Exportar (0) Imprimir
Expandir todo

Guía paso a paso de Control de cuentas de usuario de Windows

Actualizado: abril de 2011

Se aplica a: Windows 7, Windows Server 2008, Windows Server 2008 R2, Windows Storage Server 2008 R2, Windows Vista

En esta guía paso a paso se proporcionan las instrucciones necesarias para usar el Control de cuentas de usuario (UAC) en un entorno de prueba.

Este documento no pretende proporcionar una descripción completa y detallada de UAC. Entre los recursos adicionales se encuentran los siguientes:

  • A los usuarios de esta guía paso a paso también les interesará la Introducción al Control de cuentas de usuario en Windows Vista (http://go.microsoft.com/fwlink/?LinkID=102562) (la página puede estar en inglés).

  • Para obtener más información para los profesionales de TI, consulte Descripción y configuración del Control de cuentas de usuario en Windows Vista (http://go.microsoft.com/fwlink/?LinkId=56402) (la página puede estar en inglés).

  • Para obtener más información para programadores y fabricantes independientes de software acerca de cómo desarrollar aplicaciones para Windows Vista® o Windows Server® 2008, consulte Historia del programador de Windows Vista y Windows Server 2008: requisitos de desarrollo de las aplicaciones de Windows Vista para el Control de cuentas de usuario (UAC) (http://go.microsoft.com/fwlink/?LinkId=89654) (la página puede estar en inglés).

¿Qué es el Control de cuentas de usuario?

El Control de cuentas de usuario (UAC) es un nuevo componente de seguridad de Windows Vista. UAC permite a los usuarios realizar tareas comunes como no administradores, una función denominada usuarios estándar en Windows Vista, y como administradores sin tener que cambiar de usuario, cerrar la sesión o usar Ejecutar como. Una cuenta de usuario estándar es similar a una cuenta de usuario de Microsoft Windows XP. Las cuentas de usuarios que son miembros del grupo Administradores local ejecutarán la mayoría de aplicaciones como un usuario estándar. UAC es una mejora importante de Windows Vista, ya que separa las funciones de usuario y administrador a la vez que permite la productividad.

noteNota
UAC es también un componente de Windows Server 2008.

Cuando un administrador inicia sesión en un equipo con Windows Vista, se asignan dos tokens de acceso independientes al usuario. Los tokens de acceso, que contienen la suscripción a un grupo así como los datos de control de acceso y autorización de un usuario, se usan en Windows® para controlar los recursos y tareas a los que puede tener acceso el usuario. En versiones anteriores de Windows Vista, una cuenta de administrador recibía un solo token de acceso que incluía datos para conceder acceso al usuario a todos los recursos de Windows. Este modelo de control de acceso no incluía ninguna comprobación de seguridad frente a errores para asegurar que los usuarios realmente deseaban realizar una tarea que requería su token de acceso administrativo. En consecuencia, se podía instalar software malintencionado en los equipos de los usuarios sin que éstos recibieran notificación alguna. (Este proceso se conoce en ocasiones como instalación "silenciosa".)

Lo que es aún más perjudicial: puesto que el usuario es un administrador, el software malintencionado podía usar los datos de control de acceso del administrador para infectar archivos principales del sistema operativo y, en algunos casos, llegar a ser casi imposible de quitar.

La diferencia principal entre un usuario estándar y un administrador de Windows Vista es el nivel de acceso que el usuario tiene sobre áreas básicas protegidas del equipo. Los administradores pueden cambiar el estado del sistema, desactivar el firewall, configurar la directiva de seguridad, instalar un servicio o un controlador que afecte a todos los usuarios del equipo, e instalar software para todo el equipo. Los usuarios estándar no pueden realizar estas tareas y sólo pueden instalar software para el usuario en cuestión.

Para ayudar a impedir que el software malintencionado se instale de forma silenciosa y cause una infección entre equipos, Microsoft desarrolló la característica UAC. A diferencia de versiones anteriores de Windows, cuando un administrador inicia sesión en un equipo que use Windows Vista, el token de acceso de administrador total del usuario se divide en dos tokens de acceso: un token de acceso de administrador total y un token de acceso de usuario estándar. Durante el proceso de inicio de sesión, se quitan los componentes de control de autorización y acceso que identifican a un administrador, lo que produce como resultado un token de acceso de usuario estándar. A continuación, este token de acceso de usuario estándar se usa para iniciar el escritorio, el proceso Explorer.exe. Puesto que todas las aplicaciones heredan sus datos de control de acceso del inicio del escritorio, todas se ejecutan también como un usuario estándar.

Después de que un administrador inicie sesión, el token de acceso de administrador total no se invoca hasta que el usuario intenta realizar una tarea administrativa.

Por otra parte, cuando un usuario estándar inicia sesión, sólo se crea un token de acceso de usuario estándar. A continuación, este token de acceso de usuario estándar se usa para iniciar el escritorio.

ImportantImportante
Puesto que la experiencia del usuario puede configurarse con la Directiva de grupo, pueden existir distintas experiencias de usuario, según la configuración de directiva. Las opciones de configuración seleccionadas en su entorno afectarán a los avisos y cuadros de diálogos que vean los usuarios estándar, administradores o ambos.

¿Quién debe usar esta guía?

Esta guía está destinada a las siguientes personas:

  • Organizadores y analistas de TI que están evaluando el producto

  • Arquitectos de seguridad responsables de la implementación de soluciones informáticas de confianza

  • Administradores que necesitan controlar el comportamiento de UAC

¿Por qué usar esta guía?

Los grupos enumerados anteriormente deben usar esta guía para probar cómo se ejecutan sus aplicaciones de línea de negocio (LOB) en Windows Vista. Puesto que UAC distingue claramente entre los procesos de administrador y de usuario estándar, el fabricante independiente de software (ISV) o equipo de herramientas internas podría tener que volver a diseñar algunas aplicaciones LOB existentes, o bien estas aplicaciones podrían tener que marcarse para que se ejecuten siempre con privilegios elevados.

En esta guía

Requisitos del Control de cuentas de usuario

Se recomienda usar primero los pasos indicados en esta guía en un entorno de prueba. Las guías paso a paso no están necesariamente pensadas para implementar características de Windows Vista sin documentación de acompañamiento (enumerada en la sección Recursos adicionales), y se deben usar con discreción como un documento independiente.

Configuración del laboratorio de prueba

La configuración del laboratorio necesaria para probar UAC incluye un controlador de dominio que ejecute Windows Server 2008 (o Windows Server® 2003), un servidor miembro que ejecute Windows Server 2008 (o Windows Server 2003) y un equipo cliente que ejecute Windows Vista. El controlador de dominio, el servidor miembro y el equipo cliente deben estar en una red aislada y se deben conectar a través de un concentrador común o conmutador de Nivel 2. Las direcciones privadas se deben usar en toda la configuración de prueba.

Escenarios clave del Control de cuentas de usuario

En esta guía se tratan los siguientes escenarios de UAC:

noteNota
Los tres escenarios incluidos en esta guía están pensados para ayudar a los administradores a familiarizarse con la característica UAC de Windows Vista. Incluyen la información y procedimientos básicos que necesitan los administradores para comenzar a usar UAC. En esta guía no se incluyen la información y los procedimientos para configuraciones de UAC avanzadas o personalizadas.

Escenario 1: Solicitar que una aplicación se ejecute con privilegios elevados una vez

En Windows Vista, UAC y el Modo de aprobación de administrador están habilitados de manera predeterminada. Cuando se habilita UAC, las cuentas de administrador local se ejecutan como cuentas de usuario estándar. Esto significa que cuando un miembro del grupo Administradores local inicia sesión, se ejecutan con sus privilegios administrativos deshabilitados. Esto sucede hasta que intentan ejecutar una aplicación o tarea que tiene un token administrativo. Cuando un miembro del grupo Administradores local intenta iniciar tal aplicación o tarea, se le pide consentimiento para ejecutar la aplicación con privilegios elevados. En el escenario 1 se detalla el procedimiento para ejecutar una aplicación o tarea con privilegios elevados una vez.

noteNota
Para realizar el procedimiento siguiente, debe haber iniciado sesión en un equipo cliente como miembro del grupo de administradores local. No puede haber iniciado sesión con la cuenta de administrador (o integrada) del equipo porque el Modo de aprobación de administrador no se aplica a esta cuenta. (La cuenta de administrador integrada se deshabilita en las instalaciones nuevas de Windows Vista.)

Para solicitar que una aplicación se ejecute con privilegios elevados una vez

  1. Inicie una aplicación a la que probablemente se le haya asignado un token administrativo, como por ejemplo Liberador de espacio en disco de Microsoft Windows. Se mostrará un aviso de Control de cuentas de usuario.

  2. Compruebe que la información que se muestra coincida con la solicitud que inició.

  3. En el cuadro de diálogo Control de cuentas de usuario, haga clic en Continuar para iniciar la aplicación.

Escenario 2: Configurar una aplicación para que siempre se ejecute con privilegios elevados

El escenario 2 se parece al escenario anterior en que desea ejecutar una aplicación o proceso con privilegios elevados con el token de acceso de administrador. Sin embargo, en este escenario desea ejecutar una aplicación que el programador no ha marcado, ni el sistema operativo ha identificado, como aplicación administrativa. Algunas aplicaciones, como por ejemplo las aplicaciones de línea de negocio internas o productos que no son de Microsoft requieren derechos administrativos pero no se han identificado como tales. En este escenario, marca una aplicación para que pida el consentimiento del usuario y, si éste lo otorga, se ejecute como aplicación administrativa. El siguiente procedimiento le guía paso a paso por ese proceso.

noteNota
Para realizar el procedimiento siguiente, debe haber iniciado sesión en un equipo cliente como miembro del grupo de administradores locales. No puede haber iniciado sesión con la cuenta de administrador (o integrada) del equipo porque el Modo de aprobación de administrador no se aplica a esta cuenta.

ImportantImportante
Este procedimiento no puede usarse para impedir que UAC pida consentimiento para ejecutar una aplicación administrativa.

Para configurar una aplicación para que siempre se ejecute con privilegios elevados

  1. Haga clic con el botón secundario del mouse en una aplicación que probablemente no tenga asignada un token administrativo, como por ejemplo, una aplicación de procesamiento de texto.

  2. Haga clic en Propiedades y, a continuación, seleccione la ficha Compatibilidad.

  3. En Nivel de privilegio, seleccione Ejecutar este programa como administrador y, a continuación, haga clic en Aceptar.

    noteNota
    Si la opción Ejecutar este programa como administrador no está disponible, significa que la aplicación está bloqueada para que no se pueda ejecutar siempre con privilegios administrativos, la aplicación no requiere credenciales administrativas para ejecutarse, la aplicación forma parte de la versión actual de Windows Vista, o bien que no ha iniciado sesión en el equipo como administrador.

Escenario 3: Configurar el Control de cuentas de usuario

El escenario 3 esboza algunas tareas comunes que los administradores locales realizan durante la puesta a punto y configuración de equipos clientes que ejecutan Windows Vista. Los procedimientos siguientes le guían paso a paso por las tareas de desactivación de UAC, deshabilitación del Modo de aprobación de administrador, deshabilitación de UAC para que no pida credenciales para instalar aplicaciones, y cambio del comportamiento de la petición de elevación.

ImportantImportante
Las opciones de configuración avanzadas de UAC no están disponibles en Windows Vista Starter, Windows Vista Home Basic ni Windows Vista Home Premium.

Desactivación de UAC

Use el procedimiento siguiente para deshabilitar UAC.

Para realizar el procedimiento siguiente, debe iniciar sesión con las credenciales de un miembro del grupo Administradores local, o bien proporcionarlas.

ImportantImportante
La desactivación de UAC reduce la seguridad del equipo y puede exponerle a un riesgo mayor ante el software malintencionado. No se recomienda dejar UAC deshabilitado.

Para desactivar UAC

  1. Haga clic en Inicio y, a continuación, haga clic en Panel de control.

  2. En Panel de control, haga doble clic en Cuentas de usuario.

  3. En la ventana Cuentas de usuario, haga clic en Cuentas de usuario.

  4. En la ventana de tareas Cuentas de usuario, haga clic en Activar o desactivar el Control de cuentas de usuario.

  5. Si UAC está configurado actualmente en el Modo de aprobación de administrador, aparecerá el mensaje Control de cuentas de usuario. Haga clic en Continuar.

  6. Desactive la casilla Usar el Control de cuentas de usuario (UAC) para ayudar a proteger el equipo y, a continuación, haga clic en Aceptar.

  7. Haga clic en Reiniciar ahora para aplicar el cambio inmediatamente, o bien en Reiniciar más tarde y cierre la ventana de tareas de Cuentas de usuario.

Deshabilitar el Modo de aprobación de administrador

Use el procedimiento siguiente para deshabilitar el Modo de aprobación de administrador.

noteNota
Para realizar el procedimiento siguiente, debe haber iniciado sesión en un equipo cliente como administrador local.

ImportantImportante
Este procedimiento no se admite en Windows Vista Starter, Windows Vista Home Basic ni Windows Vista Home Premium.

Para deshabilitar el Modo de aprobación de administrador

  1. Haga clic en Inicio, Todos los programas, Accesorios, Ejecutar, escriba secpol.msc en el cuadro Abrir y haga clic en Aceptar.

  2. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que muestra es la que desea y, a continuación, haga clic en Continuar..

  3. Desde el árbol de consola Configuración de seguridad local, haga doble clic en Directivas locales y, a continuación, en Opciones de seguridad.

  4. Desplácese hacia abajo y haga doble clic en Control de cuentas de usuario: ejecutar todos los administradores en Modo de aprobación de administrador.

  5. Seleccione la opción Deshabilitado y, a continuación, haga clic en Aceptar.

  6. Cierre la ventana Configuración de seguridad local.

Deshabilitar el Control de cuentas de usuario para que no pida credenciales al instalar aplicaciones

Use el procedimiento siguiente para deshabilitar UAC y que no pida credenciales al instalar aplicaciones.

noteNota
Para realizar el procedimiento siguiente, debe haber iniciado sesión en un equipo cliente como administrador local.

ImportantImportante
Este procedimiento no se admite en Windows Vista Starter, Windows Vista Home Basic ni Windows Vista Home Premium.

Para deshabilitar UAC para que no pida credenciales al instalar aplicaciones

  1. Haga clic en Inicio, Todos los programas, Accesorios, Ejecutar, escriba secpol.msc en el cuadro de texto Abrir y haga clic en Aceptar.

  2. Desde el árbol de consola Configuración de seguridad local, haga clic en Directivas locales y, a continuación, en Opciones de seguridad.

  3. Desplácese hacia abajo y haga doble clic en Control de cuentas de usuario: detectar instalaciones de aplicaciones y pedir confirmación de elevación.

  4. Seleccione la opción Deshabilitado y, a continuación, haga clic en Aceptar.

  5. Cierre la ventana Configuración de seguridad local.

Cambiar el comportamiento de la petición de elevación

Use los procedimientos siguientes para cambiar el comportamiento de la petición de elevación para UAC. Puede configurar el comportamiento de la petición de elevación por separado para administradores y para usuarios estándar.

noteNota
Para realizar los procedimientos siguientes, debe haber iniciado sesión en un equipo cliente como administrador local.

ImportantImportante
Estos procedimientos no se admiten en Windows Vista Starter, Windows Vista Home Basic ni Windows Vista Home Premium.

Para cambiar el comportamiento de la petición de elevación para los administradores

  1. Haga clic en Inicio, Accesorios, Ejecutar, escriba secpol.msc en el cuadro Abrir y, a continuación, haga clic en Aceptar.

  2. Desde el árbol de consola Configuración de seguridad local, haga clic en Directivas locales y, a continuación, en Opciones de seguridad.

  3. Desplácese hacia abajo y haga doble clic en Control de cuentas de usuario: comportamiento del indicador de elevación para los administradores.

  4. Desde el menú desplegable, seleccione una de las opciones siguientes:

    • Elevar sin preguntar (las tareas que soliciten privilegios elevados se ejecutarán automáticamente con privilegios elevados sin preguntar al administrador)

    • Pedir credenciales (esta opción requiere escribir el nombre de usuario y la contraseña antes de que una aplicación o tarea se ejecute con privilegios elevados)

    • Pedir consentimiento (opción predeterminada para los administradores)

  5. Haga clic en Aceptar.

  6. Cierre la ventana Configuración de seguridad local.

Para cambiar el comportamiento de la petición de elevación para los usuarios estándar

  1. Haga clic en Inicio, Accesorios, Ejecutar, escriba secpol.msc en el cuadro Abrir y, a continuación, haga clic en Aceptar.

  2. Desde el árbol de consola Configuración de seguridad local, haga clic en Directivas locales y, a continuación, en Opciones de seguridad.

  3. Desplácese hacia abajo y haga doble clic en Control de cuentas de usuario: comportamiento del indicador de elevación para los usuarios estándar.

  4. Desde el menú desplegable, seleccione una de las opciones siguientes:

    • Denegar automáticamente solicitudes de elevación (los usuarios estándar no podrán ejecutar programas que requieran privilegios elevados, y no se les preguntará)

    • Pedir credenciales (esta opción requiere escribir el nombre de usuario y la contraseña antes de que una aplicación o tarea se ejecute con privilegios elevados, y es el valor predeterminado para los usuarios estándar)

  5. Haga clic en Aceptar.

  6. Cierre la ventana Configuración de seguridad local.

Solución de problemas y soporte técnico

Puesto que UAC es una característica de Windows Vista, dispone de soporte técnico directamente a través de Microsoft y de las comunidades de usuarios. Para obtener más información acerca del soporte técnico, consulte http://go.microsoft.com/fwlink/?LinkID=76619 (la página puede estar en inglés).

Recursos adicionales

  • Para obtener más información acerca de la administración de seguridad y UAC en un entorno comercial o empresarial, consulte la Guía de seguridad de Windows Vista (http://go.microsoft.com/fwlink/?LinkID=85735) (la página puede estar en inglés).

¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios

Adiciones de comunidad

AGREGAR
Mostrar:
© 2014 Microsoft