Users Guide
8
Control de cuentas de usuario en Microsoft
Windows Server 2008
En Microsoft Windows Server versión 2008 y anteriores, las cuentas de usuario eran a menudo miembros del grupo de
administradores locales y tenían acceso a privilegios de administrador. Los miembros del grupo de administradores locales podían
instalar, actualizar y ejecutar software ya que una cuenta de administrador tenía acceso a todo el sistema. Cuando se agregaba un
usuario al grupo de administradores locales, se otorgaba automáticamente a dicho usuario privilegios de Windows. Estos privilegios
proporcionaban acceso a todos los recursos del sistema operativo. De ahí que las cuentas de usuario con privilegios de administrador
supusiesen un riesgo de seguridad al proporcionar acceso a recursos del sistema operativo que podían ser utilizados por software
malintencionado (o malware).
Control de cuentas de usuario (UAC) es una nueva función de seguridad del sistema operativo Windows Server 2008. Cuando está
activada, restringe el acceso a los recursos críticos del sistema de todos los usuarios salvo el administrador local integrado.
Los tres tipos de cuentas de usuarios en el sistema operativo Windows Server 2008 son:
• Cuenta de administrador de dominios, que es una cuenta de usuario con privilegios de administrador.
• Cuenta de usuario estándar, que permite al usuario instalar software y cambiar valores del sistema que no afectan a otros
usuarios ni a la seguridad de la computadora.
• Cuenta de administrador local, que es el superusuario predeterminado del sistema operativo.
La experiencia del usuario con una cuenta de administrador de dominios difiere de la de una cuenta de administrador local cuando
está activado el UAC. Cuando una cuenta de administrador de dominios necesita acceso a recursos críticos del sistema, el sistema
operativo Windows Server 2008 le solicita uno de los siguientes elementos antes de iniciar un programa o una tarea que requiera
acceso total del administrador:
• Permiso para aumentar los privilegios (en caso de un usuario en el grupo de administradores de dominios)
• Credenciales de administrador de dominios para aumentar los privilegios (en el caso de los usuarios estándar)
El UAC solicita a los usuarios del grupo de administradores de dominios (salvo a la cuenta de administrador) que haga clic en
Continuar, si necesitan aumentar los privilegios, o hacer clic en Cancelar al realizar funciones que puedan entrañar un riesgo de
seguridad. Con UAC, los usuarios deben actualizar a una cuenta de administrador antes de ejecutar los DUP.
NOTA: Como la experiencia del usuario es configurable con el complemento administrador de directivas de seguridad
(secpol.msc) y la directiva de grupo, existen varias experiencias de usuario con UAC. Las opciones de configuración
realizadas en el entorno afectarán a las peticiones y los diálogos vistos por los usuarios estándar, los administradores, o
ambos. El UAC puede desactivarse desactivando el valor User Account Control: Run Administrators in Admin Approval
Mode
(Control de cuentas de usuario: ejecutar administradores en modo de aprobación del administrador) y requiere un
reinicio.
Si se ejecuta un DUP en modo GUI, el sistema operativo Windows Server 2008 necesitará que el usuario permita la operación. Pero
si un DUP se ejecuta en modo desatendido, el usuario podrá omitir la ventana emergente de permiso realizando cualquiera de las
siguientes acciones:
• Cambiar la política de seguridad de grupos, User Account Control: Behavior of the elevation prompt for administrators in Admin
Approval Mode, a Sin peticiónpara desactivar la ventana emergente o aumentar los privilegios sin la petición del grupo de
administradores.
• Desactivar el UAC.
• Utilizar secuencias de comandos para ejecutar el DUP y tomar el papel de un administrador local durante la ejecución.
38