está en un servidor. Y como lo haremos por directivas, el usuario no podrá cambiarlo
El objetivo es que cada usuario vea y tenga control sobre sus propios documentos, pero que no pueda ver los de los demás usuarios
La infraestructura de partida es sencilla, sigo utilizando el mismo Dominio de todas las demostraciones (root.guillermod.com.ar), con un Controlador de Dominio (DC1) y un servidor de archivos (SRV1) donde de demostraciones anteriores está instalada la funcionalidad “File Server”
Tengo además preparados tres equipos cliente, miembros del Dominio, para probar la interoperabilidad entre diferentes sistemas operativos clientes: Un Windows 8 (CL1), un Windows 7 (CL2), y un Windows XP (CL3)
En el dominio hay creada una Unidad Organizativa (Usuarios) donde están creados dos usuarios (U1 y U2), que pertenecen a un Grupo Global de Seguridad llamado “Usuarios Documentos Redirigidos”
Esto lo preparé de esta manera así podemos observar que no necesariamente lo debemos hacer para todos los usuarios del Dominio
Lo primero que haré es crear el compartido en el servidor de archivos (SRV1) donde se alojarán las carpetas de documentos (y más, ya veremos) de los usuarios.
Así que crearemos el compartido de acuerdo a las configuraciones mostradas
Observen que el nombre del compartido tiene al final un signo “$”, esto permite ocultarlo a cualquiera que ande “curioseando” por la red. Noten además que, por omisión, los compartidos los crea dentro de una carpeta “Shares”
Tomando una precaución adicional he seleccionado “Enable Access-Based Enumeration”
He dejado marcada la opción “Allow caching of share” de esta forma, por omisión, los usuarios tendrán una copia local sincronizda con el servidor, para casos de problemas, o de no conexión a la red. Si los datos fueran sensibles y se aplicara a equipos portátiles debe evaluarse si esta configuración es conveniente
Llegamos a la parte de permisos, y en este caso hay que modificar los que toma el sistema por omisión
Debemos cortar le herencia de permisos, copiando los permisos heredados, que luego modificaremos
Debemos quitar los dos permisos asignados por omisión al grupo “Users”, y luego agregar los que necesitamos
Seleccionamos al grupo al que asignar permisos (Usuarios Documentos Redirigidos), que los permisos se apliquea a “This folder only”, e ingresamos a “Show Advanced Permissions”
Debemos dejar seleccionados únicamente:
- List folder / Read data
- Create folders / Append data
Y seguimos adelante
Teniendo ya preparada la parte de almacenamiento, ahora crearemos la GPO que producirá la redirección de la carpeta de documentos.
En DC1, desde “Group Policy Management” creamos una nueva GPO, que yo llamará “Redirigir Documentos” para luego configurarla y enlazarla
Debemos entrar a User Configuration / Policies / Windows Settings / Folder Redirection, y a las propiedades de Documents, como muestra la captura
Como las carpetas de documentos de todos los usuarios serán redirigidas a la misma ubicación, pero cada uno tendrá la propia, configuramos de acuerdo a la captura siguiente. No olvidarse indicar el nombre del compartido
Antes de aceptar, vamos a la ficha “Settings”, que hay propiedades que normalmente hay que personalizar.
Las configuraciones que muestra la siguiente captura son absolutamente personales y personalizables, pero asegúrense de comprender cada una. Por ejemplo si dejamos marcado “Grant the user exclusive rights to Documents” no podremos entrar aún siendo administradores (Si, ya sé, siempre podremos darnos luego permisos)
Como he marcado la opción para que se aplique también a los clientes Windows 2000, Windows 2003 y Windows XP, el sistema nos da un aviso, ya que en los sistemas anteriores, dentro de My Documents, se encuentra además My Pictures, etc.
Siguiendo en la GPO, observen que por omisión, también se redirigirán, las carpetas Pictures, Music y Video
No olvidarse, debemos enlazar la GPO a la Unidad Organizativa donde están las cuentas de usuarios (Usuarios)
Probaré primero el funcionamiento en un Windows 8, con el usuario “User Uno” (U1). Como el mismo ya ha iniciado anteriormente sesión en dicho equipo, y por omisión el sistema usa “cached credentials”, inicio sesión con dicho usuario y fuerzo la aplicación de las GPOs (no alcanza con un reinicio del equipo)
Podemos observar en las propiedades de Documents que no sólo está redirigida la carpeta, sino que además el contenido estará disponible sin conexión (Offline)
Si observamos en SRV1, veremos que se ha creado la correspondiente carpeta con el nombre del usuario
Para demostrar que se puede acceder a todas las “sub-carpetas / carpetas” redirigidas desde cualquier equipo donde inicie sesión el usuario, simplemente he creado archivos de prueba en cada una de ellas (Documents, Music, Pictures y Video)
Muestro sólo una
Para probar que funciona, ahora en un cliente con Windows 7 (CL2), iniciaré sesión con el usuario (U1), y podemos observar que tiene disponibles sus documentos
Y por último lo probaré con el mismo usuario pero esta vez desde un cliente Windows XP (CL3)
Por lo tanto la redirección de los documentos de los usuarios, les permiten acceder a los mismos desde cualquier cliente, tanto sea Windows 8, Windows 7 o Windows XP, y en todos los casos, por omisión, los tendrán disponible aún estando desconectados de la red (ver los correspondientes símbolos en cada carpeta
