Users Guide
8
Control de cuentas de usuario en
Microsoft Windows Server 2008
En Microsoft Windows Server versión 2008 y anteriores, las cuentas de usuario eran a menudo miembros
del grupo de administradores locales y tenían acceso a privilegios de administrador. Los miembros del
grupo de administradores locales podían instalar, actualizar y ejecutar software ya que una cuenta de
administrador tenía acceso a todo el sistema. Cuando se agregaba un usuario al grupo de
administradores locales, se otorgaba automáticamente a dicho usuario privilegios de Windows. Estos
privilegios proporcionaban acceso a todos los recursos del sistema operativo. De ahí que las cuentas de
usuario con privilegios de administrador supusiesen un riesgo de seguridad al proporcionar acceso a
recursos del sistema operativo que podían ser utilizados por software malintencionado (o malware).
Control de cuentas de usuario (UAC) es una nueva función de seguridad del sistema operativo Windows
Server 2008. Cuando está activada, restringe el acceso a los recursos críticos del sistema de todos los
usuarios salvo el administrador local integrado.
Los tres tipos de cuentas de usuarios en el sistema operativo Windows Server 2008 son:
• Cuenta de administrador de dominios, que es una cuenta de usuario con privilegios de administrador.
• Cuenta de usuario estándar, que permite al usuario instalar software y cambiar valores del sistema que
no afectan a otros usuarios ni a la seguridad de la computadora.
• Cuenta de administrador local, que es el superusuario predeterminado del sistema operativo.
La experiencia del usuario con una cuenta de administrador de dominios difiere de la de una cuenta de
administrador local cuando está activado el UAC. Cuando una cuenta de administrador de dominios
necesita acceso a recursos críticos del sistema, el sistema operativo Windows Server 2008 le solicita uno
de los siguientes elementos antes de iniciar un programa o una tarea que requiera acceso total del
administrador:
• Permiso para aumentar los privilegios (en caso de un usuario en el grupo de administradores de
dominios)
• Credenciales de administrador de dominios para aumentar los privilegios (en el caso de los usuarios
estándar)
El UAC solicita a los usuarios del grupo de administradores de dominios (salvo a la cuenta de
administrador) que haga clic en Continuar, si necesitan aumentar los privilegios, o hacer clic en Cancelar
al realizar funciones que puedan entrañar un riesgo de seguridad. Con UAC, los usuarios deben actualizar
a una cuenta de administrador antes de ejecutar los DUP.
NOTA: Como la experiencia del usuario es configurable con el complemento administrador de
directivas de seguridad (secpol.msc) y la directiva de grupo, existen varias experiencias de usuario
con UAC. Las opciones de configuración realizadas en el entorno afectarán a las peticiones y los
diálogos vistos por los usuarios estándar, los administradores, o ambos. El UAC puede desactivarse
desactivando el valor User Account Control: Run Administrators in Admin Approval Mode (Control
de cuentas de usuario: ejecutar administradores en modo de aprobación del administrador) y
requiere un reinicio.
43