Tengo algunos problemas para configurar perfiles móviles con Server 2008 R2. Estos son los permisos que configuré en el perfil compartido móvil:
Compartir permisos
Administrators - Full
SYSTEM - Full
Authenticated Users - Full
Permisos NTFS
Administrators - Full
CREATOR OWNER - Full
SYSTEM - Full
Authenticated Users - List Folder/Read Data, Read, Create Folders/Write Data (This Folder Only)
Esto parece funcionar sin problemas, el perfil se crea automáticamente para el usuario cuando inicia sesión por primera vez.
El problema que tengo es que no quiero que los usuarios puedan simplemente crear carpetas en el perfil compartido móvil, pero si elimino ese permiso, no se crea nada.
Respuesta1
Si desea que el usuario cree las carpetas de perfil cuando el usuario inicia sesión por primera vez, entonces se quedará con estos permisos. Al sincronizar la carpeta de perfil de un usuario al iniciar/cerrar sesión en el perfil compartido, se utilizan las configuraciones de seguridad del usuario, por lo que si el usuario no tiene permisos para crear una carpeta en el perfil compartido, tiene un problema.
Desafortunadamente, no hay forma de otorgar permiso a los usuarios para crear solo su propia carpeta y nada más.
Creo que una forma de evitarlo sería crear previamente carpetas de perfil en el perfil compartido para sus usuarios (y otorgar a cada usuario permisos completos en su propia carpeta de perfil), antes de su primer inicio de sesión. Entonces, los usuarios solo deberían necesitar permisos para recorrer/leer el contenido del perfil compartido (solo esta carpeta).
Tenga en cuenta que mi experiencia con esto es con Win2k y Win2k3 (por ahora), no con Win2k8, pero no creo que deba ser tan diferente.
Respuesta2
Es un poco complicado dar una respuesta correcta porque hay varias formas de resolverlo y es necesario comprender el concepto de perfiles móviles. No digo que no lo hagas.
Lo que puede y frecuentemente quiere hacer es crear políticas para redirigir algunas carpetas como Mis documentos, Escritorio y otras. Lo que me gusta hacer es crear algunos directorios en el directorio de datos de mi servidor. al igual que:
D:\Usuarios\Perfiles itinerantes
D:\Usuarios\Homedir
D:\Usuarios\Escritorio
o algo así.
Entonces, cuando los usuarios inician sesión en sus escritorios si implementó políticas para perfiles móviles correctamente en Active Directory. Tienes control total sobre el escritorio de ese usuario. En un entorno empresarial lo que quizás quieras hacer es:
Cree un perfil de usuario estándar como plantilla para nuevos perfiles móviles. Bloquee el escritorio y muestre solo los íconos de los programas que proporcionó en su plantilla. Para garantizar que, si los usuarios desean crear carpetas o archivos, los redirijan al directorio de inicio o al directorio de datos empresariales. Por ejemplo: en su estación de trabajo H:\ es su directorio principal en el servidor. M:\ es el directorio de datos empresariales.
Para obtener más información sobre cómo utilizar Active Directory y las políticas, consulte el sitio web de MSDN.
Espero que esto haya ayudado.