Cuando se va a migrar desde Grupo de Trabajo a ambiente de Dominio Active Directory, una de las preocupaciones de los administradores es cómo migrar el perfil del usuario que hasta ese momento es una cuenta local, al del nuevo usuario creado en el Dominio, porque aunque se llamen igual serán dos cuentas diferentes
Copiar el perfil no se trata sólo de la información que este usuario local tenga localmente en su perfil, sino además sus configuraciones
En esta nota veremos una demostración simple de cómo hacer la migración del perfil de usuario con sus datos y configuraciones, aunque aclaro, la configuración de aplicaciones habría que probarla para cada una de ellas por las diferentes formas de instalación que tiene cada una
La infraestructura que utilizaré es muy simple:
- DC1.ad.guillermod.com.ar: Windows Server 2012 R2 Controlador de Dominio
- CL: Windows 8.1 en Grupo de Trabajo (“Workgroup”)
Comenzaré mostrando una captura de pantalla de la máquina CL con el usuario local “Admin”, con algunas informaciones que ha guardado y la configuración de tema de Windows (sin opiniones por favor :))
Por otra parte, en DC1 he creado una cuenta de usuario llamada “User Uno (u1)” que será la nueva cuenta que usará como usuario del Dominio Active Directory. En este ejemplo los nombres son diferentes, pero sólo para que sea más clara la demostración
Voy a resumir los pasos que debemos hacer para que sea más fácil seguir la nota:
- Debemos iniciar sesión en CL con la nueva cuenta del usuario Dominio para que se cree su perfil por omisión
- Luego, como administrador, debemos cambiar la seguridad del perfil de la cuenta local para que pueda accederlo la cuenta del Dominio
- Seguidamente, iniciando con la cuenta local, cambiará los permisos de su propia rama del Registro (HKEY_CURRENT_USER) para permitirle acceso a la cuenta del Dominio
- Y finalmente con una cuenta de administrador, usando el Registro, cambiaremos el “path” del perfil de la cuenta del Dominio, al “path” de la cuenta local
Comenzamos iniciando sesión en CL con la cuenta del Dominio (“AD\u1”) en mi caso, la única finalidad es que se cree el perfil de la cuenta de Dominio
Una vez completado el inicio de sesión, ya comenzamos el segundo paso, cerramos sesión e iniciamos como administrador
Y en las propiedades del perfil de la cuenta local modificaremos los permisos para que pueda accederlos la cuenta del Dominio, como muestran las siguientes pantallas
A la cuenta del Dominio (u1) debemos asignarle permiso de Control Total (“Full Control”) sobre la carpeta con el perfil de la cuenta local (Admin)
Y muy importante que reemplace los permisos existentes por los nuevos
Confirmamos
Y aceptamos
Para poder darle permisos a la rama del Registro de la cuenta local, tercer paso, a la cuenta del Dominio, iniciamos con la cuenta local
Y con Regedit.exe, cambiamos los permisos sobre “HKEY_CURRENT_USER” ya que esto directamente corresponde a la cuenta local, como muestran las siguientes pantallas
Cuando la cuenta local (Admin) trate de acceder al Dominio para ingresar el nombre de la cuenta del Dominio, le pedirá autenticarse, que lo haremos con la cuenta de Dominio (u1)
Y le asignaremos Control Total (“Full Control”)
Y aceptamos en los cuadros abiertos
Para el cuarto y último paso debemos inciar en CL con una cuenta de administrador para cambiar el “path” del perfil de la cuenta de Dominio (u1) para que use el “path” de la cuenta local (Admin)
Inciamos con un administrador
El valor que almacena el “path” de los perfiles de usuario, tanto locales como del Dominio se encuentra en:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ProfileList\<SIDdelaCuenta>
Aunque ya lo sabemos, vemos cuál es el “path” de la cuenta local (Admin)
Usando justamente el nombre conocido del perfil, ubicamos la carpeta correspondiente a la cuenta del Dominio (u1)
Y cambiamos el “ProfileImagePath” al valor de la cuenta local (Admin)
Sólo falta reiniciar la máquina CL, e iniciar sesión con la cuenta de Dominio para verificar que todo fue de acuerdo a lo propuesto
Y por supuesto que ha funcionado de acuerdo al objetivo :)
Cómo pasar un perfil de usuario local a uno de Dominio, es algo que he visto planteado muchas veces en foros de soporte, por lo cual he decidio hacer esta nota que espero sea útil
Sin embargo hago la aclaración, no creo sea una opción que sea aplicable para migrar perfiles entre usuarios del Dominio, ya que en ese caso se produciría duplicación de SIDs con los consiguientes problemas
WindowServer 
Comentarios
Yo he usado otra técnica que funciona, al menos en windows 7: reemplazar temporalmente el perfil por defecto con el perfil que quiero clonar, luego vínculo el equipo al dominio e inicio sesión por primera vez con el usuario de dominio. Al hacer esto el perfil se creará a partir de la carpeta default, en este caso la carpeta copiada. Una vez finalizado el inicio de sesión, reinicio el equipo y procedo a eliminar la carpeta default falsa y a restaurar la original.
Hola KarKzas, creativa solución :)
No puedo ahora probarla, pero veré si más adelante puedo probarla
Lo único que pienso que hay que tener cuidado es que no molesten los permisos del perfil original, pero creo que funcionará sin problemas
¡Gracias por la info! :)
Que tal Guillermo,
Como siempre un placer revisar tus notas.
Tiempo atrás realizamos la migración de cuentas, y dada la premura del caso usamos User Profile Wizard de Forensit. Una herramienta muy interesante que nos ayudo con la migración de 150 usuarios en un tiempo relativamente corto.
Saludos
Julio
Hola Julio Cesar, conocia esa utilidad, la había probado hace años, y vi que funcionaba bien en las pocas pruebas que realicé en ese momento
Publiqué este método, porque me gusta más entender qué pasos hacer, que utilizar algo que «lo hace solo» :)
¡Gracias por tu comentario! :)
Buenas tardes Guillermo, he leido tu blog desde hace mucho tiempo y nunca me he atrevido a escribir nada pues mis conocimientos son limitados y me limito a ver y aprender.
No recuerdo si lo has escrito o no, pero hay una utilidad gratuita para realizar este trabajo que funciona realmente bien. Se trata de Profile Wizard de Forensit. https://www.forensit.com/downloads.html
Yo la utilizo mucho para realizar los traspasos de perfiles locales a dominios y funciona de forma espectacular. Tal vez pueda resultarte de utilidad a ti a otras personas que lean este blog.
Saludos cordiales
Hola David, por favor no dudes en preguntar. Estos comentarios no son para soporte, pero si el comentario está relacionado al tema y puedo ayudar siempre lo hago
Como le respondí recién a Juilo Cesar, conocía la utilidad y la probé hace años, sólo que hice esta nota porque me gusta más entender qué pasos hacer, que utilizar algo que “lo hace solo”
¡Gracias por el comentario! :)
excelente programa me salvo, no toma algunas configuraciones pero el trabajo es menos que pasar todo a píe. aún en 2019 :V
Me alegro :)
Buenos días Guillermo. Primeramente agradecerte por tu gran contribución a la comunidad, es invalorable. Te molesto por lo siguiente… y sé que no tiene que ver con la nota específica, pero no hallé donde dejarte la duda. Estoy interesado en configurar un Web caché en la empresa sobre Windows server 2008 R2. Primeramente, ¿existe un servicio nativo para esta función en Windows? Conseguí algo por allí (https://technet.microsoft.com/library/ee126126(WS.10).aspx), pero no sé si es específicamente para lo que busco. También sé que podría usar Squid, pero entiendo que maneja Iptables y nosotros ya tenemos en producción un Firewall. Para resumir, ¿existe alguna aplicación o servicio que haga solo web cache?
De antemano, mil gracias por tu constante aporte. ¡Un abrazo! P.D: Disculpa si estoy fuera de orden.
Hola Daniel ¡gracias por el comentario!
No existe nada nativo para web cache. El producto que tenía Microsoft TMG lo ha discontinuado
En general la mayoría sé que se está inclinando justamente por Squid
Hola guillermo estoy urgido necesito de tu gran ayuda tengo un usuario en dominio windows server 2012 pero necesito que cada vez que ejecute una aplicacion no me pida el usuario administrador de la maquina como puedo hacer esto ??
Jonathan, este no es un lugar para soporte
Esa es una aplicación mal diseñada
Hola Guillermo, un placer poder aprender de todos los tus conocimientos que aquí dejas plasmados.
Referente a este articulo te quería preguntar como resolver un error que me aparece cuando intento asignarle el permiso de control total, a la cuenta de dominio creada, cuando entro el la ventana pulso añadir y sale:
«No se puede establecer contacto con Active Directory para obtener acceso a los tipos de notificación o para comprobarlos»
Seguramente hay algún paso que me salto o bien falta por configurar algo en Active Directory que no se que es, he probado de todo.
Si es posible que me ayudes te quedare agradecido.
Si te es mas comodo me envias un privado.
Muchas gracias por todo lo que aquí se aprende.
Saludos.
Si ese error lo da cuando se está haciendo el cambio con el usuario de Dominio, entonces esa máquina no está correctamente unida al Dominio
O que no apliques los permisos a carpetas, subcarpetas y archivos, o no hayas puesto la opción de reemplazar los permisos
Funcionar, funciona :)
Otra opción, si te fijas en los comentarios es con un utilitario (de Forensit) yo no lo he usado, pero dicen que funciona muy bien
Hola:
No sé si debería realizar esta pregunta en esta entrada, pero está relacionada con el perfil del usuario. Tengo una instalación compuesta de 4 servidores: 2 con los roles DC y sevidores de archivos y 2 con el rol de Hyper-V. A varios equipos he observado que el usuario a cambiado de Administrador.dominio a Administrador.dominio.000 y no veo ningún registro de error que pudiese aclararme el porqué. Buscando he leido que puede haber sido provocado por un error grave del sistema!¡. Otros, de una actualización del sistema, …
No sé si esto puede ser un problema en un futuro, actualmente esta funcionando correctamente, o no debo preocuparme. Aunque me gustaría saber el porque fue provocado dicho cambio.
Muchas gracias por tu atención y por todos los artículos que publicas. Son de gran interés y muy prácticos. Aprendo mucho con ellos.
Hola Jesus, normalmente eso se produce si por ejemplo una máquina se saca de un Dominio y se agrega a otro que se llame igual, ya que el sistema los diferencia
Podría ser también si hubo corrupción en el perfil, y se ha creado uno nuevo
Si todo funciona bien, yo no tocaría mucho
Si miras en «Sistema / Avanzadas / Perfiles de usuario» podrás ver más datos y eliminar el que no quieras, pero cuidado no vayas a eliminar el bueno :)
Gracias por tu comentario, me alegro te sirvan las notas
Que tal, muy buen post pero veo que tienes un permisos para todas las aplicaciones, llevo meses buscando eso, podrias decirme como agregarlo?
Hola Christian, no comprendo la pregunta. Si te refieres a permisos para usar o restringir aplicaciones entonces es otra cosa diferente
Prohibir el Uso de Aplicaciones–Parte 1 de 2 | WindowServer
https://windowserver.wordpress.com/2015/09/29/prohibir-el-uso-de-aplicacionesparte-1-de-2/
Prohibir el Uso de Aplicaciones–Parte 2 de 2 | WindowServer
https://windowserver.wordpress.com/2015/10/06/prohibir-el-uso-de-aplicacionesparte-2-de-2/
Asi es, me referia el uso de aplicaciones ya que nosotros manejamos un sistema, que no puedo hacerlo correr en otros equipos (soy nuevo en el dep), no se como agregar esos permisos pero que bueno que me pasas los links.
Muchas gracias Guillemo
cuando dices de copiar el path de uno hacia el otro, te refieres a los datos binarios? o sea copiarlos y pegarlos de uno al otro?
Hola Mariano, el «path» es el «camino», por ejemplo «C:\Users\Admin»
Buenas tardes Guillermo,
Estoy trabajando con un servidor Windos Server 2016 Essensial.
Segui todos los pasos que indicas pero cuando ingreso con mi usuario del dominio en mi equipo me sale un cartel que me pide restaurar configuraciones, y no me permite ni abrir el File Explorer ni ninguna carpeta. Tambien me sale un cartel que dice que me pueden faltar permisos..
tenes idea que puede ser?
Mil gracias
Saludos!!
Hola Santiago, muchas posibilidades, revisa bien la nota, pero por el tipo de error yo comenzaría con el tema permisos
Buenas tardes. He seguido este estupendo procedimiento hasta el final pero en el cuarto paso al iniciar la sesión con mi usuario de dominio, no termina de realizar la carga y tras un rato me vuelve a salir la pantalla de iniciar sesión. Si le vuelvo a poner el path que tenía me inicia la sesión sin problema. ¿Qué me puedo esta saltando? Gracias y un saluro
Hola Rafa, habría que revisar cada uno de los pasos, pero por lo que comentas yo comenzaría con el tema permisos, y si están todas las carpetas inclusive las ocultas
Guillermo, como estas? gracias por tu ayuda me han salvado de varias.
Eh tomado un nuevo cliente que tiene un server 2008 32bit DC el cual en cual quier momento falla y la empresa no quiere gastar en un controlador de dominio secundario, son solo 20 clientes, cual es el procedimiento alreves, quiero eliminar el DC actual y migrar la red del domino a una red standar sin controlador, como transfiero la info a la cuanta local d cada pc? solo copiando y pegando y en el caso del outlook pasar la base.pst y reconfigurando en el usuario local? o existe otro forma? gracias
Para pasar usuarios de Dominio a usuarios locales, que yo sepa, la única es crear localmente los usuarios y pasar la toda la info a mano. Y cuidado que no tengan cosas cifradas con EFS, porque en ese caso primero se debe descifrar
Muchas gracias, por el tutorial. Lo he seguido pero no me sale. Tras seguir todos los pasos, reiniciar y tratar de loguearme con el usuario de dominio, ya con el path de usuario local, no me deja inciar sesión. Se cierra. Cuando vuelvo a cambiar el path, sí me deja entrar, pero la configuración no es la del usuario local.
¿Ha cambiado algo en win10?
Hola Jaime, estos comentarios son sobre la nota, no son para soporte, sólo oriento cuando puedo. Puedes dirigirte a un foro de soporte, por ejemplo el de Technet en https://social.technet.microsoft.com/Forums/es-ES/home