Users Guide

Regresaralapáginadecontenido
Control de cuentas de usuario en Microsoft Windows Server 2008
DellUpdatePackagesVersión6.5parasistemasoperativos- Guíadelusuario
Restricciones del UAC cuando se ejecutan DUP de manera remota
EnversionesanterioresdeWindows,lascuentasdeusuarioeranamenudomiembrosdelgrupolocaldeadministradoresyteníanaccesoalosprivilegiosde
administrador.Losmiembrosdelgrupolocaldeadministradorespodíaninstalar,actualizaryejecutarsoftware,puestoqueunacuentadeadministradortiene
accesoatodoelsistema.Cuandoseañadíaunusuarioalgrupolocaldeadministradores,eseusuariorecibíaautomáticamentetodoslosprivilegiosde
Windows. Estos privilegios proporcionaban acceso a todos los recursos del sistema operativo. Por lo tanto, las cuentas de usuarios con privilegios de
administradorrepresentabanunriesgodeseguridad,alproporcionaraccesoarecursosdelsistemaoperativoquepodríanseraprovechadosporsoftware
malintencionado (o malware).
Elcontroldecuentasdeusuario(UAC)esunanuevafuncióndeseguridadenelsistemaoperativoWindowsServer2008.Cuandoseactiva,restringeel
acceso a recursos esenciales del sistema para todos los usuarios, excepto para el administrador local integrado.
Los tres tipos de cuentas de usuarios en el sistema operativo Windows Server 2008, son:
l Cuenta de administrador de dominios, que es una cuenta de usuario con privilegios de administrador.
l Cuentadeusuarioestándar,quepermitealusuarioinstalarsoftwareycambiarvaloresdelsistemaquenoafectanaotrosusuariosnialaseguridad
del equipo.
l Cuenta de administrador local, que es el superusuario predeterminado del sistema operativo.
LaexperienciadelusuarioconunacuentadeadministradordedominiosesdiferentealadeunacuentadeadministradorlocalcuandoelUACestáactivado.
Cuando una cuenta de administrador de dominios requiere acceso a recursos esenciales del sistema, el sistema operativo Windows Server 2008 solicita uno
de los siguientes elementos antes de iniciar un programa o tarea que requiere acceso total de administrador:
l Permiso para aumentar los privilegios (en caso de un usuario en el grupo de administradores de dominios)
l Credencialesdeadministradordedominiosparaaumentarlosprivilegios(enelcasodelosusuariosestándar)
El UAC solicita a los usuarios en el grupo de administradores de dominios (excepto la cuenta de administrador) que hagan clic en Continuar, si necesitan
aumentar los privilegios, o que hagan clic en Cancelarcuandorealicenfuncionesquepodríanrepresentarunriesgodeseguridad.ConelUAC,losusuarios
deben actualizarse a una cuenta de administrador antes de poder ejecutar los DUPs.
SiunDUPseejecutaenelmododeinterfazgráficadeusuario,elsistemaoperativoWindowsServer2008requierequeelusuariopermitalaoperación.Sin
embargo,siunDUPseejecutaenmododesatendido,elusuariopuedeomitirlaventanainstantáneadelpermisomedianteunadelassiguientesacciones:
l Cambiarlapolíticadeseguridaddegrupos,Controldecuentasdeusuarios:Comportamientodelapeticióndeaumentoparaadministradoresen
mododeaprobacióndeladministrador, a Sinpeticiónparadesactivarlaventanainstantáneaoaumentarlosprivilegiossinlapeticióndelgrupode
administradores.
l Desactivar el UAC.
l UtilizarsecuenciasdecomandosparaejecutarelDUPytomarelpapeldeunadministradorlocaldurantelaejecución.
Restricciones del UAC cuando se ejecutan DUP de manera remota
Demanerapredeterminada,unavezqueelUACseinicia,todoslosusuariosconcuentadeadministradoriniciansesióncomousuariosestándar.Porlotanto,
losderechosparaaccederalosrecursosesencialesdelsistemanoestándisponibleshastaqueelusuarioconfirmelasolicituddeaumentodeprivilegios.Esta
restriccióndesactivalaopciónparaimplementarlosDUPsdemaneraremota.ElUACdevuelveunerrorqueindicaAccesodenegado si el agente del nodo de
administraciónseejecutaconestascredencialesdeiniciodesesión.
Puede omitir las restricciones del UAC de las siguientes maneras:
l Activandoelusodelagenteremotoparalacuentadelsistemalocal,conelfinderealizarunaactualizacióndeunDUP.Lacuentadelsistemalocalno
estáprotegidamedianteelUAC(opciónrecomendada).
l UtilizandolacuentadeadministradorlocalencadaequiporemotoenelqueseestéejecutandoelDUP.
l DesactivandoelUACparatodoslosusuariosenequiposremotos(noesunaopciónrecomendada).
l No actualizando a la cuenta de administrador en equipos remotos.
Regresaralapáginadecontenido
NOTA: comolaexperienciadelusuarioesconfigurableconelcomplementodeadministradordepolíticasdeseguridad(secpol.msc)yconlapolíticade
grupos,hayvariasexperienciasdelusuarioconelUAC.Laseleccionesdeconfiguraciónquerealiceensuentornoafectaránlaspeticionesylosdiálogos
quevenlosusuariosestándar,losadministradoresoambos.ElUACsepuededesactivarsisedesactivaelvalorControl de cuentas de usuarios:
Ejecutaradministradoresenmododeaprobacióndeladministrador, y requiere un reinicio del sistema.
NOTA: sólodoscuentas(lacuentadeadministradorlocalylacuentadesistemalocal)noestánprotegidasporelUAC.Todoslosdemásusuarios,
incluyendo las cuentas con derechos de administrador local o de administrador de dominios, tienen el UAC activado de manera predeterminada. Aunque
elUACsepuededesactivaractualizandolapolíticadeseguridadlocalodedominios,noesrecomendabledesactivarlo.Losusuariosremotosdeben
iniciarsesiónconlacuentadeadministradorlocalintegradauobtenerelprivilegiodecuentadesistemalocalparapoderejecutarunDUPdemanera
remota.