Que los Usuarios No Puedan Guardar en el Escritorio y Configuración Centralizada

Continuando con la personalización del escritorio de los usuarios que he comenzado en una nota anterior, en esta veremos cómo llegar a dos objetivos que he visto planteados en muchas ocasiones

  • Que los usuarios no puedan guardar o modificar sus escritorios de Windows
  • Que los administradores puedan poner accesos directos a aplicaciones o carpetas en todos los escritorios de los usuarios

Es fácil de hacer mediante Directivas de Grupo (GPOs)

Al igual que en la nota anterior y como una forma de verificar que no existan problemas respecto a diferentes veriones de sistema operativo, esta demostración la he probado sobre tres sistemas diferentes Windows 8.1 x86, Windows 8.1 x64, y Windows 10 x86

La infraestructura que utilizaré es la misma de todas las notas del blog:

  • DC1.ad.guillermod.com.ar
  • CL1.ad.guillermod.com.ar (Windows 8.1 x86)
  • CL3 ad.guillermod.com.ar (Windows 8.1 x64)
  • CL4.ad.guillermod.com.ar (Windows 10 x86)

Como ambas configuraciones buscadas son por usuario, he creado una Unidad Organizativa “Usuarios”, donde he creado tres cuentas, que probaré en cada uno de los clientes correspondientes

  • “User Uno” (u1)
  • “User Tres” (u3)
  • “User Cuatro” (u4)

 

Para cumplir el objetivo debemos redirigir la carpeta “Desktop”, que forma parte del perfil de cada usuario, a una ubicación centralizada en una carpeta compartida en un servidor

De esta forma, al tener el escritorio centralizado podemos cumplir con el segundo objetivo propuesto: que el administrador o a quien se haya delegado pueda personalizarlo, por ejemplo poniendo accesos directos o inclusive documentos

Mostraré primero poniendo un acceso directo, y luego modificando para agregar un segundo

Y además, por supuesto, tambien veremos que el usuario no puede guardar ni modificar nada en el mismo

He creado dos carpetas. La primera “Escritorio” está compartida de forma tal que Todos (“Everyone”) tengan permiso de sólo lectura

En esta carpeta he creado un acceso directo para probar

Y adelantándome a lo que mostraré luego, también he creado otra carpeta “DatosSector” que utilizaré para mostrar la administración centralizada; esta sí con permisos de modificación a los usuarios, pero puede adaptarse de acuerdo a las necesidades

Por supuesto, en ambas carpetas he dejado que tanto los administradores como la cuenta de máquina (“System”) tengan control total

En la forma habitual, así que sólo pondré las capturas de pantalla he creado y enlazado a la Unidad Organizativa “Usuarios” una GPO llamada “Escritorio Solo Lectura”

Y para hacer la redirección del escritorio, debemos editar: “User Configuration / Policies / Windows Settings / Folder Redirection / Desktop”

Observen que he seleccionado para que a todos los usuarios los redirija al mismo lugar (no den a “Ok” todavía)

Y en la ficha “Settings” he cambiado casi todas las opciones por omisión :)

Si no desmarcan “Grant the user exclusive rights to Desktop” los administradores no podrán ingresar a la carpeta

Para que no pierdan, si tuvieran datos, he desmarcado que mueva el contenido previo. Y por último, que si le deja de aplicar la GPO, vuelva a poner todo en la carpeta por omisión

Esperemos que a esta altura ya no tengan XPs en su red ;)

En CL1, fuerzo la reaplicación de GPOs, y veo que se necesita cerrar y volver a abrir la sesión de usuario

Podemos observar que en el escritorio de los usuarios ya aparece el escritorio que personalizó el administrador con el acceso directo, en cualquiera de los tres sitemas operativos

Y si el usuario trata de poner algún enlace sobre su escritorio, no podrá

Y comprobamos que un usuario no puede crear nada sobre el escritorio

Aunque por supuesto, el administrador o a quien haya delegado, podrá personalizar de forma centralizada el escritorio de todos los usuarios sobre los cuales se está aplicado la GPO

Si, como he preparado, el administrador desea actualizar el escritorio de todos los usuarios agregando un nuevo enlace lo podrá hacer perfectamente, agreando en el escritorio centralizado

 

Hemos visto cómo en forma sencilla, mediante GPOs se puede impedir que se guarden datos en el mismo, y adicionalmente la posibilidad de su administración en forma centralizada

 

Anuncios
Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Cristian Fontenla  On 05/01/2016 at 08:37

    Hola Gille, estamos preparando un dominio para que redirija todas las carpetas de los usuarios a una ruta comun. y eso funciona perfecto, pero lo que no logro es centralizar los iconos del menu Metro de windows 8.1 PRO.
    En un sitio de Microsoft lei unos comandos en powershell, pero solo funcionan con la version Enterprise :(
    Tambien intente con Microsoft-Windows-Shell-Setup\CopyProfile pero esto modifica el perfil predeterminado y no aplica si existen cuentas ya creadas.

    Antes en win XP podia centralizar en el perfil /allusers/menu inicio/ los iconos que deseaba compartir con todos los usuarios del dominio, pero en windows 8.1 se me esta complicando… podrias darme una mano con esto?

  • marlonc1980  On 05/01/2016 at 11:27

    Hola amigo, gracias por tus excelentes post.

    Cómo hago para los usuarios móviles(laptop) al moverse con su equipo fuera de la red, el fondo no se muestra, en su lugar una pantalla negra.

    Lo otro, como hago cuando tengo múltiples tipos de monitores?

    • Guillermo Delprato  On 05/01/2016 at 14:41

      Hay dos opciones que creo serían posibles
      1.- Habilitar y configurar sobre la carpeta compartida “Offline folders/files”
      2.- Copiar el fondo a una carpeta local en cada máquina y configurarlo en la GPO para que use en local
      Y no, no me pidas los paso a paso de ninguna de las dos :)

      • marlonc1980  On 05/01/2016 at 16:03

        jajaja, gracias estimado.

        Me regalas los pasos por favor::::::jajaja, tranquilo. Te felicito por todo tú aporte.

  • Alejandro Martinez  On 06/01/2016 at 10:54

    Guillermo, gracias como siempre. Te hago la siguiente consulta: tengo los usuarios creados en la unidad organizativa Usuarios. Puedo crear otra unidad organizativa y mover usuarios hacia es nueva unidad para poder aplicar la politica de grupo para ellos? Desde ya muchas gracias!

    • Guillermo Delprato  On 06/01/2016 at 14:12

      Hola Alejandro, primero una aclaración, porque no conozco qué idioma de sistema operativo está instalado
      Como yo lo tengo en inglés el contenedor por omisión se llama “Users”, y cuidado que no es una Unidad Organizativa, no se le pueden enlazar GPOs. Por ese motivo hice una nueva Unidad Organizativa, esta sí, y puse los usuarios en ese lugar
      La Unidad Organizativa donde se enlazará la GPO puede llamarse como te convenga, lo único a tener en cuenta es que no puede ser el contenedor por omisión llamado “Users” en inglés, porque creo que si lo tienes en español se llama “Usuarios”

      • Alejandro Martinez  On 06/01/2016 at 15:49

        Hola Guillermo, entonces me expliqué mal. En Active Directory, dentro de Usuarios tengo los usuarios de dominio locales y tambien varios usuarios remotos. Quiero crear una Unidad Organizativa para aplicarle GPO pero no me puede dar el lujo de eliminar los usuarios para volver a crearlos nuevamente dentro de la Unidad Organizativa. Tenes idea si puedo moverlos sin que implique algun problema? Gracias de nuevo. Saludos.

      • Guillermo Delprato  On 06/01/2016 at 16:35

        No Alejandro, el que al final me metí con la aclaración y no respondí fui yo :)
        Si, por supuesto se pueden mover cuentas de una Unidad Organizativa a otra, ya sea con botón y arrastrar, o con botón derecho y elegir mover

      • Alejandro Martinez  On 11/01/2016 at 13:48

        Guillermo, realice los pasos y funciono todo perfectamente, muchas gracias!

  • Alejandro Martinez  On 06/01/2016 at 16:37

    Buenisimo Guillermo, muchas gracias como siempre! Saludos.

  • raymundo  On 21/04/2016 at 07:23

    fantasticos aportes muchas gracias. Pregunta.. es posible hacer esto para redirigir las carpetas ” mis documentos” la idea es centralizar todos los usuarios a un repositorio y evitar guardar localmente cualquier info ? Gracias y saludos.

  • wilfredo  On 30/12/2016 at 20:13

    hola hecho todo el tutu poseo una maquina con windows 7 de 32 y 64bits sin ningun update y no me hace la redirecion

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: