Cómo configurar la redirección de carpetas de usuario mediante la política de grupo

La redirección de carpetas es una de esas cosas que suenan sofisticadas, pero que pueden ser un verdadero fastidio de configurar correctamente, especialmente si se busca asegurar que los distintos usuarios tengan sus archivos en el lugar correcto sin violar permisos ni perder archivos. Básicamente, permite almacenar archivos como el Escritorio, Documentos o Imágenes en un recurso compartido de red en lugar del dispositivo local. Esto es ideal para realizar copias de seguridad centrales, acceder rápidamente desde cualquier equipo y administrar datos de usuario en configuraciones más grandes, como granjas de RDS. Sin embargo, si los permisos no son correctos o se configura incorrectamente la directiva de grupo, los usuarios pueden tener problemas de acceso o, peor aún, que los datos no se sincronicen correctamente. Por eso, conviene saber cómo hacerlo correctamente, especialmente al administrar un dominio.

Cómo configurar la redirección de carpetas en Windows Server con Active Directory

Creación de la carpeta de red compartida (o recurso compartido)

• Primero, elija un buen servidor con alta disponibilidad (porque, por supuesto, Windows tiene que complicarlo más de lo necesario).Configure una unidad dedicada para las carpetas de usuario, por ejemplo, D:\RedirFolder, no C:\.Use el Explorador de Windows estándar o PowerShell para crear y compartir la carpeta con un nombre como RedirFolder.
• Utilice New-SmbShareel comando de PowerShell si prefiere CLI:

New-SmbShare -Name RedirFolder -Path D:\RedirFolder –description "Target location for user's redirected folders"

Asegúrese de que los permisos del recurso compartido otorguen permisos de lectura y modificación al grupo de usuarios que accederá a él, probablemente los usuarios del dominio o un grupo específico que cree. Pero no olvide que lo principal es configurar correctamente los permisos *NTFS* en la carpeta, no solo en los permisos del recurso compartido.

Configuración de permisos NTFS en la carpeta

• Haga clic derecho en la carpeta, vaya a Propiedades y luego a la pestaña Seguridad.
• Haga clic en Avanzado y luego en Deshabilitar herencia. Cuando Windows le avise, seleccione Convertir permisos heredados en permisos explícitos para el objeto. De esta forma, podrá controlar quién ve qué.
• Elimine usuarios y usuarios autenticados, a menos que esté seguro. En su lugar, agregue su grupo de seguridad específico, como munFolderRedirection.
• Otorgue a este grupo los permisos de Recorrer carpeta/Ejecutar archivo, Listar carpeta/Leer datos, Leer atributos, Leer atributos extendidos, Crear carpeta/Añadir datos y Leer. Estos permisos son cruciales para que la redirección funcione sin ceder el control total.
• Para los permisos NTFS en la raíz, *solo* el propietario o administrador debería tener control total. Los usuarios normales solo obtienen permisos específicos que les permiten crear y acceder a sus carpetas.

Muy importante: revise estos permisos cuidadosamente, ya que un error común es otorgar demasiado acceso a todos o muy poco al usuario. En algunas configuraciones, podría ser necesario reiniciar o iniciar y cerrar sesión para que los permisos se restablezcan por completo.

Vincular usuarios con el grupo y configurar la política de grupo

• Cree un nuevo grupo de AD llamado munFolderRedirection. Use PowerShell o ADUC:

New-ADGroup munFolderRedirection -path 'OU=Groups, OU=Munich, dc=woshub, DC=com' -GroupScope Global -PassThru –Verbose

• Añadir usuarios a este grupo:

Add-AdGroupMember -Identity munFolderRedirection -Members user1, user2, user3

Ahora cree un GPO (Objeto de Directiva de Grupo) en la Consola de Administración de Directivas de Grupo ( gpmc.msc ).Vincúlelo a la unidad organizativa (OU) con los usuarios que desea redirigir.

En la nueva GPO, vaya a Configuración de usuario > Políticas > Configuración de Windows > Redirección de carpetas. A continuación, seleccione las carpetas del perfil que desea redirigir, por ejemplo, Documentos.

Configuración de la política de redirección de carpetas

• Abra las propiedades de la carpeta, seleccione Básico – Redirigir las carpetas de todos a la misma ubicación.
• Establecer la ubicación de la carpeta de destino para crear una carpeta para cada usuario en la ruta raíz.
• En Ruta raíz, especifique la ruta UNC a la carpeta compartida, por ejemplo, \\mun-fs1\RedirFolder.
• En la pestaña Configuración, opciones como » Mover contenido a la nueva ubicación» pueden ser útiles, especialmente si los usuarios ya tienen datos en sus carpetas locales. Tenga en cuenta que esto puede causar retrasos si se trata de grandes cantidades de datos.
• Elija si desea redirigir a los perfiles locales cuando se elimine la política: útil para acceso sin conexión o resolución de problemas.

Otras configuraciones importantes y consideraciones de seguridad

• Agregue su servidor de archivos y dominio a la zona de intranet confiable, a través de la Lista de asignación de sitio a zona en la configuración de Internet Explorer/Microsoft Edge.
• Agregar el servidor en la zona 1 (intranet local) ayuda a evitar advertencias de seguridad que pueden aparecer cuando los usuarios intentan abrir o ejecutar archivos desde sus carpetas redirigidas.
• Asegúrese de que la ruta UNC del usuario esté visible en las propiedades de su carpeta Documentos después de iniciar o cerrar sesión; de lo contrario, verifique los permisos y las configuraciones de GPO.

Dicho esto, probablemente querrás probar esto con algunos usuarios antes de implementarlo a gran escala. Los fallos ocurren, los permisos se vuelven inestables y, a veces, la directiva de grupo tarda en propagarse, por lo que la paciencia y una gestión cuidadosa de los permisos son clave.

No es una mala idea estar atento a los registros de eventos si algo actúa de manera extraña durante la configuración; muchos errores de copia o permisos aparecerán allí.

Cruzo los dedos para que esto ayude, porque configurar la redirección de carpetas de la forma correcta es un poco complicado, pero vale la pena una vez que todo encaja.

Resumen

• Cree una carpeta compartida con permisos NTFS correctos (sea selectivo).
• Agregue usuarios a un grupo de AD dedicado.
• Configure una GPO para redirigir las carpetas de ese grupo, apuntando a la ruta UNC correcta.
• Configure zonas de seguridad y permisos para un funcionamiento sin problemas.
• Pruebe exhaustivamente antes del despliegue masivo.

Resumen

Todo esto suena complicado, pero una vez que los permisos son correctos y las GPO están establecidas, suele funcionar bastante bien. Recuerda, los permisos son clave: si los arruinas, las carpetas de nadie se redirigirán correctamente. Un poco de paciencia es muy útil, especialmente mientras esperas a que se actualicen las políticas o durante la resolución de problemas. Con suerte, esto le ahorrará dolores de cabeza más adelante.¡Mucha suerte!