Escolar Documentos
Profissional Documentos
Cultura Documentos
Este documento se proporciona "tal cual". La informacin y los puntos de vista expresados en este documento, incluyendo las referencias a sitios web de Internet y direcciones URL, est sujeta a cambios sin aviso. Este documento no implica ningn derecho legal respecto a ninguna propiedad intelectual de ningn nombre de producto o producto de Microsoft. Puede copiar y utilizar este documento con fines internos y de referencia. Se permite que modifique este documento para sus fines internos y de referencia. 2012 Microsoft. Reservados todos los derechos. Trminos de uso (http://technet.microsoft.com/cc300389.aspx) | Marcas comerciales (http://www.microsoft.com/library/toolbar/3.0/trademarks/en-us.mspx)
Table Of Contents
Captulo 1
Requisitos de RIS y PXE Iniciar el equipo y utilizar la Consola de recuperacin Comandos de la Consola de recuperacin Prcticas recomendadas de seguridad Ejecutar un programa con credenciales administrativas Runas Control de acceso Prcticas recomendadas de control de acceso Prcticas recomendadas para permisos y derechos de usuario Plantillas de seguridad Privilegios Auditora: apagar el sistema de inmediato si no puede registrar auditoras de seguridad Modificar la configuracin de seguridad en un objeto de directiva de grupo Auditar el acceso a objetos Prcticas recomendadas para asignar permisos de objetos de Active Directory Proteger Active Directory Informacin de seguridad para Active Directory Prcticas recomendadas de Active Directory Por qu no debe trabajar en el equipo como administrador Utilizar Ejecutar como Crear un acceso directo mediante el comando runas Cuentas de usuarios y equipos Control de acceso en Active Directory Configuracin de la auditora en objetos Cmo afecta la herencia a la auditora de archivos y carpetas Auditar sucesos de seguridad Lista de comprobacin: configurar la auditora de acceso a objetos Introduccin a la auditora Directiva de auditora Auditar sucesos de inicio de sesin de cuenta Definir o modificar la configuracin de directiva de auditora para una categora de sucesos Auditar sucesos de inicio de sesin Prcticas recomendadas para auditar sucesos de seguridad Auditar sucesos del sistema Auditar el cambio de directivas Auditar la administracin de cuentas Auditora basada en operaciones en archivos o carpetas Aplicar o modificar la configuracin de directiva de auditora de un archivo o carpeta local Aplicar o modificar la configuracin de directiva de auditora para un objeto mediante Directiva de grupo Visor de sucesos Prcticas recomendadas para el visor de sucesos Visor de sucesos: cmo... Solucionar problemas del Visor de sucesos Auditar el acceso del servicio de directorio Auditar el uso de privilegios Auditar el seguimiento de procesos Ver registros de seguridad Ver el registro de seguridad Seleccionar dnde aplicar entradas de auditora Asignar, cambiar o eliminar permisos en los objetos o atributos de Active Directory Grupos locales predeterminados Agregar un miembro a un grupo local Asignar derechos de usuario para el equipo local Asignacin de derechos de usuario Permitir que los usuarios se conecten de forma remota al servidor Configuracin de seguridad predeterminada para grupos Network access: deja que los permisos de Todos se apliquen a los usuarios annimos Grupos predeterminados Tener acceso a este equipo desde la red Actuar como parte del sistema operativo Agregar estaciones de trabajo al dominio Ajustar cuotas de memoria para un proceso Permitir el inicio de sesin local Permitir inicio de sesin a travs de Servicios de Terminal Server Hacer copias de seguridad de archivos y directorios Omitir la comprobacin de recorrido Cambiar la hora del sistema Crear un archivo de paginacin Crear un objeto testigo Crear objetos globales Crear objetos compartidos permanentes Depurar programas Denegar el acceso desde la red a este equipo Denegar el inicio de sesin como trabajo por lotes Denegar el inicio de sesin como servicio Denegar el inicio de sesin localmente Denegar inicio de sesin a travs de Servicios de Terminal Server Habilitar la confianza para la delegacin de las cuentas de usuario y de equipo Forzar el apagado desde un sistema remoto Generar auditoras de seguridad Suplantar a un cliente despus de la autenticacin Incrementar prioridades de planificacin de procesos Cargar y descargar controladores de dispositivo Bloquear pginas en memoria Iniciar sesin como proceso por lotes Iniciar sesin como servicio Administrar los registros de auditora y seguridad Modificar valores de entorno del firmware Realizar las tareas de mantenimiento del volumen Perfilar un proceso individual Perfilar el rendimiento del sistema
Quitar el equipo de la estacin de acoplamiento Reemplazar un smbolo de proceso Restaurar archivos y directorios Apagar el sistema Sincronizar los datos de Directory Service Tomar posesin de archivos y otros objetos Crear una relacin de confianza de bosque Utilidad de clave del sistema Crear o actualizar una clave del sistema
Captulo 1
Startrom.com
El archivo Startrom.com es el primer archivo que un cliente RIS basado en x86 descarga para empezar el proceso de inicio. Hay varias versiones de este archivo.BasndoseenlacompatibilidadconelPXEdesufirmware,puedeusarversionesdeStartrom.comespecficasdelosServiciosdeadministracin deemergenciaparausarlaredireccindelaconsolaconclientesRISbasadosenx86.ElservicioNiveldenegociacindelainformacindeinicio (BINLSVC)creaunarchivoderespuestaquepermitequeelrestodelainstalacintranscurrasinintervencindelusuario.Noobstante,losclientesRIS basadosenItaniumnousanStartrom.com.Envezdeeso,puedeconfigurarlaInterfazdefirmwareextensible(EFI)pararedirigirlainformacindesalida y,despus,usareladaptadorderedcompatibleconelPXEparainiciarelequipo. AunquepuedeusarlosarchivosStartrom.comconsistemasquenoestndiseadosparatrabajarconlosServiciosdeadministracindeemergencia,es mejorrecurriralfirmwarepararedirigirsuinformacindesalidadelaconsolaalpuertodeadministracinfueradebandayusarunarchivoStartrom.com estndar.Graciasaello,Startrom.compuedesermsflexibleensuusodevelocidadesenbaudios. Hdlscom1.com y Hdlscom2.com.Parasistemasquenosoncompatiblesconlaredireccindelaconsoladefirmware,estosarchivosmuestran unainstruccinqueindicaalusuarioquepresionelateclaF12parainiciarlared,utilizandolaredireccindelaconsolaalpuertoserie1o2.Los usuariospuedenpresionarF12paraquecontineelprocesodeinicio,opuedenponerlefinnopresionandoF12.SiunusuariopresionalateclaF12 alrecibirestainstruccin,Hdlscom1.comyHdlscom2.comhacenqueelclientePXEseinicieenelAsistenteparainstalacindeclientesslocuando elsistemabsicodeentrada/salida(BIOS)intentauniniciodered.EstosarchivosseinstalandemanerapredeterminadaconRIS. Hdlscom1.n12 y Hdlscom2.n12.Ensistemascompatiblesconlaredireccindelaconsoladefirmware,estosarchivosnomuestranlaopcinque indica que se presione la tecla F12 para iniciar la red y no esperan a que intervenga el usuario. Cuando use uno de estos archivos, el cliente PXE se iniciarsiempreenelAsistenteparainstalacindeclientescuandoelBIOSintenteuniniciodered. TodaslasversionesdeStartrom.comespecficasdelosServiciosdeadministracindeemergenciacuentanconelBIOSpararedirigirsuinformacinde salidaalpuertodeadministracinfueradebandayalatarjetadevdeo,sihayunaconectada.LosServiciosdeadministracindeemergenciaestn disponiblesconunatarjetadevdeoosinella. Para usar un archivo Hdlscomx.com o Hdlscomxn12,tienequecambiarprimerosunombreporStartrom.comy,despus,copiarloenelservidorBINLSVC. Demanerapredeterminada,estosarchivosestnubicadosenlacarpetanombreDeServidor\reminst\oschooser\i386, donde nombreDeServidor es el nombredelservidorRISenelqueseestejecutandoelBINLSVC.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc785783(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc779921(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc786442(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
IniciarelequipoyutilizarlaConsoladerecuperacin
Para iniciar el equipo y utilizar la Consola de recuperacin
1. 2. 3. 4. 5. IntroduzcaeldiscocompactodeinstalacinyreinicieelequipodesdelaunidaddeCD. Cuandoseinicielapartedetextodelprogramadeinstalacin,sigalasindicacionesparaelegirlaopcinderepararorecuperar,presioneR. Sitieneunsistemadeiniciodualomltiple,elijalainstalacinalaquenecesiteteneraccesodesdelaConsoladerecuperacin. Cuandoselesolicite,escribalacontraseadelacuentadeadministradorlocal. Enelsmbolodelsistema,escribaloscomandospertinentesdelaConsoladerecuperacinescribahelp para obtener una lista de comandos o helpnombreDeComando para obtener ayuda acerca de un comando determinado. 6. ParasalirdelaConsoladerecuperacinyreiniciarelequipo,escribaexit. Importante ComolaConsoladerecuperacinesbastanteeficaz,serecomiendaqueslolautilicenusuariosavanzadosoadministradoresdesistemas. LamayorpartedelasvecesnecesitarlacontraseadelacuentadeadministradorintegradaparautilizarlaConsoladerecuperacin. PuededefinirlaopcinConsoladerecuperacin:permitireliniciodesesinadministrativoautomticodelaseccinOpcionesdeseguridad deConfiguracindeseguridadlocal.CambiarestaopcinlepermitiriniciarlaConsoladerecuperacinsintenerqueproporcionarlacontraseade administrador.Paraobtenermsinformacin,consulte"Consoladerecuperacin:permitireliniciodesesinadministrativoautomtico"y"Modificar laconfiguracindeseguridadlocal"enTemasrelacionados,alfinaldeestapgina. Seaprecavidoalhabilitarestaopcin.PermitirquecualquierpersonaconaccesofsicoaunequipoinicielaConsoladerecuperacinytenga acceso a sus comandos.
Vea tambin
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc776861(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc736833(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc737733(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc727913(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc758168(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/cc776592(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
ComandosdelaConsoladerecuperacin
Comandos de la Consola de recuperacin
ConlaConsoladerecuperacinpuedenutilizarseloscomandossiguientes.Paraobtenermsinformacinacercadecadacomando,escribaelnombredel comando seguido de /?enlaConsoladerecuperacin. ParaobtenermsinformacinacercadelaConsoladerecuperacin,consultelaseccinrelativaalasherramientasparasolucionarproblemasenelsitio Web de Kits de recursos de Microsoft Windows1. Attrib Cambia los atributos de un archivo o un directorio. Batch Ejecuta los comandos especificados en el archivo de texto. Bootcfg Configuracinyrecuperacindelarchivodeinicio(boot.ini). ChDir (Cd) Muestra el nombre del directorio actual o cambia el directorio actual. Chkdsk Comprueba el estado de un disco y muestra un informe de estado. Cls Borra el contenido de la pantalla. Copy Copiaunarchivoaotraubicacin. Delete (Del) Eliminaunoomsarchivos. Dir Muestra una lista de los archivos y subdirectorios de un directorio. Disable Deshabilita un servicio del sistema o un controlador de dispositivo. Diskpart Administra las particiones de los discos duros. Enable Inicia o habilita un servicio del sistema o un controlador de dispositivo. Exit SaledelaConsoladerecuperacinyreiniciaelequipo. Expand Extrae un archivo de un archivo comprimido. Fixboot Escribeunnuevosectordeiniciodeparticinenlaparticindelsistema. Fixmbr Reparaelsectordeinicioprincipaldelsectordeiniciodelaparticin. Format Formatea un disco. Help MuestraunalistadeloscomandosquepuedeutilizarenlaConsoladerecuperacin. Listsvc Enumera los servicios y los controladores disponibles en el equipo. Logon IniciaunasesindeinstalacindelsistemaoperativoWindows. Map Muestra las asignaciones de letras de unidad. Mkdir (Md) Crea un directorio. Ms(Tipo) Muestra un archivo de texto. Rename (Ren) Cambia el nombre de un archivo. Rmdir (Rd) Elimina un directorio. Set Muestra y establece variables de entorno. Systemroot Estableceeldirectorioactualcomoeldirectoriorazdelsistemaenelquehainiciadolasesin.
Tabla de vnculos
1http://go.microsoft.com/fwlink/?LinkId=4652
2012Microsoft.Reservadostodoslosderechos.
Prcticasrecomendadasdeseguridad
Prcticas recomendadas Restringir el acceso fsico a los equipos, especialmente si son controladores de dominio, a personal de confianza
Elaccesofsicoaunservidorconstituyeunelevadoriesgodeseguridad.Elaccesofsicodeunusuarionoautorizadoaunservidorpodradarcomo resultadoelaccesoadatosnoautorizadosolamodificacineinstalacindehardwareosoftwarediseadoparasaltarselaseguridad.Para mantenerunentornoseguro,debelimitarelaccesofsicoatodoslosservidoresyalhardwaredered.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc781763(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc772672(v=ws.10).aspx 3http://go.microsoft.com/fwlink/?LinkID=3688 4http://technet.microsoft.com/es-es/library/cc780807(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc783856(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/cc756109(v=ws.10).aspx 7http://go.microsoft.com/fwlink/?LinkId=102 8http://go.microsoft.com/fwlink/?LinkID=6037 9http://technet.microsoft.com/es-es/library/cc779601(v=ws.10).aspx 10http://technet.microsoft.com/es-es/library/cc778162(v=ws.10).aspx 11http://technet.microsoft.com/es-es/library/cc785804(v=ws.10).aspx 12http://technet.microsoft.com/es-es/library/cc739214(v=ws.10).aspx 13http://technet.microsoft.com/es-es/library/cc738786(v=ws.10).aspx 14http://technet.microsoft.com/es-es/library/cc779411(v=ws.10).aspx 15http://technet.microsoft.com/es-es/library/cc757894(v=ws.10).aspx 16http://technet.microsoft.com/es-es/library/cc757576(v=ws.10).aspx 17http://technet.microsoft.com/es-es/library/cc739377(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Valor nombreDeUsuario
Descripcin Especificalascredencialesdeusuarioqueseutilizarnalejecutarelprogramaespecificado.Puedeutilizarel formato usuario@ dominio o dominio\usuario. Especifica el nombre de programa y la ruta de acceso al mismo que desea abrir con las credenciales de usuario especificadas. Por ejemplo, para abrir Usuarios y equipos de Active Directory, utilice el siguiente comando:
"mmc %windir%\system32\dsa.msc" Para abrir un determinado archivo con el Bloc de notas, utilice el siguiente comando: "notepad c:\miArchivo.txt\"
Notas Paraabrirelsmbolodelsistema,hagaclicenInicio, seleccione Todos los programas, Accesoriosy,acontinuacin,hagaclicenSmbolodel sistema. El uso del comando runas no se limita a las cuentas de administrador. Puede utilizar el comando runasparainiciarunprogramaenelcontextodeunacuentadeadministrador.Elcontextodeadministradorslose utilizaparaeseprogramaespecficoysloestdisponiblehastaqueelprogramasecierre. Tambinpuedeutilizarelcomandorunasparainiciardosinstanciasindependientesdeunaaplicacinadministrativa,comoDominiosyconfianzas deActiveDirectory.Cadainstanciasepuededirigiraundominioobosquediferenteparaejecutarlastareasdeadministracinentredominioso entrebosquesdeformamseficaz. Algunos programas no admiten el comando runas. Siintentainiciarunprograma,comounelementodeMicrosoftManagementConsole(MMC)odelPaneldecontrol,desdeunaubicacindered medianteelcomandorunas,podraproducirseunerrorsilascredencialesutilizadasparaconectarconelrecursocompartidosondiferentesdelas utilizadas para iniciar el programa. Es posible que las credenciales utilizadas para ejecutar el programa no puedan tener acceso al mismo recurso compartido.Paraobtenermsinformacinacercadecmosolucionarproblemasrelacionadosconelcomandorunas, vea Temas relacionados. Si se produce un error en el comando runas,esposiblequenoseestejecutandoelservicioIniciodesesinsecundario.Paraobtenerms informacinacercadecmoiniciarunservicio,veaTemasrelacionados.
Vea tambin
Runas4 Utilizar Ejecutar como5 Porqunodebetrabajarenelequipocomoadministrador3 Diferenciasenlaconfiguracindeseguridadpredeterminada6 Configuracindeseguridadpredeterminadaparagrupos7 Iniciar, detener, hacer una pausa, reanudar o reiniciar un servicio8 Crear un acceso directo mediante el comando runas9
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc776861(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc738764(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc780702(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc772672(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc780931(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/cc772745(v=ws.10).aspx 7http://technet.microsoft.com/es-es/library/cc773320(v=ws.10).aspx 8http://technet.microsoft.com/es-es/library/cc736564(v=ws.10).aspx 9http://technet.microsoft.com/es-es/library/cc781769(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Runas
Runas
Permiteaunusuarioejecutarherramientasyprogramasespecficosconpermisosdiferentesdelosqueproporcionaeliniciodesesinactualdelusuario.
Sintaxis
runas [{/profile | /noprofile}] [/env] [/netonly] [/savedcreds] [/smartcard] [/showtrustlevels] [/trustlevel] /user:nombreDeCuentaDeUsuario"nombreDePrograma rutaDeAccesoAlArchivoDelPrograma"
Parmetros
/profile Carga el perfil del usuario. /profileeslaopcinpredeterminada. /no profile Especifica que no se va a cargar el perfil del usuario. Permitequelaaplicacinsecargaconmsrapidez,perotambinpuedehacerquealgunas aplicaciones no funcionen correctamente. /env Especificaqueseutilizarelentornoderedactualenlugardelentornolocaldelusuario. /netonly Indicaquelainformacindeusuarioespecificadasloesparaaccesoremoto. /savedcreds Indica si este usuario ha guardado anteriormente las credenciales. /smartcard Indica si las credenciales las va a proporcionar una tarjeta inteligente. /showtrustlevels Muestra las opciones de /trustlevel. /trustlevel Especificaelniveldeautorizacinenelquesevaaejecutarlaaplicacin.Paraverlosnivelesdeconfianzadisponibles,utilice/showtrustlevels. /user: nombreDeCuentaDeUsuario " nombreDePrograma rutaDeAccesoAlArchivoDelPrograma " Especificaelnombredelacuentadeusuarioenlaqueseejecutarelprograma,elnombredelprogramaylarutadeaccesoalarchivodel programa. El formato de la cuenta de usuario debe ser usuario@ dominio o dominio\nombreDeUsuario. /? MuestraAyudaenelsmbolodelsistema.
Notas
Serecomiendaalosadministradoresutilizarunacuentaconpermisosrestrictivospararealizartareasrutinariasynoadministrativas,ascomo utilizarunacuentaconpermisosmenosrestrictivosslopararealizartareasadministrativasespecficas.Paraconseguirlosintenerquecerrare iniciarsesin,concteseconunacuentadeusuariohabitualyutiliceelcomandorunas para ejecutar las herramientas que requieran los permisos menos restrictivos. Para obtener ejemplos del uso del comando runas, vea Temas relacionados. Aunque el comando runassesueleutilizarconcuentasdeadministrador,suusonoestrestringidonicamenteaestetipodecuentas.Cualquier usuario con varias cuentas puede utilizar este comando para ejecutar un programa, una consola MMC o un elemento del Panel de control con credenciales alternativas. SideseautilizarlacuentaAdministradorensuequipo,paraelparmetro/user: , escriba una de las siguientes opciones: /user:nombreDeCuentaDeAdministrador@ nombreDeEquipo /user:nombreDeEquipo\nombreDeCuentaDeAdministrador SI desea utilizar este comando como administrador de dominio, escriba una de las opciones siguientes: /user:nombreDeCuentaDeAdministrador@ nombreDeEquipo /user:nombreDeDominio\nombreDeCuentaDeAdministrador Con el comando runas, puede ejecutar programas (*.exe), consolas MMC guardadas (*.msc), accesos directos a programas y a consolas MMC guardadas,yelementosdelPaneldecontrol.Puedeejecutarestosprogramascomoadministradormientrasinicialasesinenelequipocomo miembro de otro grupo, por ejemplo, el grupo Usuarios o Usuarios avanzados. Puede utilizar el comando runasparainiciarcualquierprograma,unaconsolaMMCounelementodelPaneldecontrol.Siproporcionalainformacin decuentadeusuarioydecontraseacorrectas,lacuentadeusuariotienelacapacidaddeiniciarsesinenelequipo,yelprograma,consolaMMC oelementodelPaneldecontrolestardisponibleenelsistemayparalacuentadeusuario. Con el comando runas, puede administrar un servidor en otro bosque (el equipo desde el que ejecuta una herramienta y el servidor que administra estnendominiosdiferentes). Siintentainiciarunprograma,unaconsolaMMCounelementodelPaneldecontroldesdeunaubicacinderedmedianterunas, es posible que se produzcan errores, ya que las credenciales utilizadas para conectar con el recurso compartido de red son diferentes de las utilizadas para iniciar el programa.Esposiblequestasnopuedanteneraccesoalmismorecursocompartidodered. Algunos elementos, como la carpeta Impresoras y los elementos del escritorio, se abren indirectamente y no se pueden iniciar con el comando runas. Si se producen errores en el comando runas, es posible que el servicio Iniciodesesinsecundarionoseestejecutandooquelacuentade usuarioqueutilizanoseavlida.ParacomprobarelestadodelservicioIniciodesesinsecundario,enAdministracindeequipos,hagaclicen Servicios y aplicacionesy,acontinuacin,enServicios.Paraprobarlacuentadeusuario,intenteiniciarlasesineneldominioapropiadocon dicha cuenta.
Ejemplos
Parainiciarunainstanciadelsmbolodelsistemacomoadministradorenelequipolocal,escriba: runas /user: nombreDeEquipoLocal \administrator cmd Escribalacontraseadeladministradorcuandolasolicite. ParainiciarunainstanciadelcomplementoAdministracindeequiposmedianteunacuentadeadministradordedominiodenominada dominioCompaa\adminDominio,escriba: runas/user:dominioCompaa\adminDominio"mmc%windir%\system32\compmgmt.msc"
Escribalacontraseadelacuentacuandoselesolicite. Para iniciar una instancia del Bloc de notas mediante una cuenta de administrador de dominio denominada usuario en el dominio dominio.microsoft.com, escriba: runas /user:usuario@dominio.microsoft.com "notepad mi_archivo.txt" Escribalacontraseadelacuentacuandoselesolicite. Parainiciarunainstanciadeunaventanadelsmbolodelsistema,unaconsolaMMCguardada,unelementodelPaneldecontrolounprogramaque administrarunservidordeotrobosque,escriba: runas /netonly /user: dominio \ nombreDeUsuario " comando " dominio \ nombreDeUsuariodebeserunusuarioconsuficientespermisosparaadministrarelservidor.Escribalacontraseadelacuentacuandosele solicite.
Leyenda de formato
Formato Cursiva
Significado Informacinquedebesuministrarelusuario Elementos que debe escribir el usuario exactamente como se muestran Parmetroquesepuederepetirvariasvecesenunalneade comandos Elementos opcionales
Negrita
Entre corchetes ([]) Entre llaves ({}); opciones separadas por barras verticales (|). Ejemplo: {par|impar}
Conjuntodeopcionesdelasqueelusuariodebeelegirslouna
Courier font
Cdigooresultadodelprograma
Vea tambin
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc756086(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc778084(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc737438(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc781769(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Control de acceso
Control de acceso
Paraprotegerunequipoysusrecursos,debetenerencuentalosderechosquetendrnlosusuarios.Puedeprotegerunequipoovariossiconcede derechosdeusuarioespecficosausuariosogrupos.Para proteger un objeto, por ejemplo un archivo o una carpeta, asigne permisos con los que los usuarios o grupos puedan realizar acciones determinadas en ese objeto. Para obtener sugerencias acerca del control de acceso, vea Prcticasrecomendadasdecontroldeacceso1. Paraobtenerayudacontareasespecficas,veaProcedimientos de control de acceso2. Paraobtenerinformacinbsicageneral,veaConceptos de control de acceso3.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc778399(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc738865(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc740104(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Prcticasrecomendadasdecontroldeacceso
Prcticas recomendadas
Prcticasrecomendadasparapermisosyderechosdeusuario1 PrcticasrecomendadasparaasignarpermisosdeobjetosdeActiveDirectory2
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc779601(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc786285(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Prcticasrecomendadasparapermisosyderechosdeusuario
Prcticas recomendadas para permisos y derechos de usuario Asignar permisos a grupos en vez de a usuarios
Comonoesmuyeficazmantenercuentasdeusuariodirectamente,laasignacindepermisosporusuariodeberealizarseexcepcionalmente.
Si es posible, se debe evitar cambiar las entradas de permiso predeterminadas de objetos del sistema de archivos, en especial de las carpetas del sistema y las carpetas raz
Cambiarlospermisospredeterminadospodraprovocarproblemasdeaccesoinesperadosoreducirlaseguridad.
Asignar permisos a un objeto en el nivel ms alto posible del rbol y, luego, aplicar herencia para propagar la configuracin de seguridad por el rbol
Puedeaplicarrpidayeficazmentelaconfiguracindecontroldeaccesoatodoslosobjetossecundariosoaunsubrboldeunobjetoprincipal.De estamanera,selogranlosmejoresresultadosconelmenoresfuerzo.Laconfiguracindepermisosqueestablezcadebeseradecuadaparala mayoradelosusuarios,gruposyequipos.
Para los permisos en objetos de Active Directory, hay que asegurase de haber comprendido las prcticas recomendadas especficas para objetos de Active Directory
ActiveDirectorytienesupropioconjuntodeprcticasrecomendadasrelativasalospermisos.Paraobtenermsinformacin,veaPrcticas recomendadas para asignar permisos de objetos de Active Directory3 Paraobtenermsinformacin,veaAsignar derechos de usuario para el equipo local4 y Definir, ver, cambiar o quitar permisos de archivos y carpetas5. Notas LospermisosDenegarheredadosnoimpidenelaccesoaunobjetosistecuentaconunaentradadepermisoexplcitoPermitir. Lospermisosexplcitostienenprioridadsobrelospermisosheredados,incluidoslospermisosDenegarheredados.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc772881(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc740217(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc786285(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc739028(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc780121(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Plantillas de seguridad
Plantillas de seguridad
Unaplantilladeseguridadesunarchivoquerepresentaunaconfiguracindeseguridad.Lasplantillasdeseguridadsepuedenaplicaraunequipolocal, importar a un objeto de directiva de grupo o utilizar para analizar la seguridad. Antes de continuar, vea Listadecomprobacin:protegerlosequiposmedianteelAdministradordeconfiguracindeseguridad1. Si desea obtener sugerencias sobre el uso de las plantillas de seguridad, vea Prcticasrecomendadasparaplantillasdeseguridad2. Paraobtenerayudaacercadetareasespecficas,veaSecurity Templates How To ...3. Paraobtenerinformacingeneral,veaSecurity Templates Concepts4. Paraobtenerinstruccionessobrecmosolucionarproblemas,veaSecuring Data Troubleshooting5. Otras herramientas de directivas de seguridad:
Descripcin Puede utilizar esta herramienta para analizar o configurar la seguridad de los equipos, utilizando una plantilla de seguridad. Puedeutilizarestaherramientaparamodificarlaconfiguracindeseguridadindividualdeundominio,sitio o unidad organizativa de Active Directory.
Puedeutilizarestaherramientaparamodificarlaconfiguracindeseguridadindividualdelequipolocal.
Puedeutilizarestaherramientaparaautomatizartareasdeconfiguracindeseguridad.
Paraobtenermsinformacinacercadecadaopcindeseguridad,veaDescripcindelaconfiguracindeseguridad10.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc756995(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc757576(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/dd996705(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/dd996691(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/dd349322(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/cc742482(v=ws.10).aspx 7http://technet.microsoft.com/es-es/library/dd349323(v=ws.10).aspx 8http://technet.microsoft.com/es-es/library/cc755686(v=ws.10).aspx 9http://technet.microsoft.com/es-es/library/cc742472(v=ws.10).aspx 10http://technet.microsoft.com/es-es/library/cc739828(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Privilegios
Privilegios
Parafacilitarlatareadeadministrarcuentasdeusuario,deberaasignarprivilegiosprincipalmenteacuentasdegrupo,enlugardeacuentasdeusuario individuales.Alasignarprivilegiosaunacuentadegrupo,alosusuariosselesasignarnautomticamenteesosprivilegioscuandopasenaformarparte delgrupo.Estemtododeadministrarprivilegiosesmsfcilqueasignarprivilegiosindividualesacadacuentadeusuariocuandosecree. En la tabla siguiente se muestran y describen los privilegios que se pueden conceder a un usuario.
Privilegio
Descripcin Estederechodeusuariopermitequeunprocesosuplanteacualquierusuariosinautenticacin.De esta forma, el proceso puede obtener acceso a los mismos recursos locales que el usuario.
LosprocesosquerequierenesteprivilegiodeberanutilizarlacuentasistemaLocal, que ya incluye este privilegio, en lugar de una cuenta deusuarioindependientealaquesehaasignadoesteprivilegioespecficamente.Silaorganizacinutilizanicamenteservidoresqueson miembros de la familia de servidores de Windows Server 2003, no es necesario asignar este privilegio a los usuarios. Sin embargo, si la organizacinutilizaservidoresqueejecutanWindows2000oWindowsNT4.0,esposiblequetengaqueasignaresteprivilegiopara utilizaraplicacionesqueintercambiancontraseasdetextosimple. Valor predeterminado: Sistema local. Estaconfiguracindeseguridaddeterminalosgruposousuariosquepuedenagregarestacionesdetrabajoaundominio.
Sloesvlidaencontroladoresdedominio.Demanerapredeterminada,cualquierusuarioautenticadotienederechoacrearhasta10 Agregar cuentas de equipo en el dominio. estaciones de Al agregar una cuenta de equipo al dominio, al equipo se le permite participar en redes basadas en Active Directory. Por ejemplo, al trabajo a un agregarunaestacindetrabajoaundominio,sehabilitaalaestacinparaquereconozcacuentasygruposqueexistanenActive dominio Directory. Valor predeterminado: Usuarios autenticados en controladores de dominio. Esteprivilegiodeterminaquinpuedecambiarlamemoriamximaqueunprocesopuedeconsumir. Ajustar las cuotas de EstederechodeusuarioestdefinidoenelobjetodeDirectivadegrupo(GPO)predeterminadodelcontroladordedominioyenla memoria de un directiva de seguridad local de estaciones de trabajo y servidores. proceso Valor predeterminado: Administradores. Realizar copias Este derecho de usuario determina los usuarios que pueden omitir los permisos de archivos y directorios, del Registro y de otros objetos de seguridad persistentes con el fin de realizar copias de seguridad del sistema. de archivos y Valor predeterminado: Administradores y Operadores de copia de seguridad. directorios Estederechodeusuariodeterminalosusuariosquepuedenrecorrerlosrbolesdedirectoriosaunquenotenganpermisosparael directoriorecorrido.Esteprivilegionopermitealusuariomostrarelcontenidodeundirectorio,sloledaelderechoarecorrerlos directorios. EstederechodeusuarioestdefinidoenelobjetodeDirectivadegrupo(GPO)predeterminadodelcontroladordedominioyenla directiva de seguridad local de estaciones de trabajo y servidores. Saltarse la comprobacin de recorrido Valor predeterminado: En estaciones de trabajo y servidores: Administradores Operadores de copia de seguridad Usuarios avanzados Usuarios Todos En controladores de dominio: Administradores Usuarios autenticados Este derecho de usuario determina los usuarios y grupos que pueden cambiar la fecha y hora del reloj interno del equipo. Los usuarios que tengan asignado este derecho pueden modificar la apariencia de los registros de sucesos. Si se cambia la hora del sistema, los sucesos registradosreflejarnestanuevahoraynolahorarealenlaqueseprodujeron. EstederechodeusuarioestdefinidoenelobjetodeDirectivadegrupo(GPO)predeterminadodelcontroladordedominioyenla directiva de seguridad local de estaciones de trabajo y servidores. Cambiar la hora del sistema Valor predeterminado: En estaciones de trabajo y servidores: Administradores Usuarios avanzados En controladores de dominio: Administradores Operadores de servidores Permitealusuariocrearycambiareltamaodeunarchivodepaginacin.Paraello,seespecificauntamaodearchivodepaginacin para una unidad determinada en Opciones de rendimiento, en la ficha Avanzadas de Propiedades del sistema. Valor predeterminado: Administradores
Permiteaunprocesocrearunsmboloquesepuedeutilizarparateneraccesoacualquierrecursolocalcuandoelprocesoutilice NtCreateToken()uotraAPIdecreacindesmbolos. Crear un Se recomienda que los procesos que requieren este privilegio utilicen la cuenta LocalSystem, que ya incluye este privilegio, en lugar de objetosmbolo utilizar una cuenta de usuario independiente a la que se ha asignado este privilegio. Valor predeterminado: ninguno Crear objetos EstaopcindeseguridaddeterminaqucuentaspuedencrearobjetosglobalesenunasesindeServiciosdeTerminalServer. globales Valor predeterminado: Administradores y Sistema local. Permite que un proceso cree un objeto de directorio en el administrador de objetos de la familia de servidores de Windows Server 2003 y Crear objetos eladministradordeobjetosdeWindowsXPProfessional.Esteprivilegioestilparacomponentesenmododencleoqueextiendenel espaciodenombresdelosobjetos.Loscomponentesqueseejecutanenelmododencleoyatienenesteprivilegioasignado,noes compartidos permanentes necesario asignarlo. Valor predeterminado: ninguno Estederechodeusuariodeterminalosusuariosquepuedenasignarundepuradoracualquierprocesooalncleo.Noesnecesarioasignar este derecho de usuario a los programadores que depuran sus propias aplicaciones. Sin embargo, los programadores que depuren nuevos componentesdelsistemanecesitarnestederechodeusuarioparapoderhacerlo.Estederechodeusuarioproporcionaaccesocompleto a componentes confidenciales y esenciales del sistema operativo. Valor predeterminado: Administradores Sistema local EstaconfiguracindeseguridaddeterminalosusuariosquepuedenestablecerlaconfiguracinSeconfaparadelegacin en un objeto de usuario o equipo. Habilitar la confianza para ladelegacin de las cuentas de usuario y de equipo El usuario o el objeto al que se concede este privilegio debe tener acceso de escritura a los indicadores de control de cuenta del objeto deusuariooequipo.Unprocesodeservidorqueseejecutaenunequipo(oenuncontextodeusuario)enelqueseconfaparala delegacinpuedeteneraccesoarecursosenotroequipomediantelascredencialesdelegadasdelcliente,siemprequelacuentadel cliente no tenga activado el indicador de control de cuenta La cuenta es importante y no se puede delegar. EstederechodeusuarioestdefinidoenelobjetodeDirectivadegrupo(GPO)predeterminadodelcontroladordedominioyenla directiva de seguridad local de estaciones de trabajo y servidores. Valor predeterminado: En controladores de dominio: Administradores Estaconfiguracindeseguridaddeterminalosusuariosalosquesepermiteapagarunequipodesdeunaubicacinremotadelared.El usoincorrectodeestederechodeusuariopuededarlugaraunadenegacindeservicio. Forzar el apagado desde un sistema remoto EstederechodeusuarioestdefinidoenelobjetodeDirectivadegrupo(GPO)predeterminadodelcontroladordedominioyenla directiva de seguridad local de estaciones de trabajo y servidores. Valor predeterminado: En estaciones de trabajo y servidores: Administradores. En controladores de dominio: Administradores, Operadores de servidor Estaconfiguracindeseguridaddeterminalascuentasquepuedeutilizarunprocesoparaagregarentradasalregistrodeseguridad.El registro de seguridad se utiliza para realizar un seguimiento del acceso no autorizado al sistema. El uso incorrecto de este derecho de usuariopuededarlugaralageneracindemuchossucesosdeauditora,quepodranocultarlaexistenciadeunataqueuocasionarla denegacindeserviciosilaconfiguracindeladirectivadeseguridadAuditora:apagarelsistemadeinmediatosinopuede registrarauditorasdeseguridadesthabilitada.Paraobtenermsinformacin,veaAuditora:apagarelsistemadeinmediatosino puederegistrarauditorasdeseguridad1. Valor predeterminado: Sistema local. Suplantar a un Estaopcindeseguridaddeterminaqucuentaspuedensuplantaraotrascuentas. cliente despusdela Valor predeterminado: Administradores y Servicio. autenticacin EstaconfiguracindeseguridaddeterminalascuentasquepuedenutilizarunprocesoconelaccesoPropiedaddeescrituraaotro procesoparaaumentarlaprioridaddeejecucinasignadaalotroproceso.Unusuarioconesteprivilegiopuedecambiarlaprioridadde programacindeunprocesoatravsdelainterfazdeusuariodelAdministradordetareas. Valor predeterminado: Administradores.
Depurar programas
Estederechodeusuariodeterminalosusuariosquepuedencargarydescargardeformadinmicacontroladoresdedispositivosuotro Cargar y cdigoenmododencleo.EstederechodeusuarionoseaplicaacontroladoresdedispositivosPlugandPlay.Serecomiendanoasignar descargar este privilegio a otros usuarios. Utilice en su lugar la API StartService(). controladores de dispositivo Valor predeterminado: Administradores. Se recomienda no asignar este privilegio a otro usuario. Los controladores de dispositivos se ejecutan como programas de confianza (o con privilegios altos). Estaconfiguracindeseguridaddeterminalascuentasquepuedenutilizarunprocesoparamantenerdatosenlamemoriafsica,conlo que se evita que el sistema pagine los datos en la memoria virtual de disco. El uso de este privilegio puede afectar de forma significativa al rendimiento del sistema, al disminuir la cantidad de memoria de acceso aleatorio (RAM) disponible. Valor predeterminado: ninguno. Ciertos procesos del sistema tienen el privilegio de forma inherente.
Estaconfiguracindeseguridaddeterminalosusuariosquepuedenespecificarlasopcionesdeauditoradeaccesoaobjetospara recursos individuales como archivos, objetos de Active Directory y claves del Registro. Estaconfiguracindeseguridadnopermitealusuariohabilitarlaauditoradeaccesoaarchivosyobjetosengeneral.Parahabilitarla,la Administrar los opcinAuditar el acceso a objetos2debeestarconfiguradaenConfiguracindelequipo\ConfiguracindeWindows\Configuracinde registros de seguridad\Directivaslocales\Directivasdeauditora. auditoray seguridad LossucesosauditadossemuestranenelregistrodeseguridaddelVisordesucesos.Unusuarioconesteprivilegiotambinpodrvery borrar el registro de seguridad. Valor predeterminado: Administradores. Estaconfiguracindeseguridaddeterminaquinpuedemodificarvaloresdeentornodefirmware.Lasvariablesdeentornodefirmware sonopcionesalmacenadasenlamemoriaRAMnovoltildelosequiposnobasadosenx86.Elefectodeestaconfiguracindependedel procesador. Enequiposbasadosenx86,elnicovalordeentornodefirmwarequepuedemodificarsemediantelaasignacindeestederechode usuarioeslaopcinLaltimaconfiguracinbuenaconocida,queslodebesermodificadaporelsistema. EnequiposbasadosenItanium,lainformacindeiniciosealmacenaenmemoriaRAMnovoltil.Losusuariosdebentenerasignado este derecho de usuario para ejecutar bootcfg.exeymodificarlaopcinSistemaoperativopredeterminadoenInicio y recuperacin, en Propiedades del sistema. En todos los equipos, este derecho de usuario es necesario para instalar o actualizar Windows. Valor predeterminado: Administradores Sistema local Hacer perfil de Estaconfiguracindeseguridaddeterminalosusuariosquepuedenutilizarlasherramientasdesupervisindelrendimientoconesefinen procesos que no son del sistema. un solo proceso Valor predeterminado: Administradores, Usuarios avanzados, Sistema local. Hacer perfil del rendimiento del sistema
Reemplazar un smbolode EstederechodeusuarioestdefinidoenelobjetodeDirectivadegrupopredeterminadodelcontroladordedominioyenladirectivade proceso seguridad local de las estaciones de trabajo y servidores. Valor predeterminado: Servicio local y Servicio de red. Estaconfiguracindeseguridaddeterminalosusuariosquepuedenomitirlospermisosdearchivos,dedirectorios,delRegistroydeotros objetos persistentes al restaurar copias de seguridad de archivos y directorios, y los usuarios que pueden establecer un principal de seguridadvlidocomopropietariodeunobjeto. Enconcreto,estederechodeusuarioesequivalenteaconcederlossiguientespermisosalusuarioogrupoencuestinparatodoslos archivos y carpetas del sistema: Recorrer carpeta o ejecutar archivo Escritura Valor predeterminado: Estaciones de trabajo y servidores: Administradores, Operadores de copia de seguridad. Controladores de dominio: Administradores, Operadores de copia de seguridad, Operadores de servidor. Estaconfiguracindeseguridaddeterminalosusuariosquehaniniciadounasesinlocalmenteenelequipoypuedencerrarelsistema operativo mediante el comando Apagar. Elusoincorrectodeestederechodeusuariopuededarlugaraunadenegacindeservicio. Apagar el sistema Valor predeterminado: Estaciones de trabajo: Administradores, Operadores de copia de seguridad, Usuarios avanzados y Usuarios. Servidores: Administradores, Operadores de copia de seguridad, Usuarios avanzados. Controladoresdedominio:Opers.decuentas,Administradores,Operadoresdecopia,Opers.deservidoresyOpers.deimpresin. Sincronizar datos del servicio de directorio Tomar posesinde archivos y otros objetos
Estaconfiguracindeseguridaddeterminalosusuariosquepuedentomarposesindecualquierobjetoquesepuedaprotegerenel sistema, como objetos de Active Directory, archivos y carpetas, impresoras, claves del Registro, procesos y subprocesos. Valor predeterminado: Administradores
Algunosdeestosprivilegiospuedensuplantaralospermisosestablecidosparaunobjeto.Porejemplo,unusuarioquehayainiciadounasesinenuna cuenta de dominio que pertenezca al grupo Operadores de copia tiene derecho a realizar tareas de copia de seguridad en todos los servidores del dominio. Sin embargo, esto requiere la capacidad de leer todos los archivos en estos servidores, incluso los archivos para los que sus propietarios han establecidopermisosquedenieganexplcitamenteelaccesoatodoslosusuarios(incluidoslosmiembrosdelgrupoOperadoresdecopia).Underechode usuario, en este caso el derecho a realizar copias de seguridad, tiene prioridad sobre todos los permisos de archivos y directorios. Paraobtenermsinformacin,veaDerechosdeiniciodesesin3, Derechos de usuario4 y HerramientasdelAdministradordeconfiguracindeseguridad5. Nota Enunsmbolodelsistema,puedeescribirwhoami /priv para ver sus privilegios. Paraobtenermsinformacinacercadelcomandowhoami, vea Whoami6.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc739010(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc776774(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc728212(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc778337(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/dd349318(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/cc773267(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Auditora:apagarelsistemadeinmediatosinopuederegistrar auditorasdeseguridad
Auditora: apagar el sistema de inmediato si no puede registrar auditoras de seguridad Descripcin
Estaconfiguracindeseguridaddeterminasielsistemaseapagacuandonopuederegistrarsucesosdeseguridad. Sisehabilitaestaopcindeconfiguracindeseguridad,elsistemasedetendrcuandonopuedaregistrarunaauditoradeseguridadporalgnmotivo. Generalmente,unsucesonosepuederegistrarcuandoelregistrodeauditoradeseguridadestllenoyelmtododeretencinespecificadoparael archivo de registro es No sobrescribir sucesos o Sobrescribirsucesospordas. Sielregistrodeseguridadestlleno,nosepuedesobrescribirunaentradaexistenteyestaopcindeseguridadesthabilitada,aparecerelerrorgrave siguiente: ERRORGRAVE:C0000244{Errordeauditora} Erroralintentargenerarunaauditoradeseguridad. Paraprocederalarecuperacin,unadministradordebeiniciarsesin,archivarelregistro(opcional),borrarelregistroyrestablecerestaopcincomose desee.Hastaquenoserestablezcaestaconfiguracindeseguridad,ningnusuario,exceptolosmiembrosdelgrupoAdministradores,podriniciaruna sesinenelsistema,aunqueelregistrodeseguridadnoestlleno. Nota Cuandoseestableceestaconfiguracindeseguridad,loscambiosnosurtenefectohastaquesereiniciaWindows. Valor predeterminado: Deshabilitado.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc736516(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc776394(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/dd349318(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Modificarlaconfiguracindeseguridadenunobjetodedirectivade grupo
Para modificar una opcin de configuracin de seguridad en un objeto de directiva de grupo
Elijaelentornoadecuadoenelquedeseamodificarunaopcindeconfiguracindeseguridad: Para el equipo local Paraunobjetodedirectivadegrupo,siestenunaestacindetrabajoounservidorquesehaunidoaundominio. Paraunobjetodedirectivadegrupo,siestenuncontroladordedominiooenunaestacindetrabajoquetengainstaladoelPaquetede herramientasdeadministracindeWindowsServer2003. Sloparacontroladoresdedominio,siestenuncontroladordedominio.
Para un objeto de directiva de grupo, si est en una estacin de trabajo o un servidor que se ha unido a un dominio.
1. En la barra de tareas, haga clic en Inicio, seleccione Ejecutar, escriba mmc y haga clic en Aceptar. 2. Enlaconsola,enelmenArchivo, haga clic en Agregar o quitar complemento. 3. En Agregar o quitar complemento, haga clic en Agregar y,acontinuacin,enAgregar un complemento independiente, haga doble clic en Editor de objetos de directiva de grupo. 4. En Seleccionar un objeto de directiva de grupo, haga clic en Examinar, busque el objeto de directiva que desee modificar y haga clic en Finalizar. 5. Haga clic en Cerrary,despus,hagaclicenAceptar. 6. Enelrboldelaconsola,hagaclicenConfiguracindeseguridad. Dnde? DirectivaObjetodedirectivadegrupo[nombreDeEquipo]\Configuracindelequipo\ConfiguracindeWindows\Configuracindeseguridad 7. Realice una de estas acciones: Para modificar la Directivadecontraseas, la Directiva de bloqueo de cuentas o la Directiva Kerberos, en el panel de detalles, haga doble clic en Directivas de cuentas. Para modificar la Directivadeauditora, la Asignacindederechosdeusuario o las Opciones de seguridad, en el panel de detalles, haga doble clic en Directivas locales. Paramodificarlaconfiguracindelregistrodesucesos,enelrboldelaconsola,hagaclicenRegistro de sucesos. 8. Enelpaneldedetalles,hagadobleclicenlaopcindeconfiguracindeseguridadquedeseemodificar. 9. (Opcional)Siestaopcinnosehadefinidotodava,activelacasilladeverificacinDefinirestaconfiguracindedirectiva. 10. Modifiquelaopciny,despus,hagaclicenAceptar. Nota Parallevaracaboesteprocedimiento,debesermiembrodelgrupoAdministradoresdedominioodelgrupoAdministradoresdeorganizacinde ActiveDirectory,obiendebetenerdelegadalaautoridadcorrespondiente.Comoprcticarecomendadadeseguridad,considerelaposibilidadde utilizarlaopcinEjecutarcomoparallevaracaboesteprocedimiento.Paraobtenermsinformacin,veaGrupos locales predeterminados1, Grupos predeterminados2 y Utilizar Ejecutar como3.
Para un objeto de directiva de grupo, si est en un controlador de dominio o en una estacin de trabajo que tenga instalado el Paquete de herramientas de administracin de Windows Server 2003.
1. Abra Usuarios y equipos de Active Directory. 2. Enelrboldelaconsola,hagaclicconelbotnsecundariodel<i>mouse</i>(ratn)enelobjetodedirectivadegrupocuyaconfiguracinde seguridad desee modificar. 3. Haga clic en Propiedadesy,acontinuacin,enlafichaDirectiva de grupo. 4. Realice una de estas acciones: Para modificar un objeto de directiva de grupo existente, haga clic en Modificar. Para crear un objeto de directiva de grupo nuevo, haga clic en Nuevoy,acontinuacin,hagaclicenModificar. 5. Enelrboldelaconsola,hagaclicenConfiguracindeseguridad. Dnde? DirectivaObjetodedirectivadegrupo[nombreDeEquipo]\Configuracindelequipo\ConfiguracindeWindows\Configuracindeseguridad 6. Realice una de estas acciones: Para modificar la Directivadecontraseas, la Directiva de bloqueo de cuentas o la Directiva Kerberos, haga clic en Directivas de cuentas. Para modificar la Directivadeauditora, la Asignacindederechosdeusuario o las Opciones de seguridad, haga clic en Directivas locales. Paramodificarlaconfiguracindelregistrodesucesos,hagaclicenRegistro de sucesos. 7. Enelpaneldedetalles,hagadobleclicenlaopcindeconfiguracinquedeseemodificar. 8. (Opcional)Siestaopcinnosehadefinidotodava,activelacasilladeverificacinDefinirestaconfiguracindedirectiva. 9. Modifiquelaopciny,despus,hagaclicenAceptar. Notas Parallevaracaboesteprocedimiento,debesermiembrodelgrupoAdministradoresdedominioodelgrupoAdministradoresdeorganizacinde ActiveDirectory,obiendebetenerdelegadalaautoridadcorrespondiente.Comoprcticarecomendadadeseguridad,considerelaposibilidadde utilizarlaopcinEjecutarcomoparallevaracaboesteprocedimiento.Paraobtenermsinformacin,veaGrupos locales predeterminados1, Grupos
predeterminados2 y Utilizar Ejecutar como3. Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, en Panel de control, haga doble clic en Herramientas administrativas y, acontinuacin,hagadobleclicenUsuarios y equipos de Active Directory.
Vea tambin
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc785098(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc756898(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc780931(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc776861(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc772621(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/cc778512(v=ws.10).aspx 7http://technet.microsoft.com/es-es/library/cc739377(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
563
Nota los sistemas de archivos utilizan este suceso cuando el indicador FILE_DELETE_ON_CLOSE se especifica en CreateFile().
564 565
Se ha eliminado un objeto protegido. Se ha concedido acceso a un tipo de objeto ya existente. Se ha utilizado un permiso asociado a un identificador. Nota
567 un identificador se crea con determinados permisos concedidos (Lectura, Escritura, etc.). Cuando se emplea el identificador, segenerahastaunaauditoraparacadaunodelospermisosutilizados.
568 569
570
Nota segenerarunsucesoparacadaoperacinquesehayaintentadoenelobjeto.
774 775 776 777 778 779 780 781 782 783 784 785 786 787 788 789 790 791 792 793 794 795 796 797 798 799 800 801
ServiciosdeCertificateServerrevocuncertificado. ServiciosdeCertificateServerrecibiunasolicitudparapublicarlalistaderevocacindecertificados(CRL). ServiciosdeCertificateServerpubliclalistaderevocacindecertificados(CRL). Seharealizadounaextensindesolicituddecertificados. Semodificaronunoomsatributosdesolicituddecertificados. ServiciosdeCertificateServerrecibiunasolicitudparacerrar. La copia de seguridad de Servicios de Certificate Server se ha iniciado. La copia de seguridad de Servicios de Certificate Server ha finalizado. LarestauracindeServiciosdeCertificateServerhacomenzado. LarestauracindeServiciosdeCertificateServerhafinalizado. Servicios de Certificate Server iniciados. Servicios de Certificate Server detenidos. Los permisos de seguridad para Servicios de Certificate Server han cambiado. Servicios de Certificate Server ha recuperado una clave archivada. Servicios de Certificate Server ha importado un certificado en su base de datos. ElfiltrodeauditoraparaServiciosdeCertificateServerhacambiado. Servicios de Certificate Server ha recibido una solicitud de certificado. Servicios de Certificate Server ha aprobado certificado solicitado y ha emitido un certificado. ServiciosdeCertificateServerhadenegadounapeticindecertificado. ServiciosdeCertificateServerestablecielestadodeunasolicituddecertificadocomopendiente. LaconfiguracindeladministradordecertificadosparaServiciosdeCertificateServerhacambiado. UnaentradadeconfiguracinenServiciosdeCertificateServerhacambiado. Una propiedad de Servicios de Certificate Server ha cambiado. ServiciosdeCertificateServerarchivunaclave. ServiciosdeCertificateServerimportyarchivunaclave. ServiciosdeCertificateServerpublicuncertificado. Unaomsfilassehaneliminadodelabasededatosdecertificados. Separacindefuncioneshabilitada.
Paraobtenermsinformacinacercadelossucesosdeseguridad,veaSucesos de seguridad2 en el sitio Web de kits de recursos de Microsoft Windows. Paraobtenermsinformacin,consulte: Auditar el acceso del servicio de directorio3 Directivadeauditora4 Prcticasrecomendadasparaauditarsucesosdeseguridad5 HerramientasdelAdministradordeconfiguracindeseguridad6
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc787268(v=ws.10).aspx 2http://go.microsoft.com/fwlink/?LinkId=101 3http://technet.microsoft.com/es-es/library/cc728087(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc779526(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc778162(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/dd349318(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
PrcticasrecomendadasparaasignarpermisosdeobjetosdeActive Directory
Prcticas recomendadas para asignar permisos de objetos de Active Directory
ParaobtenerinformacinacercadelaseguridadyelcontroldeaccesoenActiveDirectory,veaProteger Active Directory1 y Control de acceso en Active Directory2.
Evitar conceder permisos de Control total sobre un objeto o una unidad organizativa
ConcederpermisosdeControltotallespermitetomarposesindeunobjetoymodificarsuspermisos.Sialguientienecontroltotalenun contenedor,puedetomarposesindetodoslosobjetosdeesecontenedorytenercontroltotalsobreellos.Mientrasseaposible,enlugarde permitircontroltotal,proporcioneslolospermisosqueelusuarionecesita.
Cuando sea posible, asignar derechos de acceso en un nivel ms amplio en lugar de asignar derechos de usuario individuales
Alreducirelnmerodeentradasdecontroldeaccesoaumentarelrendimiento. Permita "Leer todas las propiedades" o "Escribir todas las propiedades" en lugar de propiedades individuales. Permita acceso de lectura y escritura a conjuntos de propiedades en lugar de a propiedades individuales. Unconjuntodepropiedadesesunacoleccindeatributos.Porejemplo,elconjuntodepropiedadesInformacinpersonalincluyelosatributos direccin,ttulopersonal,etc.Aldefinirelaccesoparaelconjuntodepropiedades,setieneaccesoautomticamenteatodoslosatributos contenidos en dicho conjunto de propiedades. Permita "Crear todos los objetos secundarios" o "Eliminar todos los objetos secundarios", en lugar de especificar objetos secundarios individuales. Permita "Todos los derechos extendidos" en lugar de permitir derechos extendidos individuales. Permita "Todas las escrituras validadas" en lugar de permitir derechos validados individuales. Nota Hay veces que asignar permisos individuales es adecuado. Por ejemplo, si un operador de asistencia al cliente necesita acceso de escritura a dos propiedades de un objeto de usuario, tiene sentido utilizar una entrada de control de acceso (ACE) para cada una de ellas, en lugar de intentar usarslounaACEconcediendoaccesodeescrituraatodoelobjetodeusuario.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc728372(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc785913(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc758122(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc728117(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Forzarquelosusuariosdeldominioutilicencontraseasseguras.
Vea Contraseasseguras7. Directiva de grupo Vea Directivadeauditora8. Directiva de grupo Vea Tipos de grupos9.
Asignar derechos de usuario a los nuevos grupos de seguridad, de forma quepuedadefinirespecficamentelafuncinadministrativadeunusuario en el dominio.
Aplicar los bloqueos de cuentas en las cuentas de usuario para reducir la Directiva de grupo posibilidad de que un intruso ponga en peligro el dominio mediante repetidos intentosdeiniciodesesin. Vea Cuentas de usuarios y equipos10. Directiva de grupo Vea Forzarelhistorialdecontraseas11. Directiva de grupo Vea Duracinmnimadelacontrasea12, Duracinmximadela contrasea13. Infraestructuradeclavespblicas Vea Implementarunainfraestructuradeclavespblicas14. Ejecutar como Vea Utilizar Ejecutar como15. Grupos de seguridad Vea Tipos de grupos9. Filtrado de SID Evitarataquesdeusuariosmalintencionadosquepodranintentarconceder Veaeldocumentoacercadecmoutilizarelfiltradodeidentificadoresde derechos de usuario elevados a otra cuenta de usuario. seguridad(SID)paraimpedirataquesdeelevacindeprivilegios(eningls) en el sitio Web de Microsoft16. Tarjetas inteligentes Vea Introduccinalastarjetasinteligentes17. Syskey Vea Utilidad de clave del sistema18.
Aplicarladuracinmximaymnimadelacontraseaenlascuentasde usuario para reducir la posibilidad de que un intruso ponga en peligro el dominio.
Proporcionarautenticacindeusuariodifcildemanipularyseguridadde correoelectrnico.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc779033(v=ws.10).aspx 2http://go.microsoft.com/fwlink/?LinkId=4564 3http://go.microsoft.com/fwlink/?LinkId=4565 4http://technet.microsoft.com/es-es/library/cc759623(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc756898(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/cc755700(v=ws.10).aspx 7http://technet.microsoft.com/es-es/library/cc756109(v=ws.10).aspx 8http://technet.microsoft.com/es-es/library/cc779526(v=ws.10).aspx 9http://technet.microsoft.com/es-es/library/cc781446(v=ws.10).aspx 10http://technet.microsoft.com/es-es/library/cc759279(v=ws.10).aspx 11http://technet.microsoft.com/es-es/library/cc758950(v=ws.10).aspx 12http://technet.microsoft.com/es-es/library/cc779758(v=ws.10).aspx 13http://technet.microsoft.com/es-es/library/cc736566(v=ws.10).aspx 14http://technet.microsoft.com/es-es/library/cc776679(v=ws.10).aspx 15http://technet.microsoft.com/es-es/library/cc780931(v=ws.10).aspx 16http://go.microsoft.com/fwlink/?LinkID=7582 17http://technet.microsoft.com/es-es/library/cc778536(v=ws.10).aspx 18http://technet.microsoft.com/es-es/library/cc783856(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
InformacindeseguridadparaActiveDirectory
Informacin de seguridad para Active Directory
ActiveDirectoryproporcionaunentornodedirectorioseguroparasuorganizacinpormediodedosdelascaractersticasprincipalesdelaAutoridadde seguridadlocal(LSA):laautenticacindeiniciodesesinylaautorizacindeusuariosintegradas.Laautenticacindeliniciodesesinylaautorizacin delusuarioestndisponiblesdeformapredeterminadayproporcionanproteccininmediataparaelaccesoalaredyparalosrecursosdered. ParaobtenerinformacinacercadeotrasherramientasdeseguridadquepuedeemplearparaunamayorproteccindeActiveDirectory,veaProteger Active Directory1 y PrcticasrecomendadasdeActiveDirectory2.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc728372(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc778219(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc785913(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc728278(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc786873(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/cc781446(v=ws.10).aspx 7http://technet.microsoft.com/es-es/library/cc756898(v=ws.10).aspx 8http://go.microsoft.com/fwlink/?LinkId=4734 9http://go.microsoft.com/fwlink/?LinkId=4564 10http://go.microsoft.com/fwlink/?LinkId=4565
2012Microsoft.Reservadostodoslosderechos.
PrcticasrecomendadasdeActiveDirectory
Prcticas recomendadas
Comoprcticarecomendadadeseguridad,serecomiendaquenoinicieunasesinenelequipoconcredencialesadministrativas. Sihainiciadounasesinenelequiposincredencialesadministrativas,puedeutilizarEjecutarcomoparallevaracabolastareasadministrativas. Paraobtenermsinformacin,veaPorqunodebetrabajarenelequipocomoadministrador1 y Utilizar Ejecutar como2. ParaofrecerproteccinadicionalenActiveDirectory,serecomiendaqueimplementelassiguientesnormasdeseguridad: Cambie el nombre o deshabilite la cuenta Administrador (y la cuenta de invitado) en todos los dominios para evitar intrusiones en los dominios.Paraobtenermsinformacin,veaCuentas de usuarios y equipos3. Protejafsicamentetodosloscontroladoresdedominioenunasalacerrada.Paraobtenermsinformacin,veaControladores de dominio4 y Proteger Active Directory5. Administrarlarelacindeseguridadentredosbosquesysimplificarlaadministracindeseguridadylaautenticacinentrebosques.Para obtenermsinformacin,veaConfianzas de bosque6. ParaproporcionarproteccinadicionalparaelesquemadeActiveDirectory,quitetodoslosusuariosdelgrupoAdministradoresdeesquemay agregueunusuarioalgruposlocuandoseanecesariorealizarcambiosenelesquema.Unavezrealizadoelcambio,quiteelusuariodel grupo. Restrinjaelaccesodeusuarios,gruposyequiposalosrecursoscompartidosyalaconfiguracindeDirectivadegrupodefiltros.Para obtenermsinformacin,veaTipos de grupos7. ProcurenodeshabilitarelusodetrficoLDAPcifradoofirmadoparalasherramientasadministrativasdeActiveDirectory.Paraobtenerms informacin,veaConectar con controladores de dominio que ejecutan Windows 20008. Algunosderechosdeusuariopredeterminadosasignadosagrupospredeterminadosespecficospuedenpermitiralosmiembrosdeesosgrupos obtenerderechosadicionaleseneldominio,incluidosderechosadministrativos.Portanto,suorganizacindebeconfiardeigualmodoen todaslaspersonasqueseanmiembrosdelosgruposAdministradoresdeorganizacin,Administradoresdedominio,Operadoresdecuentas, Operadoresdeservidores,OperadoresdeimpresinyOperadoresdecopiadeseguridad.Paraobtenermsinformacinacercadeestos grupos, vea Grupos predeterminados9. Utilice grupos globales o universales en lugar de grupos locales de dominio al especificar permisos en los objetos del directorio de dominio replicadosenelcatlogoglobal.Sideseaobtenermsinformacin,veaReplicacindelcatlogoglobal10. ParaobtenerinformacindeseguridadgeneralacercadeActiveDirectory,veaInformacindeseguridadparaActiveDirectory11 y Proteger Active Directory5. Establezcacomounsitiotodaslasreasgeogrficasquerequieranaccesorpidoalainformacindedirectoriomsreciente. AlestablecercomositiosindependienteslaszonasquerequierenteneraccesoinmediatoainformacinactualizadadeActiveDirectory,lesest dotando de los recursos necesarios. Paraobtenermsinformacin,veaCrear un sitio12. Coloquealmenosuncontroladordedominioencadasitioyhagaqueunodeloscontroladoresdedominiodelsitio,comomnimo,sea uncatlogoglobal. Lossitiosquenodisponendesuspropioscontroladoresdedominioyde,almenos,uncatlogoglobaldependendeotrossitiosparaobtenerla informacindedirectorioyson,portanto,menoseficaces. Paraobtenermsinformacin,veaHabilitarodeshabilitaruncatlogoglobal13. Realicecopiasdeseguridadperidicasdeloscontroladoresdedominioparaconservartodaslasrelacionesdeconfianzadeldominio. Paraobtenermsinformacin,veaControladores de dominio4.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc780702(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc780931(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc759279(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc759623(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc728372(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/cc755700(v=ws.10).aspx 7http://technet.microsoft.com/es-es/library/cc781446(v=ws.10).aspx 8http://technet.microsoft.com/es-es/library/cc778458(v=ws.10).aspx 9http://technet.microsoft.com/es-es/library/cc756898(v=ws.10).aspx 10http://technet.microsoft.com/es-es/library/cc759007(v=ws.10).aspx 11http://technet.microsoft.com/es-es/library/cc779033(v=ws.10).aspx 12http://technet.microsoft.com/es-es/library/cc728152(v=ws.10).aspx 13http://technet.microsoft.com/es-es/library/cc758330(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Porqunodebetrabajarenelequipocomoadministrador
Por qu no debe trabajar en el equipo como administrador
Si utiliza el equipo como miembro del grupo Administradores, hace que el sistema sea vulnerable a los caballos de Troya y a otros riesgos para la seguridad.ElsimplehechodevisitarunsitioInternetoabrirunarchivoadjuntoalcorreoelectrnicopuedeserperjudicialparaelsistema.Unsitio InternetdesconocidoounarchivoadjuntoalcorreoelectrnicopuedenincluirelcdigodeuncaballodeTroya,quepodradescargarseenelsistemay ejecutarse. Siiniciasesincomoadministradordeunequipolocal,elcaballodeTroyapodraformateareldiscoduro,eliminarelarchivoycrearunanuevacuentade usuarioconaccesoadministrativo.SiiniciasesincomomiembrodelosgruposAdministradoresdeldominio,Administradorescorporativoso AdministradoresdelesquemadeActiveDirectory,uncaballodeTroyapodracrearunanuevacuentadeusuariodedominioconaccesoadministrativoy ponerasenpeligroelesquema,laconfiguracinolosdatosdeldominio. En un equipo local se recomienda agregar la cuenta de usuario de dominio nicamente al grupo Usuarios (y nunca al grupo Administradores) para realizar lastareashabituales,comolaejecucindeprogramasylaexploracinenInternet.Sinecesitarealizartareasadministrativasenelequipolocaloen Active Directory, use Ejecutar como para iniciar un programa con credenciales administrativas. <b>Ejecutar como</b> permite realizar tareas administrativas sin poner en peligro el equipo ni los datos almacenados en Active Directory. Para obtener msinformacin,veaUtilizar Ejecutar como1.ParaobtenermsinformacinacercadecmoutilizarEjecutarcomo,veaEjecutar un programa con credenciales administrativas2. Sinecesitarealizartareasadministrativas,comoactualizarelsistemaoperativooconfigurarparmetrosdelsistema,cierrelasesinyvuelvaainiciarla como administrador.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc780931(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc781763(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc780702(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc781763(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc772672(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc781769(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Escriba runas /user: nombreDeEquipo \administrator cmd runas /user: nombreDeEquipo \administrator "mmc %windir%\system32\compmgmt.msc" runas /user: nombreDeDominio \administrator "mmc %windir%\system32\dsa.msc" runas /netonly /user: nombreDeDominio \ nombreDeUsuario "mmc %windir%\system32\dsa.msc"
Administracindeequiposconcredencialesadministrativas
Notas Para llevar a cabo esta tarea no es necesario contar con credenciales administrativas. Por lo tanto, para garantizar la mayor seguridad, se recomienda realizar esta tarea como usuario sin credenciales administrativas. Utiliceesteprocedimientosidesearealizartareasadministrativascuandoinicialasesincomomiembrodeotrogrupo.Elusodelcomandorunas no estlimitadoalascuentasdeadministrador. EnMicrosoftManagementConsole(MMC)nosemuestranlascredencialesconlasqueseejecuta.Tngaloencuentaalutilizarelcomandorunas. Algunos programas no admiten el comando runas. Siintentainiciarunprograma,porejemplounaconsolaMMCounelementodelPaneldecontrol,desdeunaubicacinderedmedianteelcomando runas, puede producirse un error si las credenciales utilizadas para conectar con el recurso compartido son diferentes de las utilizadas para iniciar el programa. Es posible que las credenciales utilizadas para ejecutar el programa no puedan tener acceso al mismo recurso compartido. Para obtenermsinformacinacercadecmosolucionarproblemasrelacionadosconelcomandorunas, vea los Temas relacionados. Si se produce un error en el comando runas,esposiblequenoseestejecutandoelservicioIniciodesesinsecundario.Paraobtenerms informacinacercadecmoiniciarunservicio,vealostemasrelacionados.
Vea tambin
Solucionar problemas de Usuarios y grupos locales2 Porqunodebetrabajarenelequipocomoadministrador3 Porqunodebetrabajarenelequipocomoadministrador3 Diferenciasenlaconfiguracindeseguridadpredeterminada4 Configuracindeseguridadpredeterminadaparagrupos5 Runas6 Utilizar Ejecutar como7 Iniciar, detener, hacer una pausa, reanudar o reiniciar un servicio8
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc776861(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc738764(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc780702(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc772745(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc773320(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/cc772672(v=ws.10).aspx 7http://technet.microsoft.com/es-es/library/cc780931(v=ws.10).aspx 8http://technet.microsoft.com/es-es/library/cc736564(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Cuentas de usuario
El contenedor Usuarios ubicado en Usuarios y equipos de Active Directory incluye tres cuentas de usuario integradas: Administrador, Invitado y Asistente deayuda.Estascuentasdeusuariointegradassecreanautomticamentealcreareldominio. Cadacuentaintegradatieneunacombinacindiferentedederechosypermisos.LacuentaAdministradortienelosderechosypermisosmsamplios sobre el dominio, mientras que la cuenta Invitado tiene derechos y permisos limitados. En la siguiente tabla se describe cada una de las cuentas de usuario predeterminadas en los controladores de dominio que ejecutan Windows Server 2003.
Cuenta de usuario Descripcin predeterminada La cuenta Administrador tiene control total sobre el dominio y puede asignar derechos de usuario y permisos de control de acceso a los usuariossegnseanecesario.Slodebeutilizarestacuentaparaaquellastareasquerequierancredencialesadministrativas.Se recomiendaconfigurarlaconunacontraseasegura.Paraobtenermsinformacin,consulteContraseasseguras5. Para conocer otras consideraciones acerca de la seguridad de las cuentas con credenciales administrativas, vea PrcticasrecomendadasdeActive Directory6. La cuenta Administrador es un miembro predeterminado de los grupos Administradores, Administradores de dominio, Administradores de organizacin,PropietariosdelcreadordedirectivasdegrupoyAdministradoresdeesquemaenActiveDirectory.Lacuenta Administrador nunca se puede eliminar ni quitar del grupo Administradores, pero es posible cambiarle el nombre o deshabilitarla. Como essabidoquelacuentaAdministradorexisteenmuchasversionesdeWindows,silecambiaelnombreoladeshabilitadificultarel accesoaellaausuariosmalintencionados.Paraobtenermsinformacinacercadecmocambiarelnombredeunacuentadeusuario o deshabilitarla, vea Cambiar el nombre de una cuenta de usuario local7 o Deshabilitar o habilitar una cuenta de usuario8. LacuentaAdministradoreslaprimeracuentaquesecreacuandoseinstalaunnuevodominioconelAsistenteparainstalacinde Active Directory. ImportanteAunquelacuentaAdministradorestdeshabilitada,puedeseguirusndoseparaobteneraccesoauncontrolador de dominio con el modo a prueba de errores. LacuentaInvitadoslolautilizanlosusuariosquenoposeenunacuentarealeneldominio.Unusuarioconsucuentadeshabilitada (peronoeliminada)tambinpuedeutilizarlacuentaInvitado.LacuentaInvitadonorequiereningunacontrasea. Cuenta Invitado Puede asignar derechos y permisos para la cuenta Invitado de la misma forma que para cualquier cuenta de usuario. De forma predeterminada, la cuenta Invitado es miembro del grupo integrado Invitados y del grupo global Invitados del dominio, que permite a un usuarioiniciarunasesinenundominio.LacuentaInvitadoestdeshabilitadadeformapredeterminada,yserecomiendaque permanezcaas.
Cuenta Administrador
Cuenta Asistente de ayuda (se instala con una sesinde Asistencia remota)
participe en la red, mediante Usuarios y equipos de Active Directory. Cada cuenta de usuario, incluidas las cuentas Administrador y Invitado, puede agregarse a un grupo para controlar los derechos y permisos asignados a la cuenta. Al usar las cuentas y grupos apropiados para la red se garantiza que losusuariosqueseconectanaunaredsepuedanidentificaryslopuedanteneraccesoalosrecursospermitidos. Puedecontribuiradefendersudominiocontraposiblesintrusosexigiendocontraseasseguraseimplementandounadirectivadebloqueodecuentas.Las contraseassegurasreducenelriesgodesuposicionesinteligentesyataquesdediccionariocontralascontraseas.Paraobtenermsinformacin,vea Contraseasseguras5 y Practicasrecomendadasdecontraseas10paracontraseas. Unadirectivadebloqueodecuentasreducelaposibilidaddequeunintrusopongaenpeligroeldominiomedianterepetidosintentosdeiniciodesesin. Paraello,ladirectivadebloqueodecuentasdeterminacuntosintentosdeiniciodesesinincorrectospuedetenerunacuentadeusuarioantesdeser deshabilitada.Paraobtenermsinformacin,veaAplicar o modificar la directiva de bloqueo de cuentas11. Paraobtenermsinformacinacercadecmoprotegerlascuentasdeusuario,veaProteger Active Directory12.
Opciones de cuentas
CadacuentadeusuariodeActiveDirectorytienevariasopcionesdecuentaquedeterminancmoseautenticaenlaredaunusuarioquehainiciadouna sesinconesacuentadeusuarioenparticular.Puedeusarlassiguientesopcionesparaconfigurarlosvaloresdecontraseaeinformacinespecficade la seguridad para cuentas de usuario:
Opcinde cuenta
Descripcin
El usuario debe cambiar lacontrasea Obligaaunusuarioamodificarsucontrasealaprximavezqueinicieunasesinenlared.Utiliceestaopcincuandodeseeasegurarse en el dequeelusuariovaaserlanicapersonaquevaasabersucontrasea. siguiente inicio de sesin El usuario no puede Impidealusuariocambiarsucontrasea.Utiliceestaopcincuandodeseecontrolarunacuentadeusuario,comounacuentatemporalo cambiar la una cuenta de invitado. contrasea La contrasea nunca caduca
Impidequecaduqueunacontraseadeusuario.Serecomiendaquelascuentasdeserviciotenganhabilitadaestaopcinyqueseutilicen contraseasseguras.Paraobtenermsinformacinacercadecontraseasseguras,veaContraseasseguras5.
Almacenar contraseas PermitealusuarioiniciarunasesinenunareddeWindowsdesdeequiposApple.Siunusuarionovaainiciarunasesindesdeunequipo utilizando Apple,nodebeutilizarestaopcin.Paraobtenermsinformacin,veaAlmacenarcontraseasusandocifradoreversible13. cifrado reversible Impidequelosusuariosinicienunasesinconlacuentaseleccionada.Muchosadministradoresusancuentasdeshabilitadascomoplantillas Cuenta deshabilitada paracuentasdeusuariocomunes.Paraobtenermsinformacin,veaDeshabilitar o habilitar una cuenta de usuario8. La tarjeta inteligente es necesaria para un inicio desesin interactivo
Estaopcinpermiteaunservicioqueseejecuteconestacuentarealizaroperacionesennombredeotrascuentasdeusuariodelared. Unservicioqueseejecuteconunacuentadeusuario(denominadatambincuentadeservicio)queseadeconfianzaparaladelegacin puede suplantar a un cliente para tener acceso a los recursos del equipo donde se ejecuta el servicio o de otros equipos. En un bosque establecidoenelnivelfuncionaldeWindowsServer2003,estaopcinseencuentraenlafichaDelegacinysloestdisponiblepara cuentas a las que se han asignado nombres principales de servicio (SPN), establecidos mediante el comando setspn de las herramientas Seconfaen desoportedeWindows.Setratadeunfuncinimportanteparalaseguridadydebeasignarseconprecaucin.Paraobtenerms la cuenta informacin,veaPermitirqueseconsidereaunusuariodeconfianzaparaladelegacin16 y Delegarlaautenticacin17. para su EstaopcinsloestdisponibleencontroladoresdedominioqueejecutenWindowsServer2003enlosquelasfuncionesdedominioestn delegacin establecidas en modo mixto o nativo de Windows 2000. En los controladores de dominio que ejecuten Windows Server 2003 donde el nivel funcionaldedominioestestablecidoenWindowsServer2003,seutilizalafichaDelegacinparaconfigurarlosvaloresdedelegacin.La ficha DelegacinsloapareceparalascuentasquetienenunSPNasignado.Paraobtenermsinformacinacercadelasfuncionesde dominios, vea Funcionalidad de dominios y bosques18.Paraobtenermsinformacinsobrecmoseconfiguraladelegacinenundominio de Windows Server 2003, vea Permitirqueseconsidereaunusuariodeconfianzaparaladelegacin16. La cuenta es importante y Permiteelcontrolsobreunacuentadeusuario,comounacuentaInvitadootemporal.Estaopcinsepuedeutilizarsiestacuentano no se puede puedeserasignadaparadelegacinporotracuenta. delegar Usar tipos de ProporcionacompatibilidadconelEstndardecifradodedatos(DES,Data Encryption Standard). DES admite varios niveles de cifrado, cifrado DES entrelosqueseincluyenMPPEestndar(40bits),MPPEestndar(56bits),MPPEdealtonivel(128bits),IPSecDES(40bits),IPSecDES para esta de56bitseIPSecDESTriple(3DES).ParaobtenermsinformacinacercadelcifradoDES,veaCifrado de datos19. cuenta
Proporciona compatibilidad con implementaciones alternativas del protocolo Kerberos. Los controladores de dominio que ejecuten Windows No pedir la autenticacin 2000oWindowsServer2003puedenutilizarotrosmecanismosparasincronizarlahora.Puestoquelaautenticacinpreviaproporciona seguridadadicional,tengaprecaucinalhabilitarestaopcin.ParaobtenermsinformacinacercadeKerberos,veaAutenticacin Kerberos previa Kerberos V520.
Cuentas InetOrgPerson
Active Directory admite la clase de objeto InetOrgPerson y sus atributos asociados definidos en RFC 2798. La clase de objetos InetOrgPerson se utiliza envariosserviciosdedirectorioLDAPyX.500quenosondeMicrosoftpararepresentaralaspersonasdeunaorganizacin. La compatibilidad con InetOrgPerson permite realizar migraciones desde otros directorios LDAP a Active Directory con mayor eficacia. El objeto InetOrgPerson se deriva de la clase de usuario y se puede utilizar como un principal de seguridad al igual que la clase de usuario. Para obtener informacinacercadecmocrearunacuentadeusuarioInetOrgPerson,veaCrear una cuenta de usuario nueva21. Cuando el nivel funcional del dominio se ha establecido en Windows Server 2003, puede establecer el atributo userPassword de InetOrgPerson y los objetosdeusuarioenlacontraseavigente,comoocurreconelatributounicodePwd.
Cuentas de equipo
Todos los equipos que ejecutan Windows NT, Windows 2000, Windows XP o un servidor que ejecute Windows Server 2003 que se unen a un dominio tienen una cuenta de equipo. Las cuentas de equipo son similares a las cuentas de usuario y ofrecen un medio para autenticar y auditar el acceso a la reddelosequiposyelaccesoalosrecursosdeldominio.Cadacuentadeequipodebesernica. NotaLosequiposqueejecutanWindows95yWindows98notienencaractersticasdeseguridadavanzadasynotienencuentasdeequipoasignadas. Lascuentasdeusuarioydeequiposepuedenagregar,deshabilitar,restableceryeliminarconUsuariosyequiposdeActiveDirectory.Tambinsepuede crearunacuentadeequipocuandoseuneunequipoyundominio.Paraobtenermsinformacinacercadelascuentasdeequipoyusuario,veaUso de nombres en Active Directory22 y Nombres de objeto23. Cuando el nivel funcional del dominio se ha establecido en Windows Server 2003, se utiliza un nuevo atributo lastLogonTimestamp para realizar un seguimientodelltimoiniciodesesindeunacuentadeusuariooequipo.Esteatributosereplicaeneldominioypuedeproporcionarinformacin importante sobre el historial de un usuario o equipo.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc785913(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc779033(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc755427(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc776489(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc756109(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/cc778219(v=ws.10).aspx 7http://technet.microsoft.com/es-es/library/cc738626(v=ws.10).aspx 8http://technet.microsoft.com/es-es/library/cc781527(v=ws.10).aspx 9http://go.microsoft.com/fwlink/?LinkId=38573 10http://technet.microsoft.com/es-es/library/cc784090(v=ws.10).aspx 11http://technet.microsoft.com/es-es/library/cc781491(v=ws.10).aspx 12http://technet.microsoft.com/es-es/library/cc728372(v=ws.10).aspx 13http://technet.microsoft.com/es-es/library/cc784581(v=ws.10).aspx 14http://technet.microsoft.com/es-es/library/cc759323(v=ws.10).aspx 15http://technet.microsoft.com/es-es/library/cc778707(v=ws.10).aspx 16http://technet.microsoft.com/es-es/library/cc739474(v=ws.10).aspx 17http://technet.microsoft.com/es-es/library/cc739740(v=ws.10).aspx 18http://technet.microsoft.com/es-es/library/cc738670(v=ws.10).aspx 19http://technet.microsoft.com/es-es/library/cc785633(v=ws.10).aspx 20http://technet.microsoft.com/es-es/library/cc783708(v=ws.10).aspx 21http://technet.microsoft.com/es-es/library/cc784390(v=ws.10).aspx 22http://technet.microsoft.com/es-es/library/cc739093(v=ws.10).aspx 23http://technet.microsoft.com/es-es/library/cc776019(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Descriptores de seguridad
Los permisos de control de acceso se asignan a objetos compartidos y a objetos de Active Directory para controlar el uso que pueden hacer los distintos usuarios de cada objeto. Un objeto compartido, o recurso compartido, es un objeto destinado a ser usado en una red por uno o varios usuarios, como archivos, impresoras, carpetas y servicios. Tanto los objetos compartidos como los objetos de Active Directory almacenan los permisos de control de acceso en descriptores de seguridad. Undescriptordeseguridadcontienedoslistasdecontroldeacceso(ACL)quesirvenparaasignaryrealizarunseguimientodeinformacindeseguridad para cada objeto: la lista de control de acceso discrecional (DACL) y la lista de control de acceso al sistema (SACL). Listas de control de acceso discrecional (DACL). Las DACL identifican los usuarios y grupos que tienen asignados o denegados permisos de accesoaunobjeto.SiunaDACLnoespecificaunusuariodeformaexplcita,olosgruposalosqueperteneceelusuario,sedenegarelaccesoa eseobjetoalusuario.Deformapredeterminada,unaDACLlacontrolaelpropietariodeunobjetoolapersonaquecreelobjetoycontiene entradas de control de acceso (ACE) que determinan el acceso del usuario al objeto. Listas de control de acceso al sistema (SACL). Las SACL identifican los usuarios y los grupos que desea auditar cuando consiguen o no consiguenobteneraccesoaunobjeto.Laauditorasirveparasupervisarsucesosrelacionadosconlaseguridaddelsistemaodelared,para identificarinfraccionesdeseguridadyparadeterminarelalcanceylaubicacindelosdaos.Deformapredeterminada,unaSACLlacontrolael propietariodeunobjetoolapersonaquecreelobjeto.UnaSACLcontieneentradasdecontroldeacceso(ACE)quedeterminansisedeben registrar intentos satisfactorios o insatisfactorios de acceso a un objeto por parte de un usuario con un permiso determinado, como por ejemplo, Control total y Leer. Paraobtenermsinformacinacercadelaauditora,veaConfiguracindelaauditoraenobjetos1. ParaverlasDACLylasSACLdeobjetosdeActiveDirectorymedianteUsuariosyequiposdeActiveDirectory,enelmenVer, haga clic en Caractersticasavanzadas para obtener acceso a la ficha Seguridaddecadaobjeto.Paraobtenermsinformacin,veaAsignar, cambiar o eliminar permisos en los objetos o atributos de Active Directory2.TambinpuedeutilizarlaherramientadesoporteDSACLSparaadministrarlistasdecontrolde accesoenActiveDirectory.Paraobtenermsinformacin,veaHerramientas de soporte de Active Directory3. LasDACLylasSACLestnasociadasdeformapredeterminadacontodoslosobjetosdeActiveDirectory,loquereducelosataquesenlaredporparte de usuarios malintencionados o cualquier error accidental de usuarios del dominio. No obstante, si un usuario malintencionado obtiene un nombre de usuarioyunacontraseadeunacuentaconcredencialesadministrativasenActiveDirectory,subosqueservulnerableaataques.Porestarazn, deberconsiderarlaposibilidaddecambiarelnombreodeshabilitarlacuentadeadministradorpredeterminadayseguirlasprcticasrecomendadas descritas en PrcticasrecomendadasdeActiveDirectory4.
Herencia de objetos
Los objetos de Active Directory heredan ACE de forma predeterminada del descriptor de seguridad que se encuentra ubicado en su objeto de contenedor principal.LaherenciapermiteaplicarlainformacindecontroldeaccesodefinidaenunobjetodecontenedordeActiveDirectoryalosdescriptoresde seguridad de cualquier objeto subordinado, incluidos otros contenedores y sus objetos. Esto elimina la necesidad de aplicar permisos cada vez que se creaunobjetosecundario.Puedemodificarlospermisosheredadosencasonecesario.Noobstante,laprcticarecomendadaesevitarcambiarlos permisospredeterminadosolaconfiguracindeherenciadeobjetosdeActiveDirectory.Paraobtenermsinformacin,veaPrcticasrecomendadaspara asignar permisos de objetos de Active Directory5 y Cambiar los permisos heredados6.
Autenticacin de usuarios
ActiveDirectorytambinautenticayautorizausuarios,gruposyequiposparaquetenganaccesoaobjetosdelared.LaAutoridaddeseguridadlocal (LSA)eselsubsistemadeseguridadresponsabledetodalaautenticacininteractivadeusuariosydelosserviciosdeautenticacindeunequipolocal. LaLSAsirvetambinparaprocesarsolicitudesdeautenticacinrealizadaspormediodelprotocoloKerberosV5oelprotocoloNTLMenActiveDirectory. ParaobtenermsinformacinacercadelaautenticacinKerberos,veaAutenticacinKerberosV57.Paraobtenermsinformacinacercadela autenticacinNTLM,veaAutenticacinNTLM8. UnavezconfirmadaenActiveDirectorylaidentidaddeunusuario,laLSAdelcontroladordedominiodeautenticacingenerauntestigodeaccesode usuario y asocia un Id. de seguridad (SID) al usuario. Testigo de acceso. Cuando se autentica un usuario, la LSA crea un testigo de acceso de seguridad para el usuario. El testigo de acceso contiene el nombre del usuario, los grupos a los que pertenece el usuario, un SID para el usuario y todos los SID de los grupos a los que pertenece el usuario.Siagregaunusuarioaungrupotraslaemisindeltestigodeaccesodeusuario,elusuariodebercerrarlasesinyvolverainiciarlapara que se actualice el testigo de acceso. Id. de seguridad (SID).ActiveDirectoryasignaSIDdeformaautomticaaobjetosdelaentidadprincipaldeseguridadenelmomentodesu creacin.LasentidadesprincipalesdeseguridadsoncuentasdeActiveDirectoryalasquesepuedenasignarpermisos,comoporejemplo,las cuentas de equipo, grupo o usuario. Una vez emitido un SID para el usuario autenticado, se adjunta al testigo de acceso del usuario. Lainformacindeltestigodeaccesosirveparadeterminarelniveldeaccesoaobjetosdelusuariocuandoelusuariointentaobteneraccesoaellos.Los SID del testigo de acceso se comparan con la lista de SID que conforman la DACL del objeto para garantizar que el usuario tenga permisos suficientes para obtener acceso al objeto. Esto se debe a que el proceso de control de acceso identifica las cuentas de usuario por SID en lugar de por nombre. Importante Cuandouncontroladordedominioproporcionauntestigodeaccesoaunusuario,eltestigodeaccesocontienesolamenteinformacinacercadela pertenencia a grupos locales de dominio si los grupos locales de dominio pertenecen al dominio del controlador de dominio. En el caso de objetos de directorioreplicadosenelcatlogoglobal,serequeriranentoncesciertasconsideracionesdeseguridad.Sideseaobtenermsinformacin,vea Replicacindelcatlogoglobal9. Paraobtenermsinformacinacercadelaautenticacin,vea"Iniciodesesinyautenticacin"("LogonandAuthentication")enelsitio Web de kits de recursos de Microsoft Windows10.
Paraobtenermsinformacinacercadelospermisosyelcontroldeacceso,veaIntroduccinalcontroldeacceso11.Paraobtenermsinformacin acercadelaautorizacinyelcontroldeacceso,vea"Autorizacinycontroldeacceso"enelsitio Web de Kits de recursos de Microsoft Windows12. ParaobtenerinformacinacercadelasmedidasdeseguridadadicionalesquesepuedenimplementarparaprotegerActiveDirectory,veaProteger Active Directory13 e InformacindeseguridadparaActiveDirectory14.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc780909(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc757520(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc782713(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc778219(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc786285(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/cc758122(v=ws.10).aspx 7http://technet.microsoft.com/es-es/library/cc783708(v=ws.10).aspx 8http://technet.microsoft.com/es-es/library/cc783005(v=ws.10).aspx 9http://technet.microsoft.com/es-es/library/cc759007(v=ws.10).aspx 10http://go.microsoft.com/fwlink/?LinkId=4564 11http://technet.microsoft.com/es-es/library/cc785144(v=ws.10).aspx 12http://go.microsoft.com/fwlink/?LinkId=4565 13http://technet.microsoft.com/es-es/library/cc728372(v=ws.10).aspx 14http://technet.microsoft.com/es-es/library/cc779033(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Configuracindelaauditoraenobjetos
Configuracin de la auditora en objetos
Cadaobjetodisponedeunconjuntodeinformacindeseguridadoundescriptordeseguridadadjunto.Unapartedeldescriptordeseguridadespecifica losgruposousuariosquepuedenteneraccesoaunobjeto,ascomolostiposdeacceso(permisos)concedidosadichosgruposousuarios.Estaparte del descriptor de seguridad se conoce como lista de control de acceso discrecional (DACL, <i>Discretionary Access Control List</i>). Undescriptordeseguridadparaunobjetotambincontieneinformacindeauditora.Aestainformacindeauditoraselaconocecomolistadecontrol de acceso de sistema (SACL). En concreto, una lista SACL especifica lo siguiente: Las cuentas de grupo o de usuario que se van a auditar al tener acceso al objeto. Lasoperacionesqueseauditarnporcadagrupoousuario,porejemplo,lamodificacindeunarchivo. UnatributoAciertooErrorparacadasucesodeacceso,enfuncindelospermisosconcedidosacadagrupoyusuariodelalistaDACLdelobjeto. Puedeaplicarlaauditoraaunobjetoy,atravsdelaherencia,laauditorasepuedeaplicaracualquierobjetosecundario.Porejemplo,sideseaauditar elaccesoincorrectoaunacarpeta,todoslosarchivosdeesacarpetapuedenheredarestesucesodeauditora.Paraobtenermsinformacin,consulte Cmoafectalaherenciaalaauditoradearchivosycarpetas1. Paraauditararchivosycarpetas,debehaberiniciadounasesincomomiembrodelgrupoAdministradores. Paraobtenermsinformacinacercadelaauditora,consulteAuditar sucesos de seguridad2.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc736421(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc776394(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Cmoafectalaherenciaalaauditoradearchivosycarpetas
Cmo afecta la herencia a la auditora de archivos y carpetas
Despusdeconfigurarlaauditoraenunacarpetaprincipal,losarchivosysubcarpetasnuevosquesecreenendichacarpetaheredanlaauditora.Sino deseaqueheredenlaauditora,enelcuadroAplicar enenelcuadrodedilogoEntradadeauditoraparaarchivo o carpeta, haga clic en Sloen esta carpetacuandoconfigurelaauditoraparalacarpetaprincipal.Enloscasosenquedeseeevitarquesloalgunosarchivososubcarpetashereden laauditora,hagaclicconelbotnsecundariodel<i>mouse</i>(ratn)enelarchivoosubcarpetaencuestin,hagaclicenPropiedades, en la ficha Seguridad, en Avanzada, en la ficha Auditoray,acontinuacin,desactivelacasilladeverificacinHeredar del objeto principal las entradas de auditorarelativasalosobjetossecundarios.Incluirlasjuntoconlasentradasindicadasaqudeformaexplcita. SilascasillasdeverificacinEntradadeauditoraparaarchivo o carpetanoestndisponiblesosi,enConfiguracindecontroldeacceso,elbotn Quitarnoestdisponible,seheredalaauditoradelacarpetaprincipal. Pararealizarcambiosenlaauditoraheredada: Realiceloscambiosenlacarpetaprincipalyelarchivoolacarpetaheredarnlaauditora. En la ficha AuditoradelcuadrodedilogoConfiguracindeseguridadavanzadaparaarchivo o carpeta,desactivelacasilladeverificacin Heredardelobjetoprincipallasentradasdeauditorarelativasalosobjetossecundarios.Incluirlasjuntoconlasentradasindicadas aqudeformaexplcita. Puede hacer clic en Modificar o en Quitarpararealizarcambiosoquitarlaauditora.Sinembargo,elarchivoola carpetanoheredarnloscambiosdeauditoradelacarpetaprincipal. Paraobtenermsinformacin,consulteAuditar sucesos de seguridad1.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc776394(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc787413(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc778162(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc727935(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc738320(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Listadecomprobacin:configurarlaauditoradeaccesoaobjetos
Lista de comprobacin: configurar la auditora de acceso a objetos
Paso
Referencia
Consultarlaintroduccinalaauditora. Introduccinalaauditora1 Habilitarlaauditoradelacategorade Definiromodificarlaconfiguracindedirectivadeauditoraparaunacategoradesucesos2 sucesos de acceso a objetos. Aplicaromodificarlaconfiguracindedirectivadeauditoradeunarchivoocarpetalocal3; Aplicar o modificar la configuracindedirectivadeauditoraparaunobjetomedianteDirectivadegrupo4
Aplicarladirectivadeauditoraaun objetoespecfico.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc776489(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc787268(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc784387(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc757864(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Introduccinalaauditora
Introduccin a la auditora
Establecerunadirectivadeauditoraesunaspectoimportanteenlaseguridad.Supervisarlacreacinolamodificacindeobjetospermitehacerun seguimiento de los posibles problemas de seguridad, ayuda a asegurar la responsabilidad del usuario y proporciona pruebas en caso de producirse una infraccinenlaseguridad. Lostiposdesucesosmscomunesqueseauditanson: Acceso a objetos, como archivos y carpetas. Administracindecuentasdeusuariosydegrupos. Usuariosqueinicianycierranlasesindelsistema. Cuandoimplementeunadirectivadeauditora: Especifiquelascategorasdesucesosquedeseaauditar.Entrelosejemplosdecategorasdesucesosestnelinicioycierredesesindelusuario ylaadministracindecuentas.Lascategorasdesucesosqueseleccioneconstituyensudirectivadeauditora.Paraobtenermsinformacin acercadecadacategoradesucesos,veaDirectivadeauditora1. Configureeltamaoyelcomportamientodelregistrodeseguridad.ElregistrodeseguridadsepuedeverconelVisordesucesos.Paraobtenerms informacinacercadelregistrodeseguridad,veaVer registros de seguridad2. Sideseaauditarelaccesoaserviciosdedirectoriooelaccesoaobjetos,determinelosobjetoscuyoaccesodeseasupervisarascomoeltipode acceso. Por ejemplo, si desea auditar los intentos que realizan los usuarios para abrir un determinado archivo, puede configurar la directiva de auditoraenlacategoradesucesosdeaccesoaobjetos,demodoqueseregistrenlosintentoscorrectosyerrneosparaleerunarchivo. Paraobtenermsinformacinacercadecmoconfigurarlaauditoradeaccesoaobjetos,consulte: Aplicaromodificarlaconfiguracindedirectivadeauditoradeunarchivoocarpetalocal3 AplicaromodificarlaconfiguracindedirectivadeauditoraparaunobjetomedianteDirectivadegrupo4 Paraobtenermsinformacinacercadelaauditora,veaAuditar sucesos de seguridad5.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc779526(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc756758(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc784387(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc757864(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc776394(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Directivadeauditora
Directiva de auditora
Antesdeimplementarunadirectivaauditora,debedecidirqucategorasdesucesosdeseaauditar.Laconfiguracindelaauditoraqueelijaparalas categorasdesucesosdefinirladirectivadeauditora.Enlosservidoresyestacionesdetrabajomiembroqueseunenaundominio,laconfiguracinde laauditoraparalascategorasdesucesosnoestdefinidademanerapredeterminada.Enloscontroladoresdedominio,laauditoraestactivadade manerapredeterminada.Aldefinirlaconfiguracindeauditoraparacategorasdesucesosespecficas,puedecrearunadirectivadeauditoraapropiada paralasnecesidadesdeseguridaddesuorganizacin. Lascategorasdesucesosquepuedeelegirparaauditarson: Auditarsucesosdeiniciodesesindecuenta1 Auditarlaadministracindecuentas2 Auditar el acceso del servicio de directorio3 Auditarsucesosdeiniciodesesin4 Auditar el acceso a objetos5 Auditar el cambio de directivas6 Auditar el uso de privilegios7 Auditar el seguimiento de procesos8 Auditar sucesos del sistema9 Paraobtenermsinformacinacercadelaauditora,veaAuditar sucesos de seguridad10.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc787176(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc737542(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc728087(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc787567(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc776774(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/cc781549(v=ws.10).aspx 7http://technet.microsoft.com/es-es/library/cc784501(v=ws.10).aspx 8http://technet.microsoft.com/es-es/library/cc775520(v=ws.10).aspx 9http://technet.microsoft.com/es-es/library/cc782518(v=ws.10).aspx 10http://technet.microsoft.com/es-es/library/cc776394(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Auditarsucesosdeiniciodesesindecuenta
Actualizado: enero de 2005 Se aplica a: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2, Windows Vista
Descripcin Sehaemitidoyvalidadosatisfactoriamenteunvaledelserviciodeautenticacin(AS). Sehaconcedidounvaledelserviciodeconcesindevales(TGS,Ticket Granting Service). Una entidad principal de seguridad ha renovado un vale de AS o de TGS. Laautenticacinpreviahadadoerror.EstesucesosegeneraenunCentrodedistribucindeclaves(KDC,Key Distribution Center)cuandounusuarioescribeunacontraseaincorrecta. Errorenlasolicituddevaledeautenticacin.EstesucesonosegeneraenWindowsXPnienlafamiliaWindows Server 2003. No se ha concedido un vale de TGS. Este suceso no se genera en Windows XP ni en la familia Windows Server 2003. Una cuenta se ha asignado satisfactoriamente a una cuenta de dominio. Errordeiniciodesesin.Sehaintentadouniniciodesesindecuentadedominio.EstesucesonosegeneraenWindowsXP ni en la familia Windows Server 2003. UnusuariosehavueltoaconectaraunasesindeTerminalServerdesconectada. UnusuariosehadesconectadodeunasesindeTerminalServersincerrarla.
675
676
677 678
681
682 683
Paraobtenermsinformacinacercadelossucesosdeseguridad,vealaseccinrelativaasucesos de seguridad2 en el sitio Web de Kits de recursos de Microsoft Windows. Paraobtenermsinformacin,consulte: Auditarsucesosdeiniciodesesin3 Directivadeauditora4 Prcticasrecomendadas5paraauditora HerramientasdelAdministradordeconfiguracindeseguridad6
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc787268(v=ws.10).aspx 2http://go.microsoft.com/fwlink/?LinkId=101 3http://technet.microsoft.com/es-es/library/cc787567(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc779526(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc778162(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/dd349318(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Definiromodificarlaconfiguracindedirectivadeauditoraparauna categoradesucesos
Para definir o modificar la configuracin de directiva de auditora para una categora de sucesos
Para el equipo local Paraloscontroladoresdedominionicamente,siestenuncontroladordedominioounaestacindetrabajoquetieneinstaladoelpaquetede herramientasdeadministracindeWindowsServer2003 Paraundominioounaunidadorganizativa,siestenuncontroladordedominioounaestacindetrabajoquetieneinstaladoelpaquetede herramientasdeadministracin Paraundominioounidadorganizativa,siestenunservidormiembroounaestacindetrabajoquesehaunidoaundominio
Para los controladores de dominio nicamente, si est en un controlador de dominio o una estacin de trabajo que tiene instalado el paquete de herramientas de administracin de Windows Server 2003
1. Abra Directiva de seguridad del controlador de dominio. 2. Enelrboldelaconsola,hagaclicenDirectivadeauditora. Dnde? Configuracindelequipo/ConfiguracindeWindows/Configuracindeseguridad/Directivaslocales/Directivadeauditora 3. Enelpaneldedetalles,hagadobleclicenunacategoradesucesosparalaquedeseemodificarlaconfiguracindedirectivadeauditora. 4. Sivaadefinirlaconfiguracindedirectivadeauditoraparaestacategoradesucesosporprimeravez,activelacasilladeverificacinDefinir estaconfiguracindedirectiva. 5. Lleve a cabo una de las acciones siguientes, o ambas, y haga clic en Aceptar. Paraauditarlosintentoscorrectos,activelacasilladeverificacinCorrectos. Paraauditarlosintentoserrneos,activelacasilladeverificacinErrneos. Notas Parallevaracaboesteprocedimiento,debesermiembrodelgrupoAdministradoresdedominioodelgrupoAdministradoresdeorganizacinde ActiveDirectory,obiendebetenerdelegadalaautoridadcorrespondiente.Comoprcticarecomendadadeseguridad,considerelaposibilidadde utilizarlaopcinEjecutarcomoparallevaracaboesteprocedimiento.Paraobtenermsinformacin,veaGrupos locales predeterminados1, Grupos predeterminados2 y Utilizar Ejecutar como3. Para abrir Directiva de seguridad del controlador de dominio, haga clic en Inicio, Panel de control, haga doble clic en Herramientas administrativasy,acontinuacin,hagadobleclicenDirectiva de seguridad del controlador de dominio.
Para un dominio o una unidad organizativa, si est en un controlador de dominio o una estacin de trabajo que tiene instalado el paquete de herramientas de administracin
1. Abra Usuarios y equipos de Active Directory. 2. Enelrboldelaconsola,hagaclicconelbotnsecundariodel<i>mouse</i>(ratn)eneldominioounidadorganizativaparalosquedesee establecer la Directiva de grupo. 3. Haga clic en Propiedadesy,acontinuacin,enlafichaDirectiva de grupo. 4. Haga clic en Modificar para abrir el objeto de directiva de grupo (GPO, Group Policy Object)quedeseamodificar.Tambinpuedehacerclicen NuevoparacrearunnuevoGPOy,despus,hacerclicenModificar. 5. Enelrboldelaconsola,hagaclicenDirectivadeauditora. Dnde? Configuracindelequipo/ConfiguracindeWindows/Configuracindeseguridad/Directivaslocales/Directivadeauditora 6. Enelpaneldedetalles,hagadobleclicenunacategoradesucesosparalaquedeseemodificarlaconfiguracindedirectivadeauditora. 7. Sivaadefinirlaconfiguracindedirectivadeauditoraparaestacategoradesucesosporprimeravez,activelacasilladeverificacinDefinir estaconfiguracindedirectiva. 8. Lleve a cabo una de las acciones siguientes, o ambas, y haga clic en Aceptar. Paraauditarlosintentoscorrectos,activelacasilladeverificacinCorrectos. Paraauditarlosintentoserrneos,activelacasilladeverificacinErrneos. Notas Parallevaracaboesteprocedimiento,debesermiembrodelgrupoAdministradoresdedominioodelgrupoAdministradoresdeorganizacinde ActiveDirectory,obiendebetenerdelegadalaautoridadcorrespondiente.Comoprcticarecomendadadeseguridad,considerelaposibilidadde utilizarlaopcinEjecutarcomoparallevaracaboesteprocedimiento.Paraobtenermsinformacin,veaGrupos locales predeterminados1, Grupos predeterminados2 y Utilizar Ejecutar como3. Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, en Panel de control, haga doble clic en Herramientas administrativas y, acontinuacin,hagadobleclicenUsuarios y equipos de Active Directory.
Para un dominio o unidad organizativa, si est en un servidor miembro o una estacin de trabajo que se ha unido a un dominio
1. 2. 3. 4. 5. 6. 7.
8. 9. 10.
Abra Microsoft Management Console (MMC). EnelmenArchivo, haga clic en Agregar o quitar complementoy,acontinuacin,hagaclicenAgregar. Haga clic en Editor de objetos de directiva de grupoy,acontinuacin,enAgregar. EnlapginaSeleccionar un objeto de directiva de grupo del Asistente para directivas de grupo, haga clic en Examinar. En Buscar un objeto directiva de grupo, seleccione un objeto de directiva de grupo (GPO, Group Policy Object) en el dominio, sitio o unidad organizativa correspondiente (o cree uno nuevo), haga clic en Aceptary,despus,hagaclicenFinalizar. Haga clic en Cerrary,despus,enAceptar. Enelrboldelaconsola,hagaclicenDirectivadeauditora. Dnde? Configuracindelequipo/ConfiguracindeWindows/Configuracindeseguridad/Directivaslocales/Directivadeauditora Enelpaneldedetalles,hagadobleclicenunacategoradesucesosparalaquedeseemodificarlaconfiguracindedirectivadeauditora. Sivaadefinirlaconfiguracindedirectivadeauditoraparaestacategoradesucesosporprimeravez,activelacasilladeverificacinDefinir estaconfiguracindedirectiva. Lleve a cabo una de las acciones siguientes, o ambas, y haga clic en Aceptar. Paraauditarlosintentoscorrectos,activelacasilladeverificacinCorrectos. Paraauditarlosintentoserrneos,activelacasilladeverificacinErrneos. Notas Parallevaracaboesteprocedimiento,debesermiembrodelgrupoAdministradoresdedominioodelgrupoAdministradoresdeorganizacinde ActiveDirectory,obiendebetenerdelegadalaautoridadcorrespondiente.Comoprcticarecomendadadeseguridad,considerelaposibilidad deutilizarlaopcinEjecutarcomoparallevaracaboesteprocedimiento.Paraobtenermsinformacin,veaGrupos locales predeterminados1, Grupos predeterminados2 y Utilizar Ejecutar como3. Para abrir Microsoft Management Console, haga clic en Inicio, Ejecutar, escriba mmcy,acontinuacin,hagaclicenAceptar.
Notas Paraauditaraccesosaobjetos,habilitelaauditoradelacategoradesucesosdeaccesoaobjetossiguiendolospasosanteriores.Acontinuacin, habilitelaauditoradelobjetoespecfico.Paraobtenerinformacinacercadecmoactivarlaauditoraenunobjeto,consulte"Aplicaromodificarla configuracindedirectivadeauditoradeunarchivoocarpetalocal"o"Aplicaromodificarlaconfiguracindedirectivadeauditoraparaunobjeto mediante Directiva de grupo" en Temas relacionados. Despusdeconfigurarladirectivadeauditora,lossucesosseguardarnenelregistrodeseguridad.Abra el registro de seguridad para ver esos sucesos.Paraobtenerinformacinacercadelregistrodeseguridad,consulte"Utilizarelregistrodeseguridad"enTemasrelacionados. LaconfiguracinpredeterminadadeladirectivadeauditoraparacontroladoresdedominioesSinauditora.Esosignificaque,inclusosiest habilitadalaauditoraeneldominio,loscontroladoresdedominionoheredanladirectivadeauditoralocalmente.Sideseaqueladirectivade auditoraseapliquealoscontroladoresdedominio,debemodificarestaconfiguracindedirectiva.
Vea tambin
Directivadeauditora4 Auditar sucesos de seguridad5 Introduccinalaauditora6 Aplicaromodificarlaconfiguracindedirectivadeauditoradeunarchivoocarpetalocal7 AplicaromodificarlaconfiguracindedirectivadeauditoraparaunobjetomedianteDirectivadegrupo8 Utilizar el registro de seguridad9
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc785098(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc756898(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc780931(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc779526(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc776394(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/cc776489(v=ws.10).aspx 7http://technet.microsoft.com/es-es/library/cc784387(v=ws.10).aspx 8http://technet.microsoft.com/es-es/library/cc757864(v=ws.10).aspx 9http://technet.microsoft.com/es-es/library/cc757393(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Auditarsucesosdeiniciodesesin
Actualizado: enero de 2005 Se aplica a: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2, Windows Vista
Descripcin
Unusuariohainiciadosesinenunequiposatisfactoriamente.Paraobtenerinformacinacercadeltipodeiniciodesesin,veaTablade tiposdeiniciodesesin. Errordeiniciodesesin.Seintentiniciarsesinconunnombredeusuariodesconocidoounnombredeusuarioconocidoconuna contraseanovlida. Errordeiniciodesesin.Seintentiniciarsesinlacuentahaintentadoiniciarunasesinfueradelintervalopermitido. Errordeiniciodesesin.Seintentiniciarsesinconunacuentadeshabilitada. Errordeiniciodesesin.Seintentiniciarsesinconunacuentacaducada. Errordeiniciodesesin.Unusuarioquenotienepermisoparainiciarunasesinenesteequipointentiniciarsesin. Errordeiniciodesesin.Elusuariohaintentadoiniciarsesinconuntiponopermitido. Errordeiniciodesesin.Hacaducadolacontraseaparalacuentaespecificada. Errordeiniciodesesin.ElservicioIniciodesesinderednoestactivado. Errordeiniciodesesin.Elerrorenelintentodeiniciodesesinsedebeaotrosmotivos.
529
537
Nota Enalgunoscasossedesconoceelmotivodelerrordeiniciodesesin.
541
equipolocalylaidentidaddelinterlocutorenumerado(estableciendounaasociacindeseguridad),oelmodorpidohaestablecidoun canal de datos. Un canal de datos ha finalizado. El modo principal ha finalizado. Nota
542
544
Errorenlaautenticacindemodoprincipaldebidoaqueelinterlocutornohaproporcionadouncertificadovlidoolafirmanoseha validado. ErrorenlaautenticacindemodoprincipaldebidoaunerrordeKerberosoaunacontraseaquenoesvlida. ErroralestablecerlaasociacindeseguridaddeIKEporqueelinterlocutorenviunapropuestanovlida.Seharecibidounpaqueteque contenadatosnovlidos. Error durante un protocolo de enlace de IKE. Errordeiniciodesesin.ElId.deseguridad(SID)deundominiodeconfianzanocoincideconelSIDdeldominiodecuentadelcliente. Errordeiniciodesesin.TodoslosSIDquecorrespondenaespaciosdenombresenlosquenoseconfasefiltraronduranteuna autenticacinentrebosques. Mensajedenotificacinquepodraindicarunposibleataquededenegacindeservicio. Unusuariohainiciadoelprocesodecierredesesin. Unusuariohainiciadosesinsatisfactoriamenteenunequipomediantecredencialesexplcitasmientrastodavaestabaregistradocomoun usuario diferente. UnusuariosehavueltoaconectaraunasesindeTerminalServerdesconectada. UnusuariosehadesconectadodeunasesindeTerminalServersincerrarlasesin. Nota
545
546
547 548
549
550 551
552
682
Descripcin
Unusuariohainiciadosesinenesteequipo. Unusuariooequipohainiciadosesinenesteequipodesdelared. Este tipo de inicio lo utilizan los servidores de proceso por lotes, donde los procesos pueden ejecutarse en nombre de un usuariosinsuintervencindirecta. El Administrador de control de servicios ha iniciado un servicio. Laestacindetrabajosehadesbloqueado. Unusuariohainiciadosesinenesteequipodesdelared.Lacontraseadelusuariosehatransferidoalpaquetede autenticacinensuformasinvalordehash.Todoslospaquetesdeautenticacinintegradosaplicanunalgoritmodehasha lascredencialesantesdeenviarlasatravsdelared.Lascredencialesnosetransmitenatravsdelaredentextosin formato(tambindenominadotextonocifrado). Unllamadorhaclonadosusmboloactualyhaespecificadonuevascredencialesparaconexionessalientes.Elnuevoiniciode sesinposeelamismaidentidadlocal,peroempleacredencialesdiferentesparaotrasconexionesdered.
Batch
5 7
Service Unlock
NetworkCleartext
NewCredentials
10
RemoteInteractive UnusuariohainiciadosesindeformaremotaenelequipomedianteServiciosdeTerminalServeroEscritorioremoto.
11
CachedInteractive
Unusuariohainiciadosesinenelequipoconcredencialesderedquesealmacenaronlocalmenteenelequipo.Nose conectconelcontroladordedominioparacomprobarlascredenciales.
Paraobtenermsinformacinacercadelossucesosdeseguridad,veaelapartadorelativoalossucesos de seguridad3 en el sitio Web de Kits de recursos de Microsoft Windows. Paraobtenermsinformacin,consulte: Directivadeauditora4 Prcticasrecomendadas5paraauditora HerramientasdelAdministradordeconfiguracindeseguridad6
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc787176(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc787268(v=ws.10).aspx 3http://go.microsoft.com/fwlink/?LinkId=101 4http://technet.microsoft.com/es-es/library/cc779526(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc778162(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/dd349318(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Prcticasrecomendadasparaauditarsucesosdeseguridad
Prcticas recomendadas Crear un plan de auditora antes de implementar la directiva de auditora.
Decidaeltipodeinformacinquesedeseaobtenermediantelarecopilacindesucesosdeauditora: Siestinteresadoenladeteccindeintrusos(realizarunseguimientodelosintentosqueefectanlosusuariosparaobteneraccesoareas enlasquenotienenautorizacin),puederecopilarauditorasdeerrores.Perohabilitarlasauditorasdeerrorespuedeconstituirunriesgo parasuorganizacin.Silosusuariosintentanteneraccesoaunrecursoparaelquenotienenautorizacin,puedecreartantasauditorasde erroresqueelregistrodeseguridadselleneyelequipoyanopuedarecopilarmsauditoras.Siesthabilitadalaconfiguracindedirectiva Auditora:apagarelsistemadeinmediatosinopuederegistrarauditorasdeseguridad, los usuarios pueden iniciar un ataque de denegacindeservicioatravsdeladirectivadeauditora. Siestinteresadoenutilizarelregistrodeauditoraparadeterminarexactamenteloquehasucedidoenlaorganizacin,puederecopilaruna combinacindeauditorasdeaciertosyerrores. Considerelosrecursosquetienedisponiblespararecopilaryrevisarunregistrodeauditora.Lossucesosdeauditoraocupanespacioenlos equiposypuedeocuparsutiempoyeldelaspersonasdesuorganizacin.Noauditelossucesosenlosquenoestrealmenteinteresado.
Auditar sucesos de aciertos en la categora de sucesos de cambio de directivas en los controladores de dominio.
Siseregistraunsucesoenlacategoradesucesosdecambiodedirectivas,significaquealguienhacambiadolaconfiguracindeladirectivade seguridad Autoridad de seguridad local (LSA). SiutilizaDirectivadegrupoparaeditarlaconfiguracindeladirectivadeauditora,noesnecesarioauditarlossucesosenlacategoradesucesos de cambio de directivas en los servidores miembro. Sidecideauditarsucesosdeerroresenlacategoradesucesosdecambiodedirectivas,puedeversiusuariosnoautorizadosoatacantesintentan cambiarlaconfiguracindedirectivas,incluidalaconfiguracindedirectivasdeseguridad.Aunquepuederesultartilparaladeteccindeintrusos, elaumentoenrecursosnecesariosylaposibilidaddeunataquededenegacindeservicionormalmentenocompensanlasventajas. Paraobtenerinformacinacercadelacategoradesucesosdecambiodedirectivas,veaAuditar el cambio de directivas4. Paraobtenerinformacinsobrecmohabilitarlaauditoraenlacategoradesucesosdecambiodedirectivas,veaDefinir o modificar la configuracindedirectivadeauditoraparaunacategoradesucesos3.
Auditar sucesos de aciertos en la categora de sucesos de inicio de sesin de cuenta en los controladores de dominio.
Mediantelaauditoradesucesosdeaciertosenlacategoradesucesosdeiniciodesesindecuenta,puedevercundolosusuariosiniciano cierranlasesineneldominio. Noesnecesarioauditarsucesosenlacategoradesucesosdeiniciodesesinenlosservidoresmiembro. Sidecideauditarsucesosdeerroresenlacategoradesucesosdeiniciodesesindecuenta,puedeversiusuariosnoautorizadosoatacantes intentaniniciarsesinenlared.Aunquepuederesultartilparaladeteccindeintrusos,laposibilidaddeunataquededenegacindeservicio aumentaconlaauditoradesucesosdeerroresenlacategoradesucesosdeiniciodesesindecuenta.Silaauditoradeerroresesthabilitada enestascategorasdesucesos,losusuariosquenopertenezcanasuorganizacinpodranllenarelregistrodeseguridadoprovocarquese sobreescribanlossucesosmedianteelintentocontinuodeiniciarunasesinenlaredconnombresdeusuarioocontraseasincorrectos.Si ademsesthabilitadalaconfiguracindedirectivaAuditora:apagarelsistemadeinmediatosinopuederegistrarauditorasde seguridad,lasconsecuenciasdelregistrodelossucesosdeerroresenestascategoraspuedenseranmsgraves:elusuariopodracausaruna denegacindeserviciosisellenaelregistrodeseguridad. Paraobtenerinformacinacercadelacategoradesucesosdeiniciodesesindecuenta,veaAuditarsucesosdeiniciodesesindecuenta6. Paraobtenerinformacinsobrecmohabilitarlaauditoraenlacategoradesucesosdeiniciodesesindecuenta,veaDefinir o modificar la configuracindedirectivadeauditoraparaunacategoradesucesos3.
Tabla de vnculos
1http://go.microsoft.com/fwlink/?LinkId=8179 2http://technet.microsoft.com/es-es/library/cc782518(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc787268(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc781549(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc737542(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/cc787176(v=ws.10).aspx 7http://technet.microsoft.com/es-es/library/cc787413(v=ws.10).aspx 8http://technet.microsoft.com/es-es/library/cc776774(v=ws.10).aspx 9http://technet.microsoft.com/es-es/library/cc738931(v=ws.10).aspx 10http://technet.microsoft.com/es-es/library/cc785425(v=ws.10).aspx 11http://technet.microsoft.com/es-es/library/cc739257(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Mensajes de sucesos Descripcin del sistema 512 513 514 515 Windowsseestiniciando. Windowsseestcerrando. LaAutoridaddeseguridadlocalhacargadounpaquetedeautenticacin. LaAutoridaddeseguridadlocalharegistradounprocesodeiniciodesesinporconfianza. Los recursos internos asignados para la cola de mensajes de sucesos de seguridad se han agotado, lo que ha provocado la prdidadealgunosmensajesdesucesosdeseguridad. Sehaborradoelregistrodeauditora. ElAdministradordecuentasdeseguridadhacargadounpaquetedenotificacin. Unprocesoestutilizandounpuertodellamadaaprocedimientolocal(LPC)novlidoenunintentodesuplantaraunclientey responder o leer o escribir en un espacio de direcciones del cliente. Secambilahoradelsistema. 520 Nota Estaauditorasueleaparecerdosveces.
516
517 518
519
Paraobtenermsinformacinacercadelossucesosdeseguridad,veaeltemaacercadesucesos de seguridad2 en el sitio Web de kits de recursos de Microsoft Windows. Paraobtenermsinformacin,consulte: Directivadeauditora3 Prcticasrecomendadasdeauditoradesucesosdeseguridad4 HerramientasdelAdministradordeconfiguracindeseguridad5
Tabla de vnculos
2012Microsoft.Reservadostodoslosderechos.
Sucesos de cambio Descripcin de directivas 608 609 610 611 612 613 614 615 616 617 618 620 621 622 Se ha asignado un derecho de usuario. Se ha quitado un derecho de usuario. Sehacreadounarelacindeconfianzaconotrodominio. Sehaquitadounarelacindeconfianzaconotrodominio. Sehamodificadounadirectivadeauditora. Se ha iniciado un agente de directiva de Seguridad de Protocolo Internet (IPSec). Se ha deshabilitado un agente de directiva IPSec. Se ha modificado un agente de directiva IPSec. Un agente de directiva IPSec ha detectado un error potencialmente grave. Directiva Kerberos modificada. Directivaderecuperacindedatoscifradamodificada. Sehamodificadounarelacindeconfianzaconotrodominio. Se ha concedido acceso al sistema a una cuenta. Se ha quitado el acceso al sistema de una cuenta. Ladirectivadeauditoraporusuarioseestableciparaunusuario. 623 Paraobtenerinformacinacercadelaauditoraselectivaporusuario,veaAuditoraselectivaporusuario2.
625
768
Cuando un elemento de espacio de nombres de un bosque se superpone a un elemento de espacio de nombres de otro bosque, puede provocarambigedadalahoraderesolverunnombrepertenecienteaunodeloselementosdeespaciodenombres.Estasuperposicin tambinsedenominacolisin.Notodoslosparmetrossonvlidosparacadatipodeentrada.Porejemplo,losparmetroscomonombre DNS,nombreNetBIOSySIDnosonvlidosparaunaentradadeltipo"NombreNivelSuperior".
769
805
Elservicioderegistrodesucesosleelaconfiguracindelregistrodeseguridadparaunasesin.
Paraobtenermsinformacinacercadelossucesosdeseguridad,vealadocumentacinrelativaalossucesosdeseguridadenlosKitsderecursosde Microsoft Windows en el sitio Web de Microsoft3. Paraobtenermsinformacin,consulte: Directivadeauditora4 Auditing Security Events Best practices5 HerramientasdelAdministradordeconfiguracindeseguridad6
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc787268(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc781822(v=ws.10).aspx 3http://go.microsoft.com/fwlink/?LinkId=101 4http://technet.microsoft.com/es-es/library/cc779526(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc778162(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/dd349318(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Auditarlaadministracindecuentas
Actualizado: enero de 2005 Se aplica a: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2, Windows Vista
Sucesos de administracinde Descripcin cuentas 624 627 628 630 631 632 633 634 635 636 637 638 639 641 642 Se ha creado una cuenta de usuario. Sehamodificadounacontraseadeusuario. Sehaestablecidounacontraseadeusuario. Se ha eliminado una cuenta de usuario. Se ha creado un grupo global. Se ha agregado un miembro a un grupo global. Se ha eliminado un miembro de un grupo global. Se ha eliminado un grupo global. Se ha creado un nuevo grupo local. Se ha agregado un miembro a un grupo local. Se ha quitado un miembro de un grupo local. Se ha eliminado un grupo local. Se ha modificado una cuenta de un grupo local. Se ha modificado una cuenta de un grupo global. Se ha modificado una cuenta de usuario.
Se ha modificado una directiva de dominio. Sehabloqueadoautomticamenteunacuentadeusuario. Se ha creado una cuenta de equipo. Se ha cambiado una cuenta de equipo. Se ha eliminado una cuenta de equipo. Se ha creado un grupo de seguridad local con la seguridad deshabilitada. Nota
648 SECURITY_DISABLED significa formalmente que ese grupo no puede utilizarse para conceder permisos en comprobaciones de acceso.
649 650 651 652 653 654 655 656 657 658 659 660 661 662 663 664 665 666 667 668
Se ha modificado un grupo de seguridad local con la seguridad deshabilitada. Se ha agregado un miembro a un grupo de seguridad local con la seguridad deshabilitada. Se ha quitado un miembro de un grupo de seguridad local con la seguridad deshabilitada. Se ha eliminado un grupo local con la seguridad deshabilitada. Se ha creado un grupo global con la seguridad deshabilitada. Se ha modificado un grupo global con la seguridad deshabilitada. Se ha agregado un miembro a un grupo global con la seguridad deshabilitada. Se ha quitado un miembro de un grupo global con la seguridad deshabilitada. Se ha eliminado un grupo global con la seguridad deshabilitada. Se ha creado un grupo universal con la seguridad habilitada. Se ha modificado un grupo universal con la seguridad habilitada. Se ha agregado un miembro a un grupo universal con la seguridad habilitada. Se ha quitado un miembro de un grupo universal con la seguridad habilitada. Se ha eliminado un grupo universal con la seguridad habilitada. Se ha creado un grupo universal con la seguridad deshabilitada. Se ha modificado un grupo universal con la seguridad deshabilitada. Se ha agregado un miembro a un grupo universal con la seguridad deshabilitada. Se ha quitado un miembro de un grupo universal con la seguridad deshabilitada. Se ha eliminado un grupo universal con la seguridad deshabilitada. Se ha modificado un tipo de grupo. Defina el descriptor de seguridad de los miembros de grupos administrativos. Nota
684
en un controlador de dominio, un subproceso en segundo plano examina cada 60 minutos todos los miembros de los grupos administrativos (como administradores de dominio, empresariales y de esquema) y les aplica un descriptor de seguridad fijo. Este suceso se registra.
685
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc787268(v=ws.10).aspx 2http://go.microsoft.com/fwlink/?LinkId=101 3http://technet.microsoft.com/es-es/library/cc779526(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc778162(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/dd349318(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Auditorabasadaenoperacionesenarchivosocarpetas
Auditora basada en operaciones en archivos o carpetas
LaauditorabasadaenoperacionesesunacaractersticanuevaenlafamiliaWindowsServer2003.EnversionesanterioresdeWindows,lainformacin queseobtenadelaauditoradeaccesoaobjetosnoeratandetalladacomoloesconlaauditorabasadaenoperaciones.Aunquesepodadeterminar queunusuariohabaintentadoteneraccesoaunobjeto,nohabaformadeestarsegurodequesehabatenidoaccesoalobjetoentodaslasformas documentadasenelsucesodeauditora.Conlaauditorabasadaenoperacionespuedeauditarlasoperacionesefectuadassobrearchivosycarpetas. Estosignificaquesepuedenauditardeterminadasoperaciones,comoEscribir,ascomoelaccesoalosobjetos.Laauditorabasadaenoperacionesest habilitadacuandolaauditoradeaccesoaobjetosesthabilitadaenunarchivoocarpeta.Lossucesosdeaccesoaobjetosseregistran,juntocon operaciones como Escritura, en el registro de seguridad. Parahabilitarlaauditorabasadaenoperaciones,tieneque: HabilitarlaconfiguracindedirectivaAuditar el acceso a objetos.Paraobtenermsinformacin,veaDefiniromodificarlaconfiguracinde directivadeauditoraparaunacategoradesucesos1. Aplicarladirectivadeauditoraaunacarpetaespecfica.Paraobtenermsinformacin,vea: Aplicaromodificarlaconfiguracindedirectivadeauditoradeunarchivoocarpetalocal2 AplicaromodificarlaconfiguracindedirectivadeauditoraparaunobjetomedianteDirectivadegrupo3 Lasauditorasbasadasenoperacionesseclasificancomoauditorasdeobjetosyseregistranconelnmerodesuceso567enelregistrodesucesos.Se generanlaprimeravezqueserealizaunaoperacin.Lasauditorasbasadasenoperacionesslosepuedenconfigurarparaarchivosycarpetas.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc787268(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc784387(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc757864(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Vea tambin
Cmoafectalaherenciaalaauditoradearchivosycarpetas1 Seleccionardndeaplicarentradasdeauditora2 Auditar sucesos de seguridad3 AplicaromodificarlaconfiguracindedirectivadeauditoraparaunobjetomedianteDirectivadegrupo4 Definiromodificarlaconfiguracindedirectivadeauditoraparaunacategoradesucesos5 Auditar la actividad de una clave del Registro6
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc736421(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc787302(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc776394(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc757864(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc787268(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/cc757250(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Para aplicar o modificar la configuracin de directiva de auditora para un objeto mediante Directiva de grupo
1. 2. 3. 4. 5. Abra Microsoft Management Console (MMC). EnelmenArchivo, haga clic en Agregar o quitar complementoy,despus,enAgregar. Haga clic en Editor de objetos de directiva de grupoy,acontinuacin,hagaclicenAgregar. EnlapginaSeleccionar un objeto de directiva de grupo del Asistente para directivas de grupo, haga clic en Examinar. En Buscar un objeto de directiva de grupo, seleccione un objeto de directiva de grupo (GPO) en el dominio, sitio o unidad organizativa correspondiente (o cree uno nuevo), haga clic en Aceptary,despus,hagaclicenFinalizar. 6. Haga clic en Cerrary,despus,hagaclicenAceptar. 7. Realice uno o varios de los procedimientos siguientes:
Para auditar
Configuracindelequipo/ConfiguracindeWindows/Configuracindeseguridad/Serviciosdelsistema Servicios Enelpaneldedetalles,hagaclicconelbotnsecundariodel<i>mouse</i>(ratn)enelservicioalquedeseaaplicaromodificarla del sistema configuracindedirectivadeauditoray,acontinuacin,hagaclicenPropiedades. Siannoestactivada,activelacasilladeverificacinDefinirestaconfiguracindedirectivay,acontinuacin,seleccionela configuracinapropiada. Haga clic en Modificar seguridad. Enelrboldelaconsola,hagaclicenRegistro. Dnde? Configuracindelequipo/ConfiguracindeWindows/Configuracindeseguridad/Registro Claves del SideseaagregarunaclavedelRegistroaesteGPOparaauditarla,hagaclicconelbotnsecundariodel<i>mouse</i>enRegistro y, a Registro continuacin,hagaclicenAgregar clave.Busquelaclavequedeseey,acontinuacin,hagaclicenAceptar. SideseaaplicaromodificarlaconfiguracindeauditoraenunaclavedelRegistroqueyasehaagregadoaesteGPO,enelpanelde detalles,hagaclicconelbotnsecundariodel<i>mouse</i>enlaclavedelRegistro,hagaclicenPropiedadesy,acontinuacin,en Modificar seguridad. Enelrboldelaconsola,hagaclicenSistema de archivos. Dnde? Configuracindelequipo/ConfiguracindeWindows/Configuracindeseguridad/Sistemadearchivos Archivos SideseaagregarunarchivoounacarpetaaesteGPOparaauditarlo,hagaclicconelbotnsecundariodel<i>mouse</i>enSistema o carpetas de archivosy,acontinuacin,hagaclicenAgregar archivo. Busque el archivo que desee o cree una carpeta nueva y, a continuacin,hagaclicenAceptar. SideseaaplicaromodificarlaconfiguracindeauditoraenunarchivoocarpetaqueyasehaagregadoaesteGPO,enelpanelde detalles,hagaclicconelbotnsecundariodel<i>mouse</i>enelarchivoocarpeta,hagaclicenPropiedadesy,acontinuacin,en ;Modificar seguridad. 8. Haga clic en Avanzadasy,despus,enlafichaAuditora. 9. Realice una de las acciones siguientes: Paraconfigurarlaauditoraparaunusuarioogruponuevo,hagaclicenAgregar. En Nombre, escriba el nombre del usuario o el grupo que deseay,acontinuacin,hagaclicenAceptar. Paraveromodificarlaauditoradeungrupoousuarioexistente,hagaclicenelnombrequedeseey,acontinuacin,hagaclicenModificar. Paraquitarlaauditoradeungrupoousuarioexistente,hagaclicenelnombrequedesee,hagaclicenQuitar, en Aceptar y, a continuacin,omitaelrestodeesteprocedimiento. 10. Seleccione la entrada adecuada en la lista Aplicar en. 11. En el cuadro Acceso,indiquelasaccionesquedeseaauditarparaello,activelascasillasdeverificacinadecuadas: Paraauditarlossucesoscorrectos,activelacasilladeverificacinCorrectos. Paradejardeauditarlossucesoscorrectos,desactivelacasilladeverificacinCorrectos. Paraauditarlossucesoserrneos,activelacasilladeverificacinErrneos. Paradejardeauditarlossucesoserrneos,desactivelacasilladeverificacinErrneos. Para dejar de auditar todos los sucesos, haga clic en Borrar todo. 12. Sideseaevitarquelosarchivosylassubcarpetasdelrbolheredenestasentradasdeauditora,activelacasilladeverificacinAplicar estos valoresdeauditorasloalosobjetosy/ocontenedoresdentrodeestecontenedor. Importante Antesdeconfigurarlaauditoradearchivosycarpetas,debehabilitarlaauditoradeaccesoaobjetosparaello,definalaconfiguracinde directivadeauditoraparalacategoradesucesosdeaccesoaobjetos.Sinohabilitalaauditoradeaccesoaobjetos,aparecerunmensajede erroralconfigurarlaauditoraparaarchivosycarpetas,ynoseauditarningnarchivonicarpeta.Paraobtenermsinformacinacercadecmo habilitarlaauditoradeaccesoaobjetos,consulte"Definiromodificarlaconfiguracindedirectivadeauditoraparaunacategoradesucesos"en Temas relacionados. Notas Parallevaracaboesteprocedimiento,debesermiembrodelgrupoAdministradoresdedominioodelgrupoAdministradoresdeorganizacinde
ActiveDirectory,obiendebetenerdelegadalaautoridadcorrespondiente.Comoprcticarecomendadadeseguridad,considerelaposibilidadde utilizarlaopcinEjecutarcomoparallevaracaboesteprocedimiento.Paraobtenermsinformacin,veaGrupos locales predeterminados1, Grupos predeterminados2 y Utilizar Ejecutar como3. Para abrir Microsoft Management Console, haga clic en Inicio, Ejecutar, escriba mmcy,acontinuacin,hagaclicenAceptar. Paraobtenermsinformacinacercadeseleccionardndeaplicarlasentradasdeauditora,consulteTemasrelacionados. SlopuedeconfigurarlaauditoradearchivosycarpetasenunidadesNTFS. Si ve lo siguiente: EnelcuadrodedilogoEntradadeauditoraparaarchivo o carpeta, en el cuadro Acceso,lascasillasdeverificacinnoestndisponibles EnelcuadrodedilogoConfiguracindeseguridadavanzadaparaarchivo o carpeta,elbotnQuitarnoestdisponible laauditoraseheredadelacarpetaprincipal. Despusdehabilitarlaauditoradeaccesoaobjetos,consulteelregistrodeseguridadenelVisordesucesospararevisarelresultadodelos cambios. Debidoaqueelregistrodeseguridadtieneunlmitedetamao,seleccionecuidadosamentelosarchivosycarpetasqueseauditarn.Considere tambinlacantidaddeespacioendiscoquedeseadedicaralregistrodeseguridad.EltamaomximodelregistrodeseguridadsedefineenVisor de sucesos.
Vea tambin
Auditar sucesos de seguridad4 Ver el registro de seguridad5 Definiromodificarlaconfiguracindedirectivadeauditoraparaunacategoradesucesos6 Aplicaromodificarlaconfiguracindedirectivadeauditoradeunarchivoocarpetalocal7 AplicaromodificarlaconfiguracindedirectivadeauditoraparaunobjetomedianteDirectivadegrupo Seleccionardndeaplicarentradasdeauditora8
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc785098(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc756898(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc780931(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc776394(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc775525(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/cc787268(v=ws.10).aspx 7http://technet.microsoft.com/es-es/library/cc784387(v=ws.10).aspx 8http://technet.microsoft.com/es-es/library/cc787302(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Visor de sucesos
Visor de sucesos
Con el Visor de sucesos, puede supervisar sucesos guardados en registros de sucesos. Normalmente,unequipoalmacenalosregistrosAplicacin, Seguridad y Sistema. Tambinpuedecontenerotrosregistros,dependiendodelafuncindelequipoydelasaplicacionesinstaladas. ParaversugerenciasacercadecmousarelVisordesucesos,veaPrcticasrecomendadasparaelvisordesucesos1. Paraobtenerayudaacercadetareasespecficas,veaVisordesucesos:cmo...2. Paraobtenerinformacingeneral,veaConceptos del Visor de sucesos3. Paraobtenerinstruccionesacercadecmosolucionarproblemas,veaSolucionar problemas del Visor de sucesos4.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc780249(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc756915(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc759213(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc738322(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Prcticasrecomendadasparaelvisordesucesos
Prcticas recomendadas Habilite el registro de seguridad de las acciones y objetos importantes para la seguridad y revise peridicamente los registros de seguridad en los equipos de la red.
Alconfigurarunadirectivadeauditorayrevisarlosregistrosdeseguridad,puededetectaractividadnoautorizadaeintentosdeintrusinde usuarios malintencionados o intrusos en los equipos de la red. Paraobtenermsinformacinacercadelasdirectivasdeauditora,veaAuditar sucesos de seguridad1. Paraobtenermsinformacinacercadelosregistrosdesucesos,veaVer registros de sucesos2.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc776394(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc739799(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Visordesucesos:cmo...
Cmo
Ver registros de sucesos1 Administrar registros de sucesos2 Personalizar registros de sucesos3 Utilizar el registro de seguridad4
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc739799(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc758191(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc782885(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc757393(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Al ver un suceso de un registro de sucesos guardado en un equipo remoto, no puede ver los campos Descripcin o Categora en el cuadro de dilogo de propiedades. En lugar de ver una descripcin en el campo Descripcin, ve un mensaje de error, o en lugar de una categora en el campo Categora, ve un nmero.
Causa:elVisordesucesosobtieneinformacindedescripcinycategoradesucesosdelequipoquecontieneelregistro.Esposiblequeelregistrode sucesoshayasidocopiadodelequipoenelquesegeneraotroequipoquenotieneinstaladoelservicioqueregistresossucesos. Solucin:abraelVisordesucesosdesdelalneadecomandosmediantemmc.exeyutiliceelparmetro/auxsource=nombreDeEquipo.Elparmetro /auxsource=nombreDeEquipopermitequeelVisordesucesosobtengainformacinacercadesucesosdeunequipoquenotieneinstaladoelserviciode registrodesucesos.stepuedeserelequipoquegenerelregistroobienotroequipodelared.Puedeutilizarelparmetro /auxsource=nombreDeEquipo en equipos que ejecutan un sistema operativo Windows XP o posterior. Para llevar a cabo este procedimiento, debe ser miembrodelgrupoAdministradoresenelequipolocalotenerdelegadalaautoridadcorrespondiente.Sielequipoestunidoaundominio,losmiembros delgrupoAdministradoresdedominiopodranllevaracaboesteprocedimiento.Comoprcticarecomendadadeseguridad,considerelaposibilidadde utilizarlaopcinEjecutarcomoparallevaracaboesteprocedimiento. Sintaxis mmc.exe X:\WINDOWS\system32\eventvwr.msc /auxsource= nombreDeEquipo DondeX:\WINDOWS\System32eslarutadeaccesopredeterminadaaeventvwr.mscyXeslaunidaddondeestinstaladoWindows. Nota Paraejecutarunautilidaddelneadecomandos,hagaclicenInicioy,acontinuacin,enEjecutar.EnelcuadrodedilogoAbrir, escriba la utilidadyparmetrosdelalneadecomandosy,acontinuacin,hagaclicenAceptar. Sinohaydisponibleinformacindecategora,tambinpuedeverunnmeroenlugardetextoenelcampoCategora en el panel de detalles del Visordesucesosparalaenumeracindeunsuceso. Veatambin: Mmc1; Administrarlosregistrosdesucesosdesdelalneadecomandos2 Causa: intenta ver un registro en un equipo remoto y no pertenece al grupo Administradores o no tiene delegada la autoridad apropiada en el equipo remoto. Solucin: Para llevar a cabo este procedimiento, debe ser miembro del grupo Administradores en el equipo local o tener delegada la autoridad correspondiente.Sielequipoestunidoaundominio,losmiembrosdelgrupoAdministradoresdedominiopodranllevaracaboesteprocedimiento.Como prcticarecomendadadeseguridad,considerelaposibilidaddeutilizarlaopcinEjecutarcomoparallevaracaboesteprocedimiento. tambinpodraobtenerlamismainformacindesdeotroequipodelared.Paraello,ejecuteelVisordesucesosenunsmbolodelsistema (Eventvwr.msc),conelparmetroauxsource=nombreDeEquipo. PuedeutilizaresteparmetroparapermitiralVisordesucesosobtenerinformacinde unequipoconelservicioinstalado.stepuedeserelequipoquegenerelregistroobienotroequipodelared. Causa:intentaverunregistroenunequiporemotoyelserviciodeRegistroremotodelequiporemotoestdetenido.Siunequiporemotoejecutaun sistema operativo Windows XP o posterior, se debe iniciar el servicio Registro remoto para que pueda ver los campos Descripcin o Categora de la pginadepropiedadesdeunregistrodesucesos. Solucin:inicieelserviciodeRegistroremotoenelequiporemoto.PuedeadministrarelservicioRegistroremotoatravsdelcomplementoServicios y aplicaciones en Administracindeequipos. Para iniciar el servicio Registro remoto 1. 2. 3. 4. En Administracindeequipos,compruebequeestenlaconsoladelequiporemoto. Enelrboldeconsola,enServicios y aplicaciones, haga clic en Servicios. En el panel de detalles, haga doble clic en Registro remoto. En la ficha General, en Estado del servicio, haga clic en Iniciar. Haga clic en Aceptar.
Tambinpodraobtenerlamismainformacindesdeotroequipodelared.Paraello,ejecuteelVisordesucesosenunsmbolodelsistema (Eventvwr.msc),conelparmetroauxsource=nombreDeEquipo.PuedeutilizaresteparmetroparapermitiralVisordesucesosobtenerinformacinde un equipo con el servicio instalado. stepuedeserelequipoquegenerelregistroobienotroequipodelared. Notas Para llevar a cabo este procedimiento, debe ser miembro del grupo Administradores en el equipo local o tener delegada la autoridad correspondiente.Sielequipoestunidoaundominio,losmiembrosdelgrupoAdministradoresdedominiopodranllevaracaboesteprocedimiento. Comoprcticarecomendadadeseguridad,considerelaposibilidaddeutilizarlaopcinEjecutarcomoparallevaracaboesteprocedimiento. EsteparmetroestdisponibleenequiposqueejecutanWindowsXPounproductodelafamiliaWindowsServer2003. Veatambin: Administracinremota3;Administracindeequipos4; Microsoft Management Console5
Al ver un suceso en el panel de detalles, aparece un identificador nico global GUID o identificador de seguridad SID en el campo Usuario. Debe ver un nombre de usuario.
Causa: el equipo en el que ejecuta el Visor de sucesos no puede convertir el GUID o SID en nombre de usuario. Solucin:ejecuteelVisordesucesosenelequipoenelquesegenerelregistrodesucesos. Causa: la cuenta de usuario a la que hace referencia el suceso se ha eliminado.
Solucin:nopodrrecuperarestainformacinmedianteelVisordesucesos.
No puede obtener acceso a los complementos de la extensin Administracin de equipos en un equipo remoto.
Causa:elservicioRegistroremotonoseestejecutandoenelequiporemoto. Solucin:asegresedequeelservicioRegistroremotosehainiciadoenelequiporemoto.Paraobtenermsinformacin,veaIniciar, detener, hacer una pausa, reanudar o reiniciar un servicio8.Necesitarpermisosapropiadosenelequiporemotoparapoderiniciarelservicio. Nota PuedequetambinrecibaestemensajedeerrorsielequiporemotoestejecutandoWindows95.Administracindeequiposnoadmiteelacceso remoto a equipos que ejecutan Windows 95.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/5c5069cc-fc6e-4dde-9664-13f4582c83fd 2http://technet.microsoft.com/es-es/library/cc757231(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc757828(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc784984(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc757318(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/cc757393(v=ws.10).aspx 7http://technet.microsoft.com/es-es/library/cc786582(v=ws.10).aspx 8http://technet.microsoft.com/es-es/library/cc736564(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Paraobtenermsinformacinacercadelossucesosdeseguridad,veaelapartadosobresucesos de seguridad3 en el sitio Web de Kits de recursos de Microsoft Windows. Paraobtenermsinformacin,consulte: Directivadeauditora4 Prcticasrecomendadas5paraauditora HerramientasdelAdministradordeconfiguracindeseguridad6
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc776774(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc787268(v=ws.10).aspx 3http://go.microsoft.com/fwlink/?LinkId=101 4http://technet.microsoft.com/es-es/library/cc779526(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc778162(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/dd349318(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
577 578
Paraobtenermsinformacinacercadelossucesosdeseguridad,veaelapartadorelativoalossucesos de seguridad2 en el sitio Web de Kits de recursos de Microsoft Windows. Paraobtenermsinformacin,consulte: Directivadeauditora3 Prcticasrecomendadas4paraauditora HerramientasdelAdministradordeconfiguracindeseguridad5
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc787268(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Suceso Descripcindelsuceso 592 593 594 595 Se ha creado un nuevo proceso. Ha terminado un proceso. Un identificador de objeto ha sido duplicado. Se ha obtenido un acceso indirecto a un objeto. Seharealizadounacopiadeseguridaddeunaclavemaestradeproteccindedatos. Nota 596 La clave maestra se utiliza en las rutinas CryptProtectData y CryptUnprotectData y el Sistema de cifrado de archivos (EFS). Se realiza una copiadeseguridaddelaclavemaestracadavezquesecreaunanueva.(Elvalorpredeterminadoes90das.)Lacopiadeseguridaddela clave suele realizarse en un controlador de dominio.
Serecuperunaclavemaestradeproteccindedatosdesdeunservidorderecuperacin. Los datos auditables estaban protegidos. Los datos auditables no estaban protegidos. Unprocesoasignunsmboloprincipal. Unusuariointentinstalarunservicio. Se ha creado un trabajo de programador.
Paraobtenermsinformacinacercadelossucesosdeseguridad,veaeltemasobresucesosdeseguridadenelsitio Web de Kits de recursos de Microsoft Windows2. Paraobtenermsinformacin,consulte: Directivadeauditora3 Prcticasrecomendadasparaauditarsucesosdeseguridad4 HerramientasdelAdministradordeconfiguracindeseguridad5
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc787268(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc776394(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc739010(v=ws.10).aspx 3http://go.microsoft.com/fwlink/?LinkId=101
2012Microsoft.Reservadostodoslosderechos.
Vea tambin
Tabla de vnculos
1http://go.microsoft.com/fwlink/?LinkId=101 2http://technet.microsoft.com/es-es/library/cc776394(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc779526(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc739257(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc778651(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Seleccionardndeaplicarentradasdeauditora
Seleccionar dnde aplicar entradas de auditora
ElcuadrodedilogoEntradadeauditoraaparecealrealizarlaauditoradearchivosocarpetas.Enestecuadrodedilogo,lalistaAplicar en muestra lasubicacionesdondesepuedenaplicarentradasdeauditora.Elmodoenqueseaplicanestasentradasdeauditoradependedesilacasillade verificacinAplicarestosvaloresdeauditorasloalosobjetosy/ocontenedoresdentrodeestecontenedorestactivada.Deforma predeterminada,estacasilladeverificacinestdesactivada. Haga clic en Desactivada o en Activadaacontinuacinparavercmoseaplicanlasentradasdeauditora,enfuncindesiestacasilladeverificacin estdesactivadaoactivada.Cuandoestacasilladeverificacinest: Desactivada... Activada...
Desactivada...
Aplicar en
Audita todas las Audita subcarpetas de Audita archivos de la subcarpetas la carpeta actual carpeta actual subsiguientes
Sloestacarpeta Esta carpeta, subcarpetas y archivos Esta carpeta y sus subcarpetas Esta carpeta y sus archivos Slosubcarpetasy archivos Slosubcarpetas Sloarchivos
x x
x x
Activada...
Aplicar en
Audita todas las Audita subcarpetas de Audita archivos de la subcarpetas la carpeta actual carpeta actual subsiguientes
Sloestacarpeta Esta carpeta, subcarpetas y archivos Esta carpeta y sus subcarpetas Esta carpeta y sus archivos Slosubcarpetasy archivos Slosubcarpetas Sloarchivos
x x
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc787413(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc776394(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Vea tambin
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc785098(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc756898(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc780931(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc776861(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc785144(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/cc782627(v=ws.10).aspx 7http://technet.microsoft.com/es-es/library/cc786285(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Grupo
Descripcin Los miembros de este grupo tienen control total del servidor y pueden asignar derechos de usuario y permisosdecontroldeaccesoalosusuariossegn sea necesario. La cuenta Administrador es miembro de este grupo de forma predeterminada. Cuando el servidor se une a un dominio, se agrega automticamentealgrupoelgrupoAdmins.de dominio. Como este grupo tiene una control total en el servidor, sea prudente al agregar usuarios. Para obtenermsinformacin,veaGrupos locales predeterminados y Grupos predeterminados1.
Derechos de usuario predeterminados Tener acceso a este equipo desde la red; Ajustar las cuotas de memoria de un procesoPermitireliniciodesesinlocalPermitireliniciodesesinatravs de Servicios de Terminal Server; Hacer copia de seguridad de archivos y directoriosSaltarselacomprobacinderecorridoCambiarlahoradelsistema CrearunarchivodepaginacinDepurarprogramasForzarelapagadodesde unsistemaremotoAumentarlaprioridaddeprogramacinCargarydescargar controladoresdedispositivoPermitireliniciodesesinlocalAdministrarel registrodeauditorayseguridadModificarvaloresdeentornodelfirmware Realizar tareas de mantenimiento de volumen; Hacer perfil de un solo proceso; HacerperfildelrendimientodelsistemaQuitarunequipodeunaestacinde acoplamiento; Restaurar archivos y directorios; Apagar el sistema; Tomar posesindearchivosyotrosobjetos.
Administradores
Los miembros de este grupo pueden realizar copias de seguridad y restaurar archivos del servidor, independientemente de los permisos que protejan TeneraccesoaesteequipodesdelaredPermitireliniciodesesinlocal dichosarchivos.Esasporqueelderechoarealizar HacercopiadeseguridaddearchivosydirectoriosSaltarselacomprobacin una copia de seguridad tiene preferencia sobre todos de recorrido; Restaurar archivos y directorios; Apagar el sistema. los permisos de archivo. No pueden cambiar la configuracindeseguridad. Los miembros de este grupo tienen acceso como administradores al servicio Servidor de Protocolo de configuracindinmicadehost(DHCP,<i>Dynamic Host Configuration Protocol</i>). El grupo proporciona una forma de conceder acceso administrativo limitado solamente al servidor DHCP, sin proporcionar acceso No hay derechos de usuario predeterminados. completo al equipo servidor. Los miembros de este grupo pueden administrar DHCP en el servidor mediante la consola DHCP o los comandos Netsh, pero no pueden realizar otras tareas administrativas en el servidor.
Losmiembrosdeestegrupotienenaccesodeslo lectura al servicio Servidor DHCP. De este modo, los Usuarios de DHCP miembrospuedenverlainformacinylaspropiedades (se instala con el almacenadas en un servidor DHCP especificado. Esta No hay derechos de usuario predeterminados. servicio Servidor informacinresultatilparaqueelpersonaldel DHCP) departamentodesoportetcnicorealiceinformesde estado de DHCP. Los miembros de este grupo disponen de un perfil temporalquesecreaaliniciarlasesinyquese elimina cuando el miembro la cierra. La cuenta Invitado(queestdeshabilitadadeforma predeterminada)tambinesmiembrodelgrupode forma predeterminada.
Invitados
Este grupo permite que los administradores establezcan permisos comunes para todas las aplicacionesdesoportetcnico.Deforma HelpServicesGroup predeterminada,elnicomiembrodelgrupoesla cuenta que se asocia a las aplicaciones de soporte tcnicodeMicrosoft,comoAsistenciaremota.No agregue usuarios a este grupo.
Los miembros de este grupo pueden modificar la configuracinTCP/IPyrenovaryliberarlas direccionesTCP/IP.Estegruponotieneningn miembro predeterminado. Los miembros de este grupo pueden supervisar los contadores de rendimiento del servidor, tanto de forma local como de forma remota, sin ser miembros de los grupos Administradores o Usuarios del registro de rendimiento.
Los miembros de este grupo pueden administrar los contadores de rendimiento, registros y alertas del No hay derechos de usuario predeterminados. servidor, tanto de forma local como de forma remota, sin ser miembros del grupo Administradores. Los miembros del grupo Usuarios avanzados pueden crear cuentas de usuario y modificar y eliminar las cuentas que crean. Pueden crear grupos locales y quitar o agregar usuarios a los grupos locales que hayancreado.Tambinpuedenagregaroquitar TeneraccesoaesteequipodesdelaredPermitireliniciodesesinlocal usuarios de los grupos Usuarios avanzados, Usuarios e SaltarselacomprobacinderecorridoCambiarlahoradelsistemaHacerperfil Invitados. Los miembros de este grupo pueden crear deunsoloprocesoQuitarelequipodelaestacindeacoplamientoApagarel recursos compartidos y administrar los que han sistema. creado. No pueden tomar la propiedad de archivos, realizar copias de seguridad o restaurar directorios, cargar o descargar controladores de dispositivos ni administrarlaseguridadylosregistrosdeauditora. Los miembros de este grupo pueden administrar las impresorasylascolasdeimpresin. Losmiembrosdeestegrupopuedeniniciarsesinen un servidor de forma remota. PermitiriniciodesesinatravsdeServiciosdeTerminalServer. Paraobtenermsinformacin,veaPermitir que los usuarios se conecten de forma remota al servidor5. ElgrupoReplicadoradmitefuncionesdereplicacin.El nicomiembrodelgrupoReplicadordebeseruna cuenta de usuario de dominio que se utilice para iniciar No hay derechos de usuario predeterminados. los servicios Replicador de un controlador de dominio. No agregue a este grupo las cuentas de usuario de los usuarios reales. Este grupo contiene todos los usuarios que iniciaron sesinenelequipoqueutilizaServiciosdeTerminal Server actualmente. Cualquier programa que un usuario puede ejecutar en Windows NT 4.0 lo ejecutarunusuariomiembrodelgrupoUsuariode Terminal Server. Los permisos predeterminados de este grupo permiten que sus miembros ejecuten la mayoradelosprogramasindicadosanteriormente.
Usuarios avanzados
Opers. de impresin
Replicador
Usuarios
Los miembros del grupo Usuarios pueden realizar las tareasmshabituales,comoejecutaraplicaciones, utilizar impresoras locales y de red, y bloquear la estacindetrabajo.Nopuedencompartirdirectorios TeneraccesoaesteequipodesdelaredPermitireliniciodesesinlocal ni crear impresoras locales. Los grupos Usuarios de Saltarselacomprobacinderecorrido. dominio, Usuarios autenticados e Interactivo son miembros de este grupo de forma predeterminada. Por tanto, todas las cuentas de usuario que se crean en el dominio son miembros de este grupo.
Losmiembrosdeestegrupotienenaccesodeslo lectura al Servicio de nombres Internet de Windows Usuarios de WINS (WINS). De este modo, los miembros pueden ver la (se instala con el informacinylaspropiedadesalmacenadasenun No hay derechos de usuario predeterminados. servicio WINS) servidorWINSespecificado.Estainformacinresulta tilparaqueelpersonaldeldepartamentodesoporte tcnicorealiceinformesdeestadodeWINS. Paraobtenermsinformacinacercadelosgrupospredeterminadosmshabituales,veaConfiguracindeseguridadpredeterminadaparagrupos6.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc756898(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc739265(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc780182(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc739028(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc781509(v=ws.10).aspx
6http://technet.microsoft.com/es-es/library/cc773320(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Vea tambin
Otros recursos
Net localgroup6
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc785098.aspx 2http://technet.microsoft.com/es-es/library/cc756898.aspx 3http://technet.microsoft.com/es-es/library/cc780931.aspx 4http://technet.microsoft.com/es-es/library/cc776861.aspx 5http://technet.microsoft.com/es-es/library/cc780702.aspx
6http://technet.microsoft.com/es-es/library/3da4c237-d1d4-4fc9-abe7-99fd5aafa0f6
2012Microsoft.Reservadostodoslosderechos.
Vea tambin
Directivas locales y de cuenta2 Derechos de usuario3 Derechosdeiniciodesesin4 Acerca de los derechos de usuario5 Privilegios6 Descripcindelaconfiguracindeseguridad7 Directiva de seguridad local8
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc776861.aspx 2http://technet.microsoft.com/es-es/library/cc736685.aspx 3http://technet.microsoft.com/es-es/library/cc778337.aspx 4http://technet.microsoft.com/es-es/library/cc728212.aspx 5http://technet.microsoft.com/es-es/library/cc773115.aspx 6http://technet.microsoft.com/es-es/library/cc740217.aspx 7http://technet.microsoft.com/es-es/library/cc739828.aspx 8http://technet.microsoft.com/es-es/library/cc755686.aspx
2012Microsoft.Reservadostodoslosderechos.
Asignacindederechosdeusuario
Asignacin de derechos de usuario
Estaseccintrata: Tener acceso a este equipo desde la red1 Actuar como parte del sistema operativo2 Agregar estaciones de trabajo al dominio3 Ajustar cuotas de memoria para un proceso4 Permitireliniciodesesinlocal5 PermitiriniciodesesinatravsdeServiciosdeTerminalServer6 Hacer copias de seguridad de archivos y directorios7 Omitirlacomprobacinderecorrido8 Cambiar la hora del sistema9 Crearunarchivodepaginacin10 Crear un objeto testigo11 Crear objetos globales12 Crear objetos compartidos permanentes13 Depurar programas14 Denegar el acceso desde la red a este equipo15 Denegareliniciodesesincomotrabajoporlotes16 Denegareliniciodesesincomoservicio17 Denegareliniciodesesinlocalmente18 DenegariniciodesesinatravsdeServiciosdeTerminalServer19 Habilitarlaconfianzaparaladelegacindelascuentasdeusuarioydeequipo20 Forzar el apagado desde un sistema remoto21 Generarauditorasdeseguridad22 Suplantaraunclientedespusdelaautenticacin23 Incrementarprioridadesdeplanificacindeprocesos24 Cargar y descargar controladores de dispositivo25 Bloquearpginasenmemoria26 Iniciarsesincomoprocesoporlotes27 Iniciarsesincomoservicio28 Administrarlosregistrosdeauditorayseguridad29 Modificar valores de entorno del firmware30 Realizar las tareas de mantenimiento del volumen31 Perfilar un proceso individual32 Perfilar el rendimiento del sistema33 Quitarelequipodelaestacindeacoplamiento34 Reemplazarunsmbolodeproceso35 Restaurar archivos y directorios36 Apagar el sistema37 Sincronizar los datos de Directory Service38 Tomarposesindearchivosyotrosobjetos39
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc740196.aspx 2http://technet.microsoft.com/es-es/library/cc784323.aspx 3http://technet.microsoft.com/es-es/library/cc780195.aspx 4http://technet.microsoft.com/es-es/library/cc736528.aspx 5http://technet.microsoft.com/es-es/library/cc756809.aspx 6http://technet.microsoft.com/es-es/library/cc758613.aspx 7http://technet.microsoft.com/es-es/library/cc787956.aspx 8http://technet.microsoft.com/es-es/library/cc739389.aspx 9http://technet.microsoft.com/es-es/library/cc786461.aspx 10http://technet.microsoft.com/es-es/library/cc758550.aspx 11http://technet.microsoft.com/es-es/library/cc757309.aspx 12http://technet.microsoft.com/es-es/library/cc739176.aspx 13http://technet.microsoft.com/es-es/library/cc786522.aspx 14http://technet.microsoft.com/es-es/library/cc787339.aspx 15http://technet.microsoft.com/es-es/library/cc758316.aspx 16http://technet.microsoft.com/es-es/library/cc738621.aspx 17http://technet.microsoft.com/es-es/library/cc783965.aspx 18http://technet.microsoft.com/es-es/library/cc728210.aspx 19http://technet.microsoft.com/es-es/library/cc737453.aspx
20http://technet.microsoft.com/es-es/library/cc782684.aspx 21http://technet.microsoft.com/es-es/library/cc782573.aspx 22http://technet.microsoft.com/es-es/library/cc782169.aspx 23http://technet.microsoft.com/es-es/library/cc787897.aspx 24http://technet.microsoft.com/es-es/library/cc758538.aspx 25http://technet.microsoft.com/es-es/library/cc782779.aspx 26http://technet.microsoft.com/es-es/library/cc783969.aspx 27http://technet.microsoft.com/es-es/library/cc755659.aspx 28http://technet.microsoft.com/es-es/library/cc783342.aspx 29http://technet.microsoft.com/es-es/library/cc738268.aspx 30http://technet.microsoft.com/es-es/library/cc757435.aspx 31http://technet.microsoft.com/es-es/library/cc779312.aspx 32http://technet.microsoft.com/es-es/library/cc758497.aspx 33http://technet.microsoft.com/es-es/library/cc759548.aspx 34http://technet.microsoft.com/es-es/library/cc785654.aspx 35http://technet.microsoft.com/es-es/library/cc784623.aspx 36http://technet.microsoft.com/es-es/library/cc736432.aspx 37http://technet.microsoft.com/es-es/library/cc759478.aspx 38http://technet.microsoft.com/es-es/library/cc776799.aspx 39http://technet.microsoft.com/es-es/library/cc728330.aspx
2012Microsoft.Reservadostodoslosderechos.
Utilizar el grupo Usuarios de Escritorio remoto para conceder el acceso a un servidor Terminal Server
SepuedenadministrarfcilmentelospermisosyderechosparaunservidorTerminalServerenfuncindecadaequipomedianteelgrupoUsuariosde Escritorio remoto. El grupo Usuarios de Escritorio remoto es uno de los grupos de usuarios integrados que se encuentran disponibles cuando se instala un sistemaoperativoWindowsServer2003.LosmiembrosdeestegrupopuedeniniciarsesindeformaremotaenunservidorTerminalServerenelqueest habilitado Escritorio remoto. Demanerapredeterminada,elgrupoUsuariosdeescritorioremotonoestrellenado.Porlotanto,deberdecidirquusuariosygrupospodrntener accesoparainiciarunasesinremotamenteenunservidorTerminalServery,acontinuacin,agregarlosalgrupo.Paraobtenerinstruccionesacercade cmoagregarusuariosalgrupoUsuariosdeEscritorioremoto,consulteAgregar usuarios al grupo Usuarios de escritorio remoto2. Se recomienda utilizar el grupo Usuarios de Escritorio remoto para conceder a los usuarios acceso a los servidores Terminal Server en lugar de asignar los permisos necesarios manualmente. Precaucin Si modifica los permisos predeterminados del grupo Usuarios de Escritorio remoto o elimina este grupo, es posible que sus miembros no puedan iniciar una sesindeformaremotaenlosservidoresTerminalServer.
Derecho o permiso
Para configurarlo, busque Configuracindelequipo\ConfiguracindeWindows\Configuracinde seguridad\Directivas locales\Asignacindederechosdeusuario\. Paraobtenerinstruccionesacercadelaconfiguracin,veaModificarlaconfiguracindeseguridadenunobjeto de directiva de grupo4. Estetipodepermisoconcedelossiguientespermisosespeciales:Consultarinformacin,Iniciarsesiny Conectar. Estos permisos especiales permiten a los usuarios hacer lo siguiente: IniciarunasesinenelservidorTerminalServer. Consultarinformacinreferenteaunasesin. Enviar mensajes a otras sesiones de usuario. Conectarconotrasesin. RealizarlaconfiguracinmedianteConfiguracindeServiciosdeTerminalServer. Paraobtenerinstruccionesacercadelaconfiguracin,veaCambiar los permisos que un grupo o un usuario tiene enunaconexin5
Acceso de usuario
Vea tambin
Administrar usuarios de Servicios de Terminal Server7 Configurar Servicios de Terminal Server con TSCC8
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc727977(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc758036(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc758613(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc736516(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc736401(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Configuracindeseguridadpredeterminadaparagrupos
Configuracin de seguridad predeterminada para grupos
Antesdemodificarlaconfiguracindeseguridad,esimportantetenerenconsideracinlaconfiguracinpredeterminada. Haytresnivelesfundamentalesdeseguridadqueseconcedenalosusuarios.Estosnivelesseotorganalosusuariosfinalesatravsdesupertenenciaa los grupos Usuarios, Usuarios avanzados o Administradores. Administradores El grupo Administradores se proporciona para realizar tareas de mantenimiento en el equipo. Los permisos predeterminados asignados a este grupo permitenuncontrolcompletosobretodoelsistema.Portanto,sloelpersonaldeconfianzadeberasermiembrodeestegrupo. Usuarios avanzados LosmiembrosdelgrupoUsuariosavanzadostienenmspermisosqueloscomponentesdelosgruposUsuariosymenosquelosdelgrupoAdministradores. Estos usuarios pueden realizar cualquier tarea del sistema operativo excepto aquellas reservadas para el grupo Administradores. Los permisos predeterminadosasignadosalgrupoUsuariosavanzadospermitenasusmiembrosmodificarlasopcionesdeconfiguracinqueafectanatodoelequipo. CuandoseactualizaWindowsNT4.0,losmiembrosdelgrupoUsuariosrestringidossecolocanautomticamenteenelgrupoUsuariosavanzadospara evitar problemas de compatibilidad con las versiones anteriores de las aplicaciones. Muchas aplicaciones utilizadas en Windows NT 4.0 necesitaban permisoselevadosparaejecutarsecorrectamente.LaconfiguracindeseguridadpredeterminadadeWindows2000,WindowsXPProfessionalylafamilia deWindowsServer2003paralosUsuariosavanzadosesmuysimilaralaconfiguracindeseguridadparalosUsuariosdeWindowsNT4.0.Cualquier programa que un usuario puede ejecutar en Windows NT 4.0, puede ejecutarlo un Usuario avanzado en Windows 2000, Windows XP Professional o la familia de Windows Server 2003. SinodeseaquelosusuariosfinalestenganlospermisoselevadosdelgrupoUsuariosavanzados,puedehacerlesmiembrosdelgrupoUsuariosyqueslo ejecuten aplicaciones que pertenecen al programa del logotipo de Windows para software. Si es necesario utilizar aplicaciones que no pertenezcan al programadellogotipodeWindowsparasoftware,losusuariosfinalesdebernformarpartedelgrupoUsuariosavanzados.Paraobtenerinformacin acercadelprogramadellogotipodeWindowsparasoftware,veasupginaenelsitio Web de Microsoft1. Los Usuarios avanzados pueden: Ejecutaraplicacionesantiguas,ademsdeaplicacionesdeWindows2000,WindowsXPProfessionalodelafamiliadeWindowsServer2003que pertenezcan al programa del logotipo de Windows para software. Instalar programas que no modifican archivos del sistema operativo ni instalan servicios del sistema. Personalizarlosrecursosdetodoelsistema,entrelosqueseincluyenimpresoras,fechayhora,opcionesdeenergayotrosrecursosdelPanelde control. Crear y administrar cuentas de usuario y grupos locales. Iniciar y detener servicios del sistema que no se inician de forma predeterminada. ElgrupoUsuariosavanzadosnotienepermisosparaagregarseasmismoalgrupoAdministradores.Notieneaccesoalosdatosdeotrosusuariosdeun volumen NTFS, a menos que dichos usuarios les otorguen el permiso. Precaucin LaejecucindeprogramasantiguosenWindows2000,WindowsXPProfessionaloenunmiembrodelafamiliadeWindowsServer2003suele requerirlamodificacindelaccesoaciertasopcionesdeconfiguracindelsistema.Losmismospermisospredeterminadosquepermitenalos miembrosdelgrupoUsuariosavanzadosejecutarprogramasantiguostambinpuedenhacerposiblequeunUsuarioavanzadoobtengaprivilegios adicionales sobre el sistema, incluso el control administrativo completo. Por lo tanto, es importante implementar aplicaciones que pertenezcan al programadellogotipodeWindowsparasoftwareconelfindeconseguirlamximaseguridadsinsacrificarlafuncionalidaddelprograma.Estos programassepuedenejecutarcorrectamenteenlaconfiguracinSeguraproporcionadaporelgrupoUsuarios. Como el grupo Usuarios avanzados puede instalar o modificar programas, actuar como miembro del grupo Usuarios avanzados al conectarse a InternetpodraexponerelsistemaanteprogramasdetipocaballodeTroyayotrosriesgosparalaseguridad. Usuarios ElgrupoUsuarioseselmsseguro,yaquelospermisosquetieneasignadosdeformapredeterminadanopermitenasusmiembrosmodificarla configuracindelsistemaoperativonilosdatosdeotrosusuarios. ElgrupoUsuariosproporcionaelentornomsseguroparaejecutarprogramas.EnunvolumenformateadoconelsistemadearchivosNTFS,la configuracindeseguridadpredeterminadadeunsistemarecininstalado(noactualizado)estdiseadaparaquelosmiembrosdeestegruponopuedan ponerenpeligrolaintegridaddelsistemaoperativoydelasaplicacionesinstaladas.LosusuariosnopuedenmodificarlaconfiguracindelRegistro,los archivos del sistema operativo ni los archivos de programa. Los usuarios pueden apagar las estaciones de trabajo, pero no los servidores. Asimismo, puedencreargruposlocales,peronicamentepuedenadministrarlosgruposlocalesquehayancreado.PuedenejecutarprogramasdeWindows2000, Windows XP Professional o un miembro de la familia de Windows Server 2003 que pertenezcan al programa del logotipo de Windows para software que haya sido instalado o implementado por los administradores. Los usuarios tienen control total sobre todos sus archivos de datos (almacenados en %userprofile%) y su propia parte del Registro (que se encuentra en HKEY_CURRENT_USER). Tenga en cuenta que los permisos de los usuarios no suelen dejarles ejecutar correctamente aplicaciones antiguas. Para ejecutar dichas aplicaciones, debe rebajar la seguridad para que los miembros del grupo Usuarios tengan esa capacidad o promover los miembros del grupo Usuarios al grupo Usuarios avanzados.Ambasopcionesreducenlaseguridaddelaorganizacin.DadoquelosmiembrosdelgrupoUsuariostienenlagarantadepoderejecutar aplicacionesquepertenezcanalprogramadellogotipodeWindowsparasoftware,resultaconvenienteutilizarsloestetipodeaplicaciones.Para obtenermsinformacin,veaelprogramadellogotipodeWindowsparasoftwareenelsitio Web de Microsoft1 Para garantizar la seguridad de un sistema que ejecuta Windows 2000, Windows XP Professional o un miembro de la familia de Windows Server 2003, un administrador debe: AsegurarsedequelosusuariosfinalesslosonmiembrosdelgrupoUsuarios. ImplementarprogramasquelosmiembrosdelgrupoUsuariospuedanejecutarcorrectamente,porejemplo,aqullosquepertenecenalprogramadel logotipo de Windows para software. LosusuariosnopodrnejecutarlamayorpartedelosprogramasescritosparaversionesdeWindowsanterioresaWindows2000,porquenoadmitanel sistema de archivos y la seguridad del Registro (como Windows 95 y Windows 98) o se suministraron con otras configuraciones de seguridad predeterminadas(WindowsNT).SitieneproblemasalejecutaraplicacionesantiguasensistemasNTFSrecininstalados,sigaunadelasacciones siguientes: 1. Instale nuevas versiones de las aplicaciones que pertenecen al programa del logotipo de Windows para software. 2. Traslade a los usuarios desde el grupo Usuarios al grupo Usuarios avanzados. 3. Reduzca los permisos de seguridad predeterminados del grupo Usuarios. Esto se puede conseguir mediante la plantilla de seguridad compatible.
Otros grupos
Interactivo.Estegrupocontienealusuarioquehainiciadoactualmentelasesinenelequipo.DuranteunaactualizacinaWindows2000, WindowsXPProfessionaloalafamiliadeWindowsServer2003,losmiembrosdelgrupoInteractivotambinseagregarnalgrupoUsuarios avanzados,paraquelasaplicacionesantiguaspuedanseguirfuncionandoigualqueantesdelaactualizacin. Red.Estegrupocontieneatodoslosusuariosquetienenactualmenteaccesoalsistemaatravsdelared. Operadores de copia de seguridad Los miembros del grupo Operadores de copia pueden realizar copias de seguridad y restaurar archivos en el equipo, independientemente de los permisosqueprotejandichosarchivos.Tambinpuedeniniciarsesinenelequipoyapagarlo,peronopuedencambiarlaconfiguracinde seguridad. Precaucin Lacopiadeseguridadylarestauracindearchivosdedatosydesistemarequierepermisosparaleeryescribirdichosarchivos.Losmismos permisos predeterminados concedidos a Operadores de copia de seguridad que les permiten hacer copia de seguridad de los archivos y restaurarlostambinhacenposiblequeutilicenlospermisosdelgrupoparaotrospropsitos,comoleerlosarchivosdeotrosusuarioso instalarprogramasdecaballodeTroya.SepuedeutilizarlaconfiguracindeDirectivadegrupoparacrearunentornoenelqueelgrupo Operadoresdecopiadeseguridadslopuedaejecutarunprogramadecopiadeseguridad.Paraobtenermsinformacin,vealapginade seguridad de Microsoft en el sitio Web de Microsoft3. Paraobtenermsinformacin,veaGrupos predeterminados4, Configuracinpredeterminadadelosservicios5 y Diferenciasenlaconfiguracinde seguridad predeterminada6,ylapginadeseguridadenelsitio Web de Microsoft3
Tabla de vnculos
1http://go.microsoft.com/fwlink/?LinkId=3688 2http://technet.microsoft.com/es-es/library/cc778182(v=ws.10).aspx 3http://go.microsoft.com/fwlink/?LinkId=102 4http://technet.microsoft.com/es-es/library/cc756898(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc785922(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/cc772745(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Network access: deja que los permisos de Todos se apliquen a los usuariosannimos
Acceso de red: deja que los permisos de Todos se apliquen a los usuarios annimos Descripcin
Estaconfiguracindeseguridaddeterminaqupermisosadicionalesseconcedenparalasconexionesannimasalequipo. Windowspermitealosusuariosannimosefectuarciertasactividades,comoobtenerunalistadelosnombresdelascuentasdedominioydelos recursoscompartidosdered.Estoesprctico,porejemplo,cuandounadministradordeseaconcederelaccesoausuariosenundominiodeconfianza quenomantieneunaconfianzarecproca.Demanerapredeterminada,sequitaelidentificadordeseguridad(SID)Todosdelsmbolocreadoparalas conexionesannimas.Porlotanto,lospermisosconcedidosalgrupoTodosnoseaplicanalosusuariosannimos.Siseestableceestaopcin,los usuariosannimosslopodrnteneraccesoaaquellosrecursosparalosqueseleshayaconcedidopermisoexplcitamente. Sisehabilitaestadirectiva,elSIDTodosseagregaalsmboloquesecreaparalasconexionesannimas.Enestecaso,losusuariosannimospueden tener acceso a cualquier recurso para el que el grupo Todos tenga permiso. Valor predeterminado: deshabilitada.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc736516(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc782569(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/dd349318(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Grupos predeterminados
Grupos predeterminados
Losgrupospredeterminados,comoelgrupoAdministradoresdedominio,songruposdeseguridadquesecreanautomticamentealcrearundominiode ActiveDirectory.Estosgrupospredefinidospermitencontrolarelaccesoalosrecursoscompartidosydelegarfuncionesadministrativasespecficasen todoeldominio.Paraobtenerinformacinacercadelosgrupospredeterminadosalmacenadosenequiposlocales, vea Grupos locales predeterminados1. Amuchosgrupospredeterminadosselesasignaautomticamenteunconjuntodederechosdeusuarioqueautorizaalosmiembrosdelgrupoarealizar accionesespecficasenundominio,comoiniciarunasesinenunsistemalocaloefectuarcopiasdeseguridaddearchivosycarpetas.Porejemplo,un miembro del grupo Operadores de copia de seguridad tiene derecho a realizar operaciones de copia de seguridad en todos los controladores del dominio. Cuando agrega un usuario a un grupo, el primero recibe todos los derechos de usuario y permisos asignados a ese grupo en todos los recursos compartidos.Paraobtenermsinformacinacercadelosderechosdeusuarioylosgruposdeseguridad,veaTipos de grupos2. PuedeadministrarlosgruposconUsuariosyequiposdeActiveDirectory.LosgrupospredeterminadosestnubicadosenelcontenedorIntegradosyenel contenedorUsuarios.ElcontenedorIntegradoscontienelosgruposdefinidosconelmbitolocaldedominio.ElcontenedorUsuarioscontienelosgrupos definidosconlosmbitosglobalylocaldeldominio.Puedemoverlosgruposubicadosenestoscontenedoresaotrosgruposounidadesorganizativasdel dominio, pero no puede moverlos a otros dominios. Comoprcticadeseguridadrecomendada,seaconsejaquelosmiembrosdegrupospredeterminadosconmltiplesaccesosadministrativosutilicen Ejecutarcomocuandorealicentareasadministrativas.Paraobtenermsinformacin,veaUtilizar Ejecutar como3.Paraobtenerinformacinacercadelas prcticasdeseguridadrecomendadas,veaPrcticasrecomendadasdeActiveDirectory4.Paraobtenerinformacinacercadelasmedidasdeseguridad que se pueden utilizar para proteger Active Directory, vea Proteger Active Directory5. Nota EnlaseccinCmodelCentrodeAyudaysoportetcnicoencontrarvariostemassobreprocedimientosenlosquesedescribeaqugruposhay que pertenecer para realizar determinados procedimientos.
Grupo
Descripcin
Los miembros de este grupo pueden crear, modificar y eliminar cuentas de usuarios, grupos y equipos que se encuentran en los contenedores Usuarios o Equipos y en las unidades organizativas del dominio, excepto la unidad organizativa Controladores de dominio. Los miembros de este grupo no Operadores de tienen permiso para modificar los grupos Administradores o cuentas Administradores del dominio ni las cuentas de los miembros de dichos grupos. Los miembros de este grupo pueden iniciar la sesindeformalocalenloscontroladoresdeldominioy apagarlos. Como este grupo tiene una autoridad considerable en el dominio, sea prudente al agregar usuarios.
PermitireliniciodesesinlocalApagarelsistema.
Tener acceso a este equipo desde la red; Ajustar las cuotas de memoria de un proceso; Hacer copia de seguridad de archivos y directorios; SaltarselacomprobacinderecorridoCambiarlahoradelsistema Los miembros de este grupo controlan por completo todos los CrearunarchivodepaginacinDepurarprogramasHabilitarla controladores del dominio. De forma predeterminada, los grupos confianzaparaladelegacindelascuentasdeusuarioydeequipo AdministradoresdeldominioyAdministradoresdeorganizacin Forzar el apagado desde un sistema remoto; Aumentar la prioridad de Administradores son miembros del grupo Administradores. La cuenta programacinCargarydescargarcontroladoresdedispositivoPermitir Administrador es miembro de este grupo de forma eliniciodesesinlocalAdministrarelregistrodeauditorayseguridad predeterminada. Puesto que este grupo controla por completo Modificar valores de entorno del firmware; Hacer perfil de un solo el dominio, agregue los usuarios con cautela. proceso; Hacer perfil del rendimiento del sistema; Quitar un equipo de unaestacindeacoplamientoRestaurararchivosydirectoriosApagar elsistemaTomarposesindearchivosyotrosobjetos. Los miembros de este grupo pueden realizar copias de seguridad y restaurar todos los archivos en los controladores del dominio, independientemente de sus permisos individuales Operadores de en esos archivos. Los Operadores de copia de seguridad copia de tambinpuedeniniciarlasesinenloscontroladoresde seguridad dominioyapagarlos.Estegruponotieneningnmiembro predeterminado. Como este grupo tiene una autoridad considerable en los controladores de dominio, sea prudente al agregar usuarios.
Invitados
De forma predeterminada, el grupo Invitados del dominio es un miembrodeestegrupo.LacuentaInvitado(queest No hay derechos de usuario predeterminados. deshabilitadadeformapredeterminada)tambinesunmiembro predeterminado de este grupo. Los miembros de este grupo pueden crear confianzas de bosquedeentradaunidireccionaleseneldominiorazdel
bosque. Por ejemplo, los miembros de este grupo que residen en el Bosque A pueden crear una confianza de bosque de entrada unidireccional desde el Bosque B. Esta confianza de bosque de entrada unidireccional permite a los usuarios del No hay derechos de usuario predeterminados. Bosque A tener acceso a recursos ubicados en el Bosque B. Los miembros de este grupo disponen del permiso Crear confianzadebosquedeentradaeneldominiorazdelbosque. Estegruponotieneningnmiembropredeterminado.Para obtenermsinformacinacercadecmocrearunaconfianza de bosque, vea Crearunarelacindeconfianzadebosque8.
Losmiembrosdeestegrupopuedenmodificarlaconfiguracin Operadores de TCP/IP,ascomorenovaryliberarlasdireccionesTCP/IPenlos configuracin No hay derechos de usuario predeterminados. controladoresdeldominio.Estegruponotieneningnmiembro de red predeterminado. Los miembros de este grupo pueden supervisar los contadores de rendimiento en los controladores del dominio, tanto de forma No hay derechos de usuario predeterminados. local como desde clientes remotos, sin ser miembros de los grupos Administradores o Usuarios del registro de rendimiento. Los miembros de este grupo pueden administrar los contadores de rendimiento, los registros y las alertas de los controladores No hay derechos de usuario predeterminados. del dominio, tanto de forma local como desde clientes remotos, sin ser miembros del grupo Administradores.
Los miembros de este grupo tienen acceso de lectura en todos los usuarios y grupos del dominio. Este grupo se proporciona para garantizar la compatibilidad con versiones anteriores en Acceso compatible con los equipos con Windows NT 4.0 y anteriores. De forma TeneraccesoaesteequipodesdelaredSaltarselacomprobacinde predeterminada, la identidad especial Todos es miembro de versiones recorrido. estegrupo.Paraobtenermsinformacinacercadelas anteriores a Windows 2000 identidades especiales, vea Identidades especiales9. Agregue usuariosaestegruponicamentesiseejecutanen Windows NT 4.0 o versiones anteriores. Los miembros de este grupo pueden administrar, crear, compartiryeliminarimpresorasqueestnconectadasalos controladoresdeldominio.Tambinpuedenadministrarobjetos de impresora de Active Directory en el dominio. Los miembros Operadores de deestegrupopuedeniniciarlasesindeformalocalenlos PermitireliniciodesesinlocalApagarelsistema. impresin controladores del dominio y apagarlos. Este grupo no tiene ningnmiembropredeterminado.Puestoquelosmiembrosde este grupo pueden cargar y descargar controladores de dispositivos en todos los controladores del dominio, agregue los usuarios con cautela. Usuarios de escritorio remoto Losmiembrosdeestegrupopuedeniniciarlasesinenlos controladores del dominio de forma remota. Este grupo no tiene No hay derechos de usuario predeterminados. ningnmiembropredeterminado. Estegrupoadmitefuncionesdereplicacindedirectorioyel Serviciodereplicacindearchivosloutilizaenlos No hay derechos de usuario predeterminados. controladoresdeldominio.Estegruponotieneningnmiembro predeterminado. No agregue usuarios a este grupo.
Replicador
En los controladores de dominio, los miembros de este grupo pueden iniciar sesiones interactivas, crear y eliminar recursos compartidos, iniciar y detener varios servicios, hacer copias de Hacer copia de seguridad de archivos y directorios; Cambiar la hora del Operadores de seguridad y restaurar archivos, formatear el disco duro y sistema; Forzar el apagado desde un sistema remoto; Permitir el inicio de servidores apagarelequipo.Estegruponotieneningnmiembro sesinlocalRestaurararchivosydirectoriosApagarelsistema. predeterminado. Dado que este grupo tiene mucha importancia para los controladores de dominio, agregue los usuarios con cautela. Losmiembrosdeestegrupopuedenrealizarlastareasms habituales, como ejecutar aplicaciones, utilizar impresoras localesydered,ascomobloquearelservidor.Deforma predeterminada, el grupo Usuarios del dominio, Usuarios No hay derechos de usuario predeterminados. autenticados e Interactivo son miembros de este grupo. Por tanto, todas las cuentas de usuario que se crean en el dominio son miembros de este grupo.
Usuarios
Grupo
Descripcin
Los miembros de este grupo tienen permitida la Publicadores de publicacindecertificadosparausuariosyequipos. certificados Estegruponotieneningnmiembropredeterminado. DnsAdmins (instalado con DNS) Los miembros de este grupo tienen acceso administrativo al Servidor DNS. Este grupo no tiene ningnmiembropredeterminado.
Los miembros de este grupo son clientes DNS que DnsUpdateProxy puedenrealizaractualizacionesdinmicasenlugarde (instalado con No hay derechos de usuario predeterminados. otros clientes, como los servidores DHCP. Este grupo DNS) notieneningnmiembropredeterminado. Tener acceso a este equipo desde la red; Ajustar las cuotas de memoria de un proceso; Hacer copia de seguridad de archivos y directorios; Saltarse la comprobacinderecorridoCambiarlahoradelsistemaCrearunarchivode paginacinDepurarprogramasHabilitarlaconfianzaparaladelegacindelas cuentas de usuario y de equipo; Forzar el apagado desde un sistema remoto; AumentarlaprioridaddeprogramacinCargarydescargarcontroladoresde dispositivoPermitireliniciodesesinlocalAdministrarelregistrodeauditoray seguridad; Modificar valores de entorno del firmware; Hacer perfil de un solo proceso; Hacer perfil del rendimiento del sistema; Quitar un equipo de una estacindeacoplamientoRestaurararchivosydirectoriosApagarelsistema Tomarposesindearchivosyotrosobjetos.
Los miembros de este grupo controlan el dominio por completo. De forma predeterminada, este grupo pasa a ser miembro del grupo Administradores en todos los controladores, estaciones de trabajo y servidores Administradores miembro del dominio en el momento en que se une al de dominio dominio. De forma predeterminada, la cuenta Administrador es miembro de este grupo. Puesto que el grupo controla el dominio por completo, agregue los usuarios con cautela.
Este grupo contiene todas las estaciones de trabajo y los servidores unidos al dominio. De forma predeterminada, todas las cuentas de equipo creadas No hay derechos de usuario predeterminados. pasan a ser miembros de este grupo automticamente. Este grupo contiene todos los controladores del dominio.
Este grupo contiene todos los usuarios del dominio. De forma predeterminada, todas las cuentas de usuario creadas en el dominio pasan a ser miembros deestegrupoautomticamente.Estegruposepuede utilizar para representar todos los usuarios del dominio. Por ejemplo, si desea que todos los usuarios No hay derechos de usuario predeterminados. del dominio tengan acceso a una impresora, puede asignar permisos para la impresora a este grupo (o puede agregar el grupo Usuarios del dominio en un grupo local del servidor de impresoras que disponga de los permisos para utilizarla).
Tener acceso a este equipo desde la red; Ajustar las cuotas de memoria de un proceso; Hacer copia de seguridad de archivos y directorios; Saltarse la Los miembros de este grupo controlan por completo comprobacinderecorridoCambiarlahoradelsistemaCrearunarchivode todos los dominios del bosque. De forma Administradores paginacinDepurarprogramasHabilitarlaconfianzaparaladelegacindelas predeterminada, este grupo es un miembro del grupo deorganizacin cuentas de usuario y de equipo; Forzar el apagado desde un sistema remoto; Administradores en todos los controladores de dominio (sloaparece AumentarlaprioridaddeprogramacinCargarydescargarcontroladoresde del bosque. De forma predeterminada, la cuenta en el dominio dispositivoPermitireliniciodesesinlocalAdministrarelregistrodeauditoray Administrador es miembro de este grupo. Dado que razdelbosque) seguridad; Modificar valores de entorno del firmware; Hacer perfil de un solo este grupo controla el bosque por completo, agregue proceso; Hacer perfil del rendimiento del sistema; Quitar un equipo de una los usuarios con cautela. estacindeacoplamientoRestaurararchivosydirectoriosApagarelsistema Tomarposesindearchivosuotrosobjetos. Los miembros de este grupo pueden modificar la Directiva de grupo en el dominio. De forma predeterminada, la cuenta Administrador es miembro de este grupo. Como este grupo tiene una autoridad considerable en el dominio, sea prudente al agregar usuarios.
El grupo IIS_WPG es el grupo de procesos de trabajo de los Servicios de Internet Information Server (IIS) 6.0. El funcionamiento de IIS 6.0 incluye procesos de trabajoparaespaciosdenombresespecficos.Por ejemplo, www.microsoft.com es un espacio de No hay derechos de usuario predeterminados. nombres proporcionado por un proceso de trabajo, que se puede ejecutar con una identidad agregada al grupo IIS_WPG, como cuentaMicrosoft. Este grupo no tieneningnmiembropredeterminado.
Los servidores de este grupo tienen permitido el Servidores RAS acceso a las propiedades de acceso remoto de los e IAS usuarios.
Los miembros de este grupo pueden modificar el esquema de Active Directory. De forma predeterminada, la cuenta Administrador es miembro de este grupo. Como este grupo tiene una autoridad considerable en el bosque, sea prudente al agregar usuarios.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc785098(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc781446(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc780931(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc778219(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc728372(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/cc780182(v=ws.10).aspx 7http://technet.microsoft.com/es-es/library/cc736516(v=ws.10).aspx 8http://technet.microsoft.com/es-es/library/cc780479(v=ws.10).aspx 9http://technet.microsoft.com/es-es/library/cc778060(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc736516(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc780182(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc739028(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/dd349318(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc736516(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc780182(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc739028(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/dd349318(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc736516(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc780182(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc739028(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/dd349318(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc736516.aspx 2http://technet.microsoft.com/es-es/library/cc780182.aspx 3http://technet.microsoft.com/es-es/library/cc739028.aspx 4http://technet.microsoft.com/es-es/library/dd349318.aspx
2012Microsoft.Reservadostodoslosderechos.
Permitireliniciodesesinlocal
Permitir el inicio de sesin local Descripcin
Estederechodeiniciodesesindeterminalosusuariosquepuedeniniciarlasesindeformainteractivaenesteequipo.Losiniciosdesesininiciados presionandolasecuenciaCtrl+Alt+Supreneltecladoconectadorequierenqueelusuariotengaestederechodeiniciodesesin.Asimismo,estederecho deiniciodesesinpuedesernecesarioparaalgnserviciooaplicacinadministrativaquepuedapermitiralosusuariosiniciarsesin.Sidefineesta directivaparaunusuarioogrupo,tambindebeconcederestederechoalgrupoAdministradores. Valor predeterminado: En estaciones de trabajo y servidores: Administradores, Operadores de copia de seguridad, Usuarios avanzados, Usuarios e Invitados. Encontroladoresdedominio:Operadoresdecuentas,Administradores,Operadoresdecopiadeseguridad,OperadoresdeimpresinyOperadores de servidores.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc736516.aspx 2http://technet.microsoft.com/es-es/library/cc728210.aspx 3http://technet.microsoft.com/es-es/library/cc780182.aspx 4http://technet.microsoft.com/es-es/library/cc739028.aspx 5http://technet.microsoft.com/es-es/library/dd349318.aspx
2012Microsoft.Reservadostodoslosderechos.
PermitiriniciodesesinatravsdeServiciosdeTerminalServer
Permitir inicio de sesin a travs de Servicios de Terminal Server Descripcin
EstaconfiguracindeseguridaddeterminaquusuariosogrupostienenpermisoparainiciarsesincomoclientedeServiciosdeTerminalServer. Valor predeterminado: En estaciones de trabajo y servidores: Administradores, Usuarios de escritorio remoto. En controladores de dominio: Administradores.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc736516.aspx 2http://technet.microsoft.com/es-es/library/cc737453.aspx 3http://technet.microsoft.com/es-es/library/cc780182.aspx 4http://technet.microsoft.com/es-es/library/cc739028.aspx 5http://technet.microsoft.com/es-es/library/dd349318.aspx
2012Microsoft.Reservadostodoslosderechos.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc736516.aspx 2http://technet.microsoft.com/es-es/library/cc736432.aspx 3http://technet.microsoft.com/es-es/library/cc780182.aspx 4http://technet.microsoft.com/es-es/library/cc739028.aspx 5http://technet.microsoft.com/es-es/library/dd349318.aspx
2012Microsoft.Reservadostodoslosderechos.
Omitirlacomprobacinderecorrido
Omitir la comprobacin de recorrido Descripcin
Estederechodeusuariodeterminaquusuariospuedenrecorrerlosrbolesdedirectoriosaunquenotenganpermisosparaeldirectoriorecorrido.Este privilegionopermitealusuariomostrarelcontenidodeundirectorio,sloledaelderechoarecorrerlosdirectorios. EstederechodeusuarioestdefinidoenelobjetodeDirectivadegrupo(GPO)Controladorpredeterminadodedominioyenladirectivadeseguridadlocal de estaciones de trabajo y servidores. Valor predeterminado: En estaciones de trabajo y servidores: Administradores Operadores de copia de seguridad Usuarios avanzados Usuarios Todos En controladores de dominio: Administradores Usuarios autenticados
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc736516.aspx 2http://technet.microsoft.com/es-es/library/cc780182.aspx 3http://technet.microsoft.com/es-es/library/cc739028.aspx 4http://technet.microsoft.com/es-es/library/dd349318.aspx
2012Microsoft.Reservadostodoslosderechos.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc736516.aspx 2http://technet.microsoft.com/es-es/library/cc780182.aspx 3http://technet.microsoft.com/es-es/library/cc739028.aspx 4http://technet.microsoft.com/es-es/library/dd349318.aspx
2012Microsoft.Reservadostodoslosderechos.
Crearunarchivodepaginacin
Crear un archivo de paginacin Descripcin
Estederechodeusuariodeterminaquusuariosygrupospuedenllamaraunainterfazdeprogramacindeaplicaciones(API)internaparacrearun archivodepaginacin.Estederechodeusuarioesutilizadodeformainternaporelsistemaoperativoynormalmentenoesnecesarioasignarloaningn usuario. Paraobtenerinformacinacercadecmoespecificareltamaodeunarchivodepaginacinparaunaunidaddeterminada,veaCambiareltamaodel archivodepaginacindememoriavirtual1. Valor predeterminado: Administradores.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc772755.aspx 2http://technet.microsoft.com/es-es/library/cc736516.aspx 3http://technet.microsoft.com/es-es/library/cc780182.aspx 4http://technet.microsoft.com/es-es/library/cc739028.aspx 5http://technet.microsoft.com/es-es/library/dd349318.aspx
2012Microsoft.Reservadostodoslosderechos.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc736516.aspx 2http://technet.microsoft.com/es-es/library/cc780182.aspx 3http://technet.microsoft.com/es-es/library/cc739028.aspx 4http://technet.microsoft.com/es-es/library/dd349318.aspx
2012Microsoft.Reservadostodoslosderechos.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc736516.aspx 2http://technet.microsoft.com/es-es/library/cc780182.aspx 3http://technet.microsoft.com/es-es/library/cc739028.aspx 4http://technet.microsoft.com/es-es/library/dd349318.aspx
2012Microsoft.Reservadostodoslosderechos.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc736516.aspx 2http://technet.microsoft.com/es-es/library/cc780182.aspx 3http://technet.microsoft.com/es-es/library/cc739028.aspx 4http://technet.microsoft.com/es-es/library/dd349318.aspx
2012Microsoft.Reservadostodoslosderechos.
Depurar programas
Depurar programas Descripcin
Estederechodeusuariodeterminaquusuariospuedenasignarundepuradoracualquierprocesooalncleo.Noesnecesarioasignarestederechode usuario a los programadores que depuran sus propias aplicaciones. Sin embargo, los programadores que depuren nuevos componentes del sistema necesitarnestederechodeusuariopararealizarestaoperacin.Estederechodeusuarioproporcionaaccesocompletoacomponentesconfidencialesy esenciales del sistema operativo. Precaucin Laasignacindeestederechodeusuariopuedeponerenpeligrolaseguridad.Asigneestederechonicamenteausuariosdeconfianza. Valor predeterminado: Administradores Local System
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc736516.aspx 2http://technet.microsoft.com/es-es/library/cc780182.aspx 3http://technet.microsoft.com/es-es/library/cc739028.aspx 4http://technet.microsoft.com/es-es/library/dd349318.aspx
2012Microsoft.Reservadostodoslosderechos.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc740196.aspx 2http://technet.microsoft.com/es-es/library/cc736516.aspx 3http://technet.microsoft.com/es-es/library/cc780182.aspx 4http://technet.microsoft.com/es-es/library/cc739028.aspx 5http://technet.microsoft.com/es-es/library/dd349318.aspx
2012Microsoft.Reservadostodoslosderechos.
Denegareliniciodesesincomotrabajoporlotes
Denegar el inicio de sesin como trabajo por lotes Descripcin
Estaconfiguracindeseguridaddeterminaqucuentasnopuedeniniciarsesincomotrabajoporlotes.Estaopcindeconfiguracindedirectiva prevalece sobre Iniciarsesincomoprocesoporlotes1siunacuentadeusuarioestsujetaaambasdirectivas. Valor predeterminado: ninguno.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc755659.aspx 2http://technet.microsoft.com/es-es/library/cc736516.aspx 3http://technet.microsoft.com/es-es/library/cc780182.aspx 4http://technet.microsoft.com/es-es/library/cc739028.aspx 5http://technet.microsoft.com/es-es/library/dd349318.aspx
2012Microsoft.Reservadostodoslosderechos.
Denegareliniciodesesincomoservicio
Denegar el inicio de sesin como servicio Descripcin
Estaconfiguracindeseguridaddeterminaqucuentasdeservicionopuedenregistrarunprocesocomoservicio.Estaopcindeconfiguracinde directiva prevalece sobre Iniciarsesincomoservicio1siunacuentadeusuarioestsujetaaambasdirectivas. Nota EstaconfiguracindeseguridadnoseaplicaalascuentasSistema,ServiciolocaloServiciodered. Valor predeterminado: ninguno.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc783342.aspx 2http://technet.microsoft.com/es-es/library/cc736516.aspx 3http://technet.microsoft.com/es-es/library/cc780182.aspx 4http://technet.microsoft.com/es-es/library/cc739028.aspx 5http://technet.microsoft.com/es-es/library/dd349318.aspx
2012Microsoft.Reservadostodoslosderechos.
Denegareliniciodesesinlocalmente
Denegar el inicio de sesin localmente Descripcin
Estaconfiguracindeseguridaddeterminalosusuariosaquienesseimpideiniciarsesinenelequipo.Estaopcindeconfiguracindedirectivaprevalece sobre Permitireliniciodesesinlocal1siunacuentaestsujetaaambasdirectivas. Importante SiaplicaestadirectivadeseguridadalgrupoTodos,ningnusuariopodriniciarsesinlocalmente. Valor predeterminado: ninguno.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc756809.aspx 2http://technet.microsoft.com/es-es/library/cc736516.aspx 3http://technet.microsoft.com/es-es/library/cc780182.aspx 4http://technet.microsoft.com/es-es/library/cc739028.aspx 5http://technet.microsoft.com/es-es/library/dd349318.aspx
2012Microsoft.Reservadostodoslosderechos.
DenegariniciodesesinatravsdeServiciosdeTerminalServer
Denegar inicio de sesin a travs de Servicios de Terminal Server Descripcin
EstaconfiguracindeseguridaddeterminaquusuariosogruposnopuedeniniciarsesincomoclientesdeServiciosdeTerminalServer. Valor predeterminado: ninguno.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc736516.aspx 2http://technet.microsoft.com/es-es/library/cc758613.aspx 3http://technet.microsoft.com/es-es/library/cc780182.aspx 4http://technet.microsoft.com/es-es/library/cc739028.aspx 5http://technet.microsoft.com/es-es/library/dd349318.aspx
2012Microsoft.Reservadostodoslosderechos.
Habilitarlaconfianzaparaladelegacindelascuentasdeusuarioyde equipo
Habilitar la confianza para la delegacin de las cuentas de usuario y de equipo Descripcin
EstaconfiguracindeseguridaddeterminaquusuariospuedenestablecerlaconfiguracinSeconfaparadelegacin en un objeto de usuario o equipo. El usuario o el objeto al que se concede este privilegio debe tener acceso de escritura a los indicadores de control de cuenta del objeto usuario o equipo. Unprocesodeservidorqueseejecutaenunequipo(oenuncontextodeusuario)enelqueseconfaparaladelegacinpuedeteneraccesoarecursos en otro equipo mediante las credenciales delegadas de un cliente, siempre y cuando la cuenta de cliente no tenga activado el indicador de control de cuenta La cuenta no se puede delegar. EstederechodeusuarioestdefinidoenelobjetodeDirectivadegrupo(GPO)Controladorpredeterminadodedominioyenladirectivadeseguridadlocal de estaciones de trabajo y servidores. Precaucin SinoseutilizacorrectamenteestederechodeusuarioolaopcinSeconfaparadelegacin,laredservulnerableaataquessofisticadosque utilicen programas de tipo caballo de Troya, que suplantan a clientes entrantes y utilizan sus credenciales para obtener acceso a los recursos de la red. Valor predeterminado: Administradores en controladores de dominio.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc736516.aspx 2http://technet.microsoft.com/es-es/library/cc738491.aspx 3http://technet.microsoft.com/es-es/library/cc739474.aspx 4http://technet.microsoft.com/es-es/library/cc780182.aspx 5http://technet.microsoft.com/es-es/library/cc739028.aspx 6http://technet.microsoft.com/es-es/library/dd349318.aspx
2012Microsoft.Reservadostodoslosderechos.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc736516.aspx 2http://technet.microsoft.com/es-es/library/cc759478.aspx 3http://technet.microsoft.com/es-es/library/cc780182.aspx 4http://technet.microsoft.com/es-es/library/cc739028.aspx 5http://technet.microsoft.com/es-es/library/dd349318.aspx
2012Microsoft.Reservadostodoslosderechos.
Generarauditorasdeseguridad
Generar auditoras de seguridad Descripcin
Estaconfiguracindeseguridaddeterminaqucuentaspuedeutilizarunprocesoparaagregarentradasalregistrodeseguridad.Elregistrodeseguridad seutilizapararealizarunseguimientodelaccesonoautorizadoalsistema.Elusoincorrectodeestederechodeusuariopuededarlugaralageneracin demltiplessucesosdeauditora,quepodranocultarlaexistenciadeunataqueoproducirunadenegacindeserviciosilaconfiguracindedirectivade seguridad Auditora:apagarelsistemadeinmediatosinopuederegistrarauditorasdeseguridadesthabilitada.Paraobtenermsinformacin acercadelaconfiguracindeestadirectivadeseguridad,veaAuditora:apagarelsistemadeinmediatosinopuederegistrarauditorasdeseguridad1. Valor predeterminado: Sistema local.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc739010.aspx 2http://technet.microsoft.com/es-es/library/cc736516.aspx 3http://technet.microsoft.com/es-es/library/cc738268.aspx 4http://technet.microsoft.com/es-es/library/cc780182.aspx 5http://technet.microsoft.com/es-es/library/cc739028.aspx 6http://technet.microsoft.com/es-es/library/dd349318.aspx
2012Microsoft.Reservadostodoslosderechos.
Suplantaraunclientedespusdelaautenticacin
Suplantar a un cliente despus de la autenticacin Descripcin
Si se asigna este privilegio a un usuario se permite que los programas que se ejecutan en nombre de dicho usuario suplanten a un cliente. La exigencia de estederechodeusuarioparaestetipodesuplantacinimpidequeunusuarionoautorizadoconvenzaaunclienteparaconectarse(medianteuna llamadaaunprocedimientoremoto(RPC)ounacanalizacinconnombre)aunservicioquehayancreadoy,posteriormente,suplantaradichocliente, que puede aumentar los permisos del usuario autorizado hasta el nivel de un administrador o del sistema. Precaucin Laasignacindeestederechodeusuariopuedeponerenpeligrolaseguridad.Asigneestederechonicamenteausuariosdeconfianza. Valor predeterminado: Administradores Servicio Nota El grupo integrado Servicio se agrega de forma predeterminada en los testigos de acceso de los servicios iniciados por el Administrador de control deservicios.ElgrupointegradoServiciotambinseagregaenlostestigosdeaccesodelosservidoresCOM(Modelodeobjetoscomponentes) iniciadosporlainfraestructuraCOMyconfiguradosparaejecutarseconunacuentaespecfica.Comoresultado,losserviciosdisponendeeste derecho usuario al iniciarse. Adems,elusuariotambinpuedesuplantaruntestigodeaccesosisecumplecualquieradelassiguientescondiciones. El testigo de acceso suplantado corresponde al usuario. Elusuario,durantelasesindeiniciodesesin,creeltestigodeaccesoaliniciarsesinenlaredsincredencialesexplcitas. ElnivelsolicitadoesinferioraSuplantar,comoAnnimooIdentificar. Debido a estos factures, los usuarios no suelen tener que utilizar este derecho de usuario. Paraobtenermsinformacin,busque"SeImpersonatePrivilege"enlapginaMicrosoft Platform SDK1.
Tabla de vnculos
1http://go.microsoft.com/fwlink/?LinkID=140 2http://technet.microsoft.com/es-es/library/cc736516.aspx 3http://technet.microsoft.com/es-es/library/cc780182.aspx 4http://technet.microsoft.com/es-es/library/cc739028.aspx 5http://technet.microsoft.com/es-es/library/dd349318.aspx
2012Microsoft.Reservadostodoslosderechos.
Incrementarprioridadesdeplanificacindeprocesos
Incrementar prioridades de planificacin de procesos Descripcin
EstaconfiguracindeseguridaddeterminaqucuentaspuedenutilizarunprocesoconaccesodePropiedaddeescrituraaotroprocesoparaaumentarla prioridaddeejecucinasignadaalotroproceso.Unusuarioconesteprivilegiopuedecambiarlaprioridaddeprogramacindeunprocesoatravsdela interfaz de usuario del Administrador de tareas. Valor predeterminado: Administradores.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc736516.aspx 2http://technet.microsoft.com/es-es/library/cc780182.aspx 3http://technet.microsoft.com/es-es/library/cc739028.aspx 4http://technet.microsoft.com/es-es/library/dd349318.aspx
2012Microsoft.Reservadostodoslosderechos.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc736516.aspx 2http://technet.microsoft.com/es-es/library/cc780182.aspx 3http://technet.microsoft.com/es-es/library/cc739028.aspx 4http://technet.microsoft.com/es-es/library/dd349318.aspx
2012Microsoft.Reservadostodoslosderechos.
Bloquearpginasenmemoria
Bloquear pginas en memoria Descripcin
Estaconfiguracindeseguridaddeterminaqucuentaspuedenutilizarunprocesoparamantenerdatosenlamemoriafsica,conloqueseevitaqueel sistema pagine los datos en la memoria virtual de disco. El uso de este privilegio puede afectar de forma significativa al rendimiento del sistema, al disminuir la cantidad disponible de memoria de acceso aleatorio (RAM). Valor predeterminado: ninguno.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc736516.aspx 2http://technet.microsoft.com/es-es/library/cc780182.aspx 3http://technet.microsoft.com/es-es/library/cc739028.aspx 4http://technet.microsoft.com/es-es/library/dd349318.aspx
2012Microsoft.Reservadostodoslosderechos.
Iniciarsesincomoprocesoporlotes
Iniciar sesin como proceso por lotes Descripcin
Estaconfiguracindeseguridadpermitealosusuariosiniciarsesinmedianteunrecursodecoladeprocesoporlotes. Porejemplo,cuandounusuarioenvauntrabajopormediodelprogramadordetareas,steregistraalusuariocomousuariodeprocesoporlotesenvez de como usuario interactivo. Nota En Windows 2000 Server, Windows 2000 Professional, Windows XP Professional y la familia Windows Server 2003, el Programador de tareas concedeautomticamenteestederechocuandoesnecesario. Valor predeterminado: Sistema local.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc736516.aspx 2http://technet.microsoft.com/es-es/library/cc738621.aspx 3http://technet.microsoft.com/es-es/library/cc780182.aspx 4http://technet.microsoft.com/es-es/library/cc739028.aspx 5http://technet.microsoft.com/es-es/library/dd349318.aspx
2012Microsoft.Reservadostodoslosderechos.
Iniciarsesincomoservicio
Iniciar sesin como servicio Descripcin
Estaconfiguracindeseguridaddeterminaqucuentasdeserviciopuedenregistrarunprocesocomoservicio. Valor predeterminado: ninguno.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc736516.aspx 2http://technet.microsoft.com/es-es/library/cc783965.aspx 3http://technet.microsoft.com/es-es/library/cc780182.aspx 4http://technet.microsoft.com/es-es/library/cc739028.aspx 5http://technet.microsoft.com/es-es/library/dd349318.aspx
2012Microsoft.Reservadostodoslosderechos.
Administrarlosregistrosdeauditorayseguridad
Administrar los registros de auditora y seguridad Descripcin
Estaconfiguracindeseguridaddeterminaquusuariospuedenespecificarlasopcionesdeauditoradeaccesoaobjetospararecursosindividualescomo archivos, objetos de Active Directory y claves del Registro. Estaconfiguracindeseguridadnopermitealusuariohabilitarlaauditoradeaccesoaarchivosyobjetosengeneral.Parahabilitarla,laopcinAuditar el acceso a objetos1debeestarconfiguradaenConfiguracindelequipo\ConfiguracindeWindows\Configuracindeseguridad\Directivaslocales\Directivas deauditora. LossucesosauditadossemuestranenelregistrodeseguridaddelVisordesucesos.Unusuarioconesteprivilegiotambinpodrveryborrarelregistro de seguridad. Valor predeterminado: Administradores.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc776774.aspx 2http://technet.microsoft.com/es-es/library/cc736516.aspx 3http://technet.microsoft.com/es-es/library/cc780182.aspx 4http://technet.microsoft.com/es-es/library/cc739028.aspx 5http://technet.microsoft.com/es-es/library/dd349318.aspx
2012Microsoft.Reservadostodoslosderechos.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc756080.aspx 2http://technet.microsoft.com/es-es/library/cc736516.aspx 3http://technet.microsoft.com/es-es/library/cc780182.aspx 4http://technet.microsoft.com/es-es/library/cc755394.aspx 5http://technet.microsoft.com/es-es/library/cc739028.aspx 6http://technet.microsoft.com/es-es/library/dd349318.aspx
2012Microsoft.Reservadostodoslosderechos.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc736516.aspx 2http://technet.microsoft.com/es-es/library/cc780182.aspx 3http://technet.microsoft.com/es-es/library/cc739028.aspx 4http://technet.microsoft.com/es-es/library/dd349318.aspx
2012Microsoft.Reservadostodoslosderechos.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc736516.aspx 2http://technet.microsoft.com/es-es/library/cc759548.aspx 3http://technet.microsoft.com/es-es/library/cc780182.aspx 4http://technet.microsoft.com/es-es/library/cc739028.aspx 5http://technet.microsoft.com/es-es/library/dd349318.aspx
2012Microsoft.Reservadostodoslosderechos.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc736516.aspx 2http://technet.microsoft.com/es-es/library/cc758497.aspx 3http://technet.microsoft.com/es-es/library/cc780182.aspx 4http://technet.microsoft.com/es-es/library/cc739028.aspx 5http://technet.microsoft.com/es-es/library/dd349318.aspx
2012Microsoft.Reservadostodoslosderechos.
Quitarelequipodelaestacindeacoplamiento
Quitar el equipo de la estacin de acoplamiento Descripcin
Estaconfiguracindeseguridaddeterminasiunusuariopuededesacoplarunequipoporttildesuestacindeacoplamientosininiciarunasesin. Sisehabilitaestadirectiva,elusuariodebeiniciarsesinparaquitarelequipoporttildesuestacindeacoplamiento.Sisedeshabilita,elusuariopuede quitarelequipoporttildesuestacindeacoplamientosininiciarsesin. Valor predeterminado: deshabilitada.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc736516.aspx 2http://technet.microsoft.com/es-es/library/cc780182.aspx 3http://technet.microsoft.com/es-es/library/cc739028.aspx 4http://technet.microsoft.com/es-es/library/dd349318.aspx
2012Microsoft.Reservadostodoslosderechos.
Reemplazarunsmbolodeproceso
Reemplazar un smbolo de proceso Descripcin
Estaconfiguracindeseguridaddeterminaqucuentasdeusuariopuedenllamaralainterfazdeprogramacindeaplicaciones(API) CreateProcessAsUser() de manera que un servicio pueda iniciar otro. Un ejemplo de un proceso que emplea este derecho de usuario es el Programador de tareas.ParaobtenerinformacinacercadelProgramadordetareas,veaInformacingeneralacercadelProgramadordetareas1. Valor predeterminado: Servicio de red, Sistema local.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc779419.aspx 2http://technet.microsoft.com/es-es/library/cc736516.aspx 3http://technet.microsoft.com/es-es/library/cc780182.aspx 4http://technet.microsoft.com/es-es/library/cc739028.aspx 5http://technet.microsoft.com/es-es/library/dd349318.aspx
2012Microsoft.Reservadostodoslosderechos.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc736516.aspx 2http://technet.microsoft.com/es-es/library/cc787956.aspx 3http://technet.microsoft.com/es-es/library/cc780182.aspx 4http://technet.microsoft.com/es-es/library/cc739028.aspx 5http://technet.microsoft.com/es-es/library/dd349318.aspx
2012Microsoft.Reservadostodoslosderechos.
Apagar el sistema
Apagar el sistema Descripcin
Estaconfiguracindeseguridaddeterminalosusuariosquehaniniciadosesinlocalenelequipoquepuedenapagarelsistemaoperativomedianteel comando Apagar.Elusoincorrectodeestederechodeusuariopuededarlugaraunadenegacindeservicio. Valor predeterminado: Estaciones de trabajo: Administradores, Operadores de copia de seguridad, Usuarios avanzados y Usuarios. Servidores: Administradores, Operadores de copia de seguridad, Usuarios avanzados. Controladoresdedominio:Administradores,Operadoresdecopiadeseguridad,OperadoresdeservidoryOperadoresdeimpresin.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc736516.aspx 2http://technet.microsoft.com/es-es/library/cc782573.aspx 3http://technet.microsoft.com/es-es/library/cc780182.aspx 4http://technet.microsoft.com/es-es/library/cc739028.aspx 5http://technet.microsoft.com/es-es/library/dd349318.aspx
2012Microsoft.Reservadostodoslosderechos.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc736516.aspx 2http://technet.microsoft.com/es-es/library/cc780182.aspx 3http://technet.microsoft.com/es-es/library/cc739028.aspx 4http://technet.microsoft.com/es-es/library/dd349318.aspx
2012Microsoft.Reservadostodoslosderechos.
Tomarposesindearchivosyotrosobjetos
Tomar posesin de archivos y otros objetos Descripcin
Estaconfiguracindeseguridaddeterminaquusuariospuedentomarposesindecualquierobjetoquesepuedaprotegerenelsistema,comoobjetos de Active Directory, archivos y carpetas, impresoras, claves del Registro, procesos y subprocesos. Precaucin Laasignacindeestederechodeusuariopuedeponerenpeligrolaseguridad.Dadoquelospropietariosdelosobjetostienenuncontroltotal sobre los mismos, asigne este derecho de usuario solamente a usuarios de confianza. Valor predeterminado: Administradores.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc736516.aspx 2http://technet.microsoft.com/es-es/library/cc780182.aspx 3http://technet.microsoft.com/es-es/library/cc739028.aspx 4http://technet.microsoft.com/es-es/library/dd349318.aspx
2012Microsoft.Reservadostodoslosderechos.
Crearunarelacindeconfianzadebosque
Para crear una relacin de confianza de bosque
1. Abra Dominios y confianzas de Active Directory. 2. Enelrboldelaconsola,hagaclicconelbotnsecundarioenelnododeldominiorazdelbosquequedeseaadministrary,acontinuacin,haga clic en Propiedades. 3. En la ficha Confianza, haga clic en Nueva confianzay,acontinuacin,enSiguiente. 4. EnlapginaNombre de confianza,escribaelnombreDNS(onombreNetBIOS)deotrobosquey,despus,hagaclicenSiguiente. 5. EnlapginaTipo de confianza, haga clic en Confianza de bosquey,acontinuacin,enSiguiente. 6. EnlapginaDireccindeconfianza, realice una de las acciones siguientes: Para crear una confianza de acceso directo bidireccional, haga clic en Bidireccional. Losusuariosdeestebosqueylosdelbosqueespecificadotendrnaccesoalosrecursosdecadabosque. Paracrearunarelacindeconfianzadeentradaunidireccional,hagaclicenUnidireccional de entrada. Losusuariosdelbosqueespecificadonotendrnaccesoaningunodelosrecursosdeestebosque. Paracrearunarelacindeconfianzadesalidaunidireccional,hagaclicenUnidireccional de salida. Losusuariosdeestebosquenotendrnaccesoaningunodelosrecursosdelbosqueespecificado. 7. Contineconlospasosdelasistente. Importante Paracrearunarelacindeconfianzadeformacorrecta,suentornodebeestarconfiguradoadecuadamente.Paraobtenermsinformacin,veala listadecomprobacinparacrearunarelacindeconfianzaenTemasrelacionados. Notas Parallevaracaboesteprocedimiento,debesermiembrodelgrupoAdministradoresdedominio(eneldominiorazdelbosque)odelgrupo AdministradoresdeempresaenActiveDirectory,obiendebetenerdelegadalaautoridadcorrespondiente.Comoprcticadeseguridad recomendada,considerelaposibilidaddeutilizarlaopcinEjecutarcomopararealizaresteprocedimiento.Paraobtenermsinformacin,vea Grupos locales predeterminados1, Grupos predeterminados2 y Utilizar Ejecutar como3. EncasodeserunmiembrodelgrupodeCreadoresdeconfianzadebosquedeentrada,podrcrearrelacionesdeconfianzadeentrada unidireccionales para este bosque. Para abrir Dominios y confianzas de Active Directory, haga clic en Inicio, en Panel de control, haga doble clic en Herramientas administrativas y,acontinuacin,hagadobleclicenDominios y confianzas de Active Directory. EnuncontroladordedominioqueejecuteWindowsServer2003,eldominiorazdebosqueeselprimerdominioqueapareceenlalistadelrbolde laconsolaenDominiosyconfianzasdeActiveDirectory.Estaconfiguracinnoestdisponibleencontroladoresdedominioqueejecuten Windows 2000. Sidisponedelascredencialesadministrativasadecuadasparacadabosque,podrcrearambaspartesdeunarelacindeconfianzaalmismo tiempo haciendo clic en Ambos, este dominio y el dominio especificadoenlapginaPartes de confianza.Paraobtenermsinformacin,vea Temas relacionados. Sideseaquelosusuariosdelbosqueespecificadotenganaccesoatodoslosequiposdelbosquelocal,enlapginaPropiedades de confianza de salida haga clic en Autenticacinentodoelbosque.Estaeslaopcinmsconvenientecuandoambosbosquespertenecenalamisma organizacin. Sidesealimitardeformaselectivalaautenticacinparaciertosusuariosygruposdentrodelbosqueespecificado,enlapginaPropiedades de confianza de salida haga clic en Autenticacinselectiva.Estaeslaopcinmsconvenientecuandoelbosqueespecificadoperteneceauna organizacindistinta. Ademsdecrearrelacionesdeconfianzanuevas,tambinpuedemodificarotrasyaexistentessihaceclicenlafichaConfianza. LaherramientadelneadecomandosDsmod.exenoadmitelaadicindeprincipiosdeseguridaddeunbosquealosgruposqueseencuentranen otrobosque,cuandoambosestnunidosporunaconfianzadebosque.PuedeutilizarelcomplementoUsuariosyequiposdeActiveDirectorypara agregarprincipiosdeseguridadatravsdeunaconfianzadebosque.
Vea tambin
Listadecomprobacin:crearunarelacindeconfianzadebosque5 Confianzas de bosque6 Cundosedebecrearunarelacindeconfianzadebosque7 Sufijos de nombre de enrutamiento entre bosques8 Tener acceso a los recursos entre bosques9 Tipos de confianza10 Direccindelaconfianza11 ReferenciaAZdelalneadecomandos12
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc785098(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc756898(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc780931(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc776861(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc756852(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/cc755700(v=ws.10).aspx 7http://technet.microsoft.com/es-es/library/cc773010(v=ws.10).aspx 8http://technet.microsoft.com/es-es/library/cc784334(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Opcindeclavedel sistema
Contraseagenerada Utiliza una clave aleatoria generada por el equipo y la almacena en un disquete. El disquete con la clave del sistema por el sistema, Mxima es necesario para iniciar el sistema y debe introducirse cuando se solicita durante la secuencia de inicio. La clave Almacenar la clave de seguridad del sistema no se almacena en el equipo. inicio en un disco Paraobtenerinformacinacercadecmoimplementarlautilidaddeclavedelsistemaenunequipo,veaCrear o actualizar una clave del sistema2. Elusodelautilidaddeclavedelsistemaesopcional.Sipierdeeldiscoquecontienelaclavedelsistemauolvidalacontrasea,deberrestaurarel Registroalestadoenqueseencontrabaantesdeutilizarlaclavedelsistemaparapoderiniciarelequipo.Paraobtenerinformacinacercadecmo restaurar el Registro, vea Restaurar el Registro3.
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc780645(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc781981(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc776506(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.
Vea tambin
Tabla de vnculos
1http://technet.microsoft.com/es-es/library/cc785098(v=ws.10).aspx 2http://technet.microsoft.com/es-es/library/cc756898(v=ws.10).aspx 3http://technet.microsoft.com/es-es/library/cc780931(v=ws.10).aspx 4http://technet.microsoft.com/es-es/library/cc776861(v=ws.10).aspx 5http://technet.microsoft.com/es-es/library/cc778975(v=ws.10).aspx 6http://technet.microsoft.com/es-es/library/cc783856(v=ws.10).aspx 7http://technet.microsoft.com/es-es/library/cc776506(v=ws.10).aspx
2012Microsoft.Reservadostodoslosderechos.