Perfiles temporales en equipos Windows unidos a dominio: causas, diagnóstico y prevención

Cuando Windows no puede cargar el perfil de un usuario unido a dominio, genera uno temporal. El escritorio aparece vacío, las preferencias se pierden y, tras reiniciar, el mismo perfil temporal vuelve a cargarse. Este artículo explica en profundidad por qué ocurre, cómo diagnosticarlo y, sobre todo, cómo evitar que vuelva a suceder en portátiles y PC corporativos.

Índice

¿Qué es un perfil temporal en Windows?

Un perfil temporal (C:\Users\TEMP o TEMP.DOMINIO) es un contenedor de emergencia que Windows crea cuando:

El hive del registro (NTUSER.DAT) del usuario no se puede montar.
El servicio User Profile Service no encuentra o no puede acceder a la ruta de perfil local o itinerante.
No hay espacio, permisos o disponibilidad de red suficientes.

Síntomas habituales

Mensaje de inicio de sesión: “Se ha iniciado sesión con un perfil temporal”.
Iconos del escritorio y fondo predeterminados.
Errores de Outlook al abrir archivos OST.
Preferencias y certificados de usuario ausentes.
Eventos 1505, 1508, 1511 o 1515 en Visor de eventos > Registros de aplicaciones y servicios > Microsoft > Windows > User‑Profile Service.

Causas técnicas más frecuentes

Corrupción del perfil local: el fichero NTUSER.DAT está dañado por cortes eléctricos o bloqueos del sistema.
Permisos NTFS incorrectos: el usuario no posee Lectura + Escritura + Ejecutar en su carpeta de perfil.
Espacio en disco insuficiente: si la unidad C:\ baja del ~5 %, el servicio no puede copiar el perfil.
Errores lógicos en disco: sectores defectuosos impiden la lectura del hive.
Perfil itinerante inaccesible: la ruta UNC no está disponible por cortes de red, DFS o DNS.
Políticas de grupo agresivas: “Delete cached copies of roaming profiles” o “Set roaming profile path for all users” mal configuradas.
Interferencia de antivirus: escaneos en tiempo real que bloquean NTUSER.DAT.

Diagnóstico paso a paso

Revisar el Visor de eventos

Filtra por Microsoft-Windows-User Profile Service/Operational. Cada Id. de evento muestra la causa:

Id. de evento	Descripción resumida	Interpretación
1505	Error en la carga del perfil	Normalmente corrupción de `NTUSER.DAT` o permisos
1508	No se puede cargar el hive	Hive dañado o bloqueado
1511	Perfil no encontrado, se crea temporal	Ruta itinerante/ local inexistente
1515	No se pudo guardar el perfil	Espacio, permisos o red

Comprobar espacio y salud de disco

Ejecuta winver para confirmar versión.
fsutil volume diskfree c: > 10 % recomendado.
chkdsk /f con reinicio programado.

Verificar permisos

icacls "C:\Users\usuario" debe mostrar al usuario con (OI)(CI)F.
Confirma pertenencia al grupo Usuarios del dominio y sin restricciones de Deny.

Analizar la ruta de perfil itinerante

ping servidor‑perfiles && nslookup.
Comprueba DFS o SMB: dir \\servidor‑perfiles\PerfUser.
Aplica gpresult /h resultado.html para localizar GPOs conflictivas.

Solución inmediata

Paso	Qué hacer	Por qué funciona
1. Revisar errores	Corrobora eventos 1505‑1515 para aislar la causa (daño, permisos o red).	Evita cambios innecesarios y acelera la solución.
2. Corrección de disco	Libera espacio >15 % y ejecuta `chkdsk /f`.	El hive necesita escritura continua sin errores.
3. Reparar el perfil	Inicia sesión con administrador. Renombra `C:\Users\usuario → usuario.old`. En `HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList` localiza el SID → renombra la clave con `.bak` o elimínala. Reinicia e inicia sesión con el usuario afectado.	Windows generará un perfil limpio y no temporal.
4. Validar red	Comprueba latencia (<10 ms LAN) y permisos NTFS/SMB.	El perfil itinerante necesita conectividad estable.
5. Restaurar sistema	Si el problema empezó tras updates, usa `rstrui.exe`.	Deshace cambios que dañaron el hive.

Automatizar con PowerShell

# Escaneo rápido de perfiles temporales
Get-WinEvent -LogName 'Microsoft-Windows-User Profile Service/Operational' |
 Where-Object { $_.Id -in 1505,1508,1511,1515 } |
 Select-Object TimeCreated, Id, Message |
 Export-Csv "$env:PUBLIC\TempProfileReport.csv" -NoTypeInformation

Script para corregir perfil corrupto

\$user = 'DOMINIO\usuario'
\$sid  = (Get-ADUser \$user).SID.Value
\$key  = "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\$sid"
Rename-Item "\$key" "\$(\$key).bak" -ErrorAction SilentlyContinue
Rename-Item "C:\Users\usuario" "C:\Users\usuario.old" -Force

Reiniciar para que se cree un nuevo perfil

Restart-Computer -Force

Prevención a largo plazo

Buenas prácticas de GPO

Deshabilita “Delete cached copies of roaming profiles” salvo en entornos de kiosco.
Habilita “Always wait for the network at computer startup” para portátiles.
Activa Folder Redirection (Documentos, Escritorio, Imágenes) o usa OneDrive/FSLogix.

Monitoreo proactivo

Configura alertas de evento 1505‑1515 con Windows Event Forwarding + SIEM.
Programa tareas que ejecuten Get-ProfileHealth.ps1 semanalmente.
Supervisa uso de disco con perfmon.exe (counter: LogicalDisk % Free Space).

Cuidados del antivirus

Excluye %USERPROFILE%\NTUSER.* y %USERPROFILE%\AppData\Local\Microsoft\Windows.
Evita análisis en tiempo real durante el inicio de sesión.

Infraestructura de perfiles moderna

FSLogix, parte de Microsoft 365 E3/E5, encapsula cada perfil en un .vhd(x). Esto aísla la corrupción a nivel de bloque y reduce el riesgo de perfiles temporales. Además, simplifica la migración a Azure Virtual Desktop.

Preguntas frecuentes (FAQ)

¿Se pierden mis archivos cuando se crea un perfil temporal?

No, permanecen en C:\Users\usuario. Al renombrar la carpeta a usuario.old puedes copiar documentos, OST y configuraciones al nuevo perfil.

¿Puedo reparar NTUSER.DAT sin crear un perfil nuevo?

En entornos críticos se puede exportar el hive dañado, montar en un equipo de pruebas y usar la herramienta regedt32 /hive, pero el proceso rara vez justifica el tiempo.

¿Cómo afectará a Outlook y Teams?

Outlook creará un nuevo OST y Teams volverá a descargar caché. Si el buzón y chat son grandes, avisa al usuario sobre la primera sincronización prolongada.

Conclusión

Los perfiles temporales son un síntoma —no la causa— de problemas de integridad, permisos o red. Una metodología clara de diagnóstico, acompañada de buenas prácticas de GPO, espacio en disco y supervisión, eliminará casi por completo su aparición en estaciones unidas a dominio.