Continuando con la personalización del escritorio de los usuarios que he comenzado en una nota anterior, en esta veremos cómo llegar a dos objetivos que he visto planteados en muchas ocasiones
- Que los usuarios no puedan guardar o modificar sus escritorios de Windows
- Que los administradores puedan poner accesos directos a aplicaciones o carpetas en todos los escritorios de los usuarios
Es fácil de hacer mediante Directivas de Grupo (GPOs)
Al igual que en la nota anterior y como una forma de verificar que no existan problemas respecto a diferentes veriones de sistema operativo, esta demostración la he probado sobre tres sistemas diferentes Windows 8.1 x86, Windows 8.1 x64, y Windows 10 x86
La infraestructura que utilizaré es la misma de todas las notas del blog:
- DC1.ad.guillermod.com.ar
- CL1.ad.guillermod.com.ar (Windows 8.1 x86)
- CL3 ad.guillermod.com.ar (Windows 8.1 x64)
- CL4.ad.guillermod.com.ar (Windows 10 x86)
Como ambas configuraciones buscadas son por usuario, he creado una Unidad Organizativa “Usuarios”, donde he creado tres cuentas, que probaré en cada uno de los clientes correspondientes
- “User Uno” (u1)
- “User Tres” (u3)
- “User Cuatro” (u4)
Para cumplir el objetivo debemos redirigir la carpeta “Desktop”, que forma parte del perfil de cada usuario, a una ubicación centralizada en una carpeta compartida en un servidor
De esta forma, al tener el escritorio centralizado podemos cumplir con el segundo objetivo propuesto: que el administrador o a quien se haya delegado pueda personalizarlo, por ejemplo poniendo accesos directos o inclusive documentos
Mostraré primero poniendo un acceso directo, y luego modificando para agregar un segundo
Y además, por supuesto, tambien veremos que el usuario no puede guardar ni modificar nada en el mismo
He creado dos carpetas. La primera “Escritorio” está compartida de forma tal que Todos (“Everyone”) tengan permiso de sólo lectura
En esta carpeta he creado un acceso directo para probar
Y adelantándome a lo que mostraré luego, también he creado otra carpeta “DatosSector” que utilizaré para mostrar la administración centralizada; esta sí con permisos de modificación a los usuarios, pero puede adaptarse de acuerdo a las necesidades
Por supuesto, en ambas carpetas he dejado que tanto los administradores como la cuenta de máquina (“System”) tengan control total
En la forma habitual, así que sólo pondré las capturas de pantalla he creado y enlazado a la Unidad Organizativa “Usuarios” una GPO llamada “Escritorio Solo Lectura”
Y para hacer la redirección del escritorio, debemos editar: “User Configuration / Policies / Windows Settings / Folder Redirection / Desktop”
Observen que he seleccionado para que a todos los usuarios los redirija al mismo lugar (no den a “Ok” todavía)
Y en la ficha “Settings” he cambiado casi todas las opciones por omisión :)
Si no desmarcan “Grant the user exclusive rights to Desktop” los administradores no podrán ingresar a la carpeta
Para que no pierdan, si tuvieran datos, he desmarcado que mueva el contenido previo. Y por último, que si le deja de aplicar la GPO, vuelva a poner todo en la carpeta por omisión
Esperemos que a esta altura ya no tengan XPs en su red ;)
En CL1, fuerzo la reaplicación de GPOs, y veo que se necesita cerrar y volver a abrir la sesión de usuario
Podemos observar que en el escritorio de los usuarios ya aparece el escritorio que personalizó el administrador con el acceso directo, en cualquiera de los tres sitemas operativos
Y si el usuario trata de poner algún enlace sobre su escritorio, no podrá
Y comprobamos que un usuario no puede crear nada sobre el escritorio
Aunque por supuesto, el administrador o a quien haya delegado, podrá personalizar de forma centralizada el escritorio de todos los usuarios sobre los cuales se está aplicado la GPO
Si, como he preparado, el administrador desea actualizar el escritorio de todos los usuarios agregando un nuevo enlace lo podrá hacer perfectamente, agreando en el escritorio centralizado
Hemos visto cómo en forma sencilla, mediante GPOs se puede impedir que se guarden datos en el mismo, y adicionalmente la posibilidad de su administración en forma centralizada
WindowServer 
Comentarios
Hola Gille, estamos preparando un dominio para que redirija todas las carpetas de los usuarios a una ruta comun. y eso funciona perfecto, pero lo que no logro es centralizar los iconos del menu Metro de windows 8.1 PRO.
En un sitio de Microsoft lei unos comandos en powershell, pero solo funcionan con la version Enterprise :(
Tambien intente con Microsoft-Windows-Shell-Setup\CopyProfile pero esto modifica el perfil predeterminado y no aplica si existen cuentas ya creadas.
Antes en win XP podia centralizar en el perfil /allusers/menu inicio/ los iconos que deseaba compartir con todos los usuarios del dominio, pero en windows 8.1 se me esta complicando… podrias darme una mano con esto?
Hola Cristian, por suerte con W10 ya casi dejaron ese «enjendro» de Metro
El contenido de los accesos directos de Metro están en dos ubicaciones diferentes, al igual que el «viejo» inicio, uno para todos y otro por cada usuario
En este enlace tienes info: Location of Windows 8 Start Screen shortcuts in the file system
https://social.technet.microsoft.com/Forums/windows/en-US/5429970c-fc07-4cdb-9497-a8f30919c2ec/location-of-windows-8-start-screen-shortcuts-in-the-file-system?forum=w8itproinstall
Hola amigo, gracias por tus excelentes post.
Cómo hago para los usuarios móviles(laptop) al moverse con su equipo fuera de la red, el fondo no se muestra, en su lugar una pantalla negra.
Lo otro, como hago cuando tengo múltiples tipos de monitores?
Hay dos opciones que creo serían posibles
1.- Habilitar y configurar sobre la carpeta compartida «Offline folders/files»
2.- Copiar el fondo a una carpeta local en cada máquina y configurarlo en la GPO para que use en local
Y no, no me pidas los paso a paso de ninguna de las dos :)
jajaja, gracias estimado.
Me regalas los pasos por favor::::::jajaja, tranquilo. Te felicito por todo tú aporte.
Guillermo, gracias como siempre. Te hago la siguiente consulta: tengo los usuarios creados en la unidad organizativa Usuarios. Puedo crear otra unidad organizativa y mover usuarios hacia es nueva unidad para poder aplicar la politica de grupo para ellos? Desde ya muchas gracias!
Hola Alejandro, primero una aclaración, porque no conozco qué idioma de sistema operativo está instalado
Como yo lo tengo en inglés el contenedor por omisión se llama «Users», y cuidado que no es una Unidad Organizativa, no se le pueden enlazar GPOs. Por ese motivo hice una nueva Unidad Organizativa, esta sí, y puse los usuarios en ese lugar
La Unidad Organizativa donde se enlazará la GPO puede llamarse como te convenga, lo único a tener en cuenta es que no puede ser el contenedor por omisión llamado «Users» en inglés, porque creo que si lo tienes en español se llama «Usuarios»
Hola Guillermo, entonces me expliqué mal. En Active Directory, dentro de Usuarios tengo los usuarios de dominio locales y tambien varios usuarios remotos. Quiero crear una Unidad Organizativa para aplicarle GPO pero no me puede dar el lujo de eliminar los usuarios para volver a crearlos nuevamente dentro de la Unidad Organizativa. Tenes idea si puedo moverlos sin que implique algun problema? Gracias de nuevo. Saludos.
No Alejandro, el que al final me metí con la aclaración y no respondí fui yo :)
Si, por supuesto se pueden mover cuentas de una Unidad Organizativa a otra, ya sea con botón y arrastrar, o con botón derecho y elegir mover
Guillermo, realice los pasos y funciono todo perfectamente, muchas gracias!
Buenisimo Guillermo, muchas gracias como siempre! Saludos.
fantasticos aportes muchas gracias. Pregunta.. es posible hacer esto para redirigir las carpetas » mis documentos» la idea es centralizar todos los usuarios a un repositorio y evitar guardar localmente cualquier info ? Gracias y saludos.
Hola Raymundo, la plantilla del blog no me permite hacer más grande la opción «Buscar» ja ja ja
Windows Server 2012: Redirigir la Carpeta Documentos | WindowServer:
hola hecho todo el tutu poseo una maquina con windows 7 de 32 y 64bits sin ningun update y no me hace la redirecion
Hola Wilfredo, estos comentarios son sobre la nota, no son para soporte, sólo oriento cuando puedo. Puedes dirigirte a un foro de soporte, por ejemplo el de Technet en https://social.technet.microsoft.com/Forums/es-ES/home
Hola Guillermo,
Felicidades por el blog, hace muchos años que lo sigo.
Repasando la lista de blogs que sigo, me he encontrado con esta solución:
http://www.sysadmit.com/2018/03/gpo-impedir-guardar-en-el-escritorio.html
Me ha parecido una forma muy sencilla de evitar que los usuarios guarden en el escritorio.
Te lo comento por si quieres indicarlo como alternativa en el post.
Saludos…Francisco.Riveira.
Hola Francisco, es una alternativa. Gracias
Hola Guillermo, como se haría en el caso de querer aplicar esta personalización de escritorios a X cantidad de usuarios del dominio, con archivos guardados en sus respectivos escritorios; y querer mover dichos archivos a la carpeta mis documentos que seria la permitida para guardar datos. (la carpeta mis documentos también estaría configurada mediante GPO Folder Redirection) gracias y saludos. :)
Hola Mario, no se me ocurre ninguna idea en este momento para lo que dices, sólo que lo haga el propio usuario o se lo haga un administrador