Users Guide
10
Control de cuentas de usuario en Microsoft
Windows Server 2008
En Microsoft Windows Server versión 2008 y anteriores, las cuentas de usuario eran a menudo miembros del grupo de
administradores locales y tenían acceso a privilegios de administrador. Los miembros del grupo de administradores
locales podían instalar, actualizar y ejecutar software ya que una cuenta de administrador tenía acceso a todo el
sistema. Cuando se agregaba un usuario al grupo de administradores locales, se otorgaba automáticamente a dicho
usuario privilegios de Windows. Estos privilegios proporcionaban acceso a todos los recursos del sistema operativo. De
ahí que las cuentas de usuario con privilegios de administrador supusiesen un riesgo de seguridad al proporcionar
acceso a recursos del sistema operativo que podían ser utilizados por software malintencionado (o malware).
Control de cuentas de usuario (UAC) es una nueva función de seguridad del sistema operativo Windows Server 2008.
Cuando está activada, restringe el acceso a los recursos críticos del sistema de todos los usuarios salvo el
administrador local integrado.
Los tres tipos de cuentas de usuarios en el sistema operativo Windows Server 2008 son:
• Cuenta de administrador de dominios, que es una cuenta de usuario con privilegios de administrador.
• Cuenta de usuario estándar, que permite al usuario instalar software y cambiar valores del sistema que no
afectan a otros usuarios ni a la seguridad de la computadora.
• Cuenta de administrador local, que es el superusuario predeterminado del sistema operativo.
La experiencia del usuario con una cuenta de administrador de dominios difiere de la de una cuenta de administrador
local cuando está activado el UAC. Cuando una cuenta de administrador de dominios necesita acceso a recursos
críticos del sistema, el sistema operativo Windows Server 2008 le solicita uno de los siguientes elementos antes de
iniciar un programa o una tarea que requiera acceso total del administrador:
• Permiso para aumentar los privilegios (en caso de un usuario en el grupo de administradores de dominios)
• Credenciales de administrador de dominios para aumentar los privilegios (en el caso de los usuarios estándar)
El UAC solicita a los usuarios del grupo de administradores de dominios (salvo a la cuenta de administrador) que haga
clic en Continuar, si necesitan aumentar los privilegios, o hacer clic en Cancelar al realizar funciones que puedan
entrañar un riesgo de seguridad. Con UAC, los usuarios deben actualizar a una cuenta de administrador antes de
ejecutar los DUP.
NOTA: Como la experiencia del usuario es configurable con el complemento administrador de directivas de
seguridad (
secpol.msc) y la directiva de grupo, existen varias experiencias de usuario con UAC. Las opciones de
configuración realizadas en el entorno afectarán a las peticiones y los diálogos vistos por los usuarios estándar,
los administradores, o ambos. El UAC puede desactivarse desactivando el valor User Account Control: Run
Administrators in Admin Approval Mode (Control de cuentas de usuario: ejecutar administradores en modo de
aprobación del administrador) y requiere un reinicio.
Si se ejecuta un DUP en modo GUI, el sistema operativo Windows Server 2008 necesitará que el usuario permita la
operación. Pero si un DUP se ejecuta en modo desatendido, el usuario podrá omitir la ventana emergente de permiso
realizando cualquiera de las siguientes acciones:
• Cambiar la política de seguridad de grupos, User Account Control: Behavior of the elevation prompt for
administrators in Admin Approval Mode, a Sin petición para desactivar la ventana emergente o aumentar los
privilegios sin la petición del grupo de administradores.
49