Windows Server 2012: Redirigir la Carpeta Documentos

Una de las preocupaciones de muchos administradores es cómo evitar que los usuarios guarden información localmente en sus equipos, que por supuesto no tienen los recaudos de seguridad y continuidad que tiene un servidor.

Mediante Directivas de Grupo (GPO) podemos facilitar el tema, redirigiendo la carpeta local Documentos a una ubicación centralizada en un servidor de archivos; donde además de contar con copias de seguridad, podemos contar con tolerancia a fallas

Con esto no se evita que si alguien quiere guardar datos localmente no lo pueda hacer, pero por lo menos ayuda, la carpeta por omisión está en un servidor. Y como lo haremos por directivas, el usuario no podrá cambiarlo

El objetivo es que cada usuario vea y tenga control sobre sus propios documentos, pero que no pueda ver los de los demás usuarios

La infraestructura de partida es sencilla, sigo utilizando el mismo Dominio de todas las demostraciones (root.guillermod.com.ar), con un Controlador de Dominio (DC1) y un servidor de archivos (SRV1) donde de demostraciones anteriores está instalada la funcionalidad “File Server”

Tengo además preparados tres equipos cliente, miembros del Dominio, para probar la interoperabilidad entre diferentes sistemas operativos clientes: Un Windows 8 (CL1), un Windows 7 (CL2), y un Windows XP (CL3)

En el dominio hay creada una Unidad Organizativa (Usuarios) donde están creados dos usuarios (U1 y U2), que pertenecen a un Grupo Global de Seguridad llamado “Usuarios Documentos Redirigidos”
Esto lo preparé de esta manera así podemos observar que no necesariamente lo debemos hacer para todos los usuarios del Dominio

Lo primero que haré es crear el compartido en el servidor de archivos (SRV1) donde se alojarán las carpetas de documentos (y más, ya veremos) de los usuarios.

Así que crearemos el compartido de acuerdo a las configuraciones mostradas

Observen que el nombre del compartido tiene al final un signo “$”, esto permite ocultarlo a cualquiera que ande “curioseando” por la red. Noten además que, por omisión, los compartidos los crea dentro de una carpeta “Shares”

Tomando una precaución adicional he seleccionado “Enable Access-Based Enumeration”
He dejado marcada la opción “Allow caching of share” de esta forma, por omisión, los usuarios tendrán una copia local sincronizda con el servidor, para casos de problemas, o de no conexión a la red. Si los datos fueran sensibles y se aplicara a equipos portátiles debe evaluarse si esta configuración es conveniente

Llegamos a la parte de permisos, y en este caso hay que modificar los que toma el sistema por omisión

Debemos cortar le herencia de permisos, copiando los permisos heredados, que luego modificaremos

Debemos quitar los dos permisos asignados por omisión al grupo “Users”, y luego agregar los que necesitamos

Seleccionamos al grupo al que asignar permisos (Usuarios Documentos Redirigidos), que los permisos se apliquea a “This folder only”, e ingresamos a “Show Advanced Permissions”

Debemos dejar seleccionados únicamente:

  • List folder / Read data
  • Create folders / Append data

Y seguimos adelante

Teniendo ya preparada la parte de almacenamiento, ahora crearemos la GPO que producirá la redirección de la carpeta de documentos.

En DC1, desde “Group Policy Management” creamos una nueva GPO, que yo llamará “Redirigir Documentos” para luego configurarla y enlazarla

Debemos entrar a User Configuration / Policies / Windows Settings / Folder Redirection, y a las propiedades de Documents, como muestra la captura

Como las carpetas de documentos de todos los usuarios serán redirigidas a la misma ubicación, pero cada uno tendrá la propia, configuramos de acuerdo a la captura siguiente. No olvidarse indicar el nombre del compartido

Antes de aceptar, vamos a la ficha “Settings”, que hay propiedades que normalmente hay que personalizar.

Las configuraciones que muestra la siguiente captura son absolutamente personales y personalizables, pero asegúrense de comprender cada una. Por ejemplo si dejamos marcado “Grant the user exclusive rights to Documents” no podremos entrar aún siendo administradores (Si, ya sé, siempre podremos darnos luego permisos)

Como he marcado la opción para que se aplique también a los clientes Windows 2000, Windows 2003 y Windows XP, el sistema nos da un aviso, ya que en los sistemas anteriores, dentro de My Documents, se encuentra además My Pictures, etc.

Siguiendo en la GPO, observen que por omisión, también se redirigirán, las carpetas Pictures, Music y Video

No olvidarse, debemos enlazar la GPO a la Unidad Organizativa donde están las cuentas de usuarios (Usuarios)

Probaré primero el funcionamiento en un Windows 8, con el usuario “User Uno” (U1). Como el mismo ya ha iniciado anteriormente sesión en dicho equipo, y por omisión el sistema usa “cached credentials”, inicio sesión con dicho usuario y fuerzo la aplicación de las GPOs (no alcanza con un reinicio del equipo)

Podemos observar en las propiedades de Documents que no sólo está redirigida la carpeta, sino que además el contenido estará disponible sin conexión (Offline)

Si observamos en SRV1, veremos que se ha creado la correspondiente carpeta con el nombre del usuario

Para demostrar que se puede acceder a todas las “sub-carpetas / carpetas” redirigidas desde cualquier equipo donde inicie sesión el usuario, simplemente he creado archivos de prueba en cada una de ellas (Documents, Music, Pictures y Video)

Muestro sólo una

Para probar que funciona, ahora en un cliente con Windows 7 (CL2), iniciaré sesión con el usuario (U1), y podemos observar que tiene disponibles sus documentos

Y por último lo probaré con el mismo usuario pero esta vez desde un cliente Windows XP (CL3)

Por lo tanto la redirección de los documentos de los usuarios, les permiten acceder a los mismos desde cualquier cliente, tanto sea Windows 8, Windows 7 o Windows XP, y en todos los casos, por omisión, los tendrán disponible aún estando desconectados de la red (ver los correspondientes símbolos en cada carpeta

Anuncios
Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Audiref.com  On 15/11/2012 at 03:05

    Reblogged this on Empresa & Gobierno.

  • Roger  On 27/04/2013 at 23:56

    Hola buennas noches, muy interesante y excelente el tutorial. tengo una duda, desde el servidor me pone restriciones para acceder a las carptas de los usuarios creados, como le hago para los respaldos de los mismos.

    saludos

    • Delprato  On 28/04/2013 at 09:43

      Hola Roger, no comprendo a qué llamas “me pone restricciones” ¿no te deja entrar?
      Si es eso, es porque en la GPO que se hace la redirección, haz dejado marcarda la opción “Grant the user exclusive rights to documents” (mira la captura de pantalla).
      Otra posibilidad es revisar los permisos cuando se crea la carpeta

      Y además si lo que quieres es hacer copia de seguridad (backup) en realidad lo puedes hacer aún sin tener permisos, pero usando una aplicación específica de copia de seguridad

  • Jaime Gonzalez  On 14/11/2014 at 13:20

    Hola Guillermo, he seguido los pasos y todo iba bien hasta que note que mi active directory no me muestra el Group Policy Objects.. ¿Cómo lo agrego?

    • Guillermo Delprato  On 14/11/2014 at 14:30

      Hola Jaime, en el Controlador de Dominio tienes que tener una herramienta administrativa llamada “Group Policy Management” ¿no te aparece? ¿o estás administrando desde otra máquina?
      ¿O en “Group Policy Management”no aparece el contenedor “Group Policy Objects”?

  • Ajul  On 27/12/2014 at 12:04

    la politica me funciono perfecto pero al momento de desconectarme de la red los archivos ya no son visibles, como hago para que esten disponibles sin coneccion y al momento que me conecta sincronixe toda la informacion

    • Guillermo Delprato  On 27/12/2014 at 17:11

      Hola Ajul, normalmente lleva unos minutos antes que se produzca la copia local, puede ser que sea este el problema
      Pero igual revisa estos dos puntos:
      1- Que en la GPO, en “User Configuration -> Policies -> Administrative templates -> System -> Folder Redirection” no esté habilitada la opción “Do not automatically make redirected folders available offline”
      2- Si no quieres esperar, también puedes forzar la sincronización desde el propio cliente. En Panel de Control, “Sync Center”, con botón derecho sobre “Offline files” puedes forzar la sincronización en ese momento

  • Ajul  On 29/12/2014 at 12:34

    1-revise que en la GPO no este habilitada esa opción
    2-en el centro de sincroniza solo me sale que no hay perfiles de sincronizan configurados

    me hará falta algo mas ?

    mi server es 2012 y el clientes es win 7 y win 8 pro

    • Guillermo Delprato  On 29/12/2014 at 13:41

      Hola Ajul, es raro lo que te sucede ya que por omisión se configura sólo el tema de los “folders offline”
      Habría que revisar si el cliente tiene alguna configuración manual hecha sobre el tema de los archivos fuera de línea, o la está recibiendo a través de alguna GPO.
      Inclusive, revisa en el visor de eventos a ver si ves algún tipo de error o advertencia relacionados con el tema
      Te reconfirmo que funciona porque lo he tenido que hacer justamente hace un par de días y no había problemas, inclusive verifiqué que luego de forzar la sincronización, el cliente desconectado de la red podía acceder a sus Documentos
      La única diferencia es que lo hice con un cliente W8

  • Ajul  On 29/12/2014 at 14:31

    Buena tarde

    en el visor de eventos del cliente me sale la directiva aplicada correctamente mas no me dice nada de folders Offline

    En el servidor también me dice que fue aplicada

    tampoco hay ninguna GPO local que este des habilitando la sincroniza

    tendría que ver alguna configuración de permisos ?, no se me ocurre mas nada

    • Guillermo Delprato  On 29/12/2014 at 17:44

      Hola Ajul, no puedo hacer mucho para ayudarte
      Te puedo recomendar, rehacer la prueba desde cero, con Dominio y cliente recién instalados

  • Michel Maldonado  On 16/01/2015 at 16:05

    Se puede Redirigir la papelera de reciclaje del “equipo cliente ” así la papelera del AD, que los usuarios eliminen archivos pero esto se quedan en la papelera del servidor AD. Gracias.

  • Juan Sauceda  On 07/04/2015 at 18:23

    Hola a todos!
    Mi dominio es windows 2003 y ya tengo aplicada la GPO folder redirection documents, solo que tuve que mover toda la informacion de DOCUMENTS a otro servidor, de manera que la GPO le modifique el root path, mi problema es que mis usuarios actualmente su ruta de mis documentos sigue apuntando a la ubicacion antigua la cual no existe, tengo clientes windows 7 y xp, y algunos pocos windows 8, tengo que hacer algo mas o se me paso realizar algun paso, ya que probe eliminando el perfil de usuario en un windows 7 y al volver a crearlo si funciona la GPO con la ruta nueva, o acaso voy a tener que hacer eso con todos mis clientes??

    • Guillermo Delprato  On 07/04/2015 at 19:00

      Hola Juan. “Todos” soy yo únicamente :) Este no es un foro y tampoco hago soporte, aunque trato de ayudar cuando puedo
      Estos comentarios son específicamente sobre la nota
      Ahora a ver si puedo ayudarte. Habría que conocer más datos, pero por ejemplo debería saber si además de la copia remota, depende cómo lo haz configurado si hay además una copia local
      Primero lo más importante ¿haz hecho un GPUPDATE /FORCE y luego reiniciar la máquina?
      Suponiendo que eso lo haz hecho. El problema es bastante lógico, si tiene originalmente los datos en SRV1, y luego le dice la GPO a SRV2, es totalmente lógico que no lo encuentre. Entiendo que habría haber traído los datos localmente primero, y recién luego hacer la nueva redirección

      Otra opción hubiera sido si es posible renombrar al servidor original, y luego hacer un “alias” en el DNS, como está en: Cambiar un Servidor o su Nombre y Actualizar los Accesos Directos | WindowServer:
      https://windowserver.wordpress.com/2014/11/20/cambiar-un-servidor-o-su-nombre-y-actualizar-los-accesos-directos/

      • Juan Sauceda  On 08/04/2015 at 10:49

        Guillermo, antes que nada disculpame por confundir esto como un foro, mira ya he hecho lo del gpupdate /force y reiniciar la compu, pero sigue igual, mira te resumo los pasos que hice:
        * En el servidor nuevo cree un folder y lo compartí como users$ y le di permisos totales a EVERYONE

        * Del servidor antiguo copie toda la información de users$ a el servidor nuevo en el folder users$

        * Elimine el share users$ del servidor antiguo, y moví toda la información contenida a un respaldo.

        * Modifique la GPO con la ubicación nueva, que es la del nuevo servidor.

        * A cada carpeta de cada usuario dentro de users$ del nuevo servidor, le di permisos de security a cada usuario en su carpeta correspondiente

        * Reinicie todos mis DC

        * Mis usuarios encendieron sus computadoras e iniciaron sesión, pero la ubicación del DOCUMENTOS, MIS DOCUMENTOS sigue apuntando a la ruta del servidor antiguo.

        Te vuelvo a comentar, en una computadora con windows 7, probe eliminando el perfil de usuario y posteriormente volver a crearlo al momento de iniciar sesion en el dominio, y ya funciona la GPO con la ruta nueva, esta pruaba que si esta correcto todo en cuanto a la GPO o tu que piensas??

      • Guillermo Delprato  On 08/04/2015 at 11:03

        Hola Juan, no hay problema, si puedo ayudo, lo que no quiero es que esto se transforme en un lugar de soporte :)
        Como comenté antes, yo lo hubiera hecho pasando primero a que guarde local, y luego lo configuro para que vaya al nuevo servidor
        Revisa una configuración en la GPO original sobre qué sucede cuando la GPO no aplica más, porque hay una opción para que lo devuelva a local, o que siga en el servidor
        Si ya haz movido los archivos creo que estarás en un problema :(
        Hay un tema muy importante, y es que el usuario es el Owner (Propietario) del perfil, esto se hace por seguridad ya que hay información muy sensible de seguridad, no sólo su contraseña “cacheada” sino por ejemplo las claves privadas de certificados etc. Si lo haz copiado ahora el propietario eres tú y no el usuario
        Y por otra parte revisa también los permisos, no sólo los de compartido sino además los de seguridad, como está en la nota
        No sé qué te puede llevar menos trabajo, si borrar perfiles o cambiarle propagando el propietario a todos los usuarios
        Y una moraleja :) “siempre hay que dejar habilitada la opción de volver atrás”
        ¡Ah! se me acaba de ocurrir otra idea, aunque puede llevar su trabajo también, en el registro, en KHCU de cada usuario tiene que estar la ruta al “viejo” documents, prueba cambiarla, por supuesto reiniciando la máquina
        Y algo más ya que nombraste que hay diferentes sistemas operativos, que no vayan a cambiar de versión de sistema operativo los usuarios, porque los perfiles no suelen ser compatibles

  • Juan Sauceda  On 08/04/2015 at 16:41

    Gracias Guillermo, una pregunta mas, abusando un poco de tu apoyo, sabes si hay manera de rescatar los archivos sin conexion, offline files folders, si por error los elimine???

    • Guillermo Delprato  On 08/04/2015 at 18:18

      Si no han quedado en la papelera … Hay aplicaciones que permiten recuperar archivos borrados directamente desde el disco (tipo recuva) pero si ya se escribió en el disco, sólo podrás recuperar “pedazos” de algunos
      ¿No están tampoco en el servidor nuevo? ¿o en la copia “cacheada” localmente en los clientes?
      Si no hay nada de lo anterior, la única opción que queda es recuperar de una copia de seguridad (“Backup/Restore”) ¿esto si?
      Si todo lo anterior es “no” estás con problemas …

  • maria  On 09/01/2016 at 23:40

    Tengo una duda. Mi laptop sincroniza bien, pero por cable, en el momento que lo dejo por wifi casi nunca sincroniza bien, pierde el acceso a los ficheros nuevos que se crean. Qué tengo que hacerpara trabajar por wifi? Por cable me funciona bien,

    • Guillermo Delprato  On 11/01/2016 at 07:28

      Hola Maria, supongo que te refieres a la carpeta Documentos, ese problema puede ser por varias causas, desde la velocidad de conexión de la WiFi, la configuración de los archivos fuera de línea en el cliente, tamaño de la carpeta y archivos, etc.

  • jomarfrito  On 17/05/2016 at 17:48

    Primero que nada te felicito Guillermo, el blog es una herramienta excelente!!! tengo siguiéndolo desde aproximadamente un año y me ha servido de mucha ayuda, actualmente estoy creando mi laboratorio para hacer muchas de las cosas que acá colocas, y que he siempre he tenido duda.

    Con respecto a este tema de redirigir la carpeta de documentos, te cuento que he estado desde hace mucho tiempo buscando una guía y hasta ahora es que consigo esta, la buscaba porque hace unos años trabaje en una empresa donde se tenia esto habilitado y me pareció muy útil de verdad.

    Una cosa adicional que en esa empresa tenían configurado, es que limitaban el espacio de almacenamiento de la carpeta de documentos a 2GB por usuario, así un solo usuario no se consumía todo el shared.

    Tendrás idea o alguna nota donde expliques como hacerlo?

    Gracias de antemano.

    • Guillermo Delprato  On 17/05/2016 at 19:13

      Hola Jomarfrito, me alegro te sirvan las notas, y por supesto que agradezco tu comentario sobre el blog :)
      Para limitar espacio en carpetas está “File Server Resource Manager”, revisa la siguiente nota
      File Server Resource Manager – Administrador de Recursos del Servidor de Archivos: Limitar el Espacio Usado en Carpetas | WindowServer:
      https://windowserver.wordpress.com/2014/09/10/file-server-resource-manager-administrador-de-recursos-del-servidor-de-archivos-limitar-el-espacio-usado-en-carpetas/
      También con el mismo puedes limitar, aunque en forma bastante “primitiva” el tipo de archivos que pueden guardar, en esta nota está el paso a paso para este caso
      File Server Resource Manager – Administrador de Recursos del Servidor de Archivos: Limitar el Tipo de Archivos en Carpeta | WindowServer:
      https://windowserver.wordpress.com/2014/09/16/file-server-resource-manager-administrador-de-recursos-del-servidor-de-archivos-limitar-el-tipo-de-archivos-en-carpeta/

      • jomarfrito  On 23/05/2016 at 02:27

        Muchísimas gracias Guillermo, estaré revisándolas y poniéndolas a prueba en mi lab.

      • Guillermo Delprato  On 23/05/2016 at 06:32

        Hola jomarfrito, me alegro te sirvan las notas :)
        ¡Gracias por tu comentario!

      • Joseph Martinez  On 24/05/2016 at 01:52

        Funcionaron perfectamente Guillermo, y te comento un poco mi experiencia, y es que tuve fue que ser un poco mas especifico en cuanto a la ruta (path) donde se aplica la quota, porque al redirigir los documentos de cada usuario hacia el share, lo que yo quería es que cada usuario tuviese un máximo de 100MB de almacenaje, pero si aplicaba la quota share raíz, todos los usuarios compartan un máximo 100MB, por consecuencia, no funcionaba, porque si uno guarda un archivo de 80MB ya se consumía el 80% del almacenaje disponible, entonces lo que hice fue aplicar una quota a cada sub-carpeta creada con la redirección de documentos de los usuarios con la limitante de espacio para cada uno de ellos y funciono perfecto.

        Ahora, cuando es una organización de pocos usuarios debe ser algo fácil de hacer pero si toca una con unos 500 o 1000 usuario debe ser todo un dolor de cabeza generar una qouta para cada usuario, tendré que investigar como hacerlo de una manera mas eficiente.

        Muchas Gracias.
        Saludos desde Venezuela.

      • Guillermo Delprato  On 24/05/2016 at 07:17

        Hola Joseph, gracias por el comentario
        No he tenido oportunidad de aplicarlo en el mundo real, y es verdad lo que comentas
        Sólo me queda una duda, porque hay una opción en la limitación de espacio que no he probado y a lo mejor soluciona el tema
        Revisa: File Server Resource Manager – Administrador de Recursos del Servidor de Archivos: Limitar el Espacio Usado en Carpetas | WindowServer:
        https://windowserver.wordpress.com/2014/09/10/file-server-resource-manager-administrador-de-recursos-del-servidor-de-archivos-limitar-el-espacio-usado-en-carpetas/
        Más o menos por la mitad de la nota, hay un cuadro con dos opciones: “Create quota on path” o “Auto apply template and create quotas on existing and new subfolders”
        ¿Haz usado la segunda?
        Porque me parece que ahí está la solución

  • Angel Mdz  On 16/07/2016 at 18:46

    Hola Amigo esperando tengas buen dia, he realizado tu configuracion pienso yo al pie de la letra y tambien cuando trato de ver los archivos en el servidor no me permite he deshabilitado la opcion que comentas y revise los permisos y tampoco tengo acceso tendras alguna sugerencia o paso que me este faltando. saludos y muy buen dia

    • Guillermo Delprato  On 18/07/2016 at 07:36

      Hola Angel, no dices qué mensaje te da, pero si no puedes ver el contenido de las carpetas compartidas seguramente es un tema de permisos que no están correctamente asignados

  • Derek  On 22/09/2016 at 11:12

    Estimado, en la parte: “No olvidarse, debemos enlazar la GPO a la Unidad Organizativa donde están las cuentas de usuarios (Usuarios)” no me aparece la carpeta “Usuarios”. Tengo solamente Domain controlers, Objecto de directiva de grupo, filtros WMI y GPO de Inicio.
    Que hice mal?

    • Guillermo Delprato  On 22/09/2016 at 11:44

      Hola Derek, hay que leer la nota :D
      Copio el séptimo párrafo
      ————————————————-
      En el dominio hay creada una Unidad Organizativa (Usuarios) donde están creados dos usuarios (U1 y U2), que pertenecen a un Grupo Global de Seguridad llamado “Usuarios Documentos Redirigidos”
      Esto lo preparé de esta manera así podemos observar que no necesariamente lo debemos hacer para todos los usuarios del Dominio
      ————————————————-

      • Derek  On 26/09/2016 at 11:25

        Tenes razon no la habia creado…
        Ahora si lo hice con los usuarios, logro loguearme al dominio pero no me funciona el rediccionamiento de los documentos.
        La GPO esta habilitada pero no aparecen en ningun lado los documentos de los usuarios del dominio que estan en la Unidad Organizativa.
        Mi idea era colocarlos todos en la particion D: del servidor por lo cual agregue la ruta: local patch to share: D:\documents$ Remote patch to share: D:\documents$

      • Guillermo Delprato  On 26/09/2016 at 12:39

        Revisa la nota por favor. No se usa en ningún momento el “local path”, sólo se indica el destino con “\\NombreSrv\Documents$” y marcada la opción para que cree una carpeta por cada usuario
        Por supuesto que la carpeta “Documents” (sin $) debe estar creada y con los permisos adecuados tal como muestra la nota

  • David V. León Matamoros  On 17/03/2017 at 17:46

    Buenas tardes, y cual es el problema cuando no se crea la carpeta de usuario en el servidor???. gracias

    • Guillermo Delprato  On 17/03/2017 at 18:30

      Hola David, si lo que te refieres es a que no crea automáticamente la carpeta del usuario, pueden ser varios motivos, desde que está mal el “path” hasta que no estén los permisos necesarios
      Toca revisar … :)

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: