consola de recuperacion y configuracion de seguridad.pdf

Consola de recuperacion y

configuracion de seguridad

Este documento se proporciona "tal cual". La información y los puntos de vista expresados en este documento, incluyendo las referencias a sitios web deInternet y direcciones URL, está sujeta a cambios sin aviso. Este documento no implica ningún derecho legal respecto a ninguna propiedad intelectual de ningún

nombre de producto o producto de Microsoft. Puede copiar y utilizar este documento con fines internos y de referencia. Se permite que modifique este

documento para sus fines internos y de referencia. © 2012 Microsoft. Reservados todos los derechos. Términos de uso(http://technet.microsoft.com/cc300389.aspx) | Marcas comerciales (http://www.microsoft.com/library/toolbar/3.0/trademarks/en-us.mspx)

Table Of ContentsCapítulo 1

Requisitos de RIS y PXE

Iniciar el equipo y utilizar la Consola de recuperaciónComandos de la Consola de recuperaciónPrácticas recomendadas de seguridadEjecutar un programa con credenciales administrativas

Runas

Control de acceso

Prácticas recomendadas de control de accesoPrácticas recomendadas para permisos y derechos de usuarioPlantillas de seguridad

Privilegios

Auditoría: apagar el sistema de inmediato si no puede registrar auditorías de seguridadModificar la configuración de seguridad en un objeto de directiva de grupoAuditar el acceso a objetos

Prácticas recomendadas para asignar permisos de objetos de Active DirectoryProteger Active Directory

Información de seguridad para Active DirectoryPrácticas recomendadas de Active DirectoryPor qué no debe trabajar en el equipo como administradorUtilizar Ejecutar como

Crear un acceso directo mediante el comando runas

Cuentas de usuarios y equipos

Control de acceso en Active Directory

Configuración de la auditoría en objetosCómo afecta la herencia a la auditoría de archivos y carpetasAuditar sucesos de seguridad

Lista de comprobación: configurar la auditoría de acceso a objetosIntroducción a la auditoríaDirectiva de auditoríaAuditar sucesos de inicio de sesión de cuentaDefinir o modificar la configuración de directiva de auditoría para una categoría de sucesosAuditar sucesos de inicio de sesiónPrácticas recomendadas para auditar sucesos de seguridadAuditar sucesos del sistema

Auditar el cambio de directivas

Auditar la administración de cuentasAuditoría basada en operaciones en archivos o carpetasAplicar o modificar la configuración de directiva de auditoría de un archivo o carpeta localAplicar o modificar la configuración de directiva de auditoría para un objeto mediante Directiva de grupoVisor de sucesos

Prácticas recomendadas para el visor de sucesosVisor de sucesos: cómo...Solucionar problemas del Visor de sucesos

Auditar el acceso del servicio de directorio

Auditar el uso de privilegios

Auditar el seguimiento de procesos

Ver registros de seguridad

Ver el registro de seguridad

Seleccionar dónde aplicar entradas de auditoríaAsignar, cambiar o eliminar permisos en los objetos o atributos de Active Directory

Grupos locales predeterminados

Agregar un miembro a un grupo local

Asignar derechos de usuario para el equipo local

Asignación de derechos de usuarioPermitir que los usuarios se conecten de forma remota al servidor

Configuración de seguridad predeterminada para gruposNetwork access: deja que los permisos de Todos se apliquen a los usuarios anónimosGrupos predeterminados

Tener acceso a este equipo desde la red

Actuar como parte del sistema operativo

Agregar estaciones de trabajo al dominio

Ajustar cuotas de memoria para un proceso

Permitir el inicio de sesión localPermitir inicio de sesión a través de Servicios de Terminal ServerHacer copias de seguridad de archivos y directorios

Omitir la comprobación de recorridoCambiar la hora del sistema

Crear un archivo de paginaciónCrear un objeto testigo

Crear objetos globales

Crear objetos compartidos permanentes

Depurar programas

Denegar el acceso desde la red a este equipo

Denegar el inicio de sesión como trabajo por lotesDenegar el inicio de sesión como servicioDenegar el inicio de sesión localmenteDenegar inicio de sesión a través de Servicios de Terminal ServerHabilitar la confianza para la delegación de las cuentas de usuario y de equipoForzar el apagado desde un sistema remoto

Generar auditorías de seguridadSuplantar a un cliente después de la autenticaciónIncrementar prioridades de planificación de procesosCargar y descargar controladores de dispositivo

Bloquear páginas en memoriaIniciar sesión como proceso por lotesIniciar sesión como servicioAdministrar los registros de auditoría y seguridadModificar valores de entorno del firmware

Realizar las tareas de mantenimiento del volumen

Perfilar un proceso individual

Perfilar el rendimiento del sistema

http://technet.microsoft.com/es-es/library/cc782281(d=lightweight,l=es-es,v=ws.10).aspx


http://technet.microsoft.com/es-es/library/cc736833.aspx

























































































Quitar el equipo de la estación de acoplamientoReemplazar un símbolo de procesoRestaurar archivos y directorios

Apagar el sistema

Sincronizar los datos de Directory Service

Tomar posesión de archivos y otros objetosCrear una relación de confianza de bosqueUtilidad de clave del sistema

Crear o actualizar una clave del sistema










Capítulo 1

© 2012 Microsoft. Reservados todos los derechos.



Los Servicios de instalación remota (RIS, Remote Installation Services) son compatibles con las instalaciones remotas de sistemas operativos WindowsServer 2003. Gracias a ello, se pueden iniciar instalaciones basadas en RIS de forma remota en un equipo sin estar físicamente delante del equipo. RISelimina la necesidad de usar el CD del sistema operativo o un disquete que contenga un archivo Winnt.sif. Para obtener más información, vea Habilitar los

Servicios de administración de emergencia durante una instalación nueva1.

RIS es compatible y está disponible en sistemas basados en Itanium y x86.

Para poder realizar una instalación remota, los equipos cliente tienen que tener un adaptador de red compatible con el Entorno de ejecución de inicioprevio (PXE). Gracias a ello, puede realizar instalaciones mediante una conexión de red en sistemas sin unidad de CDROM y en sistemas que tienendiscos duros no formateados o sin particiones.

El firmware debe reconocer el adaptador de red compatible con el PXE como dispositivo de inicio válido y como parte de la selección de orden de inicio.Asimismo, el firmware debe proporcionar la opción de usar la tecla F12 para comenzar un inicio remoto presionando una tecla, con lo que se hace casoomiso del orden de inicio. Puede usar esta capacidad para cambiar el orden de inicio con el fin de implementar procedimientos de recuperación deemergencia si es necesario.

Startrom.com

El archivo Startrom.com es el primer archivo que un cliente RIS basado en x86 descarga para empezar el proceso de inicio. Hay varias versiones de estearchivo. Basándose en la compatibilidad con el PXE de su firmware, puede usar versiones de Startrom.com específicas de los Servicios de administraciónde emergencia para usar la redirección de la consola con clientes RIS basados en x86. El servicio Nivel de negociación de la información de inicio(BINLSVC) crea un archivo de respuesta que permite que el resto de la instalación transcurra sin intervención del usuario. No obstante, los clientes RISbasados en Itanium no usan Startrom.com. En vez de eso, puede configurar la Interfaz de firmware extensible (EFI) para redirigir la información de saliday, después, usar el adaptador de red compatible con el PXE para iniciar el equipo.

Aunque puede usar los archivos Startrom.com con sistemas que no están diseñados para trabajar con los Servicios de administración de emergencia, esmejor recurrir al firmware para redirigir su información de salida de la consola al puerto de administración fuera de banda y usar un archivo Startrom.comestándar. Gracias a ello, Startrom.com puede ser más flexible en su uso de velocidades en baudios.

Hdlscom1.com y Hdlscom2.com. Para sistemas que no son compatibles con la redirección de la consola de firmware, estos archivos muestranuna instrucción que indica al usuario que presione la tecla F12 para iniciar la red, utilizando la redirección de la consola al puerto serie 1 o 2. Losusuarios pueden presionar F12 para que continúe el proceso de inicio, o pueden ponerle fin no presionando F12. Si un usuario presiona la tecla F12al recibir esta instrucción, Hdlscom1.com y Hdlscom2.com hacen que el cliente PXE se inicie en el Asistente para instalación de clientes sólo cuandoel sistema básico de entrada/salida (BIOS) intenta un inicio de red. Estos archivos se instalan de manera predeterminada con RIS.Hdlscom1.n12 y Hdlscom2.n12. En sistemas compatibles con la redirección de la consola de firmware, estos archivos no muestran la opción queindica que se presione la tecla F12 para iniciar la red y no esperan a que intervenga el usuario. Cuando use uno de estos archivos, el cliente PXE seiniciará siempre en el Asistente para instalación de clientes cuando el BIOS intente un inicio de red.

Todas las versiones de Startrom.com específicas de los Servicios de administración de emergencia cuentan con el BIOS para redirigir su información desalida al puerto de administración fuera de banda y a la tarjeta de vídeo, si hay una conectada. Los Servicios de administración de emergencia estándisponibles con una tarjeta de vídeo o sin ella.

Para usar un archivo Hdlscomx.com o Hdlscomxn12, tiene que cambiar primero su nombre por Startrom.com y, después, copiarlo en el servidor BINLSVC.De manera predeterminada, estos archivos están ubicados en la carpeta nombreDeServidor\reminst\oschooser\i386, donde nombreDeServidor es elnombre del servidor RIS en el que se está ejecutando el BINLSVC.

Asistente para instalación de clientes

El Asistente para instalación de clientes dirige automáticamente toda su interfaz de usuario a través del puerto fuera de banda y una consola local si hayuna conectada al equipo. El Asistente para instalación de clientes determina qué puerto fuera de banda usar; para ello, lee la tabla de redirección depuertos serie de la consola (SPCR) (si está disponible) o usa el mismo puerto que Startrom.com. Para obtener más información, vea Habilitar la tabla

SPCR2.

Para obtener más información acerca de RIS, vea Servicios de instalación remota3.

Tabla de vínculos

1http://technet.microsoft.com/es-es/library/cc785783(v=ws.10).aspx



http://technet.microsoft.com/es-es/library/cc785783(v=ws.10).aspx



http://technet.microsoft.com/es-es/cc300389

http://www.microsoft.com/library/toolbar/3.0/trademarks/en-us.mspx

http://go.microsoft.com/fwlink/?LinkId=248681&clcid=0x0a

http://go.microsoft.com/?linkid=8786243&lcid=1034

http://www.microsoft.com/spain/mssrl/default.mspx

http://www.microsoft.com/spain/technet/boletines/default.mspx

http://social.msdn.microsoft.com/Forums/en-US/libraryfeedback/threads


Iniciar el equipo y utilizar la Consola de recuperación

Para iniciar el equipo y utilizar la Consola de recuperación

1. Introduzca el disco compacto de instalación y reinicie el equipo desde la unidad de CD.2. Cuando se inicie la parte de texto del programa de instalación, siga las indicaciones; para elegir la opción de reparar o recuperar, presione R.3. Si tiene un sistema de inicio dual o múltiple, elija la instalación a la que necesite tener acceso desde la Consola de recuperación.4. Cuando se le solicite, escriba la contraseña de la cuenta de administrador local.5. En el símbolo del sistema, escriba los comandos pertinentes de la Consola de recuperación; escriba help para obtener una lista de comandos o

helpnombreDeComando para obtener ayuda acerca de un comando determinado.6. Para salir de la Consola de recuperación y reiniciar el equipo, escriba exit.

Importante

Como la Consola de recuperación es bastante eficaz, se recomienda que sólo la utilicen usuarios avanzados o administradores de sistemas. La mayor parte de las veces necesitará la contraseña de la cuenta de administrador integrada para utilizar la Consola de recuperación.Puede definir la opción Consola de recuperación: permitir el inicio de sesión administrativo automático de la sección Opciones de seguridadde Configuración de seguridad local. Cambiar esta opción le permitirá iniciar la Consola de recuperación sin tener que proporcionar la contraseña deadministrador. Para obtener más información, consulte "Consola de recuperación: permitir el inicio de sesión administrativo automático" y "Modificarla configuración de seguridad local" en Temas relacionados, al final de esta página.Sea precavido al habilitar esta opción. Permitirá que cualquier persona con acceso físico a un equipo inicie la Consola de recuperación y tengaacceso a sus comandos.

Información acerca de diferencias funcionales

Es posible que el servidor funcione de forma distinta según la versión y la edición del sistema operativo instalado, de los permisos de la cuenta y dela configuración de los menús. Para obtener más información, consulte Ver Ayuda en el Web1.

Vea también

Comandos de la Consola de recuperación2

Introducción a la Consola de recuperación3

Introducción a la reparación4

Modificar la configuración de seguridad local5

Consola de recuperación: permitir el inicio de sesión administrativo automático6

Tabla de vínculos





















Comandos de la Consola de recuperación

Comandos de la Consola de recuperación

Con la Consola de recuperación pueden utilizarse los comandos siguientes. Para obtener más información acerca de cada comando, escriba el nombre delcomando seguido de /? en la Consola de recuperación.

Para obtener más información acerca de la Consola de recuperación, consulte la sección relativa a las herramientas para solucionar problemas en el sitioWeb de Kits de recursos de Microsoft Windows1.

Attrib Cambia los atributos de un archivo o un directorio.Batch Ejecuta los comandos especificados en el archivo de texto.Bootcfg Configuración y recuperación del archivo de inicio (boot.ini).ChDir (Cd) Muestra el nombre del directorio actual o cambia el directorio actual.Chkdsk Comprueba el estado de un disco y muestra un informe de estado.Cls Borra el contenido de la pantalla.Copy Copia un archivo a otra ubicación.Delete (Del) Elimina uno o más archivos.Dir Muestra una lista de los archivos y subdirectorios de un directorio.Disable Deshabilita un servicio del sistema o un controlador de dispositivo.Diskpart Administra las particiones de los discos duros.Enable Inicia o habilita un servicio del sistema o un controlador de dispositivo.Exit Sale de la Consola de recuperación y reinicia el equipo.Expand Extrae un archivo de un archivo comprimido.Fixboot Escribe un nuevo sector de inicio de partición en la partición del sistema.Fixmbr Repara el sector de inicio principal del sector de inicio de la partición.Format Formatea un disco.Help Muestra una lista de los comandos que puede utilizar en la Consola de recuperación.Listsvc Enumera los servicios y los controladores disponibles en el equipo.Logon Inicia una sesión de instalación del sistema operativo Windows.Map Muestra las asignaciones de letras de unidad.Mkdir (Md) Crea un directorio.Más (Tipo) Muestra un archivo de texto.Rename (Ren) Cambia el nombre de un archivo.Rmdir (Rd) Elimina un directorio.Set Muestra y establece variables de entorno.Systemroot Establece el directorio actual como el directorio raíz del sistema en el que ha iniciado la sesión.

Tabla de vínculos

1http://go.microsoft.com/fwlink/?LinkId=4652

http://go.microsoft.com/fwlink/?LinkId=4652








Prácticas recomendadas de seguridad

Prácticas recomendadas

Restringir el acceso físico a los equipos, especialmente si son controladores de dominio, a personal de confianza

El acceso físico a un servidor constituye un elevado riesgo de seguridad. El acceso físico de un usuario no autorizado a un servidor podría dar comoresultado el acceso a datos no autorizados o la modificación e instalación de hardware o software diseñado para saltarse la seguridad. Paramantener un entorno seguro, debe limitar el acceso físico a todos los servidores y al hardware de red.

Para tareas administrativas, utilice el principio de concesión de privilegios mínimos

Al utilizar el principio de concesión de privilegios mínimos, los administradores deben utilizar una cuenta con permisos restrictivos para realizartareas rutinarias y no administrativas, y otra con permisos menos restrictivos sólo para llevar a cabo tareas administrativas específicas.Para conseguirlo sin tener que cerrar e iniciar una sesión, inicie sesión con una cuenta de usuario normal y utilice el comando Runas para ejecutarlas herramientas que requieran los permisos menos restrictivos.

Si desea obtener más información, vea Ejecutar un programa con credenciales administrativas1 y Runas2.

Definir grupos y sus miembros

Al decidir el grado predeterminado de acceso a los equipos que los usuarios van a tener, el factor determinante son las aplicaciones instaladas quehay que ejecutar. Si en la organización sólo se utilizan aplicaciones que pertenecen al programa del logotipo de Windows para software, puedeconvertir a todos sus usuarios finales en miembros del grupo Usuarios. En caso contrario, puede que tenga que hacer que sus usuarios finalesformen parte del grupo Usuarios avanzados o que la seguridad de los permisos del grupo Usuarios sea menos restrictiva . Ambas opciones sonmenos seguras. Ejecutar programas antiguos en Windows 2000 o Windows XP Professional suele requerir la modificación del acceso a ciertas opciones del sistema.Los mismos permisos predeterminados que permiten a los miembros del grupo Usuarios avanzados ejecutar programas antiguos también puedenposibilitar que un usuario avanzado obtenga privilegios adicionales sobre el sistema, incluso el control administrativo completo. Por tanto, esimportante implementar los programas para Windows 2000 o Windows XP Professional dentro del programa del logotipo de Windows para softwarecon el objeto de conseguir la máxima seguridad sin sacrificar su funcionalidad.Para obtener más información, vea la página del programa del logotipo de Windows para software en el sitio Web de Microsoft3. Todos los administradores de dominio (incluso los de dominios secundarios) que puedan modificar el software del sistema en los controladores dedominio de un bosque deben tener el mismo grado de confianza.Los administradores de dominio y administradores de empresa deben ser los únicos usuarios con permiso para vincular un objeto de directiva degrupo a una unidad organizativa. Ésta es la configuración predeterminada. Los usuarios autenticados sólo necesitan los permisos Leer y Aplicar objeto de directiva de grupo.

Proteger los datos de los equipos

Asegúrese de que los archivos del sistema y el Registro están protegidos mediante listas de control de acceso estrictas. Para obtener más información, vea Control de acceso4. Utilice Syskey para proporcionar protección adicional del administrador de cuentas de seguridad (SAM), especialmente en sus controladores dedominio.

Para obtener más información, vea Utilidad de clave del sistema5.

Utilizar contraseñas seguras en toda la organización

La mayor parte de los métodos de autenticación requieren que el usuario proporcione una contraseña para probar su identidad. Estas contraseñassuele elegirlas el usuario, que puede que desee usar una contraseña sencilla para recordarla fácilmente. En la mayoría de los casos, estascontraseñas son vulnerables y otros usuarios pueden adivinarlas o determinarlas con facilidad. Las contraseñas vulnerables pueden hacer que seomita este elemento de seguridad y convertirse en el punto débil de un entorno que de otro modo sería seguro. Las contraseñas seguras suelen sermás difíciles de adivinar para otros usuarios y, como resultado, ayudan a proporcionar una defensa eficaz para los recursos de una organización. Para obtener más información, vea Contraseñas seguras6.

No descargar ni ejecutar programas procedentes de orígenes que no sean de confianza

Los programas pueden contener instrucciones para infringir la seguridad de diversas maneras, como son el robo de datos, la denegación de servicioy la destrucción de información. Estos programas dañinos suelen enmascararse como software legítimo y pueden ser difíciles de identificar. Paraevitar su uso, sólo debe descargar y ejecutar software auténtico garantizado y obtenido de un origen de confianza. También debe asegurarse detener instalado y funcionando un detector de virus actual por si este tipo de software se introduce en el equipo de forma inadvertida.

Mantener los detectores de virus actualizados

Los detectores de virus suelen identificar los archivos infectados mediante la búsqueda de una firma, que es un componente conocido de un virusidentificado previamente. Los detectores guardan estas firmas de virus en un archivo de firmas que suele estar almacenado en el disco duro local.Puesto que se descubren virus nuevos con frecuencia, este archivo también debe actualizarse con frecuencia para que el detector de virusidentifique fácilmente todos los virus actuales.

Mantener actualizadas todas las revisiones de software

Las actualizaciones de software proporcionan soluciones para problemas de seguridad conocidos. Compruebe periódicamente los sitios Web delproveedor de software para ver si hay revisiones disponibles para el software que se usa en su organización. Para obtener información y las recomendaciones más recientes acerca de la seguridad, vea el apartado de seguridad7.

Para suscribirse al servicio de notificación de seguridad de los productos, vea la notificación de seguridad de productos en el sitio Web de Microsoft8.

Para obtener más información, consulte:

Prácticas recomendadas para permisos y derechos de usuario9



http://go.microsoft.com/fwlink/?LinkID=3688









Prácticas recomendadas para auditar sucesos de seguridad10

Prácticas recomendadas para el Sistema de cifrado de archivos11

Prácticas recomendadas para directivas de restricción de software12

Prácticas recomendadas de Servicios de Certificate Server13

Prácticas recomendadas para Plantillas de certificado14

Para obtener más información acerca de cómo crear y mantener directivas de seguridad, consulte:

Prácticas recomendadas para Configuración y análisis de seguridad15

Prácticas recomendadas para plantillas de seguridad16

Prácticas recomendadas para Configuración de seguridad17

Tabla de vínculos



3http://go.microsoft.com/fwlink/?LinkID=3688






























Ejecutar un programa con credenciales administrativas

Para ejecutar un programa con credenciales administrativas

Mediante la interfaz de Windows Mediante la línea de comandos

Mediante la interfaz de Windows

1. En el Explorador de Windows o en el menú Inicio, haga clic con el botón secundario del mouse (ratón) en el programa ejecutable o en elicono que desee abrir y, a continuación, haga clic en Ejecutar como.

2. Haga clic en El siguiente usuario.3. En Nombre de usuario y Contraseña, escriba el nombre y la contraseña de la cuenta de administrador.

Notas

El uso de Ejecutar como no se limita a las cuentas de administrador.Puede utilizar esta opción para iniciar un programa en el contexto de una cuenta de administrador. El contexto de administrador sólo se utiliza paraese programa específico y sólo está disponible hasta que el programa se cierre.También puede utilizar Ejecutar como para iniciar dos instancias independientes de una aplicación administrativa, como Dominios y confianzas deActive Directory. Cada instancia se puede dirigir a un dominio o bosque diferente para ejecutar las tareas de administración entre dominios o entrebosques de forma más eficaz.Puede abrir la mayoría de los elementos del Panel de control con la opción Ejecutar como si mantiene presionada la tecla MAYÚSCULASmientras hace clic en el elemento con el botón secundario del mouse.Algunos programas no permiten utilizar Ejecutar como.Si intenta iniciar un programa, como un elemento de Microsoft Management Console (MMC) o del Panel de control, desde una ubicación de redmediante Ejecutar como, podría producirse un error si las credenciales utilizadas para conectar con el recurso compartido son diferentes de lasutilizadas para iniciar el programa. Es posible que las credenciales utilizadas para ejecutar el programa no puedan tener acceso al mismo recursocompartido. Para obtener más información acerca de cómo solucionar problemas relacionados con el comando runas, vea Temas relacionados.Si se produce un error en Ejecutar como, es posible que no se esté ejecutando el servicio Inicio de sesión secundario. Para obtener másinformación acerca de cómo iniciar un servicio, vea Temas relacionados.

Mediante la línea de comandos

1. Abra la ventana del símbolo del sistema. 2. Para ejecutar un programa, escriba:

runas/user:nombreDeUsuario"nombreDeProgramarutaAArchivoDePrograma"

Valor Descripción

nombreDeUsuarioEspecifica las credenciales de usuario que se utilizarán al ejecutar el programa especificado. Puede utilizar elformato usuario@dominio o dominio\usuario.

" nombreDeProgramarutaAArchivoDePrograma "

Especifica el nombre de programa y la ruta de acceso al mismo que desea abrir con las credenciales de usuarioespecificadas.

Por ejemplo, para abrir Usuarios y equipos de Active Directory, utilice el siguiente comando:

"mmc %windir%\system32\dsa.msc"

Para abrir un determinado archivo con el Bloc de notas, utilice el siguiente comando:

"notepad c:\miArchivo.txt\"

Notas

Para abrir el símbolo del sistema, haga clic en Inicio, seleccione Todos los programas, Accesorios y, a continuación, haga clic en Símbolo delsistema. El uso del comando runas no se limita a las cuentas de administrador.Puede utilizar el comando runas para iniciar un programa en el contexto de una cuenta de administrador. El contexto de administrador sólo seutiliza para ese programa específico y sólo está disponible hasta que el programa se cierre.También puede utilizar el comando runas para iniciar dos instancias independientes de una aplicación administrativa, como Dominios y confianzasde Active Directory. Cada instancia se puede dirigir a un dominio o bosque diferente para ejecutar las tareas de administración entre dominios oentre bosques de forma más eficaz.Algunos programas no admiten el comando runas.Si intenta iniciar un programa, como un elemento de Microsoft Management Console (MMC) o del Panel de control, desde una ubicación de redmediante el comando runas, podría producirse un error si las credenciales utilizadas para conectar con el recurso compartido son diferentes de lasutilizadas para iniciar el programa. Es posible que las credenciales utilizadas para ejecutar el programa no puedan tener acceso al mismo recursocompartido. Para obtener más información acerca de cómo solucionar problemas relacionados con el comando runas, vea Temas relacionados.Si se produce un error en el comando runas, es posible que no se esté ejecutando el servicio Inicio de sesión secundario. Para obtener másinformación acerca de cómo iniciar un servicio, vea Temas relacionados.



Vea también

Solucionar problemas de Usuarios y grupos locales2

Por qué no debe trabajar en el equipo como administrador3


Runas4

Utilizar Ejecutar como5


Diferencias en la configuración de seguridad predeterminada6

Configuración de seguridad predeterminada para grupos7

Iniciar, detener, hacer una pausa, reanudar o reiniciar un servicio8

Crear un acceso directo mediante el comando runas9

Tabla de vínculos
























Runas

Runas

Permite a un usuario ejecutar herramientas y programas específicos con permisos diferentes de los que proporciona el inicio de sesión actual del usuario.

Sintaxis

runas [/profile | /noprofile] [/env] [/netonly] [/savedcreds] [/smartcard] [/showtrustlevels] [/trustlevel]/user:nombreDeCuentaDeUsuario"nombreDePrograma rutaDeAccesoAlArchivoDelPrograma"

Parámetros

/profileCarga el perfil del usuario. /profile es la opción predeterminada.

/no profileEspecifica que no se va a cargar el perfil del usuario. Permite que la aplicación se carga con más rapidez, pero también puede hacer que algunasaplicaciones no funcionen correctamente.

/envEspecifica que se utilizará el entorno de red actual en lugar del entorno local del usuario.

/netonlyIndica que la información de usuario especificada sólo es para acceso remoto.

/savedcredsIndica si este usuario ha guardado anteriormente las credenciales.

/smartcardIndica si las credenciales las va a proporcionar una tarjeta inteligente.

/showtrustlevelsMuestra las opciones de /trustlevel.

/trustlevelEspecifica el nivel de autorización en el que se va a ejecutar la aplicación. Para ver los niveles de confianza disponibles, utilice /showtrustlevels.

/user: nombreDeCuentaDeUsuario " nombreDePrograma rutaDeAccesoAlArchivoDelPrograma "Especifica el nombre de la cuenta de usuario en la que se ejecutará el programa, el nombre del programa y la ruta de acceso al archivo delprograma. El formato de la cuenta de usuario debe ser usuario@dominio o dominio\nombreDeUsuario.

/?Muestra Ayuda en el símbolo del sistema.

Notas

Se recomienda a los administradores utilizar una cuenta con permisos restrictivos para realizar tareas rutinarias y no administrativas, así comoutilizar una cuenta con permisos menos restrictivos sólo para realizar tareas administrativas específicas. Para conseguirlo sin tener que cerrar einiciar sesión, conéctese con una cuenta de usuario habitual y utilice el comando runas para ejecutar las herramientas que requieran los permisosmenos restrictivos. Para obtener ejemplos del uso del comando runas, vea Temas relacionados. Aunque el comando runas se suele utilizar con cuentas de administrador, su uso no está restringido únicamente a este tipo de cuentas. Cualquierusuario con varias cuentas puede utilizar este comando para ejecutar un programa, una consola MMC o un elemento del Panel de control concredenciales alternativas.Si desea utilizar la cuenta Administrador en su equipo, para el parámetro /user: , escriba una de las siguientes opciones: /user:nombreDeCuentaDeAdministrador@nombreDeEquipo/user:nombreDeEquipo\nombreDeCuentaDeAdministradorSI desea utilizar este comando como administrador de dominio, escriba una de las opciones siguientes: /user:nombreDeCuentaDeAdministrador@nombreDeEquipo/user:nombreDeDominio\nombreDeCuentaDeAdministradorCon el comando runas, puede ejecutar programas (*.exe), consolas MMC guardadas (*.msc), accesos directos a programas y a consolas MMCguardadas, y elementos del Panel de control. Puede ejecutar estos programas como administrador mientras inicia la sesión en el equipo comomiembro de otro grupo, por ejemplo, el grupo Usuarios o Usuarios avanzados.Puede utilizar el comando runas para iniciar cualquier programa, una consola MMC o un elemento del Panel de control. Si proporciona la informaciónde cuenta de usuario y de contraseña correctas, la cuenta de usuario tiene la capacidad de iniciar sesión en el equipo, y el programa, consola MMCo elemento del Panel de control estará disponible en el sistema y para la cuenta de usuario.Con el comando runas, puede administrar un servidor en otro bosque (el equipo desde el que ejecuta una herramienta y el servidor que administraestán en dominios diferentes).Si intenta iniciar un programa, una consola MMC o un elemento del Panel de control desde una ubicación de red mediante runas, es posible que seproduzcan errores, ya que las credenciales utilizadas para conectar con el recurso compartido de red son diferentes de las utilizadas para iniciar elprograma. Es posible que éstas no puedan tener acceso al mismo recurso compartido de red.Algunos elementos, como la carpeta Impresoras y los elementos del escritorio, se abren indirectamente y no se pueden iniciar con el comandorunas.Si se producen errores en el comando runas, es posible que el servicio Inicio de sesión secundario no se esté ejecutando o que la cuenta deusuario que utiliza no sea válida. Para comprobar el estado del servicio Inicio de sesión secundario, en Administración de equipos, haga clic enServicios y aplicaciones y, a continuación, en Servicios. Para probar la cuenta de usuario, intente iniciar la sesión en el dominio apropiado condicha cuenta.

Ejemplos

Para iniciar una instancia del símbolo del sistema como administrador en el equipo local, escriba:

runas /user: nombreDeEquipoLocal \administrator cmd

Escriba la contraseña del administrador cuando la solicite.

Para iniciar una instancia del complemento Administración de equipos mediante una cuenta de administrador de dominio denominadadominioCompañía\adminDominio, escriba:

runas /user:dominioCompañía\adminDominio "mmc %windir%\system32\compmgmt.msc"


Escriba la contraseña de la cuenta cuando se le solicite.

Para iniciar una instancia del Bloc de notas mediante una cuenta de administrador de dominio denominada usuario en el dominio dominio.microsoft.com,escriba:

runas /user:[email protected] "notepad mi_archivo.txt"

Escriba la contraseña de la cuenta cuando se le solicite.

Para iniciar una instancia de una ventana del símbolo del sistema, una consola MMC guardada, un elemento del Panel de control o un programa queadministrará un servidor de otro bosque, escriba:

runas /netonly /user: dominio \ nombreDeUsuario " comando "

dominio \ nombreDeUsuario debe ser un usuario con suficientes permisos para administrar el servidor. Escriba la contraseña de la cuenta cuando se lesolicite.

Leyenda de formato

Formato Significado

Cursiva Información que debe suministrar el usuario

NegritaElementos que debe escribir el usuario exactamente como semuestran

Puntos suspensivos (...)Parámetro que se puede repetir varias veces en una línea decomandos

Entre corchetes ([]) Elementos opcionales

Entre llaves (); opciones separadas por barras verticales (|). Ejemplo:par|impar

Conjunto de opciones de las que el usuario debe elegir sólo una

Courier font Código o resultado del programa

Vea también

Cmd1

Referencia AZ de la línea de comandos2

Introducción al shell de comandos3

Crear un acceso directo mediante el comando runas4

Tabla de vínculos

















Control de acceso

Control de acceso

Para proteger un equipo y sus recursos, debe tener en cuenta los derechos que tendrán los usuarios. Puede proteger un equipo o varios si concedederechos de usuario específicos a usuarios o grupos. Para proteger un objeto, por ejemplo un archivo o una carpeta, asigne permisos con los que losusuarios o grupos puedan realizar acciones determinadas en ese objeto.

Para obtener sugerencias acerca del control de acceso, vea Prácticas recomendadas de control de acceso1.

Para obtener ayuda con tareas específicas, vea Procedimientos de control de acceso2.

Para obtener información básica general, vea Conceptos de control de acceso3.

Tabla de vínculos















Prácticas recomendadas de control de acceso


Prácticas recomendadas para permisos y derechos de usuario1

Prácticas recomendadas para asignar permisos de objetos de Active Directory2

Tabla de vínculos













Prácticas recomendadas para permisos y derechos de usuario

Prácticas recomendadas para permisos y derechos de usuario

Asignar permisos a grupos en vez de a usuarios

Como no es muy eficaz mantener cuentas de usuario directamente, la asignación de permisos por usuario debe realizarse excepcionalmente.

Los permisos Denegar deben utilizarse en determinados casos especiales

Utilice Denegar permisos para excluir un subconjunto de un grupo que tiene permisos permitidos. Utilice Denegar para excluir un permiso especial cuando ya haya concedido control total a un usuario o un grupo.

Utilizar plantillas de seguridad

En vez de definir permisos individuales, utilice plantillas de seguridad siempre que sea posible. Para obtener información acerca de las plantillas deseguridad, vea Plantillas de seguridad1.

Si es posible, se debe evitar cambiar las entradas de permiso predeterminadas de objetos del sistema de archivos, en especial de las carpetas del sistema

y las carpetas raíz

Cambiar los permisos predeterminados podría provocar problemas de acceso inesperados o reducir la seguridad.

No denegar nunca al grupo Todos el acceso a un objeto

Si deniega a todos el permiso a un objeto, esto incluirá a los administradores. Una solución mejor sería quitar el grupo Todos, a condición de que seproporcionen permisos para dicho objeto a a otros usuarios, grupos o equipos.

Asignar permisos a un objeto en el nivel más alto posible del árbol y, luego, aplicar herencia para propagar la configuración de seguridad por el árbol

Puede aplicar rápida y eficazmente la configuración de control de acceso a todos los objetos secundarios o a un subárbol de un objeto principal. Deesta manera, se logran los mejores resultados con el menor esfuerzo. La configuración de permisos que establezca debe ser adecuada para lamayoría de los usuarios, grupos y equipos.

Los privilegios pueden suplantar algunas veces a los permisos

Los privilegios y los permisos pueden ser distintos, y debe saber lo que puede pasar en ese caso. Para obtener más información, vea Privilegios2.

Para los permisos en objetos de Active Directory, hay que asegurase de haber comprendido las prácticas recomendadas específicas para objetos de ActiveDirectory

Active Directory tiene su propio conjunto de prácticas recomendadas relativas a los permisos. Para obtener más información, vea Prácticasrecomendadas para asignar permisos de objetos de Active Directory3

Para obtener más información, vea Asignar derechos de usuario para el equipo local4 y Definir, ver, cambiar o quitar permisos de archivos y

carpetas5. Notas

Los permisos Denegar heredados no impiden el acceso a un objeto si éste cuenta con una entrada de permiso explícito Permitir.Los permisos explícitos tienen prioridad sobre los permisos heredados, incluidos los permisos Denegar heredados.

Tabla de vínculos



















Plantillas de seguridad

Plantillas de seguridad

Una plantilla de seguridad es un archivo que representa una configuración de seguridad. Las plantillas de seguridad se pueden aplicar a un equipo local,importar a un objeto de directiva de grupo o utilizar para analizar la seguridad.

Antes de continuar, vea Lista de comprobación: proteger los equipos mediante el Administrador de configuración de seguridad1.

Si desea obtener sugerencias sobre el uso de las plantillas de seguridad, vea Prácticas recomendadas para plantillas de seguridad2.

Para obtener ayuda acerca de tareas específicas, vea Security Templates How To ...3.

Para obtener información general, vea Security Templates Concepts4.

Para obtener instrucciones sobre cómo solucionar problemas, vea Securing Data Troubleshooting5.Otras herramientas de directivas de seguridad:

Herramienta del Administrador deconfiguración de seguridad

Descripción

Configuración y análisis de seguridad6 Puede utilizar esta herramienta para analizar o configurar la seguridad de los equipos, utilizando unaplantilla de seguridad.

Security Settings extension to Group Policy7 Puede utilizar esta herramienta para modificar la configuración de seguridad individual de un dominio, sitioo unidad organizativa de Active Directory.

Directiva de seguridad local8 Puede utilizar esta herramienta para modificar la configuración de seguridad individual del equipo local.

Secedit9 Puede utilizar esta herramienta para automatizar tareas de configuración de seguridad.

Para obtener más información acerca de cada opción de seguridad, vea Descripción de la configuración de seguridad10.

Tabla de vínculos



3http://technet.microsoft.com/es-es/library/dd996705(v=ws.10).aspx










http://technet.microsoft.com/es-es/library/dd996705(v=ws.10).aspx















Privilegios

Privilegios

Para facilitar la tarea de administrar cuentas de usuario, debería asignar privilegios principalmente a cuentas de grupo, en lugar de a cuentas de usuarioindividuales. Al asignar privilegios a una cuenta de grupo, a los usuarios se les asignarán automáticamente esos privilegios cuando pasen a formar partedel grupo. Este método de administrar privilegios es más fácil que asignar privilegios individuales a cada cuenta de usuario cuando se cree.

En la tabla siguiente se muestran y describen los privilegios que se pueden conceder a un usuario.

Privilegio Descripción

Actuar comoparte delsistemaoperativo

Este derecho de usuario permite que un proceso suplante a cualquier usuario sin autenticación. De esta forma, el proceso puede obteneracceso a los mismos recursos locales que el usuario.

Los procesos que requieren este privilegio deberían utilizar la cuenta sistemaLocal, que ya incluye este privilegio, en lugar de una cuentade usuario independiente a la que se ha asignado este privilegio específicamente. Si la organización utiliza únicamente servidores que sonmiembros de la familia de servidores de Windows Server 2003, no es necesario asignar este privilegio a los usuarios. Sin embargo, si laorganización utiliza servidores que ejecutan Windows 2000 o Windows NT 4.0, es posible que tenga que asignar este privilegio parautilizar aplicaciones que intercambian contraseñas de texto simple.

Valor predeterminado: Sistema local.

Agregarestaciones detrabajo a undominio

Esta configuración de seguridad determina los grupos o usuarios que pueden agregar estaciones de trabajo a un dominio.

Sólo es válida en controladores de dominio. De manera predeterminada, cualquier usuario autenticado tiene derecho a crear hasta 10cuentas de equipo en el dominio.

Al agregar una cuenta de equipo al dominio, al equipo se le permite participar en redes basadas en Active Directory. Por ejemplo, alagregar una estación de trabajo a un dominio, se habilita a la estación para que reconozca cuentas y grupos que existan en ActiveDirectory.

Valor predeterminado: Usuarios autenticados en controladores de dominio.

Ajustar lascuotas dememoria de unproceso

Este privilegio determina quién puede cambiar la memoria máxima que un proceso puede consumir.

Este derecho de usuario está definido en el objeto de Directiva de grupo (GPO) predeterminado del controlador de dominio y en ladirectiva de seguridad local de estaciones de trabajo y servidores.

Valor predeterminado: Administradores.

Realizar copiasde seguridadde archivos ydirectorios

Este derecho de usuario determina los usuarios que pueden omitir los permisos de archivos y directorios, del Registro y de otros objetospersistentes con el fin de realizar copias de seguridad del sistema.

Valor predeterminado: Administradores y Operadores de copia de seguridad.

Saltarse lacomprobaciónde recorrido

Este derecho de usuario determina los usuarios que pueden recorrer los árboles de directorios aunque no tengan permisos para eldirectorio recorrido. Este privilegio no permite al usuario mostrar el contenido de un directorio, sólo le da el derecho a recorrer losdirectorios.


Valor predeterminado:

En estaciones de trabajo y servidores: AdministradoresOperadores de copia de seguridadUsuarios avanzadosUsuariosTodos

En controladores de dominio: AdministradoresUsuarios autenticados

Cambiar lahora delsistema

Este derecho de usuario determina los usuarios y grupos que pueden cambiar la fecha y hora del reloj interno del equipo. Los usuarios quetengan asignado este derecho pueden modificar la apariencia de los registros de sucesos. Si se cambia la hora del sistema, los sucesosregistrados reflejarán esta nueva hora y no la hora real en la que se produjeron.



En estaciones de trabajo y servidores: AdministradoresUsuarios avanzados

En controladores de dominio: AdministradoresOperadores de servidores

Crear unarchivo depaginación

Permite al usuario crear y cambiar el tamaño de un archivo de paginación. Para ello, se especifica un tamaño de archivo de paginaciónpara una unidad determinada en Opciones de rendimiento, en la ficha Avanzadas de Propiedades del sistema.

Valor predeterminado: Administradores

Crear unobjeto símbolo

Permite a un proceso crear un símbolo que se puede utilizar para tener acceso a cualquier recurso local cuando el proceso utiliceNtCreateToken() u otra API de creación de símbolos.

Se recomienda que los procesos que requieren este privilegio utilicen la cuenta LocalSystem, que ya incluye este privilegio, en lugar deutilizar una cuenta de usuario independiente a la que se ha asignado este privilegio.

Valor predeterminado: ninguno

Crear objetosglobales

Esta opción de seguridad determina qué cuentas pueden crear objetos globales en una sesión de Servicios de Terminal Server.

Valor predeterminado: Administradores y Sistema local.

Crear objetoscompartidospermanentes

Permite que un proceso cree un objeto de directorio en el administrador de objetos de la familia de servidores de Windows Server 2003 yel administrador de objetos de Windows XP Professional. Este privilegio es útil para componentes en modo de núcleo que extienden elespacio de nombres de los objetos. Los componentes que se ejecutan en el modo de núcleo ya tienen este privilegio asignado, no esnecesario asignarlo.

Valor predeterminado: ninguno

Depurarprogramas

Este derecho de usuario determina los usuarios que pueden asignar un depurador a cualquier proceso o al núcleo. No es necesario asignareste derecho de usuario a los programadores que depuran sus propias aplicaciones. Sin embargo, los programadores que depuren nuevoscomponentes del sistema necesitarán este derecho de usuario para poder hacerlo. Este derecho de usuario proporciona acceso completoa componentes confidenciales y esenciales del sistema operativo.


AdministradoresSistema local

Habilitar laconfianza parala delegaciónde las cuentasde usuario yde equipo

Esta configuración de seguridad determina los usuarios que pueden establecer la configuración Se confía para delegación en un objetode usuario o equipo.

El usuario o el objeto al que se concede este privilegio debe tener acceso de escritura a los indicadores de control de cuenta del objetode usuario o equipo. Un proceso de servidor que se ejecuta en un equipo (o en un contexto de usuario) en el que se confía para ladelegación puede tener acceso a recursos en otro equipo mediante las credenciales delegadas del cliente, siempre que la cuenta delcliente no tenga activado el indicador de control de cuenta La cuenta es importante y no se puede delegar.


Valor predeterminado: En controladores de dominio:

Administradores

Forzar elapagadodesde unsistemaremoto

Esta configuración de seguridad determina los usuarios a los que se permite apagar un equipo desde una ubicación remota de la red. Eluso incorrecto de este derecho de usuario puede dar lugar a una denegación de servicio.



En estaciones de trabajo y servidores: Administradores. En controladores de dominio: Administradores, Operadores de servidor

Generarauditorías deseguridad

Esta configuración de seguridad determina las cuentas que puede utilizar un proceso para agregar entradas al registro de seguridad. Elregistro de seguridad se utiliza para realizar un seguimiento del acceso no autorizado al sistema. El uso incorrecto de este derecho deusuario puede dar lugar a la generación de muchos sucesos de auditoría, que podrían ocultar la existencia de un ataque u ocasionar ladenegación de servicio si la configuración de la directiva de seguridad Auditoría: apagar el sistema de inmediato si no puederegistrar auditorías de seguridad está habilitada. Para obtener más información, vea Auditoría: apagar el sistema de inmediato si nopuede registrar auditorías de seguridad1.


Suplantar a unclientedespués de laautenticación

Esta opción de seguridad determina qué cuentas pueden suplantar a otras cuentas.

Valor predeterminado: Administradores y Servicio.

Aumentar laprioridad deunaprogramación

Esta configuración de seguridad determina las cuentas que pueden utilizar un proceso con el acceso Propiedad de escritura a otroproceso para aumentar la prioridad de ejecución asignada al otro proceso. Un usuario con este privilegio puede cambiar la prioridad deprogramación de un proceso a través de la interfaz de usuario del Administrador de tareas.


Cargar ydescargarcontroladoresde dispositivo

Este derecho de usuario determina los usuarios que pueden cargar y descargar de forma dinámica controladores de dispositivos u otrocódigo en modo de núcleo. Este derecho de usuario no se aplica a controladores de dispositivos Plug and Play. Se recomienda no asignareste privilegio a otros usuarios. Utilice en su lugar la API StartService().

Valor predeterminado: Administradores. Se recomienda no asignar este privilegio a otro usuario. Los controladores de dispositivos seejecutan como programas de confianza (o con privilegios altos).

Bloquearpáginas en lamemoria

Esta configuración de seguridad determina las cuentas que pueden utilizar un proceso para mantener datos en la memoria física, con loque se evita que el sistema pagine los datos en la memoria virtual de disco. El uso de este privilegio puede afectar de forma significativaal rendimiento del sistema, al disminuir la cantidad de memoria de acceso aleatorio (RAM) disponible.

Valor predeterminado: ninguno. Ciertos procesos del sistema tienen el privilegio de forma inherente.


Administrar losregistros deauditoría yseguridad

Esta configuración de seguridad determina los usuarios que pueden especificar las opciones de auditoría de acceso a objetos pararecursos individuales como archivos, objetos de Active Directory y claves del Registro.

Esta configuración de seguridad no permite al usuario habilitar la auditoría de acceso a archivos y objetos en general. Para habilitarla, laopción Auditar el acceso a objetos2 debe estar configurada en Configuración del equipo\Configuración de Windows\Configuración deseguridad\Directivas locales\Directivas de auditoría.

Los sucesos auditados se muestran en el registro de seguridad del Visor de sucesos. Un usuario con este privilegio también podrá ver yborrar el registro de seguridad.


Modificarvalores deentorno delfirmware

Esta configuración de seguridad determina quién puede modificar valores de entorno de firmware. Las variables de entorno de firmwareson opciones almacenadas en la memoria RAM no volátil de los equipos no basados en x86. El efecto de esta configuración depende delprocesador.

En equipos basados en x86, el único valor de entorno de firmware que puede modificarse mediante la asignación de este derecho deusuario es la opción La última configuración buena conocida, que sólo debe ser modificada por el sistema. En equipos basados en Itanium, la información de inicio se almacena en memoria RAM no volátil. Los usuarios deben tener asignadoeste derecho de usuario para ejecutar bootcfg.exe y modificar la opción Sistema operativo predeterminado en Inicio yrecuperación, en Propiedades del sistema. En todos los equipos, este derecho de usuario es necesario para instalar o actualizar Windows.


AdministradoresSistema local

Hacer perfil deun soloproceso

Esta configuración de seguridad determina los usuarios que pueden utilizar las herramientas de supervisión del rendimiento con ese fin enprocesos que no son del sistema.

Valor predeterminado: Administradores, Usuarios avanzados, Sistema local.

Hacer perfildelrendimientodel sistema

Esta configuración de seguridad determina los usuarios que pueden utilizar las herramientas de supervisión del rendimiento con ese fin enprocesos del sistema.

Valor predeterminado: Administradores, Sistema local.

Quitar elequipo de laestación deacoplamiento

Esta configuración de seguridad determina si un usuario puede desacoplar un equipo portátil de su estación de acoplamiento sin iniciar lasesión.

Si se habilita esta directiva, el usuario debe iniciar la sesión antes de quitar el equipo portátil de su estación de acoplamiento. Si sedeshabilita, el usuario puede quitar el equipo portátil de su estación de acoplamiento sin iniciar la sesión.

Valor predeterminado: Deshabilitado.

Reemplazar unsímbolo deproceso

Determina qué cuentas de usuario pueden iniciar un proceso para reemplazar el símbolo predeterminado asociado con un subprocesoiniciado.

Este derecho de usuario está definido en el objeto de Directiva de grupo predeterminado del controlador de dominio y en la directiva deseguridad local de las estaciones de trabajo y servidores.

Valor predeterminado: Servicio local y Servicio de red.

Restaurararchivos ydirectorios

Esta configuración de seguridad determina los usuarios que pueden omitir los permisos de archivos, de directorios, del Registro y de otrosobjetos persistentes al restaurar copias de seguridad de archivos y directorios, y los usuarios que pueden establecer un principal deseguridad válido como propietario de un objeto.

En concreto, este derecho de usuario es equivalente a conceder los siguientes permisos al usuario o grupo en cuestión para todos losarchivos y carpetas del sistema:

Recorrer carpeta o ejecutar archivoEscritura


Estaciones de trabajo y servidores: Administradores, Operadores de copia de seguridad.Controladores de dominio: Administradores, Operadores de copia de seguridad, Operadores de servidor.

Apagar elsistema

Esta configuración de seguridad determina los usuarios que han iniciado una sesión localmente en el equipo y pueden cerrar el sistemaoperativo mediante el comando Apagar. El uso incorrecto de este derecho de usuario puede dar lugar a una denegación de servicio.


Estaciones de trabajo: Administradores, Operadores de copia de seguridad, Usuarios avanzados y Usuarios.Servidores: Administradores, Operadores de copia de seguridad, Usuarios avanzados.Controladores de dominio: Opers. de cuentas, Administradores, Operadores de copia, Opers. de servidores y Opers. de impresión.

Sincronizardatos delservicio dedirectorio

Esta configuración de seguridad determina los usuarios y grupos que tienen autoridad para sincronizar todos los datos del servicio dedirectorio. También se conoce como sincronización de Active Directory.

Valores predeterminados: ninguno.

Tomarposesión dearchivos yotros objetos

Esta configuración de seguridad determina los usuarios que pueden tomar posesión de cualquier objeto que se pueda proteger en elsistema, como objetos de Active Directory, archivos y carpetas, impresoras, claves del Registro, procesos y subprocesos.




Algunos de estos privilegios pueden suplantar a los permisos establecidos para un objeto. Por ejemplo, un usuario que haya iniciado una sesión en unacuenta de dominio que pertenezca al grupo Operadores de copia tiene derecho a realizar tareas de copia de seguridad en todos los servidores deldominio. Sin embargo, esto requiere la capacidad de leer todos los archivos en estos servidores, incluso los archivos para los que sus propietarios hanestablecido permisos que deniegan explícitamente el acceso a todos los usuarios (incluidos los miembros del grupo Operadores de copia). Un derecho deusuario, en este caso el derecho a realizar copias de seguridad, tiene prioridad sobre todos los permisos de archivos y directorios.

Para obtener más información, vea Derechos de inicio de sesión3, Derechos de usuario4 y Herramientas del Administrador de configuración de seguridad5.

Nota

En un símbolo del sistema, puede escribir whoami /priv para ver sus privilegios. Para obtener más información acerca del comando whoami, vea

Whoami6.

Tabla de vínculos



















Auditoría: apagar el sistema de inmediato si no puede registrarauditorías de seguridad

Auditoría: apagar el sistema de inmediato si no puede registrar auditorías de seguridad

Descripción

Esta configuración de seguridad determina si el sistema se apaga cuando no puede registrar sucesos de seguridad.

Si se habilita esta opción de configuración de seguridad, el sistema se detendrá cuando no pueda registrar una auditoría de seguridad por algún motivo.Generalmente, un suceso no se puede registrar cuando el registro de auditoría de seguridad está lleno y el método de retención especificado para elarchivo de registro es No sobrescribir sucesos o Sobrescribir sucesos por días.

Si el registro de seguridad está lleno, no se puede sobrescribir una entrada existente y esta opción de seguridad está habilitada, aparecerá el error gravesiguiente:

ERROR GRAVE: C0000244 Error de auditoría

Error al intentar generar una auditoría de seguridad.

Para proceder a la recuperación, un administrador debe iniciar sesión, archivar el registro (opcional), borrar el registro y restablecer esta opción como sedesee. Hasta que no se restablezca esta configuración de seguridad, ningún usuario, excepto los miembros del grupo Administradores, podrá iniciar unasesión en el sistema, aunque el registro de seguridad no esté lleno.

Nota

Cuando se establece esta configuración de seguridad, los cambios no surten efecto hasta que se reinicia Windows.

Valor predeterminado: Deshabilitado.

Establecer esta configuración de seguridad

Para establecer esta configuración de seguridad, abra la directiva correspondiente y expanda el árbol de la consola hasta que aparezca lo siguiente:Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\

Para obtener instrucciones específicas acerca de cómo configurar la directiva de seguridad, vea Modificar la configuración de seguridad en un objeto dedirectiva de grupo1.


Auditar sucesos de seguridad2

Herramientas del Administrador de configuración de seguridad3

Tabla de vínculos














Modificar la configuración de seguridad en un objeto de directiva degrupo

Para modificar una opción de configuración de seguridad en un objeto de directiva de grupo

Elija el entorno adecuado en el que desea modificar una opción de configuración de seguridad:

Para el equipo local Para un objeto de directiva de grupo, si está en una estación de trabajo o un servidor que se ha unido a un dominio. Para un objeto de directiva de grupo, si está en un controlador de dominio o en una estación de trabajo que tenga instalado el Paquete deherramientas de administración de Windows Server 2003. Sólo para controladores de dominio, si está en un controlador de dominio.

Para el equipo local

1. Abra Configuración de seguridad local.2. En el árbol de la consola, haga clic en Configuración de seguridad.3. Realice una de estas acciones:

Para modificar la Directiva de contraseñas o la Directiva de bloqueo de cuentas, haga clic en Directivas de cuentas.Para modificar la Directiva de auditoría, la Asignación de derechos de usuario o las Opciones de seguridad, haga clic en Directivaslocales.

4. En el panel de detalles, haga doble clic en la opción de configuración que desee modificar.5. Modifique la opción y, después, haga clic en Aceptar.

Notas

Para llevar a cabo este procedimiento, debe ser miembro del grupo Administradores en el equipo local o tener delegada la autoridadcorrespondiente. Si el equipo está unido a un dominio, los miembros del grupo Administradores de dominio podrían llevar a cabo este procedimiento.Como práctica recomendada de seguridad, considere la posibilidad de utilizar la opción Ejecutar como para llevar a cabo este procedimiento. Para abrir Directiva de seguridad local, haga clic en Inicio, seleccione Configuración, haga clic en Panel de control, haga doble clic enHerramientas administrativas y, a continuación, haga doble clic en Directiva de seguridad local.

Para un objeto de directiva de grupo, si está en una estación de trabajo o un servidor que se ha unido a un dominio.

1. En la barra de tareas, haga clic en Inicio, seleccione Ejecutar, escriba mmc y haga clic en Aceptar.2. En la consola, en el menú Archivo, haga clic en Agregar o quitar complemento.3. En Agregar o quitar complemento, haga clic en Agregar y, a continuación, en Agregar un complemento independiente, haga doble clic en

Editor de objetos de directiva de grupo.4. En Seleccionar un objeto de directiva de grupo, haga clic en Examinar, busque el objeto de directiva que desee modificar y haga clic en

Finalizar.5. Haga clic en Cerrar y, después, haga clic en Aceptar.6. En el árbol de la consola, haga clic en Configuración de seguridad.¿Dónde?

Directiva Objeto de directiva de grupo [nombreDeEquipo]\Configuración del equipo\Configuración de Windows\Configuración de seguridad7. Realice una de estas acciones:

Para modificar la Directiva de contraseñas, la Directiva de bloqueo de cuentas o la Directiva Kerberos, en el panel de detalles, hagadoble clic en Directivas de cuentas.Para modificar la Directiva de auditoría, la Asignación de derechos de usuario o las Opciones de seguridad, en el panel de detalles,haga doble clic en Directivas locales.Para modificar la configuración del registro de sucesos, en el árbol de la consola, haga clic en Registro de sucesos.

8. En el panel de detalles, haga doble clic en la opción de configuración de seguridad que desee modificar.9. (Opcional) Si esta opción no se ha definido todavía, active la casilla de verificación Definir esta configuración de directiva.

10. Modifique la opción y, después, haga clic en Aceptar.

Nota

Para llevar a cabo este procedimiento, debe ser miembro del grupo Administradores de dominio o del grupo Administradores de organización deActive Directory, o bien debe tener delegada la autoridad correspondiente. Como práctica recomendada de seguridad, considere la posibilidad deutilizar la opción Ejecutar como para llevar a cabo este procedimiento. Para obtener más información, vea Grupos locales predeterminados1, Grupos

predeterminados2 y Utilizar Ejecutar como3.

Para un objeto de directiva de grupo, si está en un controlador de dominio o en una estación de trabajo que tengainstalado el Paquete de herramientas de administración de Windows Server 2003.

1. Abra Usuarios y equipos de Active Directory.2. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en el objeto de directiva de grupo cuya configuración de

seguridad desee modificar.3. Haga clic en Propiedades y, a continuación, en la ficha Directiva de grupo. 4. Realice una de estas acciones:

Para modificar un objeto de directiva de grupo existente, haga clic en Modificar. Para crear un objeto de directiva de grupo nuevo, haga clic en Nuevo y, a continuación, haga clic en Modificar.

5. En el árbol de la consola, haga clic en Configuración de seguridad. ¿Dónde?


Para modificar la Directiva de contraseñas, la Directiva de bloqueo de cuentas o la Directiva Kerberos, haga clic en Directivas decuentas.Para modificar la Directiva de auditoría, la Asignación de derechos de usuario o las Opciones de seguridad, haga clic en Directivaslocales.Para modificar la configuración del registro de sucesos, haga clic en Registro de sucesos.

7. En el panel de detalles, haga doble clic en la opción de configuración que desee modificar.8. (Opcional) Si esta opción no se ha definido todavía, active la casilla de verificación Definir esta configuración de directiva.9. Modifique la opción y, después, haga clic en Aceptar.

Notas


predeterminados2 y Utilizar Ejecutar como3. Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, en Panel de control, haga doble clic en Herramientas administrativas y,a continuación, haga doble clic en Usuarios y equipos de Active Directory.

Sólo para controladores de dominio, si está en un controlador de dominio.

1. Abra Directiva de seguridad del controlador de dominio.2. En el árbol de la consola, haga clic en Configuración de seguridad. ¿Dónde?


Para modificar la Directiva de contraseñas, la Directiva de bloqueo de cuentas o la Directiva Kerberos, en el árbol de la consola, hagadoble clic en Directivas de cuentas.Para modificar la Directiva de auditoría, la Asignación de derechos de usuario o las Opciones de seguridad, en el árbol de la consola,haga clic en Directivas locales.Para modificar la configuración del registro de sucesos, haga clic en Registro de sucesos en el árbol de la consola.

4. En el panel de detalles, haga doble clic en la opción de configuración de seguridad que desee modificar.5. (Opcional) Si esta opción no se ha definido todavía, active la casilla de verificación Definir esta configuración de directiva.6. Modifique la opción y, después, haga clic en Aceptar.

Notas


predeterminados2 y Utilizar Ejecutar como3. Para abrir Directiva de seguridad del controlador de dominio, haga clic en Inicio, Panel de control, haga doble clic en Herramientasadministrativas y, a continuación, haga doble clic en Directiva de seguridad del controlador de dominio.

Notas

Cuando cree una directiva nueva haga siempre una prueba en una unidad organizativa experimental antes de aplicarla a la red.Al cambiar una opción de configuración de seguridad y hacer clic en Aceptar, el cambio tendrá efecto la próxima vez que se actualice laconfiguración.La configuración de seguridad se actualiza cada 90 minutos en una estación de trabajo o un servidor, y cada 5 minutos en un controlador dedominio. La configuración se actualiza también cada 16 horas, con independencia de que se produzcan cambios o no.



Vea también

Trabajar con archivos de consola de MMC5

Aplicar una configuración de seguridad6

Prácticas recomendadas para Configuración de seguridad7

Tabla de vínculos
























Auditar el acceso a objetos

Actualizado: enero de 2005

Se aplica a: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2, Windows Vista

Auditar el acceso a objetos

Descripción

Esta configuración de seguridad determina si se debe auditar el suceso de un usuario que obtiene acceso a un objeto (por ejemplo, un archivo, carpeta,clave del Registro, impresora, etc.) que tiene especificada su propia lista de control de acceso al sistema (SACL).

Si define esta opción de configuración de directiva, puede especificar si se auditan aciertos, errores o si o no se audita el tipo de suceso. Las auditoríasde aciertos generan una entrada de auditoría cuando un usuario obtiene acceso a un objeto que tiene especificada una SACL apropiada. Las auditoríasde errores generan una entrada de auditoría cuando un usuario intenta obtener acceso, sin lograrlo, a un objeto que tiene especificada una SACL.

Para establecer este valor a Sin auditoría, en el cuadro de diálogo Propiedades de esta configuración de directiva, active la casilla de verificaciónDefinir esta configuración de directiva y desactive las casillas de verificación Correcto y Error.

Observe que puede establecer SACL en un objeto sistema de archivos mediante la ficha Seguridad en el cuadro de diálogo Propiedades del objeto.

Valor predeterminado: Sin auditoría.


Para establecer esta configuración de seguridad, abra la directiva correspondiente y expanda el árbol de la consola hasta que aparezca lo siguiente:Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Directiva de auditoría\

Para obtener instrucciones específicas acerca de cómo configurar la directiva de auditoría, vea Definir o modificar la configuración de directiva deauditoría para una categoría de sucesos1.

Sucesos deacceso a objetos

Descripción

560 Se ha concedido acceso a un objeto ya existente.

562 Se ha cerrado un identificador de objeto.

563

Se intentó abrir un objeto con la intención de eliminarlo.

Nota

los sistemas de archivos utilizan este suceso cuando el indicador FILE_DELETE_ON_CLOSE se especifica en CreateFile().

564 Se ha eliminado un objeto protegido.

565 Se ha concedido acceso a un tipo de objeto ya existente.

567

Se ha utilizado un permiso asociado a un identificador.

Nota

un identificador se crea con determinados permisos concedidos (Lectura, Escritura, etc.). Cuando se emplea el identificador,se genera hasta una auditoría para cada uno de los permisos utilizados.

568 Se intentó crear un vínculo físico a un archivo que se está auditando.

569 El administrador de recursos del Administrador de autorización intentó crear un contexto de cliente.

570

Un cliente ha intentado tener acceso a un objeto.

Nota

se generará un suceso para cada operación que se haya intentado en el objeto.

571 El contexto de cliente fue eliminado por la aplicación Administrador de autorización.

572 El administrador de administradores ha inicializado la aplicación.

772 El administrador de certificados denegó una solicitud de certificado pendiente.

773 Servicios de Certificate Server recibió una solicitud de certificado reenviada.


774 Servicios de Certificate Server revocó un certificado.

775 Servicios de Certificate Server recibió una solicitud para publicar la lista de revocación de certificados (CRL).

776 Servicios de Certificate Server publicó la lista de revocación de certificados (CRL).

777 Se ha realizado una extensión de solicitud de certificados.

778 Se modificaron uno o más atributos de solicitud de certificados.

779 Servicios de Certificate Server recibió una solicitud para cerrar.

780 La copia de seguridad de Servicios de Certificate Server se ha iniciado.

781 La copia de seguridad de Servicios de Certificate Server ha finalizado.

782 La restauración de Servicios de Certificate Server ha comenzado.

783 La restauración de Servicios de Certificate Server ha finalizado.

784 Servicios de Certificate Server iniciados.

785 Servicios de Certificate Server detenidos.

786 Los permisos de seguridad para Servicios de Certificate Server han cambiado.

787 Servicios de Certificate Server ha recuperado una clave archivada.

788 Servicios de Certificate Server ha importado un certificado en su base de datos.

789 El filtro de auditoría para Servicios de Certificate Server ha cambiado.

790 Servicios de Certificate Server ha recibido una solicitud de certificado.

791 Servicios de Certificate Server ha aprobado certificado solicitado y ha emitido un certificado.

792 Servicios de Certificate Server ha denegado una petición de certificado.

793 Servicios de Certificate Server estableció el estado de una solicitud de certificado como pendiente.

794 La configuración del administrador de certificados para Servicios de Certificate Server ha cambiado.

795 Una entrada de configuración en Servicios de Certificate Server ha cambiado.

796 Una propiedad de Servicios de Certificate Server ha cambiado.

797 Servicios de Certificate Server archivó una clave.

798 Servicios de Certificate Server importó y archivó una clave.

799 Servicios de Certificate Server publicó un certificado.

800 Una o más filas se han eliminado de la base de datos de certificados.

801 Separación de funciones habilitada.

Para obtener más información acerca de los sucesos de seguridad, vea Sucesos de seguridad2 en el sitio Web de kits de recursos de Microsoft Windows.


Auditar el acceso del servicio de directorio3

Directiva de auditoría4









Tabla de vínculos















Prácticas recomendadas para asignar permisos de objetos de ActiveDirectory

Prácticas recomendadas para asignar permisos de objetos de Active Directory

Para obtener información acerca de la seguridad y el control de acceso en Active Directory, vea Proteger Active Directory1 y Control de acceso en

Active Directory2.

Si es posible, evitar cambiar los permisos predeterminados de objetos de Active Directory

Cambiar los permisos predeterminados podría ocasionar problemas de acceso inesperados o reducir la seguridad.

Evitar conceder permisos de Control total sobre un objeto o una unidad organizativa

Conceder permisos de Control total les permite tomar posesión de un objeto y modificar sus permisos. Si alguien tiene control total en uncontenedor, puede tomar posesión de todos los objetos de ese contenedor y tener control total sobre ellos. Mientras sea posible, en lugar depermitir control total, proporcione sólo los permisos que el usuario necesita.

Minimizar el número de entradas de control de acceso que se aplican a objetos secundarios

Si utiliza la opción Aplicar en para controlar la herencia, tenga en cuenta que no sólo los objetos especificados heredarán esa entrada de control deacceso (ACE), sino que también todos los objetos secundarios recibirán una copia de la misma. Si existen muchos objetos que reciben copias deesa ACE, esa gran cantidad de datos puede ocasionar problemas de rendimiento en la red.

Cuando sea posible, asignar el mismo grupo de permisos a varios objetos

Las listas de control de acceso (ACL) de la familia de servidores Windows Server 2003 presentan la característica de creación de instancias únicas:si varios objetos tienen listas de control de acceso idénticas (ACL), Active Directory sólo almacenará una instancia de la ACL. Para obtener másinformación acerca de cómo funciona la herencia en los objetos de Active Directory, vea Cambiar los permisos heredados3.

Cuando sea posible, asignar derechos de acceso en un nivel más amplio en lugar de asignar derechos de usuario individuales

Al reducir el número de entradas de control de acceso aumentará el rendimiento.Permita "Leer todas las propiedades" o "Escribir todas las propiedades" en lugar de propiedades individuales.Permita acceso de lectura y escritura a conjuntos de propiedades en lugar de a propiedades individuales. Un conjunto de propiedades es una colección de atributos. Por ejemplo, el conjunto de propiedades Información personal incluye los atributosdirección, título personal, etc. Al definir el acceso para el conjunto de propiedades, se tiene acceso automáticamente a todos los atributoscontenidos en dicho conjunto de propiedades.Permita "Crear todos los objetos secundarios" o "Eliminar todos los objetos secundarios", en lugar de especificar objetos secundarios individuales.Permita "Todos los derechos extendidos" en lugar de permitir derechos extendidos individuales.Permita "Todas las escrituras validadas" en lugar de permitir derechos validados individuales.

Nota

Hay veces que asignar permisos individuales es adecuado. Por ejemplo, si un operador de asistencia al cliente necesita acceso de escritura a dospropiedades de un objeto de usuario, tiene sentido utilizar una entrada de control de acceso (ACE) para cada una de ellas, en lugar de intentarusar sólo una ACE concediendo acceso de escritura a todo el objeto de usuario.

Siempre que sea posible, asignar permisos a grupos en vez de a usuarios

Utilice grupos para delegar autoridad sobre el directorio. Si un grupo de usuarios necesita permisos de lectura y otro permisos de cambio, agrupe losusuarios en función del tipo de permiso y asigne los permisos al grupo. Si varios grupos globales necesitan el mismo acceso, cree un grupo local quecontenga los grupos globales y asigne los permisos al grupo local.

Para obtener más información, vea Permisos de objeto de Active Directory4.Precaución

El funcionamiento del dominio puede volverse inestable si el tamaño total de todos los permisos de Active Directory se aproxima a lacapacidad de almacenamiento en el disco o de velocidad de procesamiento del controlador de dominio. Minimice el número de permisosindividuales que se propagan a objetos secundarios.

Notas

Los permisos Denegar heredados no impiden el acceso a un objeto si éste cuenta con una entrada de permiso explícita Permitir.Los permisos explícitos tienen prioridad sobre los permisos heredados, incluso sobre los permisos heredados Denegar.

Tabla de vínculos
















Proteger Active Directory

Proteger Active Directory

Active Directory ofrece un entorno de directorio seguro para la organización gracias a la autenticación de inicio de sesión y la autorización de usuariosintegradas. Para proteger todavía más Active Directory una vez implementado, considere las siguientes precauciones y recomendaciones.

Para obtener información general de seguridad acerca de Active Directory, vea Información de seguridad para Active Directory1.

Para obtener más información sobre la autenticación, vea el documento acerca del inicio de sesión y la autenticación en el sitio Web de kits de recursos

de Microsoft Windows2 (en inglés). Para obtener más información sobre la autorización, vea el documento acerca de la autorización y el control deacceso en el sitio Web de kits de recursos de Microsoft Windows3 (en inglés).

Importante

El acceso físico a un controlador de dominio puede permitir el acceso no autorizado de un usuario malintencionado a las contraseñas cifradas. Por lotanto, se recomienda guardar todos los controladores de dominio bajo llave en un lugar seguro con acceso público limitado. Además, deberá limitarla pertenencia a los grupos Administradores de organización, Administradores del dominio, Operadores de cuentas, Operadores de servidores,Operadores de impresión y Operadores de copia de seguridad al personal de confianza de su organización. Para obtener más información acerca delos controladores de dominio y los grupos, vea Controladores de dominio4 y Grupos predeterminados5.

Para Use

Administrar la relación de seguridad entre dos bosques y simplificar laadministración de seguridad y la autenticación entre bosques.

Confianzas de bosque

Vea Confianzas de bosque6.

Forzar que los usuarios del dominio utilicen contraseñas seguras.Directiva de grupo

Vea Contraseñas seguras7.

Habilitar la directiva de auditoría. La auditoría de los registros de sucesospuede avisarle de acciones que pueden suponer un riesgo de seguridad.

Directiva de grupo

Vea Directiva de auditoría8.

Asignar derechos de usuario a los nuevos grupos de seguridad, de formaque pueda definir específicamente la función administrativa de un usuarioen el dominio.

Directiva de grupo

Vea Tipos de grupos9.

Aplicar los bloqueos de cuentas en las cuentas de usuario para reducir laposibilidad de que un intruso ponga en peligro el dominio mediante repetidosintentos de inicio de sesión.

Directiva de grupo

Vea Cuentas de usuarios y equipos10.

Aplicar el historial de contraseñas en las cuentas de usuario para reducir laposibilidad de que un intruso ponga en peligro el dominio.

Directiva de grupo

Vea Forzar el historial de contraseñas11.

Aplicar la duración máxima y mínima de la contraseña en las cuentas deusuario para reducir la posibilidad de que un intruso ponga en peligro eldominio.

Directiva de grupo

Vea Duración mínima de la contraseña12, Duración máxima de lacontraseña13.

Comprobar y autenticar la validez de cada usuario mediante el uso decriptografía de claves públicas.

Infraestructura de claves públicas

Vea Implementar una infraestructura de claves públicas14.

Promover un entorno operativo seguro mediante la ejecución del equipo sincredenciales administrativas, excepto cuando sea necesario.

Ejecutar como

Vea Utilizar Ejecutar como15.

Limitar el acceso de usuarios, grupos y equipos a los recursos compartidosy filtrar la configuración de Directiva de grupo.

Grupos de seguridad

Vea Tipos de grupos9.

Evitar ataques de usuarios malintencionados que podrían intentar concederderechos de usuario elevados a otra cuenta de usuario.

Filtrado de SID

Vea el documento acerca de cómo utilizar el filtrado de identificadores deseguridad (SID) para impedir ataques de elevación de privilegios (en inglés)en el sitio Web de Microsoft16.

Proporcionar autenticación de usuario difícil de manipular y seguridad decorreo electrónico.

Tarjetas inteligentes

Vea Introducción a las tarjetas inteligentes17.

Utilizar técnicas de cifrado seguras para proteger la información decontraseñas de cuentas en equipos locales, servidores miembro ocontroladores de dominio.

Syskey

Vea Utilidad de clave del sistema18.





















Tabla de vínculos



























Información de seguridad para Active Directory

Información de seguridad para Active Directory

Active Directory® proporciona un entorno de directorio seguro para su organización por medio de dos de las características principales de la Autoridad deseguridad local (LSA): la autenticación de inicio de sesión y la autorización de usuarios integradas. La autenticación del inicio de sesión y la autorizacióndel usuario están disponibles de forma predeterminada y proporcionan protección inmediata para el acceso a la red y para los recursos de red.

Para obtener información acerca de otras herramientas de seguridad que puede emplear para una mayor protección de Active Directory, vea Proteger

Active Directory1 y Prácticas recomendadas de Active Directory2.

Proteger el acceso a la red

Active Directory requiere la confirmación de la identidad de un usuario antes de permitir el acceso a la red, en un proceso conocido con el nombre deautenticación. De este modo, los usuarios sólo tendrán que proporcionar un inicio de sesión único al dominio (o dominios de confianza) para obteneracceso a la red. Una vez que Active Directory haya confirmado la identidad del usuario, la Autoridad de seguridad local del dominio que realiza laautenticación creará un testigo de acceso que establece el nivel de acceso que el usuario posee en los recursos de red. Para obtener más informaciónacerca del proceso de autenticación, vea Control de acceso en Active Directory3 y Certificados y autenticación4.

Active Directory admite una serie de protocolos estándar de seguridad de Internet y mecanismos de autenticación que se usan para comprobar laidentidad en el proceso de inicio de sesión, entre los que se incluyen Kerberos V5, certificados X.509 v3, tarjetas inteligentes, infraestructura de clavespúblicas (PKI, public key infrastructure) y Protocolo ligero de acceso a directorios (LDAP) a través de Nivel de sockets seguros (SSL, Secure SocketsLayer).

La autenticación entre dominios tiene lugar a través de las denominadas confianzas, que son relaciones establecidas entre dos o más dominios quepermiten al controlador de un dominio autenticar a los usuarios de otro dominio.

Las relaciones de confianza pueden ser transitivas o intransitivas, si bien siempre deben estar presentes para que los usuarios de un dominio puedan

tener acceso a los recursos compartidos de otro dominio. Para obtener más información, vea Confianzas5.

Además de proteger el acceso de red a través de la autenticación, Active Directory protege los recursos compartidos por medio de la autorización delusuario. Una vez que Active Directory haya autenticado el inicio de sesión de un usuario, los derechos de usuario asignados a éste a través de los gruposde seguridad, así como los permisos asignados en el recurso compartido, determinarán si el usuario puede tener acceso a ese recurso en particular. Esteproceso de autenticación protege los recursos compartidos de posibles accesos no autorizados y, al mismo tiempo, permite el acceso únicamente ausuarios o grupos autorizados.

Para obtener más información acerca de los derechos de usuario y los grupos de seguridad, vea Tipos de grupos6. Para obtener más información acercade los derechos de usuario asignados a grupos predeterminados, vea Grupos predeterminados7. Para obtener más información acerca de la autorización,vea "Diseño de una estrategia de autorización" en el sitio Web de Kits de recursos de Microsoft Windows8.

Para obtener más información acerca de la autenticación, vea "Inicio de sesión y autenticación" en el sitio Web de Kits de recursos de Microsoft

Windows9. Para obtener más información acerca de la autorización y el control de acceso, vea "Autorización y control de acceso" en el sitio Web de Kits

de recursos de Microsoft Windows10.

Tabla de vínculos





























Prácticas recomendadas de Active Directory


Como práctica recomendada de seguridad, se recomienda que no inicie una sesión en el equipo con credenciales administrativas. Si ha iniciado una sesión en el equipo sin credenciales administrativas, puede utilizar Ejecutar como para llevar a cabo las tareas administrativas. Para obtener más información, vea Por qué no debe trabajar en el equipo como administrador1 y Utilizar Ejecutar como2.Para ofrecer protección adicional en Active Directory, se recomienda que implemente las siguientes normas de seguridad:

Cambie el nombre o deshabilite la cuenta Administrador (y la cuenta de invitado) en todos los dominios para evitar intrusiones en los

dominios. Para obtener más información, vea Cuentas de usuarios y equipos3.

Proteja físicamente todos los controladores de dominio en una sala cerrada. Para obtener más información, vea Controladores de dominio4 y

Proteger Active Directory5.Administrar la relación de seguridad entre dos bosques y simplificar la administración de seguridad y la autenticación entre bosques. Paraobtener más información, vea Confianzas de bosque6.Para proporcionar protección adicional para el esquema de Active Directory, quite todos los usuarios del grupo Administradores de esquema yagregue un usuario al grupo sólo cuando sea necesario realizar cambios en el esquema. Una vez realizado el cambio, quite el usuario delgrupo.Restrinja el acceso de usuarios, grupos y equipos a los recursos compartidos y a la configuración de Directiva de grupo de filtros. Paraobtener más información, vea Tipos de grupos7.Procure no deshabilitar el uso de tráfico LDAP cifrado o firmado para las herramientas administrativas de Active Directory. Para obtener másinformación, vea Conectar con controladores de dominio que ejecutan Windows 20008.Algunos derechos de usuario predeterminados asignados a grupos predeterminados específicos pueden permitir a los miembros de esos gruposobtener derechos adicionales en el dominio, incluidos derechos administrativos. Por tanto, su organización debe confiar de igual modo entodas las personas que sean miembros de los grupos Administradores de organización, Administradores de dominio, Operadores de cuentas,Operadores de servidores, Operadores de impresión y Operadores de copia de seguridad. Para obtener más información acerca de estosgrupos, vea Grupos predeterminados9.Utilice grupos globales o universales en lugar de grupos locales de dominio al especificar permisos en los objetos del directorio de dominio

replicados en el catálogo global. Si desea obtener más información, vea Replicación del catálogo global10.

Para obtener información de seguridad general acerca de Active Directory, vea Información de seguridad para Active Directory11 y Proteger

Active Directory5.Establezca como un sitio todas las áreas geográficas que requieran acceso rápido a la información de directorio más reciente. Al establecer como sitios independientes las zonas que requieren tener acceso inmediato a información actualizada de Active Directory, les estádotando de los recursos necesarios.

Para obtener más información, vea Crear un sitio12.Coloque al menos un controlador de dominio en cada sitio y haga que uno de los controladores de dominio del sitio, como mínimo, seaun catálogo global. Los sitios que no disponen de sus propios controladores de dominio y de, al menos, un catálogo global dependen de otros sitios para obtener lainformación de directorio y son, por tanto, menos eficaces.Para obtener más información, vea Habilitar o deshabilitar un catálogo global13.Realice copias de seguridad periódicas de los controladores de dominio para conservar todas las relaciones de confianza del dominio. Para obtener más información, vea Controladores de dominio4.

Tabla de vínculos




































Por qué no debe trabajar en el equipo como administrador

Por qué no debe trabajar en el equipo como administrador

Si utiliza el equipo como miembro del grupo Administradores, hace que el sistema sea vulnerable a los caballos de Troya y a otros riesgos para laseguridad. El simple hecho de visitar un sitio Internet o abrir un archivo adjunto al correo electrónico puede ser perjudicial para el sistema. Un sitioInternet desconocido o un archivo adjunto al correo electrónico pueden incluir el código de un caballo de Troya, que podría descargarse en el sistema yejecutarse.

Si inicia sesión como administrador de un equipo local, el caballo de Troya podría formatear el disco duro, eliminar el archivo y crear una nueva cuenta deusuario con acceso administrativo. Si inicia sesión como miembro de los grupos Administradores del dominio, Administradores corporativos oAdministradores del esquema de Active Directory, un caballo de Troya podría crear una nueva cuenta de usuario de dominio con acceso administrativo yponer así en peligro el esquema, la configuración o los datos del dominio.

En un equipo local se recomienda agregar la cuenta de usuario de dominio únicamente al grupo Usuarios (y nunca al grupo Administradores) para realizarlas tareas habituales, como la ejecución de programas y la exploración en Internet. Si necesita realizar tareas administrativas en el equipo local o enActive Directory, use Ejecutar como para iniciar un programa con credenciales administrativas.

Ejecutar como permite realizar tareas administrativas sin poner en peligro el equipo ni los datos almacenados en Active Directory. Para obtener

más información, vea Utilizar Ejecutar como1. Para obtener más información acerca de cómo utilizar Ejecutar como, vea Ejecutar un programa con

credenciales administrativas2.

Si necesita realizar tareas administrativas, como actualizar el sistema operativo o configurar parámetros del sistema, cierre la sesión y vuelva a iniciarlacomo administrador.

Tabla de vínculos


Utilizar Ejecutar como

Utilizar Ejecutar como

El inicio de sesión con credenciales administrativas puede suponer un riesgo para la seguridad de su equipo y de la red. Por tanto, como prácticarecomendada de seguridad, se recomienda que no inicie la sesión en el equipo con credenciales administrativas. En su lugar, puede utilizar Ejecutar comopara realizar tareas administrativas sin tener que iniciar la sesión con credenciales administrativas. Para obtener más información sobre los riesgos para laseguridad asociados con el inicio de sesión como administrador, vea Por qué no debe trabajar en el equipo como administrador1.

Al utilizar Ejecutar como, puede abrir y ejecutar un programa utilizando un contexto de seguridad y una cuenta diferentes a los utilizados cuando inició lasesión. Por ello, puede iniciar la sesión con una cuenta de usuario habitual y, luego, mediante Ejecutar como, abrir un programa administrativo en elcontexto de una cuenta administrativa. El contexto administrativo sólo se utiliza para ese programa específico y sólo está disponible hasta que elprograma se cierre.

Es especialmente importante que los administradores de dominio utilicen Ejecutar como para realizar tareas administrativas. Si ejecuta su equipo como unadministrador de dominio en Active Directory, su dominio (y bosque) será más vulnerable a los caballos de Troya y otros riesgos de seguridad que tienencomo objetivo la secuencia de inicio de sesión.

Puede utilizar Ejecutar como a través de la interfaz de usuario o como una herramienta de línea de comandos.

Interfaz de usuario La característica Ejecutar como integrada en la interfaz de usuario es un acceso directo disponible en el menú que aparece al hacer clic con elbotón secundario del mouse (ratón) en algunos programas (.exe), en algunos elementos del Panel de control (.cpl) y en consolas MicrosoftManagement Console (MMC) (.msc). Ejecutar como le pedirá una cuenta de usuario y contraseña antes de iniciar un programa, elemento del Panelde control o consola MMC. Algunos programas y tareas administrativas, como la actualización del sistema operativo o la configuración deparámetros del sistema, no admiten Ejecutar como. Estas tareas requieren un inicio de sesión interactivo. Para obtener más información acerca decómo utilizar la característica Ejecutar como, vea Ejecutar un programa con credenciales administrativas2.Herramienta de línea de comandos Además de la característica incorporada Ejecutar como, el comando runas proporciona las mismas capacidades. Para obtener más informaciónacerca del comando runas, vea Runas3. También puede crear un acceso directo personalizado con el comando runas. Para obtener másinformación, vea Crear un acceso directo mediante el comando runas4.

Tabla de vínculos

















Crear un acceso directo mediante el comando runas

Para crear un acceso directo mediante el comando runas

1. Haga clic con el botón secundario del mouse (ratón) en el escritorio, seleccione Nuevo y, después, haga clic en Acceso directo.2. En Escriba la ubicación del elemento, escriba runas y los parámetros de comando que desee utilizar. En la siguiente tabla puede ver varios

ejemplos para crear accesos directos.3. Haga clic en Siguiente, escriba un nombre para el acceso directo y, a continuación, haga clic en Finalizar.

Ejemplos

Para crear un acceso directo a Escriba

Un símbolo del sistema con credenciales administrativas runas /user: nombreDeEquipo \administrator cmd

Administración de equipos con credenciales administrativasrunas /user: nombreDeEquipo \administrator "mmc%windir%\system32\compmgmt.msc"

Usuarios y equipos de Active Directory con credencialesadministrativas en el dominio

runas /user: nombreDeDominio \administrator "mmc%windir%\system32\dsa.msc"

Usuarios y equipos de Active Directory en un bosque distintorunas /netonly /user: nombreDeDominio \ nombreDeUsuario "mmc%windir%\system32\dsa.msc"

Notas

Para llevar a cabo esta tarea no es necesario contar con credenciales administrativas. Por lo tanto, para garantizar la mayor seguridad, serecomienda realizar esta tarea como usuario sin credenciales administrativas.Utilice este procedimiento si desea realizar tareas administrativas cuando inicia la sesión como miembro de otro grupo. El uso del comando runas noestá limitado a las cuentas de administrador.En Microsoft Management Console (MMC) no se muestran las credenciales con las que se ejecuta. Téngalo en cuenta al utilizar el comando runas.Algunos programas no admiten el comando runas.Si intenta iniciar un programa, por ejemplo una consola MMC o un elemento del Panel de control, desde una ubicación de red mediante el comandorunas, puede producirse un error si las credenciales utilizadas para conectar con el recurso compartido son diferentes de las utilizadas para iniciarel programa. Es posible que las credenciales utilizadas para ejecutar el programa no puedan tener acceso al mismo recurso compartido. Paraobtener más información acerca de cómo solucionar problemas relacionados con el comando runas, vea los Temas relacionados.Si se produce un error en el comando runas, es posible que no se esté ejecutando el servicio Inicio de sesión secundario. Para obtener másinformación acerca de cómo iniciar un servicio, vea los temas relacionados.



Vea también

Solucionar problemas de Usuarios y grupos locales2



Diferencias en la configuración de seguridad predeterminada4

Configuración de seguridad predeterminada para grupos5

Runas6

Utilizar Ejecutar como7

Iniciar, detener, hacer una pausa, reanudar o reiniciar un servicio8

Tabla de vínculos



























Las cuentas de usuario y las cuentas de equipo de Active Directory representan una entidad física como una persona o un equipo. Las cuentas deusuario también se puede utilizar como cuentas de servicio dedicadas para algunas aplicaciones.

Las cuentas de usuario y de equipo (así como los grupos) se denominan también principales de seguridad. Los principales de seguridad son objetos dedirectorio a los que se asigna automáticamente identificadores de seguridad (SID), que se utilizan para tener acceso a los recursos del dominio. Unacuenta de usuario o de equipo se utiliza para:

Autenticar la identidad de un usuario o equipo. Una cuenta de usuario permite que un usuario inicie una sesión en equipos y dominios con una identidad que puede ser autenticada por el dominio.Para obtener información acerca de la autenticación, vea Control de acceso en Active Directory1. Cada usuario que se conecta a la red debe tenersu propia cuenta de usuario y su propia contraseña única. Para aumentar la seguridad, debe evitar que varios usuarios compartan una mismacuenta.Autorizar o denegar el acceso a los recursos del dominio.Después de que el usuario haya sido autenticado, se le autoriza o deniega el acceso a los recursos del dominio según los permisos explícitosasignados a dicho usuario en el recurso. Para obtener más información, vea Información de seguridad para Active Directory2.Administrar otros principales de seguridad.Active Directory crea un objeto de principal de seguridad externo en el dominio local para representar cada principal de seguridad de un dominio deconfianza externo. Para obtener más información acerca de los principales de seguridad externos, vea Cuándo se debe crear una confianzaexterna3.Auditar las acciones realizadas con la cuenta de usuario o de equipo.

La auditoría puede ayudarle a supervisar la seguridad de las cuentas. Para obtener más información acerca de la, vea Introducción a la auditoría4.

Cuentas de usuario

El contenedor Usuarios ubicado en Usuarios y equipos de Active Directory incluye tres cuentas de usuario integradas: Administrador, Invitado y Asistentede ayuda. Estas cuentas de usuario integradas se crean automáticamente al crear el dominio.

Cada cuenta integrada tiene una combinación diferente de derechos y permisos. La cuenta Administrador tiene los derechos y permisos más ampliossobre el dominio, mientras que la cuenta Invitado tiene derechos y permisos limitados. En la siguiente tabla se describe cada una de las cuentas deusuario predeterminadas en los controladores de dominio que ejecutan Windows Server 2003.

Cuenta deusuariopredeterminada

Descripción

CuentaAdministrador

La cuenta Administrador tiene control total sobre el dominio y puede asignar derechos de usuario y permisos de control de acceso a losusuarios según sea necesario. Sólo debe utilizar esta cuenta para aquellas tareas que requieran credenciales administrativas. Serecomienda configurarla con una contraseña segura. Para obtener más información, consulte Contraseñas seguras5. Para conocerotras consideraciones acerca de la seguridad de las cuentas con credenciales administrativas, vea Prácticas recomendadas de ActiveDirectory6.

La cuenta Administrador es un miembro predeterminado de los grupos Administradores, Administradores de dominio, Administradores deorganización, Propietarios del creador de directivas de grupo y Administradores de esquema en Active Directory. La cuentaAdministrador nunca se puede eliminar ni quitar del grupo Administradores, pero es posible cambiarle el nombre o deshabilitarla. Comoes sabido que la cuenta Administrador existe en muchas versiones de Windows, si le cambia el nombre o la deshabilita dificultará elacceso a ella a usuarios malintencionados. Para obtener más información acerca de cómo cambiar el nombre de una cuenta de usuarioo deshabilitarla, vea Cambiar el nombre de una cuenta de usuario local7 o Deshabilitar o habilitar una cuenta de usuario8.

La cuenta Administrador es la primera cuenta que se crea cuando se instala un nuevo dominio con el Asistente para instalación deActive Directory.

Importante Aunque la cuenta Administrador esté deshabilitada, puede seguir usándose para obtener acceso a un controladorde dominio con el modo a prueba de errores.

Cuenta Invitado

La cuenta Invitado sólo la utilizan los usuarios que no poseen una cuenta real en el dominio. Un usuario con su cuenta deshabilitada(pero no eliminada) también puede utilizar la cuenta Invitado. La cuenta Invitado no requiere ninguna contraseña.

Puede asignar derechos y permisos para la cuenta Invitado de la misma forma que para cualquier cuenta de usuario. De formapredeterminada, la cuenta Invitado es miembro del grupo integrado Invitados y del grupo global Invitados del dominio, que permite a unusuario iniciar una sesión en un dominio. La cuenta Invitado está deshabilitada de forma predeterminada, y se recomienda quepermanezca así.

Cuenta Asistentede ayuda (seinstala con unasesión deAsistenciaremota)

Se trata de la cuenta principal que se utiliza para establecer una sesión de Asistencia remota. La cuenta se crea automáticamente alsolicitar una sesión de Asistencia remota, y tiene limitado el acceso al equipo. El servicio Administrador de sesión de Ayuda deescritorio remoto administra la cuenta Asistente de ayuda, que se eliminará automáticamente si no hay solicitudes de Asistenciaremota pendientes. Para obtener más información acerca de Asistencia remota, vea Administrar Asistencia remota9.

Proteger cuentas de usuarios

Si un administrador de red no modifica ni deshabilita los derechos y permisos de las cuentas integradas, cualquier usuario o servicio malintencionadopodría usarlos para iniciar una sesión, de manera ilegal, en un dominio mediante la identidad Administrador o Invitado. Una práctica recomendable deseguridad para proteger estas cuentas consiste en cambiar sus nombres o deshabilitarlas. Dado que una cuenta de usuario con el nombre cambiadoconserva su identificador de seguridad (SID), conserva también todas las demás propiedades, como su descripción, la contraseña, la pertenencia algrupo, el perfil de usuario, la información de cuenta y todos los permisos y derechos de usuario asignados.

Para obtener la seguridad que proporciona la autenticación y autorización de usuarios, cree una cuenta de usuario individual para cada usuario que










participe en la red, mediante Usuarios y equipos de Active Directory. Cada cuenta de usuario, incluidas las cuentas Administrador y Invitado, puedeagregarse a un grupo para controlar los derechos y permisos asignados a la cuenta. Al usar las cuentas y grupos apropiados para la red se garantiza quelos usuarios que se conectan a una red se puedan identificar y sólo puedan tener acceso a los recursos permitidos.

Puede contribuir a defender su dominio contra posibles intrusos exigiendo contraseñas seguras e implementando una directiva de bloqueo de cuentas. Lascontraseñas seguras reducen el riesgo de suposiciones inteligentes y ataques de diccionario contra las contraseñas. Para obtener más información, veaContraseñas seguras5 y Practicas recomendadas de contraseñas10 para contraseñas.

Una directiva de bloqueo de cuentas reduce la posibilidad de que un intruso ponga en peligro el dominio mediante repetidos intentos de inicio de sesión.Para ello, la directiva de bloqueo de cuentas determina cuántos intentos de inicio de sesión incorrectos puede tener una cuenta de usuario antes de serdeshabilitada. Para obtener más información, vea Aplicar o modificar la directiva de bloqueo de cuentas11.

Para obtener más información acerca de cómo proteger las cuentas de usuario, vea Proteger Active Directory12.

Opciones de cuentas

Cada cuenta de usuario de Active Directory tiene varias opciones de cuenta que determinan cómo se autentica en la red a un usuario que ha iniciado unasesión con esa cuenta de usuario en particular. Puede usar las siguientes opciones para configurar los valores de contraseña e información específica dela seguridad para cuentas de usuario:

Opción decuenta

Descripción

El usuariodebe cambiarla contraseñaen elsiguienteinicio desesión

Obliga a un usuario a modificar su contraseña la próxima vez que inicie una sesión en la red. Utilice esta opción cuando desee asegurarsede que el usuario va a ser la única persona que va a saber su contraseña.

El usuario nopuedecambiar lacontraseña

Impide al usuario cambiar su contraseña. Utilice esta opción cuando desee controlar una cuenta de usuario, como una cuenta temporal ouna cuenta de invitado.

Lacontraseñanuncacaduca

Impide que caduque una contraseña de usuario. Se recomienda que las cuentas de servicio tengan habilitada esta opción y que se utilicencontraseñas seguras. Para obtener más información acerca de contraseñas seguras, vea Contraseñas seguras5.

Almacenarcontraseñasutilizandocifradoreversible

Permite al usuario iniciar una sesión en una red de Windows desde equipos Apple. Si un usuario no va a iniciar una sesión desde un equipoApple, no debe utilizar esta opción. Para obtener más información, vea Almacenar contraseñas usando cifrado reversible13.

Cuentadeshabilitada

Impide que los usuarios inicien una sesión con la cuenta seleccionada. Muchos administradores usan cuentas deshabilitadas como plantillaspara cuentas de usuario comunes. Para obtener más información, vea Deshabilitar o habilitar una cuenta de usuario8.

La tarjetainteligente esnecesariapara un iniciode sesióninteractivo

Es necesario que un usuario posea una tarjeta inteligente para iniciar una sesión en la red de manera interactiva. El usuario también debetener un lector de tarjetas inteligentes conectada al equipo y un número de identificación personal (PIN) para la tarjeta inteligente. Si estaopción está seleccionada, la contraseña de la cuenta de usuario se establece automáticamente en un valor aleatorio y complejo, y seestablece la opción de cuenta La contraseña nunca caduca. Para obtener más información sobre tarjetas inteligentes, vea Iniciar una

sesión en un equipo con una tarjeta inteligente14 y Proceso de autenticación15.

Se confía enla cuentapara sudelegación

Esta opción permite a un servicio que se ejecute con esta cuenta realizar operaciones en nombre de otras cuentas de usuario de la red.Un servicio que se ejecute con una cuenta de usuario (denominada también cuenta de servicio) que sea de confianza para la delegaciónpuede suplantar a un cliente para tener acceso a los recursos del equipo donde se ejecuta el servicio o de otros equipos. En un bosqueestablecido en el nivel funcional de Windows Server 2003, esta opción se encuentra en la ficha Delegación y sólo está disponible paracuentas a las que se han asignado nombres principales de servicio (SPN), establecidos mediante el comando setspn de las herramientasde soporte de Windows. Se trata de un función importante para la seguridad y debe asignarse con precaución. Para obtener másinformación, vea Permitir que se considere a un usuario de confianza para la delegación16 y Delegar la autenticación17.

Esta opción sólo está disponible en controladores de dominio que ejecuten Windows Server 2003 en los que las funciones de dominio estánestablecidas en modo mixto o nativo de Windows 2000. En los controladores de dominio que ejecuten Windows Server 2003 donde el nivelfuncional de dominio está establecido en Windows Server 2003, se utiliza la ficha Delegación para configurar los valores de delegación. Laficha Delegación sólo aparece para las cuentas que tienen un SPN asignado. Para obtener más información acerca de las funciones dedominios, vea Funcionalidad de dominios y bosques18. Para obtener más información sobre cómo se configura la delegación en un dominiode Windows Server 2003, vea Permitir que se considere a un usuario de confianza para la delegación16.

La cuenta esimportante yno se puededelegar

Permite el control sobre una cuenta de usuario, como una cuenta Invitado o temporal. Esta opción se puede utilizar si esta cuenta nopuede ser asignada para delegación por otra cuenta.

Usar tipos decifrado DESpara estacuenta

Proporciona compatibilidad con el Estándar de cifrado de datos (DES, Data Encryption Standard). DES admite varios niveles de cifrado,entre los que se incluyen MPPE estándar (40 bits), MPPE estándar (56 bits), MPPE de alto nivel (128 bits), IPSec DES (40 bits), IPSec DESde 56 bits e IPSec DES Triple (3DES). Para obtener más información acerca del cifrado DES, vea Cifrado de datos19.
















No pedir laautenticaciónKerberosprevia

Proporciona compatibilidad con implementaciones alternativas del protocolo Kerberos. Los controladores de dominio que ejecuten Windows2000 o Windows Server 2003 pueden utilizar otros mecanismos para sincronizar la hora. Puesto que la autenticación previa proporcionaseguridad adicional, tenga precaución al habilitar esta opción. Para obtener más información acerca de Kerberos, vea AutenticaciónKerberos V520.

Cuentas InetOrgPerson

Active Directory admite la clase de objeto InetOrgPerson y sus atributos asociados definidos en RFC 2798. La clase de objetos InetOrgPerson se utilizaen varios servicios de directorio LDAP y X.500 que no son de Microsoft para representar a las personas de una organización.

La compatibilidad con InetOrgPerson permite realizar migraciones desde otros directorios LDAP a Active Directory con mayor eficacia. El objetoInetOrgPerson se deriva de la clase de usuario y se puede utilizar como un principal de seguridad al igual que la clase de usuario. Para obtener

información acerca de cómo crear una cuenta de usuario InetOrgPerson, vea Crear una cuenta de usuario nueva21.

Cuando el nivel funcional del dominio se ha establecido en Windows Server 2003, puede establecer el atributo userPassword de InetOrgPerson y losobjetos de usuario en la contraseña vigente, como ocurre con el atributo unicodePwd.

Cuentas de equipo

Todos los equipos que ejecutan Windows NT, Windows 2000, Windows XP o un servidor que ejecute Windows Server 2003 que se unen a un dominiotienen una cuenta de equipo. Las cuentas de equipo son similares a las cuentas de usuario y ofrecen un medio para autenticar y auditar el acceso a lared de los equipos y el acceso a los recursos del dominio. Cada cuenta de equipo debe ser única.

Nota Los equipos que ejecutan Windows 95 y Windows 98 no tienen características de seguridad avanzadas y no tienen cuentas de equipo asignadas.

Las cuentas de usuario y de equipo se pueden agregar, deshabilitar, restablecer y eliminar con Usuarios y equipos de Active Directory. También se puedecrear una cuenta de equipo cuando se une un equipo y un dominio. Para obtener más información acerca de las cuentas de equipo y usuario, vea Uso de

nombres en Active Directory22 y Nombres de objeto23.

Cuando el nivel funcional del dominio se ha establecido en Windows Server 2003, se utiliza un nuevo atributo lastLogonTimestamp para realizar unseguimiento del último inicio de sesión de una cuenta de usuario o equipo. Este atributo se replica en el dominio y puede proporcionar informaciónimportante sobre el historial de un usuario o equipo.

Tabla de vínculos





































Los administradores pueden utilizar el control de acceso para administrar el acceso de usuarios a recursos compartidos por motivos de seguridad. EnActive Directory, el control de acceso se administra en el nivel de objetos, por medio de la configuración de distintos niveles de acceso, o de permisos alos objetos, como Control total, Escribir, Leer o Sin acceso. El control de acceso en Active Directory define cómo pueden utilizar los objetos de ActiveDirectory los distintos usuarios. Los permisos de objetos en Active Directory están establecidos de forma predeterminada en la configuración más segura.

Entre los elementos que definen los permisos de control de acceso de los objetos de Active Directory, figuran los descriptores de seguridad, la herenciade objetos y la autenticación de usuarios.

Descriptores de seguridad

Los permisos de control de acceso se asignan a objetos compartidos y a objetos de Active Directory para controlar el uso que pueden hacer los distintosusuarios de cada objeto. Un objeto compartido, o recurso compartido, es un objeto destinado a ser usado en una red por uno o varios usuarios, comoarchivos, impresoras, carpetas y servicios. Tanto los objetos compartidos como los objetos de Active Directory almacenan los permisos de control deacceso en descriptores de seguridad.

Un descriptor de seguridad contiene dos listas de control de acceso (ACL) que sirven para asignar y realizar un seguimiento de información de seguridadpara cada objeto: la lista de control de acceso discrecional (DACL) y la lista de control de acceso al sistema (SACL).

Listas de control de acceso discrecional (DACL). Las DACL identifican los usuarios y grupos que tienen asignados o denegados permisos deacceso a un objeto. Si una DACL no especifica un usuario de forma explícita, o los grupos a los que pertenece el usuario, se denegará el acceso aese objeto al usuario. De forma predeterminada, una DACL la controla el propietario de un objeto o la persona que creó el objeto y contieneentradas de control de acceso (ACE) que determinan el acceso del usuario al objeto.Listas de control de acceso al sistema (SACL). Las SACL identifican los usuarios y los grupos que desea auditar cuando consiguen o noconsiguen obtener acceso a un objeto. La auditoría sirve para supervisar sucesos relacionados con la seguridad del sistema o de la red, paraidentificar infracciones de seguridad y para determinar el alcance y la ubicación de los daños. De forma predeterminada, una SACL la controla elpropietario de un objeto o la persona que creó el objeto. Una SACL contiene entradas de control de acceso (ACE) que determinan si se debenregistrar intentos satisfactorios o insatisfactorios de acceso a un objeto por parte de un usuario con un permiso determinado, como por ejemplo,Control total y Leer.

Para obtener más información acerca de la auditoría, vea Configuración de la auditoría en objetos1.

Para ver las DACL y las SACL de objetos de Active Directory mediante Usuarios y equipos de Active Directory, en el menú Ver, haga clic enCaracterísticas avanzadas para obtener acceso a la ficha Seguridad de cada objeto. Para obtener más información, vea Asignar, cambiar o eliminar

permisos en los objetos o atributos de Active Directory2. También puede utilizar la herramienta de soporte DSACLS para administrar listas de control deacceso en Active Directory. Para obtener más información, vea Herramientas de soporte de Active Directory3.

Las DACL y las SACL están asociadas de forma predeterminada con todos los objetos de Active Directory, lo que reduce los ataques en la red por partede usuarios malintencionados o cualquier error accidental de usuarios del dominio. No obstante, si un usuario malintencionado obtiene un nombre deusuario y una contraseña de una cuenta con credenciales administrativas en Active Directory, su bosque será vulnerable a ataques. Por esta razón,deberá considerar la posibilidad de cambiar el nombre o deshabilitar la cuenta de administrador predeterminada y seguir las prácticas recomendadasdescritas en Prácticas recomendadas de Active Directory4.

Herencia de objetos

Los objetos de Active Directory heredan ACE de forma predeterminada del descriptor de seguridad que se encuentra ubicado en su objeto de contenedorprincipal. La herencia permite aplicar la información de control de acceso definida en un objeto de contenedor de Active Directory a los descriptores deseguridad de cualquier objeto subordinado, incluidos otros contenedores y sus objetos. Esto elimina la necesidad de aplicar permisos cada vez que secrea un objeto secundario. Puede modificar los permisos heredados en caso necesario. No obstante, la práctica recomendada es evitar cambiar lospermisos predeterminados o la configuración de herencia de objetos de Active Directory. Para obtener más información, vea Prácticas recomendadas paraasignar permisos de objetos de Active Directory5 y Cambiar los permisos heredados6.

Autenticación de usuarios

Active Directory también autentica y autoriza usuarios, grupos y equipos para que tengan acceso a objetos de la red. La Autoridad de seguridad local(LSA) es el subsistema de seguridad responsable de toda la autenticación interactiva de usuarios y de los servicios de autenticación de un equipo local.La LSA sirve también para procesar solicitudes de autenticación realizadas por medio del protocolo Kerberos V5 o el protocolo NTLM en Active Directory.Para obtener más información acerca de la autenticación Kerberos, vea Autenticación Kerberos V57. Para obtener más información acerca de laautenticación NTLM, vea Autenticación NTLM8.

Una vez confirmada en Active Directory la identidad de un usuario, la LSA del controlador de dominio de autenticación genera un testigo de acceso deusuario y asocia un Id. de seguridad (SID) al usuario.

Testigo de acceso. Cuando se autentica un usuario, la LSA crea un testigo de acceso de seguridad para el usuario. El testigo de acceso contieneel nombre del usuario, los grupos a los que pertenece el usuario, un SID para el usuario y todos los SID de los grupos a los que pertenece elusuario. Si agrega un usuario a un grupo tras la emisión del testigo de acceso de usuario, el usuario deberá cerrar la sesión y volver a iniciarla paraque se actualice el testigo de acceso.Id. de seguridad (SID). Active Directory asigna SID de forma automática a objetos de la entidad principal de seguridad en el momento de sucreación. Las entidades principales de seguridad son cuentas de Active Directory a las que se pueden asignar permisos, como por ejemplo, lascuentas de equipo, grupo o usuario. Una vez emitido un SID para el usuario autenticado, se adjunta al testigo de acceso del usuario.

La información del testigo de acceso sirve para determinar el nivel de acceso a objetos del usuario cuando el usuario intenta obtener acceso a ellos. LosSID del testigo de acceso se comparan con la lista de SID que conforman la DACL del objeto para garantizar que el usuario tenga permisos suficientespara obtener acceso al objeto. Esto se debe a que el proceso de control de acceso identifica las cuentas de usuario por SID en lugar de por nombre.

Importante

Cuando un controlador de dominio proporciona un testigo de acceso a un usuario, el testigo de acceso contiene solamente información acerca de lapertenencia a grupos locales de dominio si los grupos locales de dominio pertenecen al dominio del controlador de dominio. En el caso de objetos dedirectorio replicados en el catálogo global, se requerirían entonces ciertas consideraciones de seguridad. Si desea obtener más información, veaReplicación del catálogo global9.

Para obtener más información acerca de la autenticación, vea "Inicio de sesión y autenticación" ("Logon and Authentication") en el sitio Web de kits de

recursos de Microsoft Windows10.













Para obtener más información acerca de los permisos y el control de acceso, vea Introducción al control de acceso11. Para obtener más informaciónacerca de la autorización y el control de acceso, vea "Autorización y control de acceso" en el sitio Web de Kits de recursos de Microsoft Windows12.

Para obtener información acerca de las medidas de seguridad adicionales que se pueden implementar para proteger Active Directory, vea Proteger Active

Directory13 e Información de seguridad para Active Directory14.

Tabla de vínculos


























Configuración de la auditoría en objetos

Configuración de la auditoría en objetos

Cada objeto dispone de un conjunto de información de seguridad o un descriptor de seguridad adjunto. Una parte del descriptor de seguridad especificalos grupos o usuarios que pueden tener acceso a un objeto, así como los tipos de acceso (permisos) concedidos a dichos grupos o usuarios. Esta partedel descriptor de seguridad se conoce como lista de control de acceso discrecional (DACL, Discretionary Access Control List).

Un descriptor de seguridad para un objeto también contiene información de auditoría. A esta información de auditoría se la conoce como lista de controlde acceso de sistema (SACL). En concreto, una lista SACL especifica lo siguiente:

Las cuentas de grupo o de usuario que se van a auditar al tener acceso al objeto.Las operaciones que se auditarán por cada grupo o usuario, por ejemplo, la modificación de un archivo.Un atributo Acierto o Error para cada suceso de acceso, en función de los permisos concedidos a cada grupo y usuario de la lista DACL del objeto.

Puede aplicar la auditoría a un objeto y, a través de la herencia, la auditoría se puede aplicar a cualquier objeto secundario. Por ejemplo, si desea auditarel acceso incorrecto a una carpeta, todos los archivos de esa carpeta pueden heredar este suceso de auditoría. Para obtener más información, consulteCómo afecta la herencia a la auditoría de archivos y carpetas1.

Para auditar archivos y carpetas, debe haber iniciado una sesión como miembro del grupo Administradores.

Para obtener más información acerca de la auditoría, consulte Auditar sucesos de seguridad2.

Tabla de vínculos

Cómo afecta la herencia a la auditoría de archivos y carpetas

Cómo afecta la herencia a la auditoría de archivos y carpetas

Después de configurar la auditoría en una carpeta principal, los archivos y subcarpetas nuevos que se creen en dicha carpeta heredan la auditoría. Si nodesea que hereden la auditoría, en el cuadro Aplicar en en el cuadro de diálogo Entrada de auditoría para archivo o carpeta, haga clic en Sólo enesta carpeta cuando configure la auditoría para la carpeta principal. En los casos en que desee evitar que sólo algunos archivos o subcarpetas heredenla auditoría, haga clic con el botón secundario del mouse (ratón) en el archivo o subcarpeta en cuestión, haga clic en Propiedades, en la fichaSeguridad, en Avanzada, en la ficha Auditoría y, a continuación, desactive la casilla de verificación Heredar del objeto principal las entradas deauditoría relativas a los objetos secundarios. Incluirlas junto con las entradas indicadas aquí de forma explícita.

Si las casillas de verificación Entrada de auditoría para archivo o carpeta no están disponibles o si, en Configuración de control de acceso, el botónQuitar no está disponible, se hereda la auditoría de la carpeta principal.

Para realizar cambios en la auditoría heredada:

Realice los cambios en la carpeta principal y el archivo o la carpeta heredarán la auditoría. En la ficha Auditoría del cuadro de diálogo Configuración de seguridad avanzada para archivo o carpeta, desactive la casilla de verificaciónHeredar del objeto principal las entradas de auditoría relativas a los objetos secundarios. Incluirlas junto con las entradas indicadasaquí de forma explícita. Puede hacer clic en Modificar o en Quitar para realizar cambios o quitar la auditoría. Sin embargo, el archivo o lacarpeta no heredarán los cambios de auditoría de la carpeta principal.

Para obtener más información, consulte Auditar sucesos de seguridad1.

Tabla de vínculos


Auditar sucesos de seguridad

Auditar sucesos de seguridad

Puede configurar una directiva de auditoría de modo que se registre la actividad de los usuarios o del sistema en las categorías de sucesos especificadas.Puede supervisar la actividad relacionada con la seguridad, como quién tiene acceso a un objeto, si un usuario inicia o cierra la sesión en un equipo o sise realizan cambios en una configuración de directiva de auditoría.

Antes de definir la configuración de directiva de auditoría en la categoría de sucesos de acceso a objetos, vea Lista de comprobación: configurar laauditoría de acceso a objetos1.

Para obtener sugerencias acerca de la auditoría, vea Prácticas recomendadas para auditar sucesos de seguridad2.

Para obtener ayuda acerca de tareas específicas, vea Cómo auditar sucesos de seguridad3.

Para obtener información general, vea Conceptos de auditar sucesos de seguridad4.

Tabla de vínculos

















Lista de comprobación: configurar la auditoría de acceso a objetos

Lista de comprobación: configurar la auditoría de acceso a objetos

Paso Referencia

Consultar la introducción a la auditoría. Introducción a la auditoría1

Habilitar la auditoría de la categoría desucesos de acceso a objetos.

Definir o modificar la configuración de directiva de auditoría para una categoría de sucesos2

Aplicar la directiva de auditoría a unobjeto específico.

Aplicar o modificar la configuración de directiva de auditoría de un archivo o carpeta local3; Aplicar o modificar la

configuración de directiva de auditoría para un objeto mediante Directiva de grupo4

Tabla de vínculos

















Introducción a la auditoría

Introducción a la auditoría

Establecer una directiva de auditoría es un aspecto importante en la seguridad. Supervisar la creación o la modificación de objetos permite hacer unseguimiento de los posibles problemas de seguridad, ayuda a asegurar la responsabilidad del usuario y proporciona pruebas en caso de producirse unainfracción en la seguridad.

Los tipos de sucesos más comunes que se auditan son:

Acceso a objetos, como archivos y carpetas.Administración de cuentas de usuarios y de grupos.Usuarios que inician y cierran la sesión del sistema.

Cuando implemente una directiva de auditoría:

Especifique las categorías de sucesos que desea auditar. Entre los ejemplos de categorías de sucesos están el inicio y cierre de sesión del usuarioy la administración de cuentas. Las categorías de sucesos que seleccione constituyen su directiva de auditoría. Para obtener más informaciónacerca de cada categoría de sucesos, vea Directiva de auditoría1.Configure el tamaño y el comportamiento del registro de seguridad. El registro de seguridad se puede ver con el Visor de sucesos. Para obtener másinformación acerca del registro de seguridad, vea Ver registros de seguridad2.Si desea auditar el acceso a servicios de directorio o el acceso a objetos, determine los objetos cuyo acceso desea supervisar así como el tipo deacceso. Por ejemplo, si desea auditar los intentos que realizan los usuarios para abrir un determinado archivo, puede configurar la directiva deauditoría en la categoría de sucesos de acceso a objetos, de modo que se registren los intentos correctos y erróneos para leer un archivo. Para obtener más información acerca de cómo configurar la auditoría de acceso a objetos, consulte:

Aplicar o modificar la configuración de directiva de auditoría de un archivo o carpeta local3

Aplicar o modificar la configuración de directiva de auditoría para un objeto mediante Directiva de grupo4

Para obtener más información acerca de la auditoría, vea Auditar sucesos de seguridad5.

Tabla de vínculos



















Directiva de auditoría

Directiva de auditoría

Antes de implementar una directiva auditoría, debe decidir qué categorías de sucesos desea auditar. La configuración de la auditoría que elija para lascategorías de sucesos definirá la directiva de auditoría. En los servidores y estaciones de trabajo miembro que se unen a un dominio, la configuración dela auditoría para las categorías de sucesos no está definida de manera predeterminada. En los controladores de dominio, la auditoría está activada demanera predeterminada. Al definir la configuración de auditoría para categorías de sucesos específicas, puede crear una directiva de auditoría apropiadapara las necesidades de seguridad de su organización.

Las categorías de sucesos que puede elegir para auditar son:

Auditar sucesos de inicio de sesión de cuenta1

Auditar la administración de cuentas2

Auditar el acceso del servicio de directorio3

Auditar sucesos de inicio de sesión4

Auditar el acceso a objetos5

Auditar el cambio de directivas6

Auditar el uso de privilegios7

Auditar el seguimiento de procesos8

Auditar sucesos del sistema9


Tabla de vínculos




























Auditar sucesos de inicio de sesión de cuentaActualizado: enero de 2005


Auditar sucesos de inicio de sesión de cuenta

Descripción

Esta configuración de seguridad determina si hay que auditar cada instancia de inicio o cierre de sesión de usuario en otro equipo distinto del que seutiliza para validar la cuenta. Los sucesos de inicio de sesión de cuenta se generan cuando una cuenta de usuario de dominio se autentica en uncontrolador de dominio. El suceso se registra en el registro de seguridad del controlador de dominio. Los sucesos de inicio de sesión se generan cuandoun usuario local se autentica en un equipo local. El suceso se graba en el registro de seguridad local. Los sucesos de cierre de sesión de cuenta no segeneran.

Si define esta opción de configuración de directiva, puede especificar si se auditan aciertos, errores o si o no se audita el tipo de suceso. Las auditoríasde aciertos generan una entrada de auditoría cuando un intento de inicio de sesión en una cuenta tiene éxito. Las auditorías de errores generan unaentrada de auditoría cuando un intento de inicio de sesión en la cuenta falla.


Si se habilita la auditoria de aciertos para los sucesos de inicio de sesión en cuentas en un controlador de dominio, se registrará una entrada para cadausuario que se valida con el controlador de dominio, incluso si el usuario ha iniciado sesión en una estación de trabajo que está unida al dominio.

Valor predeterminado: Correcto.



Para obtener instrucciones específicas acerca de cómo configurar la directiva de auditoría, vea Definir o modificar la configuración de la directiva deauditoría para una categoría de sucesos1.

Sucesos de inicio desesión de cuenta

Descripción

672 Se ha emitido y validado satisfactoriamente un vale del servicio de autenticación (AS).

673 Se ha concedido un vale del servicio de concesión de vales (TGS, Ticket Granting Service).

674 Una entidad principal de seguridad ha renovado un vale de AS o de TGS.

675La autenticación previa ha dado error. Este suceso se genera en un Centro de distribución de claves (KDC, Key DistributionCenter) cuando un usuario escribe una contraseña incorrecta.

676Error en la solicitud de vale de autenticación. Este suceso no se genera en Windows XP ni en la familia WindowsServer 2003.

677 No se ha concedido un vale de TGS. Este suceso no se genera en Windows XP ni en la familia Windows Server 2003.

678 Una cuenta se ha asignado satisfactoriamente a una cuenta de dominio.

681Error de inicio de sesión. Se ha intentado un inicio de sesión de cuenta de dominio. Este suceso no se genera en Windows XPni en la familia Windows Server 2003.

682 Un usuario se ha vuelto a conectar a una sesión de Terminal Server desconectada.

683 Un usuario se ha desconectado de una sesión de Terminal Server sin cerrarla.

Para obtener más información acerca de los sucesos de seguridad, vea la sección relativa a sucesos de seguridad2 en el sitio Web de Kits de recursos deMicrosoft Windows.


Auditar sucesos de inicio de sesión3


Prácticas recomendadas5 para auditoría









Tabla de vínculos














Definir o modificar la configuración de directiva de auditoría para unacategoría de sucesos

Para definir o modificar la configuración de directiva de auditoría para una categoría de sucesos

Para el equipo local Para los controladores de dominio únicamente, si está en un controlador de dominio o una estación de trabajo que tiene instalado el paquete deherramientas de administración de Windows Server 2003 Para un dominio o una unidad organizativa, si está en un controlador de dominio o una estación de trabajo que tiene instalado el paquete deherramientas de administración Para un dominio o unidad organizativa, si está en un servidor miembro o una estación de trabajo que se ha unido a un dominio

Para el equipo local

1. Abra Configuración de seguridad local.2. En el árbol de la consola, haga clic en Directiva de auditoría.¿Dónde?

Configuración de seguridad/Directivas locales/Directiva de auditoría3. En el panel de detalles, haga doble clic en una categoría de sucesos para la que desee modificar la configuración de directiva de auditoría.4. Lleve a cabo una de las acciones siguientes, o ambas, y haga clic en Aceptar.

Para auditar los intentos correctos, active la casilla de verificación Correctos.Para auditar los intentos erróneos, active la casilla de verificación Erróneos.

Notas

Para llevar a cabo este procedimiento, debe ser miembro del grupo Administradores en el equipo local o tener delegada la autoridadcorrespondiente. Si el equipo está unido a un dominio, los miembros del grupo Administradores de dominio podrían llevar a cabo este procedimiento.Como práctica recomendada de seguridad, considere la posibilidad de utilizar la opción Ejecutar como para llevar a cabo este procedimiento. Para abrir Directiva de seguridad local, haga clic en Inicio, seleccione Configuración, haga clic en Panel de control, haga doble clic enHerramientas administrativas y, a continuación, haga doble clic en Directiva de seguridad local.

Para los controladores de dominio únicamente, si está en un controlador de dominio o una estación de trabajo que tieneinstalado el paquete de herramientas de administración de Windows Server 2003

1. Abra Directiva de seguridad del controlador de dominio.2. En el árbol de la consola, haga clic en Directiva de auditoría. ¿Dónde?

Configuración del equipo/Configuración de Windows/Configuración de seguridad/Directivas locales/Directiva de auditoría3. En el panel de detalles, haga doble clic en una categoría de sucesos para la que desee modificar la configuración de directiva de auditoría.4. Si va a definir la configuración de directiva de auditoría para esta categoría de sucesos por primera vez, active la casilla de verificación Definiresta configuración de directiva.

5. Lleve a cabo una de las acciones siguientes, o ambas, y haga clic en Aceptar. Para auditar los intentos correctos, active la casilla de verificación Correctos.Para auditar los intentos erróneos, active la casilla de verificación Erróneos.

Notas


predeterminados2 y Utilizar Ejecutar como3. Para abrir Directiva de seguridad del controlador de dominio, haga clic en Inicio, Panel de control, haga doble clic en Herramientasadministrativas y, a continuación, haga doble clic en Directiva de seguridad del controlador de dominio.

Para un dominio o una unidad organizativa, si está en un controlador de dominio o una estación de trabajo que tieneinstalado el paquete de herramientas de administración

1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en el dominio o unidad organizativa para los que desee

establecer la Directiva de grupo.3. Haga clic en Propiedades y, a continuación, en la ficha Directiva de grupo. 4. Haga clic en Modificar para abrir el objeto de directiva de grupo (GPO, Group Policy Object) que desea modificar. También puede hacer clic en

Nuevo para crear un nuevo GPO y, después, hacer clic en Modificar. 5. En el árbol de la consola, haga clic en Directiva de auditoría. ¿Dónde?



Notas


predeterminados2 y Utilizar Ejecutar como3. Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, en Panel de control, haga doble clic en Herramientas administrativas y,a continuación, haga doble clic en Usuarios y equipos de Active Directory.

Para un dominio o unidad organizativa, si está en un servidor miembro o una estación de trabajo que se ha unido a undominio


1. Abra Microsoft Management Console (MMC).2. En el menú Archivo, haga clic en Agregar o quitar complemento y, a continuación, haga clic en Agregar.3. Haga clic en Editor de objetos de directiva de grupo y, a continuación, en Agregar.4. En la página Seleccionar un objeto de directiva de grupo del Asistente para directivas de grupo, haga clic en Examinar.5. En Buscar un objeto directiva de grupo, seleccione un objeto de directiva de grupo (GPO, Group Policy Object) en el dominio, sitio o unidad

organizativa correspondiente (o cree uno nuevo), haga clic en Aceptar y, después, haga clic en Finalizar.6. Haga clic en Cerrar y, después, en Aceptar.7. En el árbol de la consola, haga clic en Directiva de auditoría. ¿Dónde?



NotasPara llevar a cabo este procedimiento, debe ser miembro del grupo Administradores de dominio o del grupo Administradores de organización deActive Directory, o bien debe tener delegada la autoridad correspondiente. Como práctica recomendada de seguridad, considere la posibilidadde utilizar la opción Ejecutar como para llevar a cabo este procedimiento. Para obtener más información, vea Grupos locales

predeterminados1, Grupos predeterminados2 y Utilizar Ejecutar como3. Para abrir Microsoft Management Console, haga clic en Inicio, Ejecutar, escriba mmc y, a continuación, haga clic en Aceptar.

Notas

Para auditar accesos a objetos, habilite la auditoría de la categoría de sucesos de acceso a objetos siguiendo los pasos anteriores. A continuación,habilite la auditoría del objeto específico. Para obtener información acerca de cómo activar la auditoría en un objeto, consulte "Aplicar o modificar laconfiguración de directiva de auditoría de un archivo o carpeta local" o "Aplicar o modificar la configuración de directiva de auditoría para un objetomediante Directiva de grupo" en Temas relacionados.Después de configurar la directiva de auditoría, los sucesos se guardarán en el registro de seguridad. Abra el registro de seguridad para ver esossucesos. Para obtener información acerca del registro de seguridad, consulte "Utilizar el registro de seguridad" en Temas relacionados.La configuración predeterminada de la directiva de auditoría para controladores de dominio es Sin auditoría. Eso significa que, incluso si estáhabilitada la auditoría en el dominio, los controladores de dominio no heredan la directiva de auditoría localmente. Si desea que la directiva deauditoría se aplique a los controladores de dominio, debe modificar esta configuración de directiva.

Vea también



Introducción a la auditoría6



Utilizar el registro de seguridad9

Tabla de vínculos


























Auditar sucesos de inicio de sesiónActualizado: enero de 2005


Auditar sucesos de inicio de sesión

Descripción

Esta configuración de seguridad determina si se audita cada instancia de un inicio o cierre de sesión de usuario en un equipo.

Los sucesos de inicio de sesión de cuenta se generan en los controladores de dominio para la actividad de cuentas de dominio y en los equipos localespara la actividad de cuentas locales. Si están habilitadas ambas categorías de directiva (inicio de sesión de cuentas y auditoría de inicio de sesión), losinicios de sesión que utilizan una cuenta de dominio generan un suceso de inicio o cierre de sesión en la estación de trabajo o servidor, y generan unsuceso de inicio de sesión de cuenta en el controlador de dominio. De manera adicional, los inicios de sesión interactivos en un servidor miembro o unaestación de trabajo que utilicen una cuenta de dominio generan un suceso de inicio de sesión en el controlador de dominio a medida que las secuenciasde comandos y directivas de inicio de sesión se recuperan cuando un usuario inicia sesión. Para obtener más información acerca de los sucesos de iniciode sesión de cuenta, vea Auditar sucesos de inicio de sesión de cuenta1.

Si define esta opción de configuración de directiva, puede especificar si se auditan aciertos, errores o si o no se audita el tipo de suceso. Las auditoríasde aciertos generan una entrada de auditoría cuando un intento de inicio de sesión tiene éxito. Las auditorías de errores generan una entrada deauditoría cuando un intento de inicio de sesión falla.


Valor predeterminado: Correcto.




Sucesos deinicio desesión

Descripción

528Un usuario ha iniciado sesión en un equipo satisfactoriamente. Para obtener información acerca del tipo de inicio de sesión, vea Tabla detipos de inicio de sesión.

529Error de inicio de sesión. Se intentó iniciar sesión con un nombre de usuario desconocido o un nombre de usuario conocido con unacontraseña no válida.

530 Error de inicio de sesión. Se intentó iniciar sesión; la cuenta ha intentado iniciar una sesión fuera del intervalo permitido.

531 Error de inicio de sesión. Se intentó iniciar sesión con una cuenta deshabilitada.

532 Error de inicio de sesión. Se intentó iniciar sesión con una cuenta caducada.

533 Error de inicio de sesión. Un usuario que no tiene permiso para iniciar una sesión en este equipo intentó iniciar sesión.

534 Error de inicio de sesión. El usuario ha intentado iniciar sesión con un tipo no permitido.

535 Error de inicio de sesión. Ha caducado la contraseña para la cuenta especificada.

536 Error de inicio de sesión. El servicio Inicio de sesión de red no está activado.

537

Error de inicio de sesión. El error en el intento de inicio de sesión se debe a otros motivos.

Nota

En algunos casos se desconoce el motivo del error de inicio de sesión.

538 Se ha completado el proceso de cierre de sesión de un usuario.

539 Error de inicio de sesión. La cuenta estaba bloqueada en el momento en que se intentó el inicio de sesión.

540 Un usuario ha iniciado sesión en una red satisfactoriamente.

La autenticación de Intercambio de claves de Internet (IKE, Internet Key Exchange) en modo principal se ha completado entre el

541 equipo local y la identidad del interlocutor enumerado (estableciendo una asociación de seguridad), o el modo rápido ha establecido uncanal de datos.

542 Un canal de datos ha finalizado.

543

El modo principal ha finalizado.

Nota

Esto puede deberse a que se ha superado el límite de tiempo en la asociación de seguridad (el valor predeterminado es de ochohoras), a cambios en la directiva o a la finalización del interlocutor.

544Error en la autenticación de modo principal debido a que el interlocutor no ha proporcionado un certificado válido o la firma no se havalidado.

545 Error en la autenticación de modo principal debido a un error de Kerberos o a una contraseña que no es válida.

546Error al establecer la asociación de seguridad de IKE porque el interlocutor envió una propuesta no válida. Se ha recibido un paquete quecontenía datos no válidos.

547 Error durante un protocolo de enlace de IKE.

548 Error de inicio de sesión. El Id. de seguridad (SID) de un dominio de confianza no coincide con el SID del dominio de cuenta del cliente.

549Error de inicio de sesión. Todos los SID que corresponden a espacios de nombres en los que no se confía se filtraron durante unaautenticación entre bosques.

550 Mensaje de notificación que podría indicar un posible ataque de denegación de servicio.

551 Un usuario ha iniciado el proceso de cierre de sesión.

552Un usuario ha iniciado sesión satisfactoriamente en un equipo mediante credenciales explícitas mientras todavía estaba registrado como unusuario diferente.

682 Un usuario se ha vuelto a conectar a una sesión de Terminal Server desconectada.

683

Un usuario se ha desconectado de una sesión de Terminal Server sin cerrar la sesión.

Nota

Este suceso se genera cuando un usuario se conecta a una sesión de Terminal Server a través de la red. Aparece en el servidorTerminal Server.

Cuando se registra el suceso 528, también se enumera un tipo de inicio de sesión en el registro de sucesos. En la tabla siguiente se describen los tipos deinicio de sesión.

Tipo deiniciodesesión

Título de iniciode sesión

Descripción

2 Interactive Un usuario ha iniciado sesión en este equipo.

3 Network Un usuario o equipo ha iniciado sesión en este equipo desde la red.

4 BatchEste tipo de inicio lo utilizan los servidores de proceso por lotes, donde los procesos pueden ejecutarse en nombre de unusuario sin su intervención directa.

5 Service El Administrador de control de servicios ha iniciado un servicio.

7 Unlock La estación de trabajo se ha desbloqueado.

8 NetworkCleartext

Un usuario ha iniciado sesión en este equipo desde la red. La contraseña del usuario se ha transferido al paquete deautenticación en su forma sin valor de hash. Todos los paquetes de autenticación integrados aplican un algoritmo de hash alas credenciales antes de enviarlas a través de la red. Las credenciales no se transmiten a través de la red en texto sinformato (también denominado texto no cifrado).

9 NewCredentialsUn llamador ha clonado su símbolo actual y ha especificado nuevas credenciales para conexiones salientes. El nuevo inicio desesión posee la misma identidad local, pero emplea credenciales diferentes para otras conexiones de red.

10 RemoteInteractive Un usuario ha iniciado sesión de forma remota en el equipo mediante Servicios de Terminal Server o Escritorio remoto.


11 CachedInteractiveUn usuario ha iniciado sesión en el equipo con credenciales de red que se almacenaron localmente en el equipo. No seconectó con el controlador de dominio para comprobar las credenciales.

Para obtener más información acerca de los sucesos de seguridad, vea el apartado relativo a los sucesos de seguridad3 en el sitio Web de Kits derecursos de Microsoft Windows.





Tabla de vínculos


















Prácticas recomendadas para auditar sucesos de seguridad


Crear un plan de auditoría antes de implementar la directiva de auditoría.

Decida el tipo de información que se desea obtener mediante la recopilación de sucesos de auditoría: Si está interesado en la detección de intrusos (realizar un seguimiento de los intentos que efectúan los usuarios para obtener acceso a áreasen las que no tienen autorización), puede recopilar auditorías de errores. Pero habilitar las auditorías de errores puede constituir un riesgopara su organización. Si los usuarios intentan tener acceso a un recurso para el que no tienen autorización, puede crear tantas auditorías deerrores que el registro de seguridad se llene y el equipo ya no pueda recopilar más auditorías. Si está habilitada la configuración de directivaAuditoría: apagar el sistema de inmediato si no puede registrar auditorías de seguridad, los usuarios pueden iniciar un ataque dedenegación de servicio a través de la directiva de auditoría.Si está interesado en utilizar el registro de auditoría para determinar exactamente lo que ha sucedido en la organización, puede recopilar unacombinación de auditorías de aciertos y errores.

Considere los recursos que tiene disponibles para recopilar y revisar un registro de auditoría. Los sucesos de auditoría ocupan espacio en losequipos y puede ocupar su tiempo y el de las personas de su organización. No audite los sucesos en los que no esté realmente interesado.

Recopilar y archivos registros de seguridad en la organización.

Si se produce una intrusión, aísle y conserve las entradas del registro de seguridad. Estas entradas pueden resultar valiosas durante lainvestigación de una intrusión.Una pista de auditoría puede contener información acerca de los cambios efectuados en su equipo o en otros equipos de la red. Si los intrusosobtienen derechos y permisos de administrador, o si los administradores hacen un uso abusivo de sus derechos y permisos, puede borrar el registrode seguridad, por lo que no dispondría de ninguna pista de sus acciones. Si utiliza una herramienta que recopile y guarde periódicamente lasentradas de los registros de seguridad de la organización, incluso si los intrusos o los administradores borran el registro de seguridad local, es muyprobable que pueda realizar un seguimiento de las acciones de los intrusos o los administradores. Un ejemplo de este tipo de herramienta es

Microsoft Operations Manager. Para obtener las herramientas disponibles más recientes, vea Buscar en Microsoft.com en el sitio Web de Microsoft1.

Auditar sucesos de aciertos y errores en la categoría de sucesos del sistema.

Mediante la auditoría de los sucesos de aciertos y errores en la categoría de sucesos del sistema, puede advertir actividades poco habituales quepuedan indicar que un intruso intenta obtener acceso al equipo o a la red.El número de auditorías que se generan cuando está habilitada esta configuración tiende a ser relativamente bajo y la calidad de la información quese obtiene de los sucesos tiende a ser relativamente alta.

Para obtener información acerca de la categoría de sucesos del sistema, vea Auditar sucesos del sistema2. Para obtener información sobre cómo habilitar la auditoría en la categoría de sucesos del sistema, vea Definir o modificar la configuración dedirectiva de auditoría para una categoría de sucesos3.

Auditar sucesos de aciertos en la categoría de sucesos de cambio de directivas en los controladores de dominio.

Si se registra un suceso en la categoría de sucesos de cambio de directivas, significa que alguien ha cambiado la configuración de la directiva deseguridad Autoridad de seguridad local (LSA).Si utiliza Directiva de grupo para editar la configuración de la directiva de auditoría, no es necesario auditar los sucesos en la categoría de sucesosde cambio de directivas en los servidores miembro.Si decide auditar sucesos de errores en la categoría de sucesos de cambio de directivas, puede ver si usuarios no autorizados o atacantes intentancambiar la configuración de directivas, incluida la configuración de directivas de seguridad. Aunque puede resultar útil para la detección de intrusos,el aumento en recursos necesarios y la posibilidad de un ataque de denegación de servicio normalmente no compensan las ventajas. Para obtener información acerca de la categoría de sucesos de cambio de directivas, vea Auditar el cambio de directivas4. Para obtener información sobre cómo habilitar la auditoría en la categoría de sucesos de cambio de directivas, vea Definir o modificar la

configuración de directiva de auditoría para una categoría de sucesos3.

Auditar sucesos de aciertos en la categoría de sucesos de administración de cuentas.

Mediante la auditoría de sucesos de aciertos en la categoría de sucesos de administración de cuentas, puede comprobar los cambios que serealizan en las propiedades de cuentas y de grupos.Si decide auditar sucesos de errores en la categoría de sucesos de administración de cuentas, puede ver si usuarios no autorizados o atacantesintentan cambiar las propiedades de cuentas o grupos. Aunque puede resultar útil para la detección de intrusos, el aumento en recursos necesariosy la posibilidad de un ataque de denegación de servicio normalmente no compensan las ventajas.Para obtener información acerca de la categoría de sucesos de administración de cuentas, vea Auditar la administración de cuentas5. Para obtener información sobre cómo habilitar la auditoría en la categoría de sucesos de administración de cuentas, vea Definir o modificar la


Auditar sucesos de aciertos en la categoría de sucesos de inicio de sesión.

Mediante la auditoría de sucesos de aciertos en la categoría de sucesos de inicio de sesión, dispondrá de un registro de cuándo los usuarios iniciano cierran la sesión en un equipo. Si un usuario no autorizado roba la contraseña de otro usuario e inicia sesión en un equipo, puede determinarcuándo se produjo la infracción de seguridad.Si decide auditar sucesos de errores en la categoría de sucesos de inicio de sesión, puede ver si usuarios no autorizados o atacantes intentaniniciar sesión en un equipo. Aunque puede resultar útil para la detección de intrusos, la posibilidad de un ataque de denegación de servicio aumentacon la auditoría de sucesos de errores en la categoría de sucesos de inicio de sesión. Si la auditoría de errores está habilitada en estas categoríasde sucesos, los usuarios que no pertenezcan a su organización podrían llenar el registro de seguridad o provocar que se sobreescriban los sucesosmediante el intento continuo de iniciar una sesión en la red con nombres de usuario o contraseñas incorrectos. Si además está habilitada laconfiguración de directiva Auditoría: apagar el sistema de inmediato si no puede registrar auditorías de seguridad, las consecuencias delregistro de los sucesos de errores en estas categorías pueden ser aún más graves: el usuario podría causar una denegación de servicio si se llenael registro de seguridad.Para obtener información sobre cómo habilitar la auditoría en la categoría de sucesos de inicio de sesión, vea Definir o modificar la configuración dedirectiva de auditoría para una categoría de sucesos3.

Auditar sucesos de aciertos en la categoría de sucesos de inicio de sesión de cuenta en los controladores de dominio.










Mediante la auditoría de sucesos de aciertos en la categoría de sucesos de inicio de sesión de cuenta, puede ver cuándo los usuarios inician ocierran la sesión en el dominio.No es necesario auditar sucesos en la categoría de sucesos de inicio de sesión en los servidores miembro.Si decide auditar sucesos de errores en la categoría de sucesos de inicio de sesión de cuenta, puede ver si usuarios no autorizados o atacantesintentan iniciar sesión en la red. Aunque puede resultar útil para la detección de intrusos, la posibilidad de un ataque de denegación de servicioaumenta con la auditoría de sucesos de errores en la categoría de sucesos de inicio de sesión de cuenta. Si la auditoría de errores está habilitadaen estas categorías de sucesos, los usuarios que no pertenezcan a su organización podrían llenar el registro de seguridad o provocar que sesobreescriban los sucesos mediante el intento continuo de iniciar una sesión en la red con nombres de usuario o contraseñas incorrectos. Siademás está habilitada la configuración de directiva Auditoría: apagar el sistema de inmediato si no puede registrar auditorías deseguridad, las consecuencias del registro de los sucesos de errores en estas categorías pueden ser aún más graves: el usuario podría causar unadenegación de servicio si se llena el registro de seguridad.Para obtener información acerca de la categoría de sucesos de inicio de sesión de cuenta, vea Auditar sucesos de inicio de sesión de cuenta6.Para obtener información sobre cómo habilitar la auditoría en la categoría de sucesos de inicio de sesión de cuenta, vea Definir o modificar la


Configurar de forma específica la auditoría en un objeto.

Para auditar el acceso a objetos, debe habilitar la configuración de directiva Auditar el acceso a objetos y, a continuación, editar la lista decontrol de accesos del sistema (SACL) que está asociada al objeto. Para obtener más información, vea Lista de comprobación: configurar laauditoría de acceso a objetos7. Para conseguir el máximo rendimiento, minimice el número de entradas en la SACL para un objeto. Una entrada en una SACL que contenga 1000usuarios no degrada el rendimiento del sistema como lo harían 1000 entradas independientes.Para reducir el volumen de sucesos que se generan y para maximizar la eficacia de cada suceso, audite únicamente las acciones en las querealmente esté interesado. Por ejemplo, si está interesado en los usuarios que leen un archivo, no audite Control total.Para obtener información acerca de la categoría de sucesos de acceso a objetos, vea Auditar el acceso a objetos8.

Para obtener información acerca de la auditoría basada en operaciones, vea Auditoría basada en operaciones en archivos o carpetas9. Para obtener información sobre cómo habilitar la auditoría en la categoría de sucesos de acceso a objetos, vea Definir o modificar la configuraciónde directiva de auditoría para una categoría de sucesos3.

Configurar un tamaño adecuado para el registro de seguridad.

Es importante que el tamaño del registro de seguridad se configure correctamente, según el número de sucesos que genera la configuración dedirectiva de auditoría. Para obtener información acerca de la administración de registros de sucesos, vea Visor de sucesos10.

Para obtener información acerca de la configuración de los registros de sucesos, vea Configuración de los registros de sucesos11.

Tabla de vínculos



























Auditar sucesos del sistema



Auditar sucesos del sistema

Descripción

Esta configuración de seguridad determina si se debe auditar cuándo un usuario reinicia o apaga el equipo, o si se produce un suceso que afecta a laseguridad del sistema o al registro de seguridad.

Si define esta opción de configuración de directiva, puede especificar si se auditan aciertos, errores o si o no se audita el tipo de suceso. Las auditoríasde aciertos generan una entrada de auditoría cuando un suceso del sistema se ejecuta correctamente. Las auditorías de errores generan una entrada deauditoría cuando se produce un error en un suceso del sistema.



Correcto en los controladores de dominio.

Sin auditoría en servidores miembro.




Mensajes de sucesosdel sistema

Descripción

512 Windows se está iniciando.

513 Windows se está cerrando.

514 La Autoridad de seguridad local ha cargado un paquete de autenticación.

515 La Autoridad de seguridad local ha registrado un proceso de inicio de sesión por confianza.

516Los recursos internos asignados para la cola de mensajes de sucesos de seguridad se han agotado, lo que ha provocado lapérdida de algunos mensajes de sucesos de seguridad.

517 Se ha borrado el registro de auditoría.

518 El Administrador de cuentas de seguridad ha cargado un paquete de notificación.

519Un proceso está utilizando un puerto de llamada a procedimiento local (LPC) no válido en un intento de suplantar a un cliente yresponder o leer o escribir en un espacio de direcciones del cliente.

520

Se cambió la hora del sistema.

Nota

Esta auditoría suele aparecer dos veces.

Para obtener más información acerca de los sucesos de seguridad, vea el tema acerca de sucesos de seguridad2 en el sitio Web de kits de recursos deMicrosoft Windows.



Prácticas recomendadas de auditoría de sucesos de seguridad4


Tabla de vínculos










Descripción

Esta configuración de seguridad determina si se deben auditar todas las incidencias de los cambios en las directivas de asignación de derechos deusuario, las directivas de auditoría o las directivas de confianza.

Si define esta opción de configuración de directiva, puede especificar si se auditan aciertos, errores o si o no se audita el tipo de suceso. Las auditoríasde aciertos generan una entrada de auditoría cuando los cambios en las directivas de asignación de derechos de usuario, las directivas de auditoría o lasdirectivas de confianza se producen correctamente. Las auditorías de errores generan una entrada de auditoría cuando los cambios en las directivas deasignación de derechos de usuario, las directivas de auditoría o las directivas de confianza producen errores.







Para obtener instrucciones específicas acerca de cómo configurar la auditoría de directivas, vea Para definir o modificar la configuración de la directiva deauditoría para una categoría de sucesos1.

Sucesosdecambiodedirectivas

Descripción

608 Se ha asignado un derecho de usuario.

609 Se ha quitado un derecho de usuario.

610 Se ha creado una relación de confianza con otro dominio.

611 Se ha quitado una relación de confianza con otro dominio.

612 Se ha modificado una directiva de auditoría.

613 Se ha iniciado un agente de directiva de Seguridad de Protocolo Internet (IPSec).

614 Se ha deshabilitado un agente de directiva IPSec.

615 Se ha modificado un agente de directiva IPSec.

616 Un agente de directiva IPSec ha detectado un error potencialmente grave.

617 Directiva Kerberos modificada.

618 Directiva de recuperación de datos cifrada modificada.

620 Se ha modificado una relación de confianza con otro dominio.

621 Se ha concedido acceso al sistema a una cuenta.

622 Se ha quitado el acceso al sistema de una cuenta.

623La directiva de auditoría por usuario se estableció para un usuario.

Para obtener información acerca de la auditoría selectiva por usuario, vea Auditoría selectiva por usuario2.




625 La directiva de auditoría por usuario se ha actualizado.

768

Se ha detectado una colisión entre un elemento de espacio de nombres en un bosque y un elemento de espacio de nombres en otro bosque.

Nota

Cuando un elemento de espacio de nombres de un bosque se superpone a un elemento de espacio de nombres de otro bosque, puedeprovocar ambigüedad a la hora de resolver un nombre perteneciente a uno de los elementos de espacio de nombres. Esta superposicióntambién se denomina colisión. No todos los parámetros son válidos para cada tipo de entrada. Por ejemplo, los parámetros como nombreDNS, nombre NetBIOS y SID no son válidos para una entrada del tipo "NombreNivelSuperior".

769

Se ha agregado información del bosque de confianza.

Nota

Este mensaje de suceso se genera cuando la información de confianza del bosque se actualiza y se agrega una o más entradas. Segenera un mensaje de suceso por cada entrada agregada, eliminada o modificada. Si se agregan, eliminan o modifican múltiplesentradas en una actualización única de la información de confianza del bosque, todos los mensajes de sucesos generados tienen unidentificador único y exclusivo denominado Id. de operación. Esto permite determinar que los múltiples mensajes de sucesos generadosson el resultado de una sola operación. No todos los parámetros son válidos para cada tipo de entrada. Por ejemplo, los parámetroscomo nombre DNS, nombre NetBIOS y SID no son válidos para una entrada del tipo "NombreNivelSuperior".

770

Se ha eliminado información del bosque de confianza.

Nota

Vea la nota del suceso 769.

771

Se ha modificado información del bosque de confianza.

Nota

Vea la nota del suceso 769.

805 El servicio de registro de sucesos lee la configuración del registro de seguridad para una sesión.

Para obtener más información acerca de los sucesos de seguridad, vea la documentación relativa a los sucesos de seguridad en los Kits de recursos deMicrosoft Windows en el sitio Web de Microsoft3.



Auditing Security Events Best practices5


Tabla de vínculos


















Auditar la administración de cuentasActualizado: enero de 2005


Auditar la administración de cuentas

Descripción

La configuración de seguridad determina si hay que auditar cada suceso de la administración de cuentas en un equipo. Algunos ejemplos de sucesos de laadministración de cuentas son:

Se crea, cambia o elimina una cuenta de usuario o un grupo.

Se cambia el nombre, se deshabilita o se habilita una cuenta de usuario.

Se establece o se cambia una contraseña.

Si define esta opción de configuración de directiva, puede especificar si se auditan aciertos, errores o si o no se audita el tipo de suceso. Las auditoríasde aciertos generan una entrada de auditoría cuando se produce correctamente un suceso de administración de cuentas. Las auditorías de erroresgeneran una entrada de auditoría cuando se produce un suceso de administración de cuentas con errores. Para establecer este valor en Sin auditoría,en el cuadro de diálogo Propiedades de esta opción de configuración de directiva, active la casilla de verificación Definir esta configuración dedirectiva y desactive las casillas de verificación Correcto y Error.






Para obtener instrucciones específicas acerca de cómo configurar la directiva de auditoría, vea Para definir o modificar la configuración de la directiva deauditoría para una categoría de sucesos1.

Sucesos deadministración decuentas

Descripción

624 Se ha creado una cuenta de usuario.

627 Se ha modificado una contraseña de usuario.

628 Se ha establecido una contraseña de usuario.

630 Se ha eliminado una cuenta de usuario.

631 Se ha creado un grupo global.

632 Se ha agregado un miembro a un grupo global.

633 Se ha eliminado un miembro de un grupo global.

634 Se ha eliminado un grupo global.

635 Se ha creado un nuevo grupo local.

636 Se ha agregado un miembro a un grupo local.

637 Se ha quitado un miembro de un grupo local.

638 Se ha eliminado un grupo local.

639 Se ha modificado una cuenta de un grupo local.

641 Se ha modificado una cuenta de un grupo global.

642 Se ha modificado una cuenta de usuario.


643 Se ha modificado una directiva de dominio.

644 Se ha bloqueado automáticamente una cuenta de usuario.

645 Se ha creado una cuenta de equipo.

646 Se ha cambiado una cuenta de equipo.

647 Se ha eliminado una cuenta de equipo.

648

Se ha creado un grupo de seguridad local con la seguridad deshabilitada.

Nota

SECURITY_DISABLED significa formalmente que ese grupo no puede utilizarse para conceder permisos en comprobaciones deacceso.

649 Se ha modificado un grupo de seguridad local con la seguridad deshabilitada.

650 Se ha agregado un miembro a un grupo de seguridad local con la seguridad deshabilitada.

651 Se ha quitado un miembro de un grupo de seguridad local con la seguridad deshabilitada.

652 Se ha eliminado un grupo local con la seguridad deshabilitada.

653 Se ha creado un grupo global con la seguridad deshabilitada.

654 Se ha modificado un grupo global con la seguridad deshabilitada.

655 Se ha agregado un miembro a un grupo global con la seguridad deshabilitada.

656 Se ha quitado un miembro de un grupo global con la seguridad deshabilitada.

657 Se ha eliminado un grupo global con la seguridad deshabilitada.

658 Se ha creado un grupo universal con la seguridad habilitada.

659 Se ha modificado un grupo universal con la seguridad habilitada.

660 Se ha agregado un miembro a un grupo universal con la seguridad habilitada.

661 Se ha quitado un miembro de un grupo universal con la seguridad habilitada.

662 Se ha eliminado un grupo universal con la seguridad habilitada.

663 Se ha creado un grupo universal con la seguridad deshabilitada.

664 Se ha modificado un grupo universal con la seguridad deshabilitada.

665 Se ha agregado un miembro a un grupo universal con la seguridad deshabilitada.

666 Se ha quitado un miembro de un grupo universal con la seguridad deshabilitada.

667 Se ha eliminado un grupo universal con la seguridad deshabilitada.

668 Se ha modificado un tipo de grupo.

684

Defina el descriptor de seguridad de los miembros de grupos administrativos.

Nota

en un controlador de dominio, un subproceso en segundo plano examina cada 60 minutos todos los miembros de los gruposadministrativos (como administradores de dominio, empresariales y de esquema) y les aplica un descriptor de seguridad fijo.Este suceso se registra.

685 Se ha modificado el nombre de una cuenta.

Para obtener más información acerca de los sucesos de seguridad, vea Sucesos de seguridad2 en el sitio Web de kits de recursos de Microsoft Windows.







Tabla de vínculos

















Auditoría basada en operaciones en archivos o carpetas

Auditoría basada en operaciones en archivos o carpetas

La auditoría basada en operaciones es una característica nueva en la familia Windows Server 2003. En versiones anteriores de Windows, la informaciónque se obtenía de la auditoría de acceso a objetos no era tan detallada como lo es con la auditoría basada en operaciones. Aunque se podía determinarque un usuario había intentado tener acceso a un objeto, no había forma de estar seguro de que se había tenido acceso al objeto en todas las formasdocumentadas en el suceso de auditoría. Con la auditoría basada en operaciones puede auditar las operaciones efectuadas sobre archivos y carpetas.Esto significa que se pueden auditar determinadas operaciones, como Escribir, así como el acceso a los objetos. La auditoría basada en operaciones estáhabilitada cuando la auditoría de acceso a objetos está habilitada en un archivo o carpeta. Los sucesos de acceso a objetos se registran, junto conoperaciones como Escritura, en el registro de seguridad.

Para habilitar la auditoría basada en operaciones, tiene que:

Habilitar la configuración de directiva Auditar el acceso a objetos. Para obtener más información, vea Definir o modificar la configuración dedirectiva de auditoría para una categoría de sucesos1. Aplicar la directiva de auditoría a una carpeta específica. Para obtener más información, vea:



Las auditorías basadas en operaciones se clasifican como auditorías de objetos y se registran con el número de suceso 567 en el registro de sucesos. Segeneran la primera vez que se realiza una operación. Las auditorías basadas en operaciones sólo se pueden configurar para archivos y carpetas.

Tabla de vínculos














Aplicar o modificar la configuración de directiva de auditoría de unarchivo o carpeta local

Para aplicar o modificar la configuración de directiva de auditoría de un archivo o carpeta local

1. Abra el Explorador de Windows.2. Haga clic con el botón secundario del mouse (ratón) en el archivo o carpeta que desee auditar, haga clic en Propiedades y, a

continuación, en la ficha Seguridad.3. Haga clic en Avanzadas y, después, en la ficha Auditoría.4. Realice una de estas acciones:

Para configurar la auditoría para un usuario o grupo nuevo, haga clic en Agregar. En Escriba el nombre del objeto a seleccionar, escribael nombre del usuario o grupo que desee y, a continuación, haga clic en Aceptar.Para quitar la auditoría para un grupo o usuario existente, haga clic en su nombre, en Quitar, en Aceptar y, a continuación, omita el restode este procedimiento.Para ver o modificar la auditoría de un grupo o usuario existente, haga clic en su nombre y, a continuación, haga clic en Modificar.

5. En el cuadro Aplicar en, haga clic en la ubicación donde desee que se realice la auditoría.6. En el cuadro Acceso, indique las acciones que desea auditar; para ello, active las casillas de verificación adecuadas:

Para auditar los sucesos correctos, active la casilla de verificación Correctos.Para dejar de auditar los sucesos correctos, desactive la casilla de verificación Correctos.Para auditar los sucesos erróneos, active la casilla de verificación Erróneos.Para dejar de auditar los sucesos erróneos, desactive la casilla de verificación Erróneos.Para dejar de auditar todos los sucesos, haga clic en Borrar todo.

7. Si desea evitar que los archivos y las subcarpetas siguientes del objeto original hereden estas entradas de auditoría, active la casilla de verificaciónAplicar estos valores de auditoría sólo a los objetos y/o contenedores dentro de este contenedor.

Importante

Antes de configurar la auditoría de archivos y carpetas, debe habilitar la auditoría de acceso a objetos; para ello, defina la configuración dedirectiva de auditoría para la categoría de sucesos de acceso a objetos. Si no habilita la auditoría de acceso a objetos, aparecerá un mensaje deerror al configurar la auditoría para archivos y carpetas, y no se auditará ningún archivo ni carpeta. Para obtener más información acerca de cómohabilitar la auditoría de acceso a objetos, consulte "Definir o modificar la configuración de directiva de auditoría para una categoría de sucesos" enTemas relacionados.

Notas

Debe haber iniciado sesión como miembro del grupo Administradores o debe tener concedido el derecho para Administrar el registro de auditoríay seguridad en Directiva de grupo para realizar este procedimiento.Para abrir el Explorador de Windows, haga clic en Inicio, seleccione Todos los programas, Accesorios y, a continuación, haga clic enExplorador de Windows. Para obtener información acerca de cómo auditar claves del Registro local, consulte "Auditar la actividad de una clave del Registro" en Temasrelacionados.Después de habilitar la auditoría de acceso a objetos, consulte el registro de seguridad en el Visor de sucesos para revisar el resultado de loscambios.Sólo puede configurar la auditoría de archivos y carpetas en unidades NTFS.Si ve lo siguiente:

En el cuadro de diálogo Entrada de auditoría para archivo o carpeta, en el cuadro Acceso, las casillas de verificación no están disponibles…En el cuadro de diálogo Configuración de seguridad avanzada para archivo o carpeta, el botón Quitar no está disponible …

la auditoría se ha heredado de la carpeta principal. Debido a que el registro de seguridad tiene un límite de tamaño, seleccione cuidadosamente los archivos y carpetas que se auditarán. Consideretambién la cantidad de espacio en disco que desea dedicar al registro de seguridad. El tamaño máximo del registro de seguridad se define en Visorde sucesos.

Vea también

Cómo afecta la herencia a la auditoría de archivos y carpetas1

Seleccionar dónde aplicar entradas de auditoría2




Auditar la actividad de una clave del Registro6

Tabla de vínculos

Aplicar o modificar la configuración de directiva de auditoría para unobjeto mediante Directiva de grupo

Para aplicar o modificar la configuración de directiva de auditoría para un objeto mediante Directiva de grupo

1. Abra Microsoft Management Console (MMC).2. En el menú Archivo, haga clic en Agregar o quitar complemento y, después, en Agregar.3. Haga clic en Editor de objetos de directiva de grupo y, a continuación, haga clic en Agregar.4. En la página Seleccionar un objeto de directiva de grupo del Asistente para directivas de grupo, haga clic en Examinar.5. En Buscar un objeto de directiva de grupo, seleccione un objeto de directiva de grupo (GPO) en el dominio, sitio o unidad organizativa

correspondiente (o cree uno nuevo), haga clic en Aceptar y, después, haga clic en Finalizar.6. Haga clic en Cerrar y, después, haga clic en Aceptar.7. Realice uno o varios de los procedimientos siguientes:

Paraauditar

Haga esto

Serviciosdelsistema

En el árbol de la consola, haga clic en Servicios del sistema.

¿Dónde?

Configuración del equipo/Configuración de Windows/Configuración de seguridad/Servicios del sistema

En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el servicio al que desea aplicar o modificar laconfiguración de directiva de auditoría y, a continuación, haga clic en Propiedades.

Si aún no está activada, active la casilla de verificación Definir esta configuración de directiva y, a continuación, seleccione laconfiguración apropiada.

Haga clic en Modificar seguridad.

ClavesdelRegistro

En el árbol de la consola, haga clic en Registro.

¿Dónde?

Configuración del equipo/Configuración de Windows/Configuración de seguridad/Registro

Si desea agregar una clave del Registro a este GPO para auditarla, haga clic con el botón secundario del mouse en Registro y, acontinuación, haga clic en Agregar clave. Busque la clave que desee y, a continuación, haga clic en Aceptar.

Si desea aplicar o modificar la configuración de auditoría en una clave del Registro que ya se ha agregado a este GPO, en el panel dedetalles, haga clic con el botón secundario del mouse en la clave del Registro, haga clic en Propiedades y, a continuación, enModificar seguridad.

Archivosocarpetas

En el árbol de la consola, haga clic en Sistema de archivos.

¿Dónde?

Configuración del equipo/Configuración de Windows/Configuración de seguridad/Sistema de archivos

Si desea agregar un archivo o una carpeta a este GPO para auditarlo, haga clic con el botón secundario del mouse en Sistemade archivos y, a continuación, haga clic en Agregar archivo. Busque el archivo que desee o cree una carpeta nueva y, acontinuación, haga clic en Aceptar.

Si desea aplicar o modificar la configuración de auditoría en un archivo o carpeta que ya se ha agregado a este GPO, en el panel dedetalles, haga clic con el botón secundario del mouse en el archivo o carpeta, haga clic en Propiedades y, a continuación, en;Modificar seguridad.

8. Haga clic en Avanzadas y, después, en la ficha Auditoría.9. Realice una de las acciones siguientes:

Para configurar la auditoría para un usuario o grupo nuevo, haga clic en Agregar. En Nombre, escriba el nombre del usuario o el grupo quedesea y, a continuación, haga clic en Aceptar.Para ver o modificar la auditoría de un grupo o usuario existente, haga clic en el nombre que desee y, a continuación, haga clic en Modificar.Para quitar la auditoría de un grupo o usuario existente, haga clic en el nombre que desee, haga clic en Quitar, en Aceptar y, acontinuación, omita el resto de este procedimiento.

10. Seleccione la entrada adecuada en la lista Aplicar en.11. En el cuadro Acceso, indique las acciones que desea auditar; para ello, active las casillas de verificación adecuadas:

Para auditar los sucesos correctos, active la casilla de verificación Correctos.Para dejar de auditar los sucesos correctos, desactive la casilla de verificación Correctos.Para auditar los sucesos erróneos, active la casilla de verificación Erróneos.Para dejar de auditar los sucesos erróneos, desactive la casilla de verificación Erróneos.Para dejar de auditar todos los sucesos, haga clic en Borrar todo.

12. Si desea evitar que los archivos y las subcarpetas del árbol hereden estas entradas de auditoría, active la casilla de verificación Aplicar estosvalores de auditoría sólo a los objetos y/o contenedores dentro de este contenedor.

Importante

Antes de configurar la auditoría de archivos y carpetas, debe habilitar la auditoría de acceso a objetos; para ello, defina la configuración dedirectiva de auditoría para la categoría de sucesos de acceso a objetos. Si no habilita la auditoría de acceso a objetos, aparecerá un mensaje deerror al configurar la auditoría para archivos y carpetas, y no se auditará ningún archivo ni carpeta. Para obtener más información acerca de cómohabilitar la auditoría de acceso a objetos, consulte "Definir o modificar la configuración de directiva de auditoría para una categoría de sucesos" enTemas relacionados.

Notas

Para llevar a cabo este procedimiento, debe ser miembro del grupo Administradores de dominio o del grupo Administradores de organización de


Active Directory, o bien debe tener delegada la autoridad correspondiente. Como práctica recomendada de seguridad, considere la posibilidad deutilizar la opción Ejecutar como para llevar a cabo este procedimiento. Para obtener más información, vea Grupos locales predeterminados1, Grupos

predeterminados2 y Utilizar Ejecutar como3. Para abrir Microsoft Management Console, haga clic en Inicio, Ejecutar, escriba mmc y, a continuación, haga clic en Aceptar. Para obtener más información acerca de seleccionar dónde aplicar las entradas de auditoría, consulte Temas relacionados.Sólo puede configurar la auditoría de archivos y carpetas en unidades NTFS.Si ve lo siguiente:

En el cuadro de diálogo Entrada de auditoría para archivo o carpeta, en el cuadro Acceso, las casillas de verificación no están disponibles…En el cuadro de diálogo Configuración de seguridad avanzada para archivo o carpeta, el botón Quitar no está disponible …

la auditoría se hereda de la carpeta principal. Después de habilitar la auditoría de acceso a objetos, consulte el registro de seguridad en el Visor de sucesos para revisar el resultado de loscambios.Debido a que el registro de seguridad tiene un límite de tamaño, seleccione cuidadosamente los archivos y carpetas que se auditarán. Consideretambién la cantidad de espacio en disco que desea dedicar al registro de seguridad. El tamaño máximo del registro de seguridad se define en Visorde sucesos.

Vea también


Ver el registro de seguridad5


Aplicar o modificar la configuración de directiva de auditoría de un archivo o carpeta local7 Aplicar o modificar la configuración de directiva de auditoría para un objeto mediante Directiva de grupo Seleccionar dónde aplicar entradas de auditoría8

Tabla de vínculos


























Visor de sucesos

Visor de sucesos

Con el Visor de sucesos, puede supervisar sucesos guardados en registros de sucesos. Normalmente, un equipo almacena los registros Aplicación,Seguridad y Sistema. También puede contener otros registros, dependiendo de la función del equipo y de las aplicaciones instaladas.

Para ver sugerencias acerca de cómo usar el Visor de sucesos, vea Prácticas recomendadas para el visor de sucesos1.

Para obtener ayuda acerca de tareas específicas, vea Visor de sucesos: cómo...2.

Para obtener información general, vea Conceptos del Visor de sucesos3.

Para obtener instrucciones acerca de cómo solucionar problemas, vea Solucionar problemas del Visor de sucesos4.

Tabla de vínculos

















Prácticas recomendadas para el visor de sucesos


Habilite el registro de seguridad de las acciones y objetos importantes para la seguridad y revise periódicamente los registros de seguridad en losequipos de la red.

Al configurar una directiva de auditoría y revisar los registros de seguridad, puede detectar actividad no autorizada e intentos de intrusión deusuarios malintencionados o intrusos en los equipos de la red.

Para obtener más información acerca de las directivas de auditoría, vea Auditar sucesos de seguridad1.

Para obtener más información acerca de los registros de sucesos, vea Ver registros de sucesos2.

Tabla de vínculos













Visor de sucesos: cómo...

Cómo…

Ver registros de sucesos1

Administrar registros de sucesos2

Personalizar registros de sucesos3

Utilizar el registro de seguridad4

Tabla de vínculos
















Solucionar problemas del Visor de sucesos

Solucionar problemas

¿Qué problema tiene?

Al ver un suceso de un registro de sucesos guardado en un equipo remoto, no puede ver los campos Descripción o Categoría en el cuadro dediálogo de propiedades. En lugar de ver una descripción en el campo Descripción, ve un mensaje de error, o en lugar de una categoría en el campoCategoría, ve un número. Al ver un suceso en el panel de detalles, aparece un identificador único global (GUID) o identificador de seguridad (SID) en el campo Usuario. Debever un nombre de usuario. No puede ver el registro de seguridad pero puede ver otros registros. Puede ver el registro de seguridad pero no puede ver otros registros. No puede obtener acceso a los complementos de la extensión Administración de equipos en un equipo remoto.

Al ver un suceso de un registro de sucesos guardado en un equipo remoto, no puede ver los campos Descripción oCategoría en el cuadro de diálogo de propiedades. En lugar de ver una descripción en el campo Descripción, ve unmensaje de error, o en lugar de una categoría en el campo Categoría, ve un número.

Causa: el Visor de sucesos obtiene información de descripción y categoría de sucesos del equipo que contiene el registro. Es posible que el registro desucesos haya sido copiado del equipo en el que se generó a otro equipo que no tiene instalado el servicio que registró esos sucesos.

Solución: abra el Visor de sucesos desde la línea de comandos mediante mmc.exe y utilice el parámetro /auxsource=nombreDeEquipo. El parámetro/auxsource=nombreDeEquipo permite que el Visor de sucesos obtenga información acerca de sucesos de un equipo que no tiene instalado el servicio deregistro de sucesos. Éste puede ser el equipo que generó el registro o bien otro equipo de la red. Puede utilizar el parámetro/auxsource=nombreDeEquipo en equipos que ejecutan un sistema operativo Windows XP o posterior. Para llevar a cabo este procedimiento, debe sermiembro del grupo Administradores en el equipo local o tener delegada la autoridad correspondiente. Si el equipo está unido a un dominio, los miembrosdel grupo Administradores de dominio podrían llevar a cabo este procedimiento. Como práctica recomendada de seguridad, considere la posibilidad deutilizar la opción Ejecutar como para llevar a cabo este procedimiento.

Sintaxis

mmc.exe X:\WINDOWS\system32\eventvwr.msc /auxsource= nombreDeEquipo

Donde X:\WINDOWS\System32 es la ruta de acceso predeterminada a eventvwr.msc y X es la unidad donde está instalado Windows.

Nota

Para ejecutar una utilidad de línea de comandos, haga clic en Inicio y, a continuación, en Ejecutar. En el cuadro de diálogo Abrir, escriba lautilidad y parámetros de la línea de comandos y, a continuación, haga clic en Aceptar.Si no hay disponible información de categoría, también puede ver un número en lugar de texto en el campo Categoría en el panel de detalles delVisor de sucesos para la enumeración de un suceso.

Vea también: Mmc1; Administrar los registros de sucesos desde la línea de comandos2

Causa: intenta ver un registro en un equipo remoto y no pertenece al grupo Administradores o no tiene delegada la autoridad apropiada en el equiporemoto.

Solución: Para llevar a cabo este procedimiento, debe ser miembro del grupo Administradores en el equipo local o tener delegada la autoridadcorrespondiente. Si el equipo está unido a un dominio, los miembros del grupo Administradores de dominio podrían llevar a cabo este procedimiento. Comopráctica recomendada de seguridad, considere la posibilidad de utilizar la opción Ejecutar como para llevar a cabo este procedimiento.

también podría obtener la misma información desde otro equipo de la red. Para ello, ejecute el Visor de sucesos en un símbolo del sistema(Eventvwr.msc), con el parámetro auxsource=nombreDeEquipo. Puede utilizar este parámetro para permitir al Visor de sucesos obtener información deun equipo con el servicio instalado. Éste puede ser el equipo que generó el registro o bien otro equipo de la red.

Causa: intenta ver un registro en un equipo remoto y el servicio de Registro remoto del equipo remoto está detenido. Si un equipo remoto ejecuta unsistema operativo Windows XP o posterior, se debe iniciar el servicio Registro remoto para que pueda ver los campos Descripción o Categoría de lapágina de propiedades de un registro de sucesos.

Solución: inicie el servicio de Registro remoto en el equipo remoto. Puede administrar el servicio Registro remoto a través del complemento Servicios yaplicaciones en Administración de equipos.

Para iniciar el servicio Registro remoto

1. En Administración de equipos, compruebe que está en la consola del equipo remoto.2. En el árbol de consola, en Servicios y aplicaciones, haga clic en Servicios.3. En el panel de detalles, haga doble clic en Registro remoto.4. En la ficha General, en Estado del servicio, haga clic en Iniciar. Haga clic en Aceptar.

También podría obtener la misma información desde otro equipo de la red. Para ello, ejecute el Visor de sucesos en un símbolo del sistema(Eventvwr.msc), con el parámetro auxsource=nombreDeEquipo. Puede utilizar este parámetro para permitir al Visor de sucesos obtener información deun equipo con el servicio instalado. Éste puede ser el equipo que generó el registro o bien otro equipo de la red.

Notas

Para llevar a cabo este procedimiento, debe ser miembro del grupo Administradores en el equipo local o tener delegada la autoridadcorrespondiente. Si el equipo está unido a un dominio, los miembros del grupo Administradores de dominio podrían llevar a cabo este procedimiento.Como práctica recomendada de seguridad, considere la posibilidad de utilizar la opción Ejecutar como para llevar a cabo este procedimiento. Este parámetro está disponible en equipos que ejecutan Windows XP o un producto de la familia Windows Server 2003.

Vea también: Administración remota3;Administración de equipos4; Microsoft Management Console5

Al ver un suceso en el panel de detalles, aparece un identificador único global ﴾GUID﴿ o identificador de seguridad ﴾SID﴿en el campo Usuario. Debe ver un nombre de usuario.

Causa: el equipo en el que ejecuta el Visor de sucesos no puede convertir el GUID o SID en nombre de usuario.

Solución: ejecute el Visor de sucesos en el equipo en el que se generó el registro de sucesos.

Causa: la cuenta de usuario a la que hace referencia el suceso se ha eliminado.

http://technet.microsoft.com/es-es/library/5c5069cc-fc6e-4dde-9664-13f4582c83fd






Solución: no podrá recuperar esta información mediante el Visor de sucesos.

No puede ver el registro de seguridad pero puede ver otros registros.

Causa: no pertenece al grupo Administradores o no tiene delegada la autoridad apropiada en el equipo de destino.

Solución: Para llevar a cabo este procedimiento, debe ser miembro del grupo Administradores en el equipo local o tener delegada la autoridadcorrespondiente. Si el equipo está unido a un dominio, los miembros del grupo Administradores de dominio podrían llevar a cabo este procedimiento. Comopráctica recomendada de seguridad, considere la posibilidad de utilizar la opción Ejecutar como para llevar a cabo este procedimiento.

Vea también: Utilizar el registro de seguridad6

Puede ver el registro de seguridad pero no puede ver otros registros.

Causa: su cuenta ha sido agregada al grupo Invitados del equipo de destino y también es miembro del grupo Administradores.

Solución: quite su cuenta del grupo Invitados en el equipo de destino:

1. Abra Administración de equipos. Si el equipo de destino es un equipo remoto, haga clic con el botón secundario del mouse (ratón) enAdministración del equipo (local) y, a continuación, haga clic en Conectar con otro equipo.

2. En Usuarios y grupos locales, haga clic en Grupos.3. En el panel de detalles, haga doble clic en Invitados.4. Seleccione la cuenta y haga clic en Quitar.5. Haga clic en Aceptar.

Notas

Este problema suele darse cuando un administrador agrega al grupo Invitados un grupo que contiene una categoría amplia de usuarios, como elgrupo Todos, INTERACTIVO o Usuarios autenticados.De forma predeterminada, a los miembros del grupo Invitados se les deniega explícitamente el acceso a recursos como los registros de sucesos Porlo tanto, evite agregar al grupo Invitados grupos que contengan usuarios con privilegios administrativos.Es posible que tenga que cerrar la sesión y volver a iniciarla para que esos cambios tengan efecto.

Vea también: Conectar con otro equipo en el Visor de sucesos7.

No puede obtener acceso a los complementos de la extensión Administración de equipos en un equipo remoto.

Causa: el servicio Registro remoto no se está ejecutando en el equipo remoto.

Solución: asegúrese de que el servicio Registro remoto se ha iniciado en el equipo remoto. Para obtener más información, vea Iniciar, detener, hacer una

pausa, reanudar o reiniciar un servicio8. Necesitará permisos apropiados en el equipo remoto para poder iniciar el servicio.

Nota

Puede que también reciba este mensaje de error si el equipo remoto está ejecutando Windows 95. Administración de equipos no admite el accesoremoto a equipos que ejecutan Windows 95.

Tabla de vínculos

1http://technet.microsoft.com/es-es/library/5c5069cc-fc6e-4dde-9664-13f4582c83fd


















Descripción

Esta configuración de seguridad determina si hay que auditar el suceso de un usuario que obtiene acceso a un objeto de Active Directory que tieneespecificada su propia lista de control de acceso al sistema (SACL, System Access Control List).

De manera predeterminada, este valor se establece como sin auditar en el objeto Controlador predeterminado de dominio de Directiva de grupo (GPO) yqueda sin definir en estaciones de trabajo y servidores donde no tiene sentido.

Si define esta opción de configuración de directiva, puede especificar si se auditan aciertos, errores o si o no se audita el tipo de suceso. Las auditoríasde aciertos generan una entrada de auditoría cuando un usuario tiene acceso correctamente a un objeto de Active Directory que tiene especificada unaSACL. Las auditorías de errores generan una entrada de auditoría cuando un usuario intenta tener acceso, sin lograrlo, a un objeto de Active Directoryque tiene especificada una SACL. Para establecer este valor a Sin auditoría, en el cuadro de diálogo Propiedades de esta configuración de directiva,active la casilla de verificación Definir esta configuración de directiva y desactive las casillas de verificación Correcto y Error.

Observe que puede establecer una SACL en un objeto de Active Directory mediante la ficha Seguridad en el cuadro de diálogo Propiedades del objeto.

Es lo mismo que Auditar el acceso a objetos1, excepto por el hecho de que se aplica sólo a objetos de Active Directory y no al sistema de archivos ni alos objetos del Registro del sistema.



Indefinido para un equipo miembro.




Solamente hay un suceso de acceso a servicio de directorio, que es idéntico al suceso de seguridad 566: Acceso a objetos.

Sucesos de acceso al servicio de directorioDescripción

566 Se ha producido una operación de objeto genérica.

Para obtener más información acerca de los sucesos de seguridad, vea el apartado sobre sucesos de seguridad3 en el sitio Web de Kits de recursos deMicrosoft Windows.





Tabla de vínculos





Descripción

Esta configuración de seguridad determina si se debe auditar cada instancia de un usuario que utiliza un derecho de usuario.

Si define esta opción de configuración de directiva, puede especificar si se auditan aciertos, errores o si no se audita ese tipo de suceso. Las auditoríasde aciertos generan una entrada de auditoría cuando la utilización de un derecho de usuario se produce correctamente. Las auditorías de errores generanuna entrada de auditoría cuando la utilización de un derecho de usuario se produce con errores.


Valor predeterminado: Sin auditoría.

Las auditorías no se generan para el uso de los siguientes derechos de usuario, aunque se hayan especificado auditorías de aciertos o de errores paraAuditar el uso de privilegios. Al habilitar la auditoría de estos derechos de usuario se tiende a generar muchos sucesos en el registro de seguridad quepueden impedir el funcionamiento del equipo. Para auditar los siguientes derechos de usuario, habilite la clave del Registro FullPrivilegeAuditing.

Saltarse la comprobación de recorrido

Depurar programas

Crear un objeto símbolo

Reemplazar el símbolo de proceso

Generar auditorías de seguridad

Realizar copias de seguridad de archivos y directorios

Restaurar archivos y directorios

Precaución

La modificación incorrecta del Registro puede dañar gravemente el sistema. Antes de realizar cambios en el Registro, debe hacer una copia deseguridad de los datos valiosos que contenga el equipo.




Sucesos de uso de privilegiosDescripción

576

Los privilegios especificados se agregaron a un símbolo de acceso del usuario.

Nota

este suceso se genera cuando el usuario inicia sesión.

577 Un usuario intentó realizar una operación de servicio del sistema con privilegios.

578 Los privilegios se han utilizando en un identificador ya abierto de un objeto protegido.

Para obtener más información acerca de los sucesos de seguridad, vea el apartado relativo a los sucesos de seguridad2 en el sitio Web de Kits derecursos de Microsoft Windows.





Tabla de vínculos











Descripción

Esta configuración de seguridad determina si se debe auditar de modo detallado la información relacionada con el seguimiento de sucesos, como laactivación de programas, salida de procesos, duplicación de identificadores y acceso indirecto a objetos.

Si define esta opción de configuración de directiva, puede especificar si se auditan aciertos, errores o si o no se audita el tipo de suceso. Las auditoríasde aciertos generan una entrada de auditoría cuando el proceso que se sigue se produce correctamente. Las auditorías de errores generan una entradade auditoría cuando en el proceso que se está siguiendo se produce un error.


Valor predeterminado: Sin auditoría




SucesoDescripción del suceso

592 Se ha creado un nuevo proceso.

593 Ha terminado un proceso.

594 Un identificador de objeto ha sido duplicado.

595 Se ha obtenido un acceso indirecto a un objeto.

596

Se ha realizado una copia de seguridad de una clave maestra de protección de datos.

Nota

La clave maestra se utiliza en las rutinas CryptProtectData y CryptUnprotectData y el Sistema de cifrado de archivos (EFS). Se realiza unacopia de seguridad de la clave maestra cada vez que se crea una nueva. (El valor predeterminado es 90 días.) La copia de seguridad de laclave suele realizarse en un controlador de dominio.

597 Se recuperó una clave maestra de protección de datos desde un servidor de recuperación.

598 Los datos auditables estaban protegidos.

599 Los datos auditables no estaban protegidos.

600 Un proceso asignó un símbolo principal.

601 Un usuario intentó instalar un servicio.

602 Se ha creado un trabajo de programador.

Para obtener más información acerca de los sucesos de seguridad, vea el tema sobre sucesos de seguridad en el sitio Web de Kits de recursos de

Microsoft Windows2.





Tabla de vínculos










La auditoría de un objeto local crea una entrada en el registro de seguridad. Las entradas de seguridad que aparecen en el registro de seguridaddependen de las categorías de auditoría que seleccione para su directiva de auditoría. Para sucesos relacionados con el acceso a objetos, las entradasen el registro de seguridad también dependen de la configuración de directiva de auditoría definida para cada objeto. Para obtener más informaciónacerca de la auditoría, consulte Auditar sucesos de seguridad1.

Por ejemplo, si la directiva de auditoría especifica auditar archivos y carpetas, y las propiedades de un archivo especifican que se van a auditar laseliminaciones incorrectas de ese archivo, cada vez que un usuario intente sin éxito eliminar el archivo dicho intento aparece en el registro de seguridad.

El registro de seguridad se puede ver mediante el lVisor de sucesos.

Tamaño del registro de seguridad

Es importante definir el tamaño del registro de seguridad adecuadamente. Elija cuidadosamente los sucesos a auditar, pues el registro de seguridad tieneun tamaño limitado. Considere también la cantidad de espacio en disco que desea dedicar al registro de seguridad. El tamaño máximo se define en Visorde sucesos.

Para obtener información acerca de lo que se debe hacer cuando se llena el registro de seguridad, consulte Auditoría: apagar el sistema de inmediato sino puede registrar auditorías de seguridad2.

Para obtener más información acerca de los sucesos de seguridad, consulte "Sucesos de seguridad" en el sitio Web de kits de recursos de Microsoft

Windows3.

Tabla de vínculos















Ver el registro de seguridad

Para ver el registro de seguridad

1. Abra el Visor de sucesos.2. En el árbol de la consola, haga clic en Seguridad. El panel de detalles enumera los sucesos de seguridad individuales.3. Si desea ver más detalles acerca de un suceso específico, haga doble clic en el suceso en el panel de detalles.

Notas

Para llevar a cabo este procedimiento, debe ser miembro del grupo Administradores en el equipo local o tener delegada la autoridadcorrespondiente. Si el equipo está unido a un dominio, los miembros del grupo Administradores de dominio podrían llevar a cabo este procedimiento.Como práctica recomendada de seguridad, considere la posibilidad de utilizar la opción Ejecutar como para llevar a cabo este procedimiento. Para abrir el Visor de sucesos, haga clic en Inicio, Panel de control, haga doble clic en Herramientas administrativas y, a continuación, hagadoble clic en Visor de sucesos. Para obtener más información acerca de los sucesos de seguridad, vea el tema sobre sucesos de seguridad en el sitio Web de kits de recursos de

Microsoft Windows1.

Vea también



Configuración de los registros de sucesos4

Descripción de las opciones de registro de sucesos5

Tabla de vínculos


















Seleccionar dónde aplicar entradas de auditoría

Seleccionar dónde aplicar entradas de auditoría

El cuadro de diálogo Entrada de auditoría aparece al realizar la auditoría de archivos o carpetas. En este cuadro de diálogo, la lista Aplicar en muestralas ubicaciones donde se pueden aplicar entradas de auditoría. El modo en que se aplican estas entradas de auditoría depende de si la casilla deverificación Aplicar estos valores de auditoría sólo a los objetos y/o contenedores dentro de este contenedor está activada. De formapredeterminada, esta casilla de verificación está desactivada.

Haga clic en Desactivada o en Activada a continuación para ver cómo se aplican las entradas de auditoría, en función de si esta casilla de verificaciónestá desactivada o activada. Cuando esta casilla de verificación está:

Desactivada... Activada...

Desactivada...

Aplicar enAudita lacarpetaactual

Audita subcarpetas dela carpeta actual

Audita archivos de lacarpeta actual

Audita todas lassubcarpetassubsiguientes

Audita archivos en todas lassubcarpetas subsiguientes

Sólo esta carpeta x

Esta carpeta,subcarpetas yarchivos

x x x x x

Esta carpeta y sussubcarpetas

x x x

Esta carpeta y susarchivos

x x x

Sólo subcarpetas yarchivos

x x x x

Sólo subcarpetas x x

Sólo archivos x x

Activada...

Aplicar enAudita lacarpetaactual

Audita subcarpetas dela carpeta actual

Audita archivos de lacarpeta actual

Audita todas lassubcarpetassubsiguientes

Audita archivos en todas lassubcarpetas subsiguientes

Sólo esta carpeta x

Esta carpeta,subcarpetas yarchivos

x x x

Esta carpeta y sussubcarpetas

x x

Esta carpeta y susarchivos

x x

Sólo subcarpetas yarchivos

x x

Sólo subcarpetas x

Sólo archivos x

Para obtener más información acerca de cómo configurar la auditoría de objetos, vea Lista de comprobación: configurar la auditoría de acceso aobjetos1.


Tabla de vínculos



Asignar, cambiar o eliminar permisos en los objetos o atributos deActive Directory

Para asignar, cambiar o eliminar permisos en los objetos o atributos de Active Directory

1. Abra Usuarios y equipos de Active Directory.2. En el menú Ver, haga clic en Características avanzadas.3. Haga clic con el botón secundario del mouse (ratón) en el objeto cuyos permisos desea asignar, cambiar o quitar y, a continuación, haga

clic en Propiedades.4. En la ficha Seguridad, haga clic en Avanzadas para ver todas las entradas de permisos que existen para ese objeto.5. Realice uno o varios de los procedimientos siguientes:

Para asignar nuevos permisos a un objeto o atributo, haga clic en Agregar. Escriba el nombre del grupo, equipo o usuario que desea agregary haga clic en Aceptar. En el cuadro de diálogo Entrada de permiso para nombreObjeto, en las fichas Objeto y Propiedades, active odesactive las casillas de verificación Permitir o Denegar, según corresponda.Para cambiar permisos existentes de un objeto o atributo, haga clic en una entrada de permiso y, a continuación, haga clic en Modificar. Enlas fichas Objeto y Propiedades,seleccione o deseleccione la casilla de verificación Permitir o Denegar, según corresponda.Para quitar permisos existentes de un objeto o atributo, haga clic en una entrada de permiso y, a continuación, haga clic en Quitar.

Importante

Antes de agregar permisos de control de acceso a objetos o propiedades de Active Directory, vea Temas relacionados.

Notas

Para llevar a cabo este procedimiento, debe ser miembro del grupo Operadores de cuentas, del grupo Administradores de dominio o del grupoAdministradores de organización de Active Directory, o bien debe tener delegada la autoridad correspondiente. Como práctica recomendada deseguridad, considere la posibilidad de utilizar la opción Ejecutar como para llevar a cabo este procedimiento. Para obtener más información, veaGrupos locales predeterminados1, Grupos predeterminados2 y Utilizar Ejecutar como3. Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, en Panel de control, haga doble clic en Herramientas administrativas y,a continuación, haga doble clic en Usuarios y equipos de Active Directory.

Información acerca de las diferencias funcionales


Vea también

Introducción al control de acceso5

Permisos6

Prácticas recomendadas para asignar permisos de objetos de Active Directory7

Tabla de vínculos

En la carpeta Grupos, situada en Usuarios y grupos locales de MMC (Microsoft Management Console), se muestran los grupos locales predeterminados, asícomo los creados por el usuario. Los grupos locales predeterminados se crean automáticamente al instalar un servidor independiente o un servidormiembro donde se use Windows Server 2003. Al pertenecer a un grupo local, se le proporcionan al usuario los derechos y capacidades necesarios para

realizar diversas tareas en el equipo local. Para obtener más información acerca de los grupos basados en dominios, vea Grupos predeterminados1.

Puede agregar cuentas de usuario locales, cuentas de usuario de dominio, cuentas de equipo y cuentas de grupo a los grupos locales. Sin embargo, noes posible agregar cuentas de usuario locales ni cuentas de grupo locales a las cuentas de grupo de dominio. Para obtener más información acerca decómo agregar miembros a los grupos locales, vea Agregar un miembro a un grupo local2.

Nota

En la sección Cómo del Centro de Ayuda y soporte técnico encontrará varios temas sobre procedimientos en los que se describe a qué grupos hayque pertenecer para realizar determinados procedimientos.

En la siguiente tabla se describen los grupos predeterminados que se encuentran en la carpeta Grupos, y se indican los derechos de usuario asignados acada grupo. Estos derechos se asignan mediante la directiva de seguridad local. Para ver una descripción completa de los derechos de usuario que seindican en la tabla, vea Asignación de derechos de usuario3. Para obtener información acerca de cómo modificar estos derechos, vea Asignar derechos

de usuario para el equipo local4.

Grupo Descripción Derechos de usuario predeterminados

Administradores

Los miembros de este grupo tienen control total delservidor y pueden asignar derechos de usuario ypermisos de control de acceso a los usuarios segúnsea necesario. La cuenta Administrador es miembro deeste grupo de forma predeterminada. Cuando elservidor se une a un dominio, se agregaautomáticamente al grupo el grupo Admins. dedominio. Como este grupo tiene una control total en elservidor, sea prudente al agregar usuarios. Paraobtener más información, vea Grupos locales

predeterminados y Grupos predeterminados1.

Tener acceso a este equipo desde la red; Ajustar las cuotas de memoria de unproceso; Permitir el inicio de sesión local; Permitir el inicio de sesión a travésde Servicios de Terminal Server; Hacer copia de seguridad de archivos ydirectorios; Saltarse la comprobación de recorrido; Cambiar la hora del sistema;Crear un archivo de paginación; Depurar programas; Forzar el apagado desdeun sistema remoto; Aumentar la prioridad de programación; Cargar y descargarcontroladores de dispositivo; Permitir el inicio de sesión local; Administrar elregistro de auditoría y seguridad; Modificar valores de entorno del firmware;Realizar tareas de mantenimiento de volumen; Hacer perfil de un solo proceso;Hacer perfil del rendimiento del sistema; Quitar un equipo de una estación deacoplamiento; Restaurar archivos y directorios; Apagar el sistema; Tomarposesión de archivos y otros objetos.

Operadores decopia deseguridad

Los miembros de este grupo pueden realizar copias deseguridad y restaurar archivos del servidor,independientemente de los permisos que protejandichos archivos. Es así porque el derecho a realizaruna copia de seguridad tiene preferencia sobre todoslos permisos de archivo. No pueden cambiar laconfiguración de seguridad.

Tener acceso a este equipo desde la red; Permitir el inicio de sesión local;Hacer copia de seguridad de archivos y directorios; Saltarse la comprobaciónde recorrido; Restaurar archivos y directorios; Apagar el sistema.

Administradoresde DHCP (seinstala con elservicio ServidorDHCP)

Los miembros de este grupo tienen acceso comoadministradores al servicio Servidor de Protocolo deconfiguración dinámica de host (DHCP, DynamicHost Configuration Protocol). El grupo proporcionauna forma de conceder acceso administrativo limitadosolamente al servidor DHCP, sin proporcionar accesocompleto al equipo servidor. Los miembros de estegrupo pueden administrar DHCP en el servidormediante la consola DHCP o los comandos Netsh, perono pueden realizar otras tareas administrativas en elservidor.

No hay derechos de usuario predeterminados.

Usuarios de DHCP(se instala con elservicio ServidorDHCP)

Los miembros de este grupo tienen acceso de sólolectura al servicio Servidor DHCP. De este modo, losmiembros pueden ver la información y las propiedadesalmacenadas en un servidor DHCP especificado. Estainformación resulta útil para que el personal deldepartamento de soporte técnico realice informes deestado de DHCP.


Invitados

Los miembros de este grupo disponen de un perfiltemporal que se crea al iniciar la sesión y que seelimina cuando el miembro la cierra. La cuentaInvitado (que está deshabilitada de formapredeterminada) también es miembro del grupo deforma predeterminada.


HelpServicesGroup

Este grupo permite que los administradoresestablezcan permisos comunes para todas lasaplicaciones de soporte técnico. De formapredeterminada, el único miembro del grupo es lacuenta que se asocia a las aplicaciones de soportetécnico de Microsoft, como Asistencia remota. Noagregue usuarios a este grupo.

Operadores deconfiguración dered

Los miembros de este grupo pueden modificar laconfiguración TCP/IP y renovar y liberar lasdirecciones TCP/IP. Este grupo no tiene ningúnmiembro predeterminado.


Usuarios delmonitor desistema

Los miembros de este grupo pueden supervisar loscontadores de rendimiento del servidor, tanto deforma local como de forma remota, sin ser miembrosde los grupos Administradores o Usuarios del registrode rendimiento.


Usuarios delregistro derendimiento

Los miembros de este grupo pueden administrar loscontadores de rendimiento, registros y alertas delservidor, tanto de forma local como de forma remota,sin ser miembros del grupo Administradores.


Usuariosavanzados

Los miembros del grupo Usuarios avanzados puedencrear cuentas de usuario y modificar y eliminar lascuentas que crean. Pueden crear grupos locales yquitar o agregar usuarios a los grupos locales quehayan creado. También pueden agregar o quitarusuarios de los grupos Usuarios avanzados, Usuarios eInvitados. Los miembros de este grupo pueden crearrecursos compartidos y administrar los que hancreado. No pueden tomar la propiedad de archivos,realizar copias de seguridad o restaurar directorios,cargar o descargar controladores de dispositivos niadministrar la seguridad y los registros de auditoría.

Tener acceso a este equipo desde la red; Permitir el inicio de sesión local;Saltarse la comprobación de recorrido; Cambiar la hora del sistema; Hacer perfilde un solo proceso; Quitar el equipo de la estación de acoplamiento; Apagar elsistema.

Opers. deimpresión

Los miembros de este grupo pueden administrar lasimpresoras y las colas de impresión.


Usuarios deescritorio remoto

Los miembros de este grupo pueden iniciar sesión enun servidor de forma remota.

Para obtener más información, vea Permitir que los

usuarios se conecten de forma remota al servidor5.

Permitir inicio de sesión a través de Servicios de Terminal Server.

Replicador

El grupo Replicador admite funciones de replicación. Elúnico miembro del grupo Replicador debe ser unacuenta de usuario de dominio que se utilice para iniciarlos servicios Replicador de un controlador de dominio.No agregue a este grupo las cuentas de usuario de losusuarios reales.


Usuario deTerminal Server

Este grupo contiene todos los usuarios que iniciaronsesión en el equipo que utiliza Servicios de TerminalServer actualmente. Cualquier programa que unusuario puede ejecutar en Windows NT 4.0 loejecutará un usuario miembro del grupo Usuario deTerminal Server. Los permisos predeterminados deeste grupo permiten que sus miembros ejecuten lamayoría de los programas indicados anteriormente.


Usuarios

Los miembros del grupo Usuarios pueden realizar lastareas más habituales, como ejecutar aplicaciones,utilizar impresoras locales y de red, y bloquear laestación de trabajo. No pueden compartir directoriosni crear impresoras locales. Los grupos Usuarios dedominio, Usuarios autenticados e Interactivo sonmiembros de este grupo de forma predeterminada. Portanto, todas las cuentas de usuario que se crean enel dominio son miembros de este grupo.

Tener acceso a este equipo desde la red; Permitir el inicio de sesión local;Saltarse la comprobación de recorrido.

Usuarios de WINS(se instala con elservicio WINS)

Los miembros de este grupo tienen acceso de sólolectura al Servicio de nombres Internet de Windows(WINS). De este modo, los miembros pueden ver lainformación y las propiedades almacenadas en unservidor WINS especificado. Esta información resultaútil para que el personal del departamento de soportetécnico realice informes de estado de WINS.


Para obtener más información acerca de los grupos predeterminados más habituales, vea Configuración de seguridad predeterminada para grupos6.

Tabla de vínculos








Agregar un miembro a un grupo local

Para agregar un miembro a un grupo local

Mediante la interfaz de Windows Mediante la línea de comandos

Mediante la interfaz de Windows

1. Abra Administración de equipos.2. En el árbol de la consola, haga clic en Grupos.¿Dónde?

Administración del equipo (local)/Herramientas del sistema/Usuarios y grupos locales/Grupos3. Haga clic con el botón secundario del mouse (ratón) en el grupo al que desee agregar un miembro, haga clic en Agregar al grupo y, a

continuación, en Agregar.4. En el cuadro de diálogo Seleccionar usuarios, equipos o grupos, realice las acciones siguientes:

Para agregar al grupo una cuenta de usuario o de grupo, escriba el nombre de ésta en Escriba los nombres de objeto que deseaseleccionar y, después, haga clic en Aceptar.Para agregar una cuenta de equipo a este grupo, haga clic en Tipos de objetos, active la casilla de verificación Equipos y, a continuación,haga clic en Aceptar. En Escriba los nombres de objeto que desea seleccionar, escriba el nombre de la cuenta de equipo que deseeagregar al grupo y, después, haga clic en Aceptar.

Notas

Para ejecutar este procedimiento, debe ser miembro del grupo Usuarios avanzados que creó la cuenta o del grupo Administradores del equipo local,o bien debe tener delegada la autoridad apropiada. Si el equipo se ha unido a un dominio, los miembros del grupo Administradores de dominiopueden llevar a cabo este procedimiento. Como práctica de seguridad, se recomienda utilizar la opción Ejecutar como para realizar esteprocedimiento. Para obtener más información, vea Grupos locales predeterminados1, Grupos predeterminados2 y Utilizar Ejecutar como3.Para abrir Administración de equipos, haga clic en Inicio, en Panel de control, haga doble clic en Herramientas administrativas y, acontinuación, haga doble clic en Administración de equipos. Para quitar un miembro de un grupo local, seleccione la cuenta de usuario, cuenta de equipo o cuenta de grupo en Miembros y, a continuación,haga clic en Quitar.Los derechos y permisos asignados a un grupo se asignan a todos sus miembros. Para obtener más información, vea los Temas relacionados.Reduzca al mínimo necesario el número de usuarios del grupo Administradores, ya que en un equipo local los miembros de dicho grupo tienenpermisos de Control total.Si el equipo se ha unido a un dominio, también puede agregar a un grupo local las cuentas de usuario, de equipo y de grupo de ese dominio y de losdominios de confianza.

Mediante la línea de comandos

1. Abra la ventana del símbolo del sistema.2. Para agregar un miembros al grupo Usuarios avanzados, escriba:

net localgroup"nombreDeGrupoUsuariosAvanzados""nombreDeMiembro"/addEs necesario incluir las comillas.

Notas

Para ejecutar este procedimiento, debe ser miembro del grupo Usuarios avanzados que creó la cuenta o del grupo Administradores del equipo local,o bien debe tener delegada la autoridad apropiada. Si el equipo se ha unido a un dominio, los miembros del grupo Administradores de dominiopueden llevar a cabo este procedimiento. Como práctica de seguridad, se recomienda utilizar la opción Ejecutar como para realizar esteprocedimiento. Para obtener más información, vea Grupos locales predeterminados1, Grupos predeterminados2 y Utilizar Ejecutar como3.Para abrir el símbolo del sistema, haga clic en Inicio, seleccione Todos los programas, Accesorios y, a continuación, haga clic en Símbolo delsistema. Los derechos y permisos asignados a un grupo se asignan a todos sus miembros. Para obtener más información, vea los Temas relacionados.Reduzca al mínimo necesario el número de usuarios del grupo Administradores, ya que en un equipo local los miembros de dicho grupo tienenpermisos de Control total.Si el equipo se ha unido a un dominio, también puede agregar a un grupo local las cuentas de usuario, de equipo y de grupo de ese dominio y de losdominios de confianza.



Vea también

Grupos locales predeterminados1


Otros recursos

Net localgroup6

Tabla de vínculos

1http://technet.microsoft.com/es-es/library/cc785098.aspx














http://technet.microsoft.com/es-es/library/3da4c237-d1d4-4fc9-abe7-99fd5aafa0f6


6http://technet.microsoft.com/es-es/library/3da4c237-d1d4-4fc9-abe7-99fd5aafa0f6









Asignar derechos de usuario para el equipo local

Para asignar derechos de usuario para el equipo local

1. Abra Configuración de seguridad local.2. En el árbol de la consola, haga clic en Asignación de derechos de usuario.¿Dónde?

Configuración de seguridad/Directivas locales/Asignaciones de derechos de usuario3. En el panel de detalles, haga doble clic en el derecho de usuario que desea cambiar.4. En Propiedades de derechoDeUsuario, haga clic en Agregar usuario o grupo.5. Agregue el usuario o el grupo, y haga clic en Aceptar.

Nota

Para abrir Directiva de seguridad local, haga clic en Inicio, seleccione Configuración, haga clic en Panel de control, haga doble clic enHerramientas administrativas y, a continuación, haga doble clic en Directiva de seguridad local.



Vea también

Directivas locales y de cuenta2

Derechos de usuario3

Derechos de inicio de sesión4

Acerca de los derechos de usuario5

Privilegios6

Descripción de la configuración de seguridad7

Directiva de seguridad local8

Tabla de vínculos
























Asignación de derechos de usuario

Asignación de derechos de usuario

Esta sección trata:

Tener acceso a este equipo desde la red1

Actuar como parte del sistema operativo2

Agregar estaciones de trabajo al dominio3

Ajustar cuotas de memoria para un proceso4

Permitir el inicio de sesión local5

Permitir inicio de sesión a través de Servicios de Terminal Server6

Hacer copias de seguridad de archivos y directorios7

Omitir la comprobación de recorrido8

Cambiar la hora del sistema9

Crear un archivo de paginación10

Crear un objeto testigo11

Crear objetos globales12

Crear objetos compartidos permanentes13

Depurar programas14

Denegar el acceso desde la red a este equipo15

Denegar el inicio de sesión como trabajo por lotes16

Denegar el inicio de sesión como servicio17

Denegar el inicio de sesión localmente18

Denegar inicio de sesión a través de Servicios de Terminal Server19

Habilitar la confianza para la delegación de las cuentas de usuario y de equipo20

Forzar el apagado desde un sistema remoto21

Generar auditorías de seguridad22

Suplantar a un cliente después de la autenticación23

Incrementar prioridades de planificación de procesos24

Cargar y descargar controladores de dispositivo25

Bloquear páginas en memoria26

Iniciar sesión como proceso por lotes27

Iniciar sesión como servicio28

Administrar los registros de auditoría y seguridad29

Modificar valores de entorno del firmware30

Realizar las tareas de mantenimiento del volumen31

Perfilar un proceso individual32

Perfilar el rendimiento del sistema33

Quitar el equipo de la estación de acoplamiento34

Reemplazar un símbolo de proceso35

Restaurar archivos y directorios36

Apagar el sistema37

Sincronizar los datos de Directory Service38

Tomar posesión de archivos y otros objetos39

Tabla de vínculos



























































Permitir que los usuarios se conecten de forma remota al servidor

Permitir que los usuarios se conecten de forma remota al servidor

Para que los usuarios puedan conectarse remotamente al servidor Terminal Server, debe asegurarse de que se cumpla lo siguiente:

Escritorio remoto está habilitado en el servidor. Para obtener instrucciones acerca de cómo habilitar Escritorio remoto, consulte Habilitar o

deshabilitar Escritorio remoto.1.Los usuarios tienen los derechos y permisos apropiados para iniciar una sesión en el servidor de forma remota.

Para realizar estas dos tareas, debe haber iniciado una sesión como miembro del grupo de Administradores.

Utilizar el grupo Usuarios de Escritorio remoto para conceder el acceso a un servidor Terminal Server

Se pueden administrar fácilmente los permisos y derechos para un servidor Terminal Server en función de cada equipo mediante el grupo Usuarios deEscritorio remoto. El grupo Usuarios de Escritorio remoto es uno de los grupos de usuarios integrados que se encuentran disponibles cuando se instala unsistema operativo Windows Server 2003. Los miembros de este grupo pueden iniciar sesión de forma remota en un servidor Terminal Server en el que estéhabilitado Escritorio remoto.

De manera predeterminada, el grupo Usuarios de escritorio remoto no está rellenado. Por lo tanto, deberá decidir qué usuarios y grupos podrán teneracceso para iniciar una sesión remotamente en un servidor Terminal Server y, a continuación, agregarlos al grupo. Para obtener instrucciones acerca decómo agregar usuarios al grupo Usuarios de Escritorio remoto, consulte Agregar usuarios al grupo Usuarios de escritorio remoto2.

Se recomienda utilizar el grupo Usuarios de Escritorio remoto para conceder a los usuarios acceso a los servidores Terminal Server en lugar de asignar lospermisos necesarios manualmente.

Precaución

Si modifica los permisos predeterminados del grupo Usuarios de Escritorio remoto o elimina este grupo, es posible que sus miembros no puedan iniciar unasesión de forma remota en los servidores Terminal Server.

Asignar permisos manualmente

Puede que en algunos casos sea necesario administrar el acceso a un servidor Terminal Server para cada conexión y personalizar manualmente losderechos y permisos. Tenga en cuenta que si no utiliza el grupo Usuarios de Escritorio remoto para conceder a los usuarios acceso para que puedaniniciar una sesión en un servidor Terminal Server, deberá asignarles los mismos derechos y permisos manualmente. A continuación se indican los derechosy permisos necesarios:

Derecho o permiso Comentarios

Permitir inicio de sesión a través deServicios de Terminal Server3

Este derecho determina qué usuarios o grupos tienen permiso para iniciar sesión como cliente de Servicios deTerminal Server.

Para configurarlo, busque Configuración del equipo\Configuración de Windows\Configuración deseguridad\Directivas locales\Asignación de derechos de usuario\.

Para obtener instrucciones acerca de la configuración, vea Modificar la configuración de seguridad en un objetode directiva de grupo4.

Acceso de usuario

Este tipo de permiso concede los siguientes permisos especiales: Consultar información, Iniciar sesión yConectar. Estos permisos especiales permiten a los usuarios hacer lo siguiente: Iniciar una sesión en el servidor Terminal Server.Consultar información referente a una sesión.Enviar mensajes a otras sesiones de usuario.Conectar con otra sesión.

Realizar la configuración mediante Configuración de Servicios de Terminal Server.

Para obtener instrucciones acerca de la configuración, vea Cambiar los permisos que un grupo o un usuario tiene

en una conexión5

También puede denegar de manera explícita a un usuario el acceso a un servidor Terminal Server modificando su perfil de Terminal Server. Esto resultaútil si ha concedido a un gran grupo acceso a un servidor Terminal Server pero desea aplicar algunas excepciones individuales. Para obtenerinstrucciones, vea Denegar a un usuario los permisos para iniciar una sesión en servidores de Terminal Server6.

Vea también

Administrar usuarios de Servicios de Terminal Server7

Configurar Servicios de Terminal Server con TSCC8

Tabla de vínculos














Configuración de seguridad predeterminada para grupos

Configuración de seguridad predeterminada para grupos

Antes de modificar la configuración de seguridad, es importante tener en consideración la configuración predeterminada.

Hay tres niveles fundamentales de seguridad que se conceden a los usuarios. Estos niveles se otorgan a los usuarios finales a través de su pertenencia alos grupos Usuarios, Usuarios avanzados o Administradores.

Administradores

El grupo Administradores se proporciona para realizar tareas de mantenimiento en el equipo. Los permisos predeterminados asignados a este grupopermiten un control completo sobre todo el sistema. Por tanto, sólo el personal de confianza debería ser miembro de este grupo.

Usuarios avanzados

Los miembros del grupo Usuarios avanzados tienen más permisos que los componentes de los grupos Usuarios y menos que los del grupo Administradores.Estos usuarios pueden realizar cualquier tarea del sistema operativo excepto aquellas reservadas para el grupo Administradores. Los permisospredeterminados asignados al grupo Usuarios avanzados permiten a sus miembros modificar las opciones de configuración que afectan a todo el equipo.

Cuando se actualiza Windows NT 4.0, los miembros del grupo Usuarios restringidos se colocan automáticamente en el grupo Usuarios avanzados paraevitar problemas de compatibilidad con las versiones anteriores de las aplicaciones. Muchas aplicaciones utilizadas en Windows NT 4.0 necesitabanpermisos elevados para ejecutarse correctamente. La configuración de seguridad predeterminada de Windows 2000, Windows XP Professional y la familiade Windows Server 2003 para los Usuarios avanzados es muy similar a la configuración de seguridad para los Usuarios de Windows NT 4.0. Cualquierprograma que un usuario puede ejecutar en Windows NT 4.0, puede ejecutarlo un Usuario avanzado en Windows 2000, Windows XP Professional o lafamilia de Windows Server 2003.

Si no desea que los usuarios finales tengan los permisos elevados del grupo Usuarios avanzados, puede hacerles miembros del grupo Usuarios y que sóloejecuten aplicaciones que pertenecen al programa del logotipo de Windows para software. Si es necesario utilizar aplicaciones que no pertenezcan alprograma del logotipo de Windows para software, los usuarios finales deberán formar parte del grupo Usuarios avanzados. Para obtener informaciónacerca del programa del logotipo de Windows para software, vea su página en el sitio Web de Microsoft1.

Los Usuarios avanzados pueden:

Ejecutar aplicaciones antiguas, además de aplicaciones de Windows 2000, Windows XP Professional o de la familia de Windows Server 2003 quepertenezcan al programa del logotipo de Windows para software.Instalar programas que no modifican archivos del sistema operativo ni instalan servicios del sistema.Personalizar los recursos de todo el sistema, entre los que se incluyen impresoras, fecha y hora, opciones de energía y otros recursos del Panel decontrol.Crear y administrar cuentas de usuario y grupos locales.Iniciar y detener servicios del sistema que no se inician de forma predeterminada.

El grupo Usuarios avanzados no tiene permisos para agregarse a sí mismo al grupo Administradores. No tiene acceso a los datos de otros usuarios de unvolumen NTFS, a menos que dichos usuarios les otorguen el permiso.

Precaución

La ejecución de programas antiguos en Windows 2000, Windows XP Professional o en un miembro de la familia de Windows Server 2003 suelerequerir la modificación del acceso a ciertas opciones de configuración del sistema. Los mismos permisos predeterminados que permiten a losmiembros del grupo Usuarios avanzados ejecutar programas antiguos también pueden hacer posible que un Usuario avanzado obtenga privilegiosadicionales sobre el sistema, incluso el control administrativo completo. Por lo tanto, es importante implementar aplicaciones que pertenezcan alprograma del logotipo de Windows para software con el fin de conseguir la máxima seguridad sin sacrificar la funcionalidad del programa. Estosprogramas se pueden ejecutar correctamente en la configuración Segura proporcionada por el grupo Usuarios.Como el grupo Usuarios avanzados puede instalar o modificar programas, actuar como miembro del grupo Usuarios avanzados al conectarse aInternet podría exponer el sistema ante programas de tipo caballo de Troya y otros riesgos para la seguridad.

Usuarios

El grupo Usuarios es el más seguro, ya que los permisos que tiene asignados de forma predeterminada no permiten a sus miembros modificar laconfiguración del sistema operativo ni los datos de otros usuarios.

El grupo Usuarios proporciona el entorno más seguro para ejecutar programas. En un volumen formateado con el sistema de archivos NTFS, laconfiguración de seguridad predeterminada de un sistema recién instalado (no actualizado) está diseñada para que los miembros de este grupo no puedanponer en peligro la integridad del sistema operativo y de las aplicaciones instaladas. Los usuarios no pueden modificar la configuración del Registro, losarchivos del sistema operativo ni los archivos de programa. Los usuarios pueden apagar las estaciones de trabajo, pero no los servidores. Asimismo,pueden crear grupos locales, pero únicamente pueden administrar los grupos locales que hayan creado. Pueden ejecutar programas de Windows 2000,Windows XP Professional o un miembro de la familia de Windows Server 2003 que pertenezcan al programa del logotipo de Windows para software quehaya sido instalado o implementado por los administradores. Los usuarios tienen control total sobre todos sus archivos de datos (almacenados en%userprofile%) y su propia parte del Registro (que se encuentra en HKEY_CURRENT_USER).

Tenga en cuenta que los permisos de los usuarios no suelen dejarles ejecutar correctamente aplicaciones antiguas. Para ejecutar dichas aplicaciones,debe rebajar la seguridad para que los miembros del grupo Usuarios tengan esa capacidad o promover los miembros del grupo Usuarios al grupo Usuariosavanzados. Ambas opciones reducen la seguridad de la organización. Dado que los miembros del grupo Usuarios tienen la garantía de poder ejecutaraplicaciones que pertenezcan al programa del logotipo de Windows para software, resulta conveniente utilizar sólo este tipo de aplicaciones. Paraobtener más información, vea el programa del logotipo de Windows para software en el sitio Web de Microsoft1

Para garantizar la seguridad de un sistema que ejecuta Windows 2000, Windows XP Professional o un miembro de la familia de Windows Server 2003, unadministrador debe:

Asegurarse de que los usuarios finales sólo son miembros del grupo Usuarios.Implementar programas que los miembros del grupo Usuarios puedan ejecutar correctamente, por ejemplo, aquéllos que pertenecen al programa dellogotipo de Windows para software.

Los usuarios no podrán ejecutar la mayor parte de los programas escritos para versiones de Windows anteriores a Windows 2000, porque no admitían elsistema de archivos y la seguridad del Registro (como Windows 95 y Windows 98) o se suministraron con otras configuraciones de seguridadpredeterminadas (Windows NT). Si tiene problemas al ejecutar aplicaciones antiguas en sistemas NTFS recién instalados, siga una de las accionessiguientes:

1. Instale nuevas versiones de las aplicaciones que pertenecen al programa del logotipo de Windows para software.2. Traslade a los usuarios desde el grupo Usuarios al grupo Usuarios avanzados.3. Reduzca los permisos de seguridad predeterminados del grupo Usuarios. Esto se puede conseguir mediante la plantilla de seguridad compatible.




El grupo Anónimo ya no es miembro del grupo Todos

En Windows XP Professional y la familia de Windows Server 2003, el grupo Anónimo ha dejado de ser miembro del grupo Todos.

Cuando un sistema Windows 2000 se actualiza a Windows XP Professional o a la familia de Windows Server 2003, los recursos con entradas con permisopara el grupo Todos (y no explícitamente para el grupo Inicio de sesión anónimo) dejarán de estar disponibles para los usuarios anónimos después de laactualización. En la mayor parte de los casos, es una restricción apropiada para el acceso anónimo. Puede que tenga que permitir el acceso anónimo paramantener la compatibilidad con aplicaciones existentes que lo requieran. Si necesita conceder acceso al grupo Inicio de sesión anónimo, debe agregarlode forma explícita, así como los permisos correspondientes.

Sin embargo, en determinados casos en los que puede resultar difícil determinar y modificar las entradas correspondientes a los permisos en los recursos,puede cambiar la opción de configuración de seguridad Network access: deja que los permisos de Todos se apliquen a los usuarios anónimos2.

Otros grupos

Interactivo. Este grupo contiene al usuario que ha iniciado actualmente la sesión en el equipo. Durante una actualización a Windows 2000,Windows XP Professional o a la familia de Windows Server 2003, los miembros del grupo Interactivo también se agregarán al grupo Usuariosavanzados, para que las aplicaciones antiguas puedan seguir funcionando igual que antes de la actualización. Red. Este grupo contiene a todos los usuarios que tienen actualmente acceso al sistema a través de la red.Operadores de copia de seguridad Los miembros del grupo Operadores de copia pueden realizar copias de seguridad y restaurar archivos en el equipo, independientemente de lospermisos que protejan dichos archivos. También pueden iniciar sesión en el equipo y apagarlo, pero no pueden cambiar la configuración deseguridad.Precaución

La copia de seguridad y la restauración de archivos de datos y de sistema requiere permisos para leer y escribir dichos archivos. Los mismospermisos predeterminados concedidos a Operadores de copia de seguridad que les permiten hacer copia de seguridad de los archivos yrestaurarlos también hacen posible que utilicen los permisos del grupo para otros propósitos, como leer los archivos de otros usuarios oinstalar programas de caballo de Troya. Se puede utilizar la configuración de Directiva de grupo para crear un entorno en el que el grupoOperadores de copia de seguridad sólo pueda ejecutar un programa de copia de seguridad. Para obtener más información, vea la página deseguridad de Microsoft en el sitio Web de Microsoft3.

Para obtener más información, vea Grupos predeterminados4, Configuración predeterminada de los servicios5 y Diferencias en la configuración deseguridad predeterminada6, y la página de seguridad en el sitio Web de Microsoft3

Tabla de vínculos





















Network access: deja que los permisos de Todos se apliquen a losusuarios anónimos

Acceso de red: deja que los permisos de Todos se apliquen a los usuarios anónimos

Descripción

Esta configuración de seguridad determina qué permisos adicionales se conceden para las conexiones anónimas al equipo.

Windows permite a los usuarios anónimos efectuar ciertas actividades, como obtener una lista de los nombres de las cuentas de dominio y de losrecursos compartidos de red. Esto es práctico, por ejemplo, cuando un administrador desea conceder el acceso a usuarios en un dominio de confianzaque no mantiene una confianza recíproca. De manera predeterminada, se quita el identificador de seguridad (SID) Todos del símbolo creado para lasconexiones anónimas. Por lo tanto, los permisos concedidos al grupo Todos no se aplican a los usuarios anónimos. Si se establece esta opción, losusuarios anónimos sólo podrán tener acceso a aquellos recursos para los que se les haya concedido permiso explícitamente.

Si se habilita esta directiva, el SID Todos se agrega al símbolo que se crea para las conexiones anónimas. En este caso, los usuarios anónimos puedentener acceso a cualquier recurso para el que el grupo Todos tenga permiso.

Valor predeterminado: deshabilitada.


Para establecer esta configuración de seguridad, abra la directiva correspondiente y expanda el árbol de la consola hasta que aparezca lo siguiente:Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\



Network access: no permitir enumeraciones anónimas de cuentas y recursos compartidos SAM2


Tabla de vínculos














Grupos predeterminados

Grupos predeterminados

Los grupos predeterminados, como el grupo Administradores de dominio, son grupos de seguridad que se crean automáticamente al crear un dominio deActive Directory. Estos grupos predefinidos permiten controlar el acceso a los recursos compartidos y delegar funciones administrativas específicas entodo el dominio. Para obtener información acerca de los grupos predeterminados almacenados en equipos locales, vea Grupos locales predeterminados1.

A muchos grupos predeterminados se les asigna automáticamente un conjunto de derechos de usuario que autoriza a los miembros del grupo a realizaracciones específicas en un dominio, como iniciar una sesión en un sistema local o efectuar copias de seguridad de archivos y carpetas. Por ejemplo, unmiembro del grupo Operadores de copia de seguridad tiene derecho a realizar operaciones de copia de seguridad en todos los controladores del dominio.

Cuando agrega un usuario a un grupo, el primero recibe todos los derechos de usuario y permisos asignados a ese grupo en todos los recursos

compartidos. Para obtener más información acerca de los derechos de usuario y los grupos de seguridad, vea Tipos de grupos2.

Puede administrar los grupos con Usuarios y equipos de Active Directory. Los grupos predeterminados están ubicados en el contenedor Integrados y en elcontenedor Usuarios. El contenedor Integrados contiene los grupos definidos con el ámbito local de dominio. El contenedor Usuarios contiene los gruposdefinidos con los ámbitos global y local del dominio. Puede mover los grupos ubicados en estos contenedores a otros grupos o unidades organizativas deldominio, pero no puede moverlos a otros dominios.

Como práctica de seguridad recomendada, se aconseja que los miembros de grupos predeterminados con múltiples accesos administrativos utilicenEjecutar como cuando realicen tareas administrativas. Para obtener más información, vea Utilizar Ejecutar como3. Para obtener información acerca de lasprácticas de seguridad recomendadas, vea Prácticas recomendadas de Active Directory4. Para obtener información acerca de las medidas de seguridadque se pueden utilizar para proteger Active Directory, vea Proteger Active Directory5.

Nota

En la sección Cómo del Centro de Ayuda y soporte técnico encontrará varios temas sobre procedimientos en los que se describe a qué grupos hayque pertenecer para realizar determinados procedimientos.

Grupos del contenedor Integrados

En la siguiente tabla se describen los grupos predeterminados ubicados en el contenedor Integrados y se indican los derechos de usuario asignados a

cada grupo. Para ver una descripción completa de los derechos de usuario que se indican en la tabla, vea Asignación de derechos de usuario6. Para

obtener información acerca de cómo modificar esos derechos, vea Modificar la configuración de seguridad en un objeto de directiva de grupo7.


Operadores decuentas

Los miembros de este grupo pueden crear, modificar y eliminarcuentas de usuarios, grupos y equipos que se encuentran enlos contenedores Usuarios o Equipos y en las unidadesorganizativas del dominio, excepto la unidad organizativaControladores de dominio. Los miembros de este grupo notienen permiso para modificar los grupos Administradores oAdministradores del dominio ni las cuentas de los miembros dedichos grupos. Los miembros de este grupo pueden iniciar lasesión de forma local en los controladores del dominio yapagarlos. Como este grupo tiene una autoridad considerableen el dominio, sea prudente al agregar usuarios.

Permitir el inicio de sesión local; Apagar el sistema.

Administradores

Los miembros de este grupo controlan por completo todos loscontroladores del dominio. De forma predeterminada, los gruposAdministradores del dominio y Administradores de organizaciónson miembros del grupo Administradores. La cuentaAdministrador es miembro de este grupo de formapredeterminada. Puesto que este grupo controla por completoel dominio, agregue los usuarios con cautela.

Tener acceso a este equipo desde la red; Ajustar las cuotas de memoriade un proceso; Hacer copia de seguridad de archivos y directorios;Saltarse la comprobación de recorrido; Cambiar la hora del sistema;Crear un archivo de paginación; Depurar programas; Habilitar laconfianza para la delegación de las cuentas de usuario y de equipo;Forzar el apagado desde un sistema remoto; Aumentar la prioridad deprogramación; Cargar y descargar controladores de dispositivo; Permitirel inicio de sesión local; Administrar el registro de auditoría y seguridad;Modificar valores de entorno del firmware; Hacer perfil de un soloproceso; Hacer perfil del rendimiento del sistema; Quitar un equipo deuna estación de acoplamiento; Restaurar archivos y directorios; Apagarel sistema; Tomar posesión de archivos y otros objetos.

Operadores decopia deseguridad

Los miembros de este grupo pueden realizar copias deseguridad y restaurar todos los archivos en los controladoresdel dominio, independientemente de sus permisos individualesen esos archivos. Los Operadores de copia de seguridadtambién pueden iniciar la sesión en los controladores dedominio y apagarlos. Este grupo no tiene ningún miembropredeterminado. Como este grupo tiene una autoridadconsiderable en los controladores de dominio, sea prudente alagregar usuarios.

Hacer copia de seguridad de archivos y directorios; Permitir el inicio desesión local; Restaurar archivos y directorios; Apagar el sistema.

Invitados

De forma predeterminada, el grupo Invitados del dominio es unmiembro de este grupo. La cuenta Invitado (que estádeshabilitada de forma predeterminada) también es un miembropredeterminado de este grupo.


Los miembros de este grupo pueden crear confianzas debosque de entrada unidireccionales en el dominio raíz del








Creadores deconfianza debosque deentrada (sóloaparece en eldominio raíz delbosque)

bosque. Por ejemplo, los miembros de este grupo que residenen el Bosque A pueden crear una confianza de bosque deentrada unidireccional desde el Bosque B. Esta confianza debosque de entrada unidireccional permite a los usuarios delBosque A tener acceso a recursos ubicados en el Bosque B.Los miembros de este grupo disponen del permiso Crearconfianza de bosque de entrada en el dominio raíz del bosque.Este grupo no tiene ningún miembro predeterminado. Paraobtener más información acerca de cómo crear una confianzade bosque, vea Crear una relación de confianza de bosque8.


Operadores deconfiguraciónde red

Los miembros de este grupo pueden modificar la configuraciónTCP/IP, así como renovar y liberar las direcciones TCP/IP en loscontroladores del dominio. Este grupo no tiene ningún miembropredeterminado.


Usuarios delMonitor desistema

Los miembros de este grupo pueden supervisar los contadoresde rendimiento en los controladores del dominio, tanto de formalocal como desde clientes remotos, sin ser miembros de losgrupos Administradores o Usuarios del registro de rendimiento.


Usuarios delregistro derendimiento

Los miembros de este grupo pueden administrar los contadoresde rendimiento, los registros y las alertas de los controladoresdel dominio, tanto de forma local como desde clientes remotos,sin ser miembros del grupo Administradores.


Accesocompatible conversionesanteriores aWindows 2000

Los miembros de este grupo tienen acceso de lectura en todoslos usuarios y grupos del dominio. Este grupo se proporcionapara garantizar la compatibilidad con versiones anteriores enlos equipos con Windows NT 4.0 y anteriores. De formapredeterminada, la identidad especial Todos es miembro deeste grupo. Para obtener más información acerca de lasidentidades especiales, vea Identidades especiales9. Agregueusuarios a este grupo únicamente si se ejecutan enWindows NT 4.0 o versiones anteriores.

Tener acceso a este equipo desde la red; Saltarse la comprobación derecorrido.

Operadores deimpresión

Los miembros de este grupo pueden administrar, crear,compartir y eliminar impresoras que están conectadas a loscontroladores del dominio. También pueden administrar objetosde impresora de Active Directory en el dominio. Los miembrosde este grupo pueden iniciar la sesión de forma local en loscontroladores del dominio y apagarlos. Este grupo no tieneningún miembro predeterminado. Puesto que los miembros deeste grupo pueden cargar y descargar controladores dedispositivos en todos los controladores del dominio, agregue losusuarios con cautela.

Permitir el inicio de sesión local; Apagar el sistema.

Usuarios deescritorioremoto

Los miembros de este grupo pueden iniciar la sesión en loscontroladores del dominio de forma remota. Este grupo no tieneningún miembro predeterminado.


Replicador

Este grupo admite funciones de replicación de directorio y elServicio de replicación de archivos lo utiliza en loscontroladores del dominio. Este grupo no tiene ningún miembropredeterminado. No agregue usuarios a este grupo.


Operadores deservidores

En los controladores de dominio, los miembros de este grupopueden iniciar sesiones interactivas, crear y eliminar recursoscompartidos, iniciar y detener varios servicios, hacer copias deseguridad y restaurar archivos, formatear el disco duro yapagar el equipo. Este grupo no tiene ningún miembropredeterminado. Dado que este grupo tiene mucha importanciapara los controladores de dominio, agregue los usuarios concautela.

Hacer copia de seguridad de archivos y directorios; Cambiar la hora delsistema; Forzar el apagado desde un sistema remoto; Permitir el inicio desesión local; Restaurar archivos y directorios; Apagar el sistema.

Usuarios

Los miembros de este grupo pueden realizar las tareas máshabituales, como ejecutar aplicaciones, utilizar impresoraslocales y de red, así como bloquear el servidor. De formapredeterminada, el grupo Usuarios del dominio, Usuariosautenticados e Interactivo son miembros de este grupo. Portanto, todas las cuentas de usuario que se crean en el dominioson miembros de este grupo.


Grupos del contenedor Usuarios

En la siguiente tabla se describen los grupos predeterminados ubicados en el contenedor Usuarios y se indican los derechos de usuario asignados a cada

grupo. Para ver una descripción completa de los derechos de usuario que se indican en la tabla, vea Asignación de derechos de usuario6. Para obtener

información acerca de cómo modificar esos derechos, vea Modificar la configuración de seguridad en un objeto de directiva de grupo7.






Publicadores decertificados

Los miembros de este grupo tienen permitida lapublicación de certificados para usuarios y equipos.Este grupo no tiene ningún miembro predeterminado.


DnsAdmins(instalado conDNS)

Los miembros de este grupo tienen accesoadministrativo al Servidor DNS. Este grupo no tieneningún miembro predeterminado.


DnsUpdateProxy(instalado conDNS)

Los miembros de este grupo son clientes DNS quepueden realizar actualizaciones dinámicas en lugar deotros clientes, como los servidores DHCP. Este grupono tiene ningún miembro predeterminado.


Administradoresde dominio

Los miembros de este grupo controlan el dominio porcompleto. De forma predeterminada, este grupo pasaa ser miembro del grupo Administradores en todos loscontroladores, estaciones de trabajo y servidoresmiembro del dominio en el momento en que se une aldominio. De forma predeterminada, la cuentaAdministrador es miembro de este grupo. Puesto queel grupo controla el dominio por completo, agregue losusuarios con cautela.

Tener acceso a este equipo desde la red; Ajustar las cuotas de memoria de unproceso; Hacer copia de seguridad de archivos y directorios; Saltarse lacomprobación de recorrido; Cambiar la hora del sistema; Crear un archivo depaginación; Depurar programas; Habilitar la confianza para la delegación de lascuentas de usuario y de equipo; Forzar el apagado desde un sistema remoto;Aumentar la prioridad de programación; Cargar y descargar controladores dedispositivo; Permitir el inicio de sesión local; Administrar el registro de auditoría yseguridad; Modificar valores de entorno del firmware; Hacer perfil de un soloproceso; Hacer perfil del rendimiento del sistema; Quitar un equipo de unaestación de acoplamiento; Restaurar archivos y directorios; Apagar el sistema;Tomar posesión de archivos y otros objetos.

Equipos deldominio

Este grupo contiene todas las estaciones de trabajo ylos servidores unidos al dominio. De formapredeterminada, todas las cuentas de equipo creadaspasan a ser miembros de este grupoautomáticamente.


Controladoresde dominio

Este grupo contiene todos los controladores deldominio.


Invitados deldominio

Este grupo contiene todos los invitados del dominio. No hay derechos de usuario predeterminados.

Usuarios deldominio

Este grupo contiene todos los usuarios del dominio.De forma predeterminada, todas las cuentas deusuario creadas en el dominio pasan a ser miembrosde este grupo automáticamente. Este grupo se puedeutilizar para representar todos los usuarios deldominio. Por ejemplo, si desea que todos los usuariosdel dominio tengan acceso a una impresora, puedeasignar permisos para la impresora a este grupo (opuede agregar el grupo Usuarios del dominio en ungrupo local del servidor de impresoras que dispongade los permisos para utilizarla).


Administradoresde organización(sólo apareceen el dominioraíz del bosque)

Los miembros de este grupo controlan por completotodos los dominios del bosque. De formapredeterminada, este grupo es un miembro del grupoAdministradores en todos los controladores de dominiodel bosque. De forma predeterminada, la cuentaAdministrador es miembro de este grupo. Dado queeste grupo controla el bosque por completo, agreguelos usuarios con cautela.

Tener acceso a este equipo desde la red; Ajustar las cuotas de memoria de unproceso; Hacer copia de seguridad de archivos y directorios; Saltarse lacomprobación de recorrido; Cambiar la hora del sistema; Crear un archivo depaginación; Depurar programas; Habilitar la confianza para la delegación de lascuentas de usuario y de equipo; Forzar el apagado desde un sistema remoto;Aumentar la prioridad de programación; Cargar y descargar controladores dedispositivo; Permitir el inicio de sesión local; Administrar el registro de auditoría yseguridad; Modificar valores de entorno del firmware; Hacer perfil de un soloproceso; Hacer perfil del rendimiento del sistema; Quitar un equipo de unaestación de acoplamiento; Restaurar archivos y directorios; Apagar el sistema;Tomar posesión de archivos u otros objetos.

Propietarios delcreador dedirectiva degrupo

Los miembros de este grupo pueden modificar laDirectiva de grupo en el dominio. De formapredeterminada, la cuenta Administrador es miembrode este grupo. Como este grupo tiene una autoridadconsiderable en el dominio, sea prudente al agregarusuarios.


IIS_WPG(instalado conIIS)

El grupo IIS_WPG es el grupo de procesos de trabajode los Servicios de Internet Information Server (IIS)6.0. El funcionamiento de IIS 6.0 incluye procesos detrabajo para espacios de nombres específicos. Porejemplo, www.microsoft.com es un espacio denombres proporcionado por un proceso de trabajo,que se puede ejecutar con una identidad agregada algrupo IIS_WPG, como cuentaMicrosoft. Este grupo notiene ningún miembro predeterminado.


Servidores RASe IAS

Los servidores de este grupo tienen permitido elacceso a las propiedades de acceso remoto de losusuarios.



Administradoresde esquema(sólo apareceen el dominioraíz del bosque)

Los miembros de este grupo pueden modificar elesquema de Active Directory. De formapredeterminada, la cuenta Administrador es miembrode este grupo. Como este grupo tiene una autoridadconsiderable en el bosque, sea prudente al agregarusuarios.


Tabla de vínculos




















Descripción

Este derecho de usuario determina a qué usuarios y grupos se les permite conectarse al equipo a través de la red. Este derecho de usuario no afecta aServicios de Terminal Server.


En estaciones de trabajo y servidores: AdministradoresOperadores de copia de seguridad Usuarios avanzados Usuarios Todos

En controladores de dominio: AdministradoresUsuarios autenticados Todos


Para establecer esta configuración de seguridad, abra la directiva correspondiente y expanda el árbol de la consola hasta que aparezca lo siguiente:Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\



Asignación de derechos de usuario2

Asignar derechos de usuario para el equipo local3


Tabla de vínculos



















Descripción

Este derecho de usuario permite que un proceso suplante a cualquier usuario sin autenticación. De esta forma, el proceso puede obtener acceso a losmismos recursos locales que el usuario.

Los procesos que requieren este privilegio deberían utilizar la cuenta LocalSystem, que ya incluye este privilegio, en lugar de una cuenta de usuarioindependiente a la que se ha asignado este privilegio específicamente. Si la organización utiliza únicamente servidores que son miembros de la familiaWindows Server 2003, no es necesario asignar este privilegio a los usuarios. Sin embargo, si la organización utiliza servidores que ejecutan Windows 2000o Windows NT 4.0, es posible que tenga que asignar este privilegio para utilizar aplicaciones que intercambien contraseñas en texto simple.

Precaución

La asignación de este derecho de usuario puede poner en peligro la seguridad. Asigne este derecho únicamente a usuarios de confianza.

Valor predeterminado: Local System.


Para establecer esta configuración de seguridad, abra la directiva correspondiente y la siguiente carpeta en el árbol de la consola: Configuración delequipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\






Tabla de vínculos



















Descripción

Esta configuración de seguridad determina los grupos o usuarios que pueden agregar estaciones de trabajo a un dominio.

Sólo es válida en controladores de dominio. De manera predeterminada, cualquier usuario autenticado tiene derecho a crear hasta 10 cuentas de equipoen el dominio.

Al agregar una cuenta de equipo al dominio, al equipo se le permite participar en redes basadas en Active Directory. Por ejemplo, al agregar una estaciónde trabajo a un dominio, se habilita a la estación para que reconozca cuentas y grupos que existan en Active Directory.

Valor predeterminado: Usuarios autenticados en controladores de dominio.




Nota

También pueden crear cuentas de equipo en el dominio los usuarios que tengan el permiso Crear objetos de equipo en el contenedor de equipos deActive Directory. La diferencia es que los usuarios con permisos para el contenedor no están sujetos a la restricción de crear sólo 10 cuentas deequipo. Además, las cuentas de equipo que se crean por medio de Agregar estaciones de trabajo al dominio tienen como propietario de lacuenta de equipo al grupo Administradores de dominio, mientras que en las cuentas de equipo que se crean por medio de permisos del contenedorde equipos, el propietario será quien cree la cuenta de equipo. Si un usuario tiene permisos en el contenedor y también tiene el derecho de usuarioAgregar estaciones de trabajo al dominio, se agregará el equipo en función de los permisos del contenedor de equipos en vez de hacerlo enfunción de los derechos de usuario.





Tabla de vínculos



















Descripción

Este privilegio determina quién puede cambiar la memoria máxima que puede utilizar un proceso.

Este derecho de usuario está definido en el objeto de Directiva de grupo (GPO) Controlador predeterminado de dominio y en la directiva de seguridad localde estaciones de trabajo y servidores.

Nota

Este privilegio resulta de utilidad para optimizar el sistema, pero se puede usar de forma indebida, como en un ataque de denegación de servicio.









Tabla de vínculos




4http://technet.microsoft.com/es-es/library/dd349318.aspx




http://technet.microsoft.com/es-es/library/dd349318.aspx









Permitir el inicio de sesión local

Permitir el inicio de sesión local

Descripción

Este derecho de inicio de sesión determina los usuarios que pueden iniciar la sesión de forma interactiva en este equipo. Los inicios de sesión iniciadospresionando la secuencia Ctrl+Alt+Supr en el teclado conectado requieren que el usuario tenga este derecho de inicio de sesión. Asimismo, este derechode inicio de sesión puede ser necesario para algún servicio o aplicación administrativa que pueda permitir a los usuarios iniciar sesión. Si define estadirectiva para un usuario o grupo, también debe conceder este derecho al grupo Administradores.


En estaciones de trabajo y servidores: Administradores, Operadores de copia de seguridad, Usuarios avanzados, Usuarios e Invitados.En controladores de dominio: Operadores de cuentas, Administradores, Operadores de copia de seguridad, Operadores de impresión y Operadoresde servidores.





Denegar el inicio de sesión localmente2




Tabla de vínculos



















Permitir inicio de sesión a través de Servicios de Terminal Server

Permitir inicio de sesión a través de Servicios de Terminal Server

Descripción

Esta configuración de seguridad determina qué usuarios o grupos tienen permiso para iniciar sesión como cliente de Servicios de Terminal Server.


En estaciones de trabajo y servidores: Administradores, Usuarios de escritorio remoto.En controladores de dominio: Administradores.




Importante

Esta opción no tiene efecto en los equipos Windows 2000 que aún no se hayan actualizado al Service Pack 2.


Denegar inicio de sesión a través de Servicios de Terminal Server2




Tabla de vínculos



















Hacer copias de seguridad de archivos y directorios

Hacer copias de seguridad de archivos y directorios

Descripción

Este derecho de usuario determina qué usuarios pueden pasar por alto los permisos de archivos y directorios, del Registro y de otros objetos persistentescon el propósito de realizar copias de seguridad del sistema.

Específicamente, este derecho de usuario es similar a conceder los siguientes permisos al usuario o grupo en cuestión para todos los archivos y carpetasdel sistema:

Recorrer carpeta o ejecutar archivoEnumerar carpeta o leer datosLeer atributosLeer atributos extendidosPermisos de lectura

Precaución

La asignación de este derecho de usuario puede poner en peligro la seguridad. Dado que no hay manera de comprobar si un usuario está realizandouna copia de seguridad de los datos, robando datos o copiando datos para distribuirlos, asigne este derecho únicamente a usuarios de confianza.

Valor predeterminado: Administradores y Operadores de copia de seguridad.





Restaurar archivos y directorios2




Tabla de vínculos



















Omitir la comprobación de recorrido

Omitir la comprobación de recorrido

Descripción

Este derecho de usuario determina qué usuarios pueden recorrer los árboles de directorios aunque no tengan permisos para el directorio recorrido. Esteprivilegio no permite al usuario mostrar el contenido de un directorio, sólo le da el derecho a recorrer los directorios.



En estaciones de trabajo y servidores: AdministradoresOperadores de copia de seguridadUsuarios avanzadosUsuariosTodos

En controladores de dominio: AdministradoresUsuarios autenticados








Tabla de vínculos

















Cambiar la hora del sistema

Cambiar la hora del sistema

Descripción

Este derecho de usuario determina qué usuarios y grupos que pueden cambiar la fecha y hora del reloj interno del equipo. Los usuarios que tenganasignado este derecho pueden modificar la apariencia de los registros de sucesos. Si se cambia la hora del sistema, los sucesos registrados contendránesta nueva hora, no la hora real en la que se produjeron.



En estaciones de trabajo y servidores: AdministradoresUsuarios avanzados

En controladores de dominio: AdministradoresOperadores de servidores








Tabla de vínculos

















Crear un archivo de paginación

Crear un archivo de paginación

Descripción

Este derecho de usuario determina qué usuarios y grupos pueden llamar a una interfaz de programación de aplicaciones (API) interna para crear unarchivo de paginación. Este derecho de usuario es utilizado de forma interna por el sistema operativo y normalmente no es necesario asignarlo a ningúnusuario.

Para obtener información acerca de cómo especificar el tamaño de un archivo de paginación para una unidad determinada, vea Cambiar el tamaño delarchivo de paginación de memoria virtual1.









Tabla de vínculos



















Crear un objeto testigo

Crear un objeto testigo

Descripción

Esta configuración de seguridad determina las cuentas que los procesos pueden utilizar para crear un testigo con el que se pueda tener acceso acualquier recurso local cuando el proceso utilice una interfaz de programación de aplicaciones (API) interna para crear un testigo de acceso.

El sistema operativo utiliza este derecho de usuario de forma interna. A menos que sea necesario, no asigne este derecho a un usuario, grupo o procesodistinto de Sistema local.

Precaución

La asignación de este derecho de usuario puede poner en peligro la seguridad. No asigne este derecho a ningún usuario, grupo o proceso que nodesee que tenga control sobre el sistema.









Tabla de vínculos



















Descripción

Este derecho de usuario se requiere para que se puedan crear objetos globales en una cuenta de usuario durante sesiones de Servicios de TerminalServer. Los usuarios pueden crear objetos específicos de las sesiones sin que sea necesario que se les asigne este derecho de usuario.

Precaución



AdministradoresSistema localServicios








Tabla de vínculos



















Descripción

Este derecho de usuario determina qué cuentas pueden utilizar los procesos para crear un objeto de directorio en el administrador de objetos deWindows 2000 Server, Windows 2000 Professional, Windows XP Professional y la familia Windows Server 2003.

Este derecho de usuario es utilizado de forma interna por el sistema operativo y es útil para los componentes de modo de núcleo que extienden el espaciode nombres de objetos de Windows 2000 Server, Windows 2000 Professional, Windows XP Professional y la familia Windows Server 2003. Dado que loscomponentes que se ejecutan en el modo de núcleo ya tienen asignado este derecho de usuario, no es necesario asignarlo específicamente.









Tabla de vínculos

















Depurar programas

Depurar programas

Descripción

Este derecho de usuario determina qué usuarios pueden asignar un depurador a cualquier proceso o al núcleo. No es necesario asignar este derecho deusuario a los programadores que depuran sus propias aplicaciones. Sin embargo, los programadores que depuren nuevos componentes del sistemanecesitarán este derecho de usuario para realizar esta operación. Este derecho de usuario proporciona acceso completo a componentes confidenciales yesenciales del sistema operativo.

Precaución



Administradores Local System








Tabla de vínculos



















Descripción

Esta configuración de seguridad determina los usuarios a quienes se impide tener acceso a un equipo a través de la red. Esta opción de configuración dedirectiva prevalece sobre Tener acceso a este equipo desde la red1 si una cuenta de usuario está sujeta a ambas directivas.

Valor predeterminado: ninguno.








Tabla de vínculos



















Denegar el inicio de sesión como trabajo por lotes

Denegar el inicio de sesión como trabajo por lotes

Descripción

Esta configuración de seguridad determina qué cuentas no pueden iniciar sesión como trabajo por lotes. Esta opción de configuración de directivaprevalece sobre Iniciar sesión como proceso por lotes1 si una cuenta de usuario está sujeta a ambas directivas.









Tabla de vínculos



















Denegar el inicio de sesión como servicio

Denegar el inicio de sesión como servicio

Descripción

Esta configuración de seguridad determina qué cuentas de servicio no pueden registrar un proceso como servicio. Esta opción de configuración dedirectiva prevalece sobre Iniciar sesión como servicio1 si una cuenta de usuario está sujeta a ambas directivas.

Nota

Esta configuración de seguridad no se aplica a las cuentas Sistema, Servicio local o Servicio de red.









Tabla de vínculos



















Denegar el inicio de sesión localmente

Denegar el inicio de sesión localmente

Descripción

Esta configuración de seguridad determina los usuarios a quienes se impide iniciar sesión en el equipo. Esta opción de configuración de directiva prevalecesobre Permitir el inicio de sesión local1 si una cuenta está sujeta a ambas directivas.

Importante

Si aplica esta directiva de seguridad al grupo Todos, ningún usuario podrá iniciar sesión localmente.









Tabla de vínculos



















Denegar inicio de sesión a través de Servicios de Terminal Server

Denegar inicio de sesión a través de Servicios de Terminal Server

Descripción

Esta configuración de seguridad determina qué usuarios o grupos no pueden iniciar sesión como clientes de Servicios de Terminal Server.





Importante

Esta opción no tiene efecto en los equipos Windows 2000 que aún no se hayan actualizado al Service Pack 2.


Permitir inicio de sesión a través de Servicios de Terminal Server2




Tabla de vínculos



















Habilitar la confianza para la delegación de las cuentas de usuario y deequipo

Habilitar la confianza para la delegación de las cuentas de usuario y de equipo

Descripción

Esta configuración de seguridad determina qué usuarios pueden establecer la configuración Se confía para delegación en un objeto de usuario o equipo.

El usuario o el objeto al que se concede este privilegio debe tener acceso de escritura a los indicadores de control de cuenta del objeto usuario o equipo.Un proceso de servidor que se ejecuta en un equipo (o en un contexto de usuario) en el que se confía para la delegación puede tener acceso a recursosen otro equipo mediante las credenciales delegadas de un cliente, siempre y cuando la cuenta de cliente no tenga activado el indicador de control decuenta La cuenta no se puede delegar.


Precaución

Si no se utiliza correctamente este derecho de usuario o la opción Se confía para delegación, la red será vulnerable a ataques sofisticados queutilicen programas de tipo caballo de Troya, que suplantan a clientes entrantes y utilizan sus credenciales para obtener acceso a los recursos de lared.

Valor predeterminado: Administradores en controladores de dominio.





Permitir que se considere a un equipo de confianza para la delegación2

Permitir que se considere a un usuario de confianza para la delegación3




Tabla de vínculos





















Forzar el apagado desde un sistema remoto

Forzar el apagado desde un sistema remoto

Descripción

Esta configuración de seguridad determina los usuarios a quienes se permite apagar un equipo desde una ubicación remota de la red. El uso incorrecto deeste derecho de usuario puede dar lugar a una denegación de servicio.



En estaciones de trabajo y servidores: Administradores. En controladores de dominio: Administradores, Operadores de servidor





Apagar el sistema2




Tabla de vínculos





















Descripción

Esta configuración de seguridad determina qué cuentas puede utilizar un proceso para agregar entradas al registro de seguridad. El registro de seguridadse utiliza para realizar un seguimiento del acceso no autorizado al sistema. El uso incorrecto de este derecho de usuario puede dar lugar a la generaciónde múltiples sucesos de auditoría, que podrían ocultar la existencia de un ataque o producir una denegación de servicio si la configuración de directiva deseguridad Auditoría: apagar el sistema de inmediato si no puede registrar auditorías de seguridad está habilitada. Para obtener más informaciónacerca de la configuración de esta directiva de seguridad, vea Auditoría: apagar el sistema de inmediato si no puede registrar auditorías de seguridad1.






Administrar los registros de auditoría y seguridad3




Tabla de vínculos





















Suplantar a un cliente después de la autenticación

Suplantar a un cliente después de la autenticación

Descripción

Si se asigna este privilegio a un usuario se permite que los programas que se ejecutan en nombre de dicho usuario suplanten a un cliente. La exigencia deeste derecho de usuario para este tipo de suplantación impide que un usuario no autorizado convenza a un cliente para conectarse (mediante unallamada a un procedimiento remoto (RPC) o una canalización con nombre) a un servicio que hayan creado y, posteriormente, suplantar a dicho cliente,que puede aumentar los permisos del usuario autorizado hasta el nivel de un administrador o del sistema.

Precaución



Administradores Servicio

Nota

El grupo integrado Servicio se agrega de forma predeterminada en los testigos de acceso de los servicios iniciados por el Administrador de controlde servicios. El grupo integrado Servicio también se agrega en los testigos de acceso de los servidores COM (Modelo de objetos componentes)iniciados por la infraestructura COM y configurados para ejecutarse con una cuenta específica. Como resultado, los servicios disponen de estederecho usuario al iniciarse.Además, el usuario también puede suplantar un testigo de acceso si se cumple cualquiera de las siguientes condiciones.

El testigo de acceso suplantado corresponde al usuario.El usuario, durante la sesión de inicio de sesión, creó el testigo de acceso al iniciar sesión en la red sin credenciales explícitas.El nivel solicitado es inferior a Suplantar, como Anónimo o Identificar.

Debido a estos factures, los usuarios no suelen tener que utilizar este derecho de usuario.

Para obtener más información, busque "SeImpersonatePrivilege" en la página Microsoft Platform SDK1.




Para obtener más información, vea:




Tabla de vínculos



















Incrementar prioridades de planificación de procesos

Incrementar prioridades de planificación de procesos

Descripción

Esta configuración de seguridad determina qué cuentas pueden utilizar un proceso con acceso de Propiedad de escritura a otro proceso para aumentar laprioridad de ejecución asignada al otro proceso. Un usuario con este privilegio puede cambiar la prioridad de programación de un proceso a través de lainterfaz de usuario del Administrador de tareas.









Tabla de vínculos

















Cargar y descargar controladores de dispositivo

Cargar y descargar controladores de dispositivo

Descripción

Este derecho de usuario determina qué usuarios pueden cargar y descargar de forma dinámica controladores de dispositivos u otro código en modo denúcleo. Este derecho de usuario no se aplica a controladores de dispositivos Plug and Play. Se recomienda no asignar este privilegio a otros usuarios.Utilice en su lugar la API StartService().

Precaución

La asignación de este derecho de usuario puede poner en peligro la seguridad. No asigne este derecho a ningún usuario, grupo o proceso que nodesee que tenga control sobre el sistema.









Tabla de vínculos

















Bloquear páginas en memoria

Bloquear páginas en memoria

Descripción

Esta configuración de seguridad determina qué cuentas pueden utilizar un proceso para mantener datos en la memoria física, con lo que se evita que elsistema pagine los datos en la memoria virtual de disco. El uso de este privilegio puede afectar de forma significativa al rendimiento del sistema, aldisminuir la cantidad disponible de memoria de acceso aleatorio (RAM).









Tabla de vínculos

















Iniciar sesión como proceso por lotes

Iniciar sesión como proceso por lotes

Descripción

Esta configuración de seguridad permite a los usuarios iniciar sesión mediante un recurso de cola de proceso por lotes.

Por ejemplo, cuando un usuario envía un trabajo por medio del programador de tareas, éste registra al usuario como usuario de proceso por lotes en vezde como usuario interactivo.

Nota

En Windows 2000 Server, Windows 2000 Professional, Windows XP Professional y la familia Windows Server 2003, el Programador de tareasconcede automáticamente este derecho cuando es necesario.






Denegar el inicio de sesión como trabajo por lotes2




Tabla de vínculos



















Iniciar sesión como servicio

Iniciar sesión como servicio

Descripción

Esta configuración de seguridad determina qué cuentas de servicio pueden registrar un proceso como servicio.






Denegar el inicio de sesión como servicio2




Tabla de vínculos



















Administrar los registros de auditoría y seguridad

Administrar los registros de auditoría y seguridad

Descripción

Esta configuración de seguridad determina qué usuarios pueden especificar las opciones de auditoría de acceso a objetos para recursos individuales comoarchivos, objetos de Active Directory y claves del Registro.

Esta configuración de seguridad no permite al usuario habilitar la auditoría de acceso a archivos y objetos en general. Para habilitarla, la opción Auditar el

acceso a objetos1 debe estar configurada en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Directivasde auditoría.

Los sucesos auditados se muestran en el registro de seguridad del Visor de sucesos. Un usuario con este privilegio también podrá ver y borrar el registrode seguridad.









Tabla de vínculos



















Modificar valores de entorno del firmware

Modificar valores de entorno del firmware

Descripción

Esta configuración de seguridad determina quién puede modificar valores de entorno de firmware. Las variables de entorno del firmware son opcionesalmacenadas en la memoria RAM no volátil de equipos no basados en x86. El efecto de esta configuración depende del procesador.

En equipos basados en x86, el único valor de entorno del firmware que puede modificarse al asignar este derecho de usuario es la opción Últimaconfiguración buena conocida y sólo debe modificarla el sistema. En equipos basados en x64, la información de inicio se almacena en memoria RAM no volátil. Los usuarios deben tener asignado este derecho deusuario para ejecutar bootcfg.exe y cambiar la opción Sistema operativo predeterminado en Inicio y recuperación, en Propiedades delsistema. En todos los equipos, este derecho de usuario es necesario para instalar o actualizar Windows.

Nota

Esta configuración de seguridad no afecta a quiénes pueden modificar las variables de entorno del sistema y las variables de entorno del usuarioque se muestran en la ficha Avanzadas de Propiedades del sistema. Para obtener información acerca de cómo modificar estas variables, veaAgregar o cambiar los valores de las variables de entorno1.







Bootcfg4



Tabla de vínculos























Descripción

Esta configuración de seguridad determina qué usuarios y grupos pueden ejecutar tareas de mantenimiento en un volumen, como la desfragmentaciónremota.

Tenga precaución cuando asigne este derecho de usuario. Los usuarios con este derecho de usuario pueden explorar discos y extender archivos enmemoria que contengan otros datos. Cuando los archivos extendidos se abren, el usuario puede leer y modificar los datos obtenidos.









Tabla de vínculos



















Descripción

Esta configuración de seguridad determina qué usuarios pueden utilizar las herramientas de supervisión del rendimiento con ese propósito en procesos queno son del sistema.

Valor predeterminado: Administradores, Usuarios avanzados, Sistema local.





Perfilar el rendimiento del sistema2




Tabla de vínculos





















Descripción

Esta configuración de seguridad determina qué usuarios pueden utilizar las herramientas de supervisión del rendimiento con ese propósito en procesos delsistema.






Perfilar un proceso individual2




Tabla de vínculos



















Quitar el equipo de la estación de acoplamiento

Quitar el equipo de la estación de acoplamiento

Descripción

Esta configuración de seguridad determina si un usuario puede desacoplar un equipo portátil de su estación de acoplamiento sin iniciar una sesión.

Si se habilita esta directiva, el usuario debe iniciar sesión para quitar el equipo portátil de su estación de acoplamiento. Si se deshabilita, el usuario puedequitar el equipo portátil de su estación de acoplamiento sin iniciar sesión.

Valor predeterminado: deshabilitada.








Tabla de vínculos

















Reemplazar un símbolo de proceso

Reemplazar un símbolo de proceso

Descripción

Esta configuración de seguridad determina qué cuentas de usuario pueden llamar a la interfaz de programación de aplicaciones (API)CreateProcessAsUser() de manera que un servicio pueda iniciar otro. Un ejemplo de un proceso que emplea este derecho de usuario es el Programador de

tareas. Para obtener información acerca del Programador de tareas, vea Información general acerca del Programador de tareas1.

Valor predeterminado: Servicio de red, Sistema local.








Tabla de vínculos





















Descripción

Esta configuración de seguridad determina qué usuarios pueden omitir los permisos de archivos, de directorios, del Registro y de otros objetospersistentes al restaurar copias de seguridad de archivos y directorios, y qué usuarios pueden establecer un principal de seguridad válido comopropietario de un objeto.

Específicamente, este derecho de usuario es similar a conceder los siguientes permisos al usuario o grupo en cuestión para todos los archivos y carpetasdel sistema:

Recorrer carpeta/Ejecutar archivoEscribir

Precaución

La asignación de este derecho de usuario puede poner en peligro la seguridad. Dado que los usuarios que tienen este derecho pueden sobrescribiropciones de configuración del Registro, ocultar datos y obtener la propiedad de los objetos del sistema, sólo debe asignarlo a usuarios deconfianza.


Estaciones de trabajo y servidores: Administradores, Operadores de copia de seguridad.Controladores de dominio: Administradores, Operadores de copia de seguridad, Operadores de servidor.





Hacer copias de seguridad de archivos y directorios2




Tabla de vínculos



















Apagar el sistema

Apagar el sistema

Descripción

Esta configuración de seguridad determina los usuarios que han iniciado sesión local en el equipo que pueden apagar el sistema operativo mediante elcomando Apagar. El uso incorrecto de este derecho de usuario puede dar lugar a una denegación de servicio.


Estaciones de trabajo: Administradores, Operadores de copia de seguridad, Usuarios avanzados y Usuarios.Servidores: Administradores, Operadores de copia de seguridad, Usuarios avanzados.Controladores de dominio: Administradores, Operadores de copia de seguridad, Operadores de servidor y Operadores de impresión.





Forzar el apagado desde un sistema remoto2




Tabla de vínculos





















Descripción

Esta configuración de seguridad determina qué usuarios y grupos tienen autoridad para sincronizar todos los datos del servicio de directorio. También seconoce como sincronización de Active Directory.

Valores predeterminados: ninguno.








Tabla de vínculos

















Tomar posesión de archivos y otros objetos

Tomar posesión de archivos y otros objetos

Descripción

Esta configuración de seguridad determina qué usuarios pueden tomar posesión de cualquier objeto que se pueda proteger en el sistema, como objetosde Active Directory, archivos y carpetas, impresoras, claves del Registro, procesos y subprocesos.

Precaución

La asignación de este derecho de usuario puede poner en peligro la seguridad. Dado que los propietarios de los objetos tienen un control totalsobre los mismos, asigne este derecho de usuario solamente a usuarios de confianza.









Tabla de vínculos
















Crear una relación de confianza de bosque

Para crear una relación de confianza de bosque

1. Abra Dominios y confianzas de Active Directory.2. En el árbol de la consola, haga clic con el botón secundario en el nodo del dominio raíz del bosque que desea administrar y, a continuación, haga

clic en Propiedades.3. En la ficha Confianza, haga clic en Nueva confianza y, a continuación, en Siguiente.4. En la página Nombre de confianza, escriba el nombre DNS (o nombre NetBIOS) de otro bosque y, después, haga clic en Siguiente.5. En la página Tipo de confianza, haga clic en Confianza de bosque y, a continuación, en Siguiente.6. En la página Dirección de confianza, realice una de las acciones siguientes:

Para crear una confianza de acceso directo bidireccional, haga clic en Bidireccional.Los usuarios de este bosque y los del bosque especificado tendrán acceso a los recursos de cada bosque.Para crear una relación de confianza de entrada unidireccional, haga clic en Unidireccional de entrada.Los usuarios del bosque especificado no tendrán acceso a ninguno de los recursos de este bosque.Para crear una relación de confianza de salida unidireccional, haga clic en Unidireccional de salida.Los usuarios de este bosque no tendrán acceso a ninguno de los recursos del bosque especificado.

7. Continúe con los pasos del asistente.

Importante

Para crear una relación de confianza de forma correcta, su entorno debe estar configurado adecuadamente. Para obtener más información, vea lalista de comprobación para crear una relación de confianza en Temas relacionados.

Notas

Para llevar a cabo este procedimiento, debe ser miembro del grupo Administradores de dominio (en el dominio raíz del bosque) o del grupoAdministradores de empresa en Active Directory, o bien debe tener delegada la autoridad correspondiente. Como práctica de seguridadrecomendada, considere la posibilidad de utilizar la opción Ejecutar como para realizar este procedimiento. Para obtener más información, veaGrupos locales predeterminados1, Grupos predeterminados2 y Utilizar Ejecutar como3.En caso de ser un miembro del grupo de Creadores de confianza de bosque de entrada, podrá crear relaciones de confianza de entradaunidireccionales para este bosque.Para abrir Dominios y confianzas de Active Directory, haga clic en Inicio, en Panel de control, haga doble clic en Herramientas administrativasy, a continuación, haga doble clic en Dominios y confianzas de Active Directory. En un controlador de dominio que ejecute Windows Server 2003, el dominio raíz de bosque es el primer dominio que aparece en la lista del árbol dela consola en Dominios y confianzas de Active Directory. Esta configuración no está disponible en controladores de dominio que ejecutenWindows 2000.Si dispone de las credenciales administrativas adecuadas para cada bosque, podrá crear ambas partes de una relación de confianza al mismotiempo haciendo clic en Ambos, este dominio y el dominio especificado en la página Partes de confianza. Para obtener más información, veaTemas relacionados.Si desea que los usuarios del bosque especificado tengan acceso a todos los equipos del bosque local, en la página Propiedades de confianza desalida haga clic en Autenticación en todo el bosque. Esta es la opción más conveniente cuando ambos bosques pertenecen a la mismaorganización.Si desea limitar de forma selectiva la autenticación para ciertos usuarios y grupos dentro del bosque especificado, en la página Propiedades deconfianza de salida haga clic en Autenticación selectiva. Esta es la opción más conveniente cuando el bosque especificado pertenece a unaorganización distinta.Además de crear relaciones de confianza nuevas, también puede modificar otras ya existentes si hace clic en la ficha Confianza.La herramienta de línea de comandos Dsmod.exe no admite la adición de principios de seguridad de un bosque a los grupos que se encuentran enotro bosque, cuando ambos están unidos por una confianza de bosque. Puede utilizar el complemento Usuarios y equipos de Active Directory paraagregar principios de seguridad a través de una confianza de bosque.

Información sobre diferencias funcionales


Vea también

Lista de comprobación: crear una relación de confianza de bosque5

Confianzas de bosque6

Cuándo se debe crear una relación de confianza de bosque7

Sufijos de nombre de enrutamiento entre bosques8

Tener acceso a los recursos entre bosques9

Tipos de confianza10

Dirección de la confianza11

Referencia AZ de la línea de comandos12

Tabla de vínculos






















Utilidad de clave del sistema

Utilidad de clave del sistema

La información de contraseñas de las cuentas de usuario se almacena en la base de datos del Administrador de cuentas de seguridad (SAM, SecurityAccounts Manager) del Registro de las estaciones de trabajo y de los servidores miembro. En los controladores de dominio, la información de contraseñasse almacena en los servicios de directorio. Es frecuente que el software para averiguar contraseñas tenga como objetivo la base de datos SAM o losservicios de directorio para obtener acceso a las contraseñas de las cuentas de usuario. La utilidad de clave del sistema (Syskey) proporciona una líneaadicional de defensa contra el software que se utiliza para averiguar contraseñas. Utiliza técnicas de cifrado seguro para proteger la información decontraseñas de las cuentas que se almacena en la base de datos de SAM o en los servicios de directorio. Averiguar contraseñas de cuenta cifradas esmás difícil y consume más tiempo que si las contraseñas no están cifradas. Para obtener más información acerca del cifrado, vea Cifrado1.

Hay tres opciones de clave del sistema en el cuadro de diálogo Clave de inicio diseñadas para cubrir las necesidades de diferentes entornos, como sedescribe en la tabla siguiente.

Opción de clave delsistema

Nivel deseguridadrelativo

Descripción

Contraseña generadapor el sistema,Almacenar la clave deinicio localmente

ProtegerUtiliza como clave del sistema una clave aleatoria generada por el equipo y almacena una versión cifrada de la claveen el equipo local. Esta opción proporciona cifrado seguro de la información de contraseñas en el Registro y permiteque el usuario reinicie el equipo sin necesidad de que el administrador escriba una contraseña o introduzca un disco.

Contraseña generadapor el administrador,Inicio con contraseña

Másseguro

Utiliza como clave del sistema una clave aleatoria generada por el equipo y almacena una versión cifrada de la claveen el equipo local. La clave también está protegida mediante una contraseña elegida por el administrador. Se pide alos usuarios la contraseña de la clave del sistema cuando el equipo realiza la secuencia de inicio. La contraseña dela clave del sistema no se almacena en el equipo.

Contraseña generadapor el sistema,Almacenar la clave deinicio en un disco

Máximaseguridad

Utiliza una clave aleatoria generada por el equipo y la almacena en un disquete. El disquete con la clave del sistemaes necesario para iniciar el sistema y debe introducirse cuando se solicita durante la secuencia de inicio. La clavedel sistema no se almacena en el equipo.

Para obtener información acerca de cómo implementar la utilidad de clave del sistema en un equipo, vea Crear o actualizar una clave del sistema2.

El uso de la utilidad de clave del sistema es opcional. Si pierde el disco que contiene la clave del sistema u olvida la contraseña, deberá restaurar elRegistro al estado en que se encontraba antes de utilizar la clave del sistema para poder iniciar el equipo. Para obtener información acerca de cómorestaurar el Registro, vea Restaurar el Registro3.

Tabla de vínculos















Crear o actualizar una clave del sistema

Para crear o actualizar una clave del sistema

1. Haga clic en Inicio, haga clic en Ejecutar, escriba syskey y, a continuación, haga clic en Aceptar. 2. Haga clic en Cifrado habilitado y, a continuación, haga clic en Actualizar.3. Haga clic en la opción que desee y, después, haga clic en Aceptar.

Para obtener información acerca de cada opción, vea "Utilidad de clave del sistema" en Temas relacionados.

Notas

Las credenciales administrativas necesarias para llevar a cabo este procedimiento varían en función del entorno: Si crea o actualiza una clave del sistema para el equipo local: Para llevar a cabo este procedimiento, debe ser miembro del grupoAdministradores en el equipo local o tener delegada la autoridad correspondiente. Si el equipo está unido a un dominio, los miembros del grupoAdministradores de dominio podrían llevar a cabo este procedimiento. Como práctica recomendada de seguridad, considere la posibilidad deutilizar la opción Ejecutar como para llevar a cabo este procedimiento.Si crea o actualiza una clave del sistema para un controlador de dominio: Para llevar a cabo este procedimiento, debe ser miembro del grupoAdministradores de dominio o del grupo Administradores de organización de Active Directory, o bien debe tener delegada la autoridadcorrespondiente. Como práctica recomendada de seguridad, considere la posibilidad de utilizar la opción Ejecutar como para llevar a caboeste procedimiento. Para obtener más información, vea Grupos locales predeterminados1, Grupos predeterminados2 y Utilizar Ejecutar como3.

Si pierde el disco que contiene la clave del sistema u olvida la contraseña de la clave, deberá restaurar el Registro al estado en que se encontrabaantes de utilizar la clave del sistema para poder iniciar el equipo. Para obtener más información acerca de cómo restaurar el Registro, vea Temasrelacionados.

Información acerca de las diferencias funcionales


Vea también

Contraseñas5

Utilidad de clave del sistema6

Restaurar el Registro7

Tabla de vínculos






















consola de recuperacion y configuracion de seguridad.pdf

Documents