Copiar Perfil de Usuario Local a Usuario de Dominio

Cuando se va a migrar desde Grupo de Trabajo a ambiente de Dominio Active Directory, una de las preocupaciones de los administradores es cómo migrar el perfil del usuario que hasta ese momento es una cuenta local, al del nuevo usuario creado en el Dominio, porque aunque se llamen igual serán dos cuentas diferentes

Copiar el perfil no se trata sólo de la información que este usuario local tenga localmente en su perfil, sino además sus configuraciones

En esta nota veremos una demostración simple de cómo hacer la migración del perfil de usuario con sus datos y configuraciones, aunque aclaro, la configuración de aplicaciones habría que probarla para cada una de ellas por las diferentes formas de instalación que tiene cada una

La infraestructura que utilizaré es muy simple:

  • DC1.ad.guillermod.com.ar: Windows Server 2012 R2 Controlador de Dominio
  • CL: Windows 8.1 en Grupo de Trabajo (“Workgroup”)

Comenzaré mostrando una captura de pantalla de la máquina CL con el usuario local “Admin”, con algunas informaciones que ha guardado y la configuración de tema de Windows (sin opiniones por favor :))

PRO-01

Por otra parte, en DC1 he creado una cuenta de usuario llamada “User Uno (u1)” que será la nueva cuenta que usará como usuario del Dominio Active Directory. En este ejemplo los nombres son diferentes, pero sólo para que sea más clara la demostración

PRO-02

Voy a resumir los pasos que debemos hacer para que sea más fácil seguir la nota:

  1. Debemos iniciar sesión en CL con la nueva cuenta del usuario Dominio para que se cree su perfil por omisión
  2. Luego, como administrador, debemos cambiar la seguridad del perfil de la cuenta local para que pueda accederlo la cuenta del Dominio
  3. Seguidamente, iniciando con la cuenta local, cambiará los permisos de su propia rama del Registro (HKEY_CURRENT_USER) para permitirle acceso a la cuenta del Dominio
  4. Y finalmente con una cuenta de administrador, usando el Registro, cambiaremos el “path” del perfil de la cuenta del Dominio, al “path” de la cuenta local

 

Comenzamos iniciando sesión en CL con la cuenta del Dominio (“AD\u1”) en mi caso, la única finalidad es que se cree el perfil de la cuenta de Dominio

PRO-03

Una vez completado el inicio de sesión, ya comenzamos el segundo paso, cerramos sesión e iniciamos como administrador

PRO-04

Y en las propiedades del perfil de la cuenta local modificaremos los permisos para que pueda accederlos la cuenta del Dominio, como muestran las siguientes pantallas

PRO-05

PRO-06

PRO-07

A la cuenta del Dominio (u1) debemos asignarle permiso de Control Total (“Full Control”) sobre la carpeta con el perfil de la cuenta local (Admin)

PRO-08

Y muy importante que reemplace los permisos existentes por los nuevos

PRO-09

Confirmamos

PRO-10

Y aceptamos

PRO-11

 

Para poder darle permisos a la rama del Registro de la cuenta local, tercer paso, a la cuenta del Dominio, iniciamos con la cuenta local

PRO-12

Y con Regedit.exe, cambiamos los permisos sobre “HKEY_CURRENT_USER” ya que esto directamente corresponde a la cuenta local, como muestran las siguientes pantallas

PRO-13

PRO-14

PRO-15

Cuando la cuenta local (Admin) trate de acceder al Dominio para ingresar el nombre de la cuenta del Dominio, le pedirá autenticarse, que lo haremos con la cuenta de Dominio (u1)

PRO-16

PRO-17

Y le asignaremos Control Total (“Full Control”)

PRO-18

Y aceptamos en los cuadros abiertos

PRO-19

 

Para el cuarto y último paso debemos inciar en CL con una cuenta de administrador para cambiar el “path” del perfil de la cuenta de Dominio (u1) para que use el “path” de la cuenta local (Admin)

Inciamos con un administrador

PRO-20

El valor que almacena el “path” de los perfiles de usuario, tanto locales como del Dominio se encuentra en:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ProfileList\<SIDdelaCuenta>

Aunque ya lo sabemos, vemos cuál es el “path” de la cuenta local (Admin)

PRO-21

Usando justamente el nombre conocido del perfil, ubicamos la carpeta correspondiente a la cuenta del Dominio (u1)

Y cambiamos el “ProfileImagePath” al valor de la cuenta local (Admin)

PRO-22

PRO-23

 

Sólo falta reiniciar la máquina CL, e iniciar sesión con la cuenta de Dominio para verificar que todo fue de acuerdo a lo propuesto

PRO-24

Y por supuesto que ha funcionado de acuerdo al objetivo :)

PRO-25

 

Cómo pasar un perfil de usuario local a uno de Dominio, es algo que he visto planteado muchas veces en foros de soporte, por lo cual he decidio hacer esta nota que espero sea útil

Sin embargo hago la aclaración, no creo sea una opción que sea aplicable para migrar perfiles entre usuarios del Dominio, ya que en ese caso se produciría duplicación de SIDs con los consiguientes problemas

 

Anuncios
Post a comment or leave a trackback: Trackback URL.

Comentarios

  • KarKzas  On 26/01/2016 at 09:39

    Yo he usado otra técnica que funciona, al menos en windows 7: reemplazar temporalmente el perfil por defecto con el perfil que quiero clonar, luego vínculo el equipo al dominio e inicio sesión por primera vez con el usuario de dominio. Al hacer esto el perfil se creará a partir de la carpeta default, en este caso la carpeta copiada. Una vez finalizado el inicio de sesión, reinicio el equipo y procedo a eliminar la carpeta default falsa y a restaurar la original.

    • Guillermo Delprato  On 26/01/2016 at 13:14

      Hola KarKzas, creativa solución :)
      No puedo ahora probarla, pero veré si más adelante puedo probarla
      Lo único que pienso que hay que tener cuidado es que no molesten los permisos del perfil original, pero creo que funcionará sin problemas
      ¡Gracias por la info! :)

  • Julio Cesar Jiménez  On 29/01/2016 at 12:04

    Que tal Guillermo,
    Como siempre un placer revisar tus notas.
    Tiempo atrás realizamos la migración de cuentas, y dada la premura del caso usamos User Profile Wizard de Forensit. Una herramienta muy interesante que nos ayudo con la migración de 150 usuarios en un tiempo relativamente corto.
    Saludos
    Julio

    • Guillermo Delprato  On 29/01/2016 at 12:31

      Hola Julio Cesar, conocia esa utilidad, la había probado hace años, y vi que funcionaba bien en las pocas pruebas que realicé en ese momento
      Publiqué este método, porque me gusta más entender qué pasos hacer, que utilizar algo que “lo hace solo” :)
      ¡Gracias por tu comentario! :)

  • David  On 29/01/2016 at 12:17

    Buenas tardes Guillermo, he leido tu blog desde hace mucho tiempo y nunca me he atrevido a escribir nada pues mis conocimientos son limitados y me limito a ver y aprender.
    No recuerdo si lo has escrito o no, pero hay una utilidad gratuita para realizar este trabajo que funciona realmente bien. Se trata de Profile Wizard de Forensit. https://www.forensit.com/downloads.html
    Yo la utilizo mucho para realizar los traspasos de perfiles locales a dominios y funciona de forma espectacular. Tal vez pueda resultarte de utilidad a ti a otras personas que lean este blog.
    Saludos cordiales

    • Guillermo Delprato  On 29/01/2016 at 12:33

      Hola David, por favor no dudes en preguntar. Estos comentarios no son para soporte, pero si el comentario está relacionado al tema y puedo ayudar siempre lo hago
      Como le respondí recién a Juilo Cesar, conocía la utilidad y la probé hace años, sólo que hice esta nota porque me gusta más entender qué pasos hacer, que utilizar algo que “lo hace solo”
      ¡Gracias por el comentario! :)

  • Daniel Arrioja M.  On 04/02/2016 at 13:25

    Buenos días Guillermo. Primeramente agradecerte por tu gran contribución a la comunidad, es invalorable. Te molesto por lo siguiente… y sé que no tiene que ver con la nota específica, pero no hallé donde dejarte la duda. Estoy interesado en configurar un Web caché en la empresa sobre Windows server 2008 R2. Primeramente, ¿existe un servicio nativo para esta función en Windows? Conseguí algo por allí (https://technet.microsoft.com/library/ee126126(WS.10).aspx), pero no sé si es específicamente para lo que busco. También sé que podría usar Squid, pero entiendo que maneja Iptables y nosotros ya tenemos en producción un Firewall. Para resumir, ¿existe alguna aplicación o servicio que haga solo web cache?
    De antemano, mil gracias por tu constante aporte. ¡Un abrazo! P.D: Disculpa si estoy fuera de orden.

    • Guillermo Delprato  On 04/02/2016 at 16:56

      Hola Daniel ¡gracias por el comentario!
      No existe nada nativo para web cache. El producto que tenía Microsoft TMG lo ha discontinuado
      En general la mayoría sé que se está inclinando justamente por Squid

  • Jonathan maldonado  On 08/03/2016 at 11:19

    Hola guillermo estoy urgido necesito de tu gran ayuda tengo un usuario en dominio windows server 2012 pero necesito que cada vez que ejecute una aplicacion no me pida el usuario administrador de la maquina como puedo hacer esto ??

  • Sebastian Martinez  On 26/08/2016 at 15:28

    Hola Guillermo, un placer poder aprender de todos los tus conocimientos que aquí dejas plasmados.
    Referente a este articulo te quería preguntar como resolver un error que me aparece cuando intento asignarle el permiso de control total, a la cuenta de dominio creada, cuando entro el la ventana pulso añadir y sale:
    “No se puede establecer contacto con Active Directory para obtener acceso a los tipos de notificación o para comprobarlos”
    Seguramente hay algún paso que me salto o bien falta por configurar algo en Active Directory que no se que es, he probado de todo.
    Si es posible que me ayudes te quedare agradecido.
    Si te es mas comodo me envias un privado.
    Muchas gracias por todo lo que aquí se aprende.
    Saludos.

    • Guillermo Delprato  On 26/08/2016 at 15:37

      Si ese error lo da cuando se está haciendo el cambio con el usuario de Dominio, entonces esa máquina no está correctamente unida al Dominio
      O que no apliques los permisos a carpetas, subcarpetas y archivos, o no hayas puesto la opción de reemplazar los permisos
      Funcionar, funciona :)
      Otra opción, si te fijas en los comentarios es con un utilitario (de Forensit) yo no lo he usado, pero dicen que funciona muy bien

  • Jesus  On 17/10/2016 at 10:32

    Hola:

    No sé si debería realizar esta pregunta en esta entrada, pero está relacionada con el perfil del usuario. Tengo una instalación compuesta de 4 servidores: 2 con los roles DC y sevidores de archivos y 2 con el rol de Hyper-V. A varios equipos he observado que el usuario a cambiado de Administrador.dominio a Administrador.dominio.000 y no veo ningún registro de error que pudiese aclararme el porqué. Buscando he leido que puede haber sido provocado por un error grave del sistema!¡. Otros, de una actualización del sistema, …
    No sé si esto puede ser un problema en un futuro, actualmente esta funcionando correctamente, o no debo preocuparme. Aunque me gustaría saber el porque fue provocado dicho cambio.

    Muchas gracias por tu atención y por todos los artículos que publicas. Son de gran interés y muy prácticos. Aprendo mucho con ellos.

    • Guillermo Delprato  On 17/10/2016 at 12:01

      Hola Jesus, normalmente eso se produce si por ejemplo una máquina se saca de un Dominio y se agrega a otro que se llame igual, ya que el sistema los diferencia
      Podría ser también si hubo corrupción en el perfil, y se ha creado uno nuevo
      Si todo funciona bien, yo no tocaría mucho
      Si miras en “Sistema / Avanzadas / Perfiles de usuario” podrás ver más datos y eliminar el que no quieras, pero cuidado no vayas a eliminar el bueno :)
      Gracias por tu comentario, me alegro te sirvan las notas

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: