Copiar Perfil de Usuario Local a Usuario de Dominio

Cuando se va a migrar desde Grupo de Trabajo a ambiente de Dominio Active Directory, una de las preocupaciones de los administradores es cómo migrar el perfil del usuario que hasta ese momento es una cuenta local, al del nuevo usuario creado en el Dominio, porque aunque se llamen igual serán dos cuentas diferentes

Copiar el perfil no se trata sólo de la información que este usuario local tenga localmente en su perfil, sino además sus configuraciones

En esta nota veremos una demostración simple de cómo hacer la migración del perfil de usuario con sus datos y configuraciones, aunque aclaro, la configuración de aplicaciones habría que probarla para cada una de ellas por las diferentes formas de instalación que tiene cada una

La infraestructura que utilizaré es muy simple:

  • DC1.ad.guillermod.com.ar: Windows Server 2012 R2 Controlador de Dominio
  • CL: Windows 8.1 en Grupo de Trabajo (“Workgroup”)

Comenzaré mostrando una captura de pantalla de la máquina CL con el usuario local “Admin”, con algunas informaciones que ha guardado y la configuración de tema de Windows (sin opiniones por favor :))

PRO-01

Por otra parte, en DC1 he creado una cuenta de usuario llamada “User Uno (u1)” que será la nueva cuenta que usará como usuario del Dominio Active Directory. En este ejemplo los nombres son diferentes, pero sólo para que sea más clara la demostración

PRO-02

Voy a resumir los pasos que debemos hacer para que sea más fácil seguir la nota:

  1. Debemos iniciar sesión en CL con la nueva cuenta del usuario Dominio para que se cree su perfil por omisión
  2. Luego, como administrador, debemos cambiar la seguridad del perfil de la cuenta local para que pueda accederlo la cuenta del Dominio
  3. Seguidamente, iniciando con la cuenta local, cambiará los permisos de su propia rama del Registro (HKEY_CURRENT_USER) para permitirle acceso a la cuenta del Dominio
  4. Y finalmente con una cuenta de administrador, usando el Registro, cambiaremos el “path” del perfil de la cuenta del Dominio, al “path” de la cuenta local

 

Comenzamos iniciando sesión en CL con la cuenta del Dominio (“AD\u1”) en mi caso, la única finalidad es que se cree el perfil de la cuenta de Dominio

PRO-03

Una vez completado el inicio de sesión, ya comenzamos el segundo paso, cerramos sesión e iniciamos como administrador

PRO-04

Y en las propiedades del perfil de la cuenta local modificaremos los permisos para que pueda accederlos la cuenta del Dominio, como muestran las siguientes pantallas

PRO-05

PRO-06

PRO-07

A la cuenta del Dominio (u1) debemos asignarle permiso de Control Total (“Full Control”) sobre la carpeta con el perfil de la cuenta local (Admin)

PRO-08

Y muy importante que reemplace los permisos existentes por los nuevos

PRO-09

Confirmamos

PRO-10

Y aceptamos

PRO-11

 

Para poder darle permisos a la rama del Registro de la cuenta local, tercer paso, a la cuenta del Dominio, iniciamos con la cuenta local

PRO-12

Y con Regedit.exe, cambiamos los permisos sobre “HKEY_CURRENT_USER” ya que esto directamente corresponde a la cuenta local, como muestran las siguientes pantallas

PRO-13

PRO-14

PRO-15

Cuando la cuenta local (Admin) trate de acceder al Dominio para ingresar el nombre de la cuenta del Dominio, le pedirá autenticarse, que lo haremos con la cuenta de Dominio (u1)

PRO-16

PRO-17

Y le asignaremos Control Total (“Full Control”)

PRO-18

Y aceptamos en los cuadros abiertos

PRO-19

 

Para el cuarto y último paso debemos inciar en CL con una cuenta de administrador para cambiar el “path” del perfil de la cuenta de Dominio (u1) para que use el “path” de la cuenta local (Admin)

Inciamos con un administrador

PRO-20

El valor que almacena el “path” de los perfiles de usuario, tanto locales como del Dominio se encuentra en:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ProfileList\<SIDdelaCuenta>

Aunque ya lo sabemos, vemos cuál es el “path” de la cuenta local (Admin)

PRO-21

Usando justamente el nombre conocido del perfil, ubicamos la carpeta correspondiente a la cuenta del Dominio (u1)

Y cambiamos el “ProfileImagePath” al valor de la cuenta local (Admin)

PRO-22

PRO-23

 

Sólo falta reiniciar la máquina CL, e iniciar sesión con la cuenta de Dominio para verificar que todo fue de acuerdo a lo propuesto

PRO-24

Y por supuesto que ha funcionado de acuerdo al objetivo :)

PRO-25

 

Cómo pasar un perfil de usuario local a uno de Dominio, es algo que he visto planteado muchas veces en foros de soporte, por lo cual he decidio hacer esta nota que espero sea útil

Sin embargo hago la aclaración, no creo sea una opción que sea aplicable para migrar perfiles entre usuarios del Dominio, ya que en ese caso se produciría duplicación de SIDs con los consiguientes problemas

 

Publica un comentario o deja una referencia: URL de la referencia.

Comentarios

  • KarKzas  El 26/01/2016 a las 09:39

    Yo he usado otra técnica que funciona, al menos en windows 7: reemplazar temporalmente el perfil por defecto con el perfil que quiero clonar, luego vínculo el equipo al dominio e inicio sesión por primera vez con el usuario de dominio. Al hacer esto el perfil se creará a partir de la carpeta default, en este caso la carpeta copiada. Una vez finalizado el inicio de sesión, reinicio el equipo y procedo a eliminar la carpeta default falsa y a restaurar la original.

    • Guillermo Delprato  El 26/01/2016 a las 13:14

      Hola KarKzas, creativa solución :)
      No puedo ahora probarla, pero veré si más adelante puedo probarla
      Lo único que pienso que hay que tener cuidado es que no molesten los permisos del perfil original, pero creo que funcionará sin problemas
      ¡Gracias por la info! :)

  • Julio Cesar Jiménez  El 29/01/2016 a las 12:04

    Que tal Guillermo,
    Como siempre un placer revisar tus notas.
    Tiempo atrás realizamos la migración de cuentas, y dada la premura del caso usamos User Profile Wizard de Forensit. Una herramienta muy interesante que nos ayudo con la migración de 150 usuarios en un tiempo relativamente corto.
    Saludos
    Julio

    • Guillermo Delprato  El 29/01/2016 a las 12:31

      Hola Julio Cesar, conocia esa utilidad, la había probado hace años, y vi que funcionaba bien en las pocas pruebas que realicé en ese momento
      Publiqué este método, porque me gusta más entender qué pasos hacer, que utilizar algo que “lo hace solo” :)
      ¡Gracias por tu comentario! :)

  • David  El 29/01/2016 a las 12:17

    Buenas tardes Guillermo, he leido tu blog desde hace mucho tiempo y nunca me he atrevido a escribir nada pues mis conocimientos son limitados y me limito a ver y aprender.
    No recuerdo si lo has escrito o no, pero hay una utilidad gratuita para realizar este trabajo que funciona realmente bien. Se trata de Profile Wizard de Forensit. https://www.forensit.com/downloads.html
    Yo la utilizo mucho para realizar los traspasos de perfiles locales a dominios y funciona de forma espectacular. Tal vez pueda resultarte de utilidad a ti a otras personas que lean este blog.
    Saludos cordiales

    • Guillermo Delprato  El 29/01/2016 a las 12:33

      Hola David, por favor no dudes en preguntar. Estos comentarios no son para soporte, pero si el comentario está relacionado al tema y puedo ayudar siempre lo hago
      Como le respondí recién a Juilo Cesar, conocía la utilidad y la probé hace años, sólo que hice esta nota porque me gusta más entender qué pasos hacer, que utilizar algo que “lo hace solo”
      ¡Gracias por el comentario! :)

      • Alexis G  El 17/07/2019 a las 19:01

        excelente programa me salvo, no toma algunas configuraciones pero el trabajo es menos que pasar todo a píe. aún en 2019 :V

      • Guillermo Delprato  El 18/07/2019 a las 07:10

        Me alegro :)

  • Daniel Arrioja M.  El 04/02/2016 a las 13:25

    Buenos días Guillermo. Primeramente agradecerte por tu gran contribución a la comunidad, es invalorable. Te molesto por lo siguiente… y sé que no tiene que ver con la nota específica, pero no hallé donde dejarte la duda. Estoy interesado en configurar un Web caché en la empresa sobre Windows server 2008 R2. Primeramente, ¿existe un servicio nativo para esta función en Windows? Conseguí algo por allí (https://technet.microsoft.com/library/ee126126(WS.10).aspx), pero no sé si es específicamente para lo que busco. También sé que podría usar Squid, pero entiendo que maneja Iptables y nosotros ya tenemos en producción un Firewall. Para resumir, ¿existe alguna aplicación o servicio que haga solo web cache?
    De antemano, mil gracias por tu constante aporte. ¡Un abrazo! P.D: Disculpa si estoy fuera de orden.

    • Guillermo Delprato  El 04/02/2016 a las 16:56

      Hola Daniel ¡gracias por el comentario!
      No existe nada nativo para web cache. El producto que tenía Microsoft TMG lo ha discontinuado
      En general la mayoría sé que se está inclinando justamente por Squid

  • Jonathan maldonado  El 08/03/2016 a las 11:19

    Hola guillermo estoy urgido necesito de tu gran ayuda tengo un usuario en dominio windows server 2012 pero necesito que cada vez que ejecute una aplicacion no me pida el usuario administrador de la maquina como puedo hacer esto ??

  • Sebastian Martinez  El 26/08/2016 a las 15:28

    Hola Guillermo, un placer poder aprender de todos los tus conocimientos que aquí dejas plasmados.
    Referente a este articulo te quería preguntar como resolver un error que me aparece cuando intento asignarle el permiso de control total, a la cuenta de dominio creada, cuando entro el la ventana pulso añadir y sale:
    “No se puede establecer contacto con Active Directory para obtener acceso a los tipos de notificación o para comprobarlos”
    Seguramente hay algún paso que me salto o bien falta por configurar algo en Active Directory que no se que es, he probado de todo.
    Si es posible que me ayudes te quedare agradecido.
    Si te es mas comodo me envias un privado.
    Muchas gracias por todo lo que aquí se aprende.
    Saludos.

    • Guillermo Delprato  El 26/08/2016 a las 15:37

      Si ese error lo da cuando se está haciendo el cambio con el usuario de Dominio, entonces esa máquina no está correctamente unida al Dominio
      O que no apliques los permisos a carpetas, subcarpetas y archivos, o no hayas puesto la opción de reemplazar los permisos
      Funcionar, funciona :)
      Otra opción, si te fijas en los comentarios es con un utilitario (de Forensit) yo no lo he usado, pero dicen que funciona muy bien

  • Jesus  El 17/10/2016 a las 10:32

    Hola:

    No sé si debería realizar esta pregunta en esta entrada, pero está relacionada con el perfil del usuario. Tengo una instalación compuesta de 4 servidores: 2 con los roles DC y sevidores de archivos y 2 con el rol de Hyper-V. A varios equipos he observado que el usuario a cambiado de Administrador.dominio a Administrador.dominio.000 y no veo ningún registro de error que pudiese aclararme el porqué. Buscando he leido que puede haber sido provocado por un error grave del sistema!¡. Otros, de una actualización del sistema, …
    No sé si esto puede ser un problema en un futuro, actualmente esta funcionando correctamente, o no debo preocuparme. Aunque me gustaría saber el porque fue provocado dicho cambio.

    Muchas gracias por tu atención y por todos los artículos que publicas. Son de gran interés y muy prácticos. Aprendo mucho con ellos.

    • Guillermo Delprato  El 17/10/2016 a las 12:01

      Hola Jesus, normalmente eso se produce si por ejemplo una máquina se saca de un Dominio y se agrega a otro que se llame igual, ya que el sistema los diferencia
      Podría ser también si hubo corrupción en el perfil, y se ha creado uno nuevo
      Si todo funciona bien, yo no tocaría mucho
      Si miras en “Sistema / Avanzadas / Perfiles de usuario” podrás ver más datos y eliminar el que no quieras, pero cuidado no vayas a eliminar el bueno :)
      Gracias por tu comentario, me alegro te sirvan las notas

  • Christian Gutierrez  El 23/01/2018 a las 16:35

    Que tal, muy buen post pero veo que tienes un permisos para todas las aplicaciones, llevo meses buscando eso, podrias decirme como agregarlo?

  • mariano gergolet  El 04/02/2018 a las 18:57

    cuando dices de copiar el path de uno hacia el otro, te refieres a los datos binarios? o sea copiarlos y pegarlos de uno al otro?

  • Santiago  El 29/11/2018 a las 16:48

    Buenas tardes Guillermo,
    Estoy trabajando con un servidor Windos Server 2016 Essensial.
    Segui todos los pasos que indicas pero cuando ingreso con mi usuario del dominio en mi equipo me sale un cartel que me pide restaurar configuraciones, y no me permite ni abrir el File Explorer ni ninguna carpeta. Tambien me sale un cartel que dice que me pueden faltar permisos..

    tenes idea que puede ser?

    Mil gracias

    Saludos!!

    • Guillermo Delprato  El 29/11/2018 a las 18:42

      Hola Santiago, muchas posibilidades, revisa bien la nota, pero por el tipo de error yo comenzaría con el tema permisos

  • Rafa  El 19/12/2018 a las 10:33

    Buenas tardes. He seguido este estupendo procedimiento hasta el final pero en el cuarto paso al iniciar la sesión con mi usuario de dominio, no termina de realizar la carga y tras un rato me vuelve a salir la pantalla de iniciar sesión. Si le vuelvo a poner el path que tenía me inicia la sesión sin problema. ¿Qué me puedo esta saltando? Gracias y un saluro

    • Guillermo Delprato  El 19/12/2018 a las 13:02

      Hola Rafa, habría que revisar cada uno de los pasos, pero por lo que comentas yo comenzaría con el tema permisos, y si están todas las carpetas inclusive las ocultas

  • Pablo  El 02/08/2019 a las 12:10

    Guillermo, como estas? gracias por tu ayuda me han salvado de varias.
    Eh tomado un nuevo cliente que tiene un server 2008 32bit DC el cual en cual quier momento falla y la empresa no quiere gastar en un controlador de dominio secundario, son solo 20 clientes, cual es el procedimiento alreves, quiero eliminar el DC actual y migrar la red del domino a una red standar sin controlador, como transfiero la info a la cuanta local d cada pc? solo copiando y pegando y en el caso del outlook pasar la base.pst y reconfigurando en el usuario local? o existe otro forma? gracias

    • Guillermo Delprato  El 02/08/2019 a las 15:59

      Para pasar usuarios de Dominio a usuarios locales, que yo sepa, la única es crear localmente los usuarios y pasar la toda la info a mano. Y cuidado que no tengan cosas cifradas con EFS, porque en ese caso primero se debe descifrar

  • Jaime  El 10/03/2020 a las 21:41

    Muchas gracias, por el tutorial. Lo he seguido pero no me sale. Tras seguir todos los pasos, reiniciar y tratar de loguearme con el usuario de dominio, ya con el path de usuario local, no me deja inciar sesión. Se cierra. Cuando vuelvo a cambiar el path, sí me deja entrar, pero la configuración no es la del usuario local.
    ¿Ha cambiado algo en win10?

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .

A %d blogueros les gusta esto: