Windows Server
España (Español) Iniciar sesión
Inicio Windows Server 2012 Windows Server 2008 R2 Windows Server 2003 Library Foros
Este tema aún no ha recibido ninguna valoración - Valorar este tema

Permisos necesarios

Actualizado: mayo de 2008

Se aplica a: Windows Server 2008, Windows Server 2008 R2

En este capítulo se describen los siguientes permisos y el procedimiento para su concesión, si procede.

Para administrar de forma completa un servidor de Servicios de implementación de Windows, es necesario contar con los siguientes permisos:

  • Administrador local del servidor de Servicios de implementación de Windows. Esto le otorgará los siguientes derechos:

    • Permisos de archivo y para la carpeta RemoteInstall (las herramientas de administración interactúan con el almacén de imágenes mediante rutas UNC).

    • Permisos para tener acceso a los subárboles del Registro. Muchas de las configuraciones del servidor de Servicios de implementación de Windows se almacenan en HKEY_LOCAL_MACHINE\System y para modificarlas es preciso contar con los permisos adecuados para tener acceso a estas ubicaciones.

  • Administrador de dominio del dominio que contiene el servidor de Servicios de implementación de Windows. Otorga permisos en el punto de control de servicio (SCP) de Servicios de dominio de Active Directory (AD DS) para el servidor de Servicios de implementación de Windows. Algunas opciones de configuración del servidor se almacenan aquí.

  • Administrador de empresa (opcional). Otorga permisos de autorización para el Protocolo de configuración dinámica de host (DHCP). Si se habilita la autorización de DHCP, el servidor de Servicios de implementación de Windows debe contar con autorización en AD DS para poder responder a las solicitudes PXE de cliente entrantes. La autorización de DHCP se almacena en el contenedor Configuración de AD DS.

A menudo resulta útil delegar la administración del servidor de Servicios de implementación de Windows a una cuenta que no sea el administrador de dominio o el administrador de empresa (y otorgar estos permisos generales a la cuenta delegada). La cuenta de administrador delegada debe ser un administrador de dominio y local, tal y como se indica más arriba.

En la siguiente tabla se muestran las tareas habituales y los permisos que requiere cada una de ellas.

 

Tarea Permisos necesarios

Agregar o quitar un grupo de imágenes

Control total sobre C:RemoteInstall\Images\grupoDeImágenes.

Agregar o quitar una imagen

Control total sobre C:RemoteInstall\Images\grupoDeImágenes.

Deshabilitar imágenes

Permiso para leer y escribir los atributos del archivo de imagen asociado. Si se deshabilita la imagen, se ocultará el archivo de imagen de Windows (.wim) asociado con la imagen.

Agregar una imagen de arranque

Acceso de lectura y escritura a:

  • C:RemoteInstall\Boot

  • C:RemoteInstall\Admin (esta carpeta sólo se encuentra presente cuando se realiza una actualización desde Windows Server 2003).

  • %TEMP%

Quitar una imagen de arranque

Acceso de lectura y escritura a C:RemoteInstall\Boot.

Configurar las propiedades de una imagen

Permisos de lectura y escritura del archivo de metadatos .wim que representa la imagen. El archivo se encuentra ubicado dentro del grupo de imágenes en: C:RemoteInstall\Images\grupoDeImágenes.

Preconfigurar equipos

Permisos para crear cuentas en el dominio, así como para escribir en las propiedades de un objeto de equipo.

  1. Abra Usuarios y equipos de Active Directory.

  2. Haga clic con el botón secundario en la unidad organizativa (OU) en la que vaya a crear cuentas de equipos preconfigurados y, a continuación, seleccione Delegar control.

  3. En la primera pantalla del asistente, haga clic en Siguiente.

  4. Agregue el usuario o el grupo a los que desea delegar el control y, a continuación, haga clic en Siguiente.

  5. Seleccione Crear una tarea personalizada para delegar.

  6. Seleccione Sólo los siguientes objetos en la carpeta.

    1. Active la casilla Equipo - objetos.

    2. Seleccione Crear los objetos seleccionados en esta carpeta.

    3. Haga clic en Siguiente.

  7. En el cuadro Permisos, active la casilla Escribir todas las propiedades.

  8. Haga clic en Finalizar.

Aprobar equipos pendientes

Permisos de lectura y escritura para la carpeta que contiene el archivo de base de datos Binlsvcdb.mdb del recurso compartido RemoteInstall (por ejemplo, C:RemoteInstall\MGMT). La cuenta real de un equipo pendiente aprobado se crea con el testigo de autenticación del servidor y no con el del administrador que concede la aprobación. Por lo tanto, en AD DS, es necesario otorgar derechos a la cuenta del servidor de Servicios de implementación de Windows (WDSSERVER$) de creación de objetos de cuenta de equipo para los contenedores y unidades organizativas donde se crearán los equipos pendientes aprobados.

  1. Abra Usuarios y equipos de Active Directory.

  2. Haga clic con el botón secundario en la unidad organizativa en la que vaya a crear las cuentas de equipo preconfigurado y seleccione Delegar control.

  3. En la primera pantalla del asistente, haga clic en Siguiente.

  4. Cambie el tipo de objeto para incluir Equipos.

  5. Agregue el objeto de equipo del servidor de Servicios de implementación de Windows y, a continuación, haga clic en Siguiente.

  6. Seleccione Crear una tarea personalizada para delegar.

  7. Seleccione Sólo los siguientes objetos en la carpeta.

    1. Active la casilla Equipo - objetos.

    2. Seleccione Crear los objetos seleccionados en esta carpeta.

    3. Haga clic en Siguiente.

  8. En el cuadro Permisos, active la casilla Escribir todas las propiedades.

  9. Haga clic en Finalizar.

Preconfigurar un equipo para unirlo a un dominio

La cuenta de usuario debe contar con permisos para unirse al dominio. La configuración JoinRights determina el conjunto de privilegios de seguridad y la propiedad de usuario determina qué usuarios tendrán derecho a unirse al dominio.

La configuración JoinRights posee dos valores:

  • Sólo unirse. Los usuarios con el tipo de derecho Sólo unirse no pueden unirse al dominio sin la ayuda del administrador (un administrador con los permisos adecuados sobre el objeto de cuenta de equipo debe restablecer la cuenta de equipo para que la instalación de cliente y el dominio puedan unirse).

  • Completo. Los usuarios con el tipo de derecho Completo pueden restablecer la cuenta y unirse al dominio sin la ayuda del administrador.

En cuanto a la propiedad de usuario, pueden usarse dos modelos de administración.

  • (recomendado) Puede asociar un usuario principal a la cuenta en el momento de la aprobación del equipo. Cuando se apruebe el equipo, la cuenta de equipo otorgará al usuario principal los siguientes derechos:

    • Lectura y escritura de todas las propiedades del objeto de equipo (JoinRights = JoinOnly o JoinRights = Full)

    • Restablecimiento y modificación de los derechos de contraseña sobre el objeto de equipo (JoinRights = Full)

  • Puede especificar valores predeterminados de servidor para el usuario y la configuración JoinRights que sean aplicables a todos los clientes aprobados de una determinada arquitectura. Los valores predeterminados otorgan a los administradores de dominio el derecho de unión Completo. Si no se asigna un usuario principal a la cuenta de equipo en el momento de la aprobación, se aplicarán estos valores predeterminados.

    noteNota
    Si va a crear cuentas de equipo respecto a un controlador de dominio que no está en inglés y va a usar la propiedad de usuario predeterminada, configure la opción de adición automática para que use otra cuenta que no contenga caracteres extendidos. Por ejemplo, XXXX. Para cambiar este valor, consulte la ayuda del símbolo del sistema para WDSUTIL /set-server /AutoAddSettings.

El usuario principal y las propiedades de JoinRights se establecen en el momento de creación de la cuenta de equipo. Por lo tanto, se necesitan los mismos derechos para crear objetos de equipo que para aprobar equipos pendientes. Para poder cambiar los valores predeterminados por servidor (por arquitectura), se necesitan permisos de lectura y escritura para las siguientes claves del Registro:

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WDSPXE\Providers\BINLSVC\AutoApprove\<arquitectura>

    Nombre: JoinRights

    Tipo: DWORD

    Valor: 0 = JoinOnly; 1 = Full

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WDSPXE\Providers\BINLSVC\AutoApprove\<arquitectura>

    Nombre: User

    Tipo: REG_SZ

    Valor: nombre del grupo o del usuario

Convertir imágenes RIPREP
  • Permisos de lectura y escritura del directorio %TEMP% y la ubicación de destino

  • Permisos de lectura de la imagen RIPREP original

Crear imágenes de captura o de detección
  • Permiso de lectura y escritura para el directorio %TEMP% y la ubicación de destino

  • Permisos de lectura de la imagen de arranque original

Crear transmisiones por multidifusión
  • Control total sobre la siguiente clave del Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\Multicast

  • Permisos de lectura para RemoteInstall\Images\grupoDeImágenes.

Modificar transmisiones por multidifusión (por ejemplo, eliminar, desactivar, iniciar, detener, desconectar, etc.)

Control total sobre la siguiente clave del Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\Multicast

En líneas generales, la instalación de clientes requiere derechos de usuario de dominio. Sin embargo, en función del escenario, es posible que resulten necesarios más permisos. En esta sección se explica el conjunto mínimo de permisos que se requiere para realizar las tareas habituales de instalación.

 

Tarea Permisos necesarios

Arranque PXE de equipos cliente

No se requiere ningún permiso para llevar a cabo un arranque PXE de un cliente ni existe ningún mecanismo para proteger el proceso de arranque desde la red. Si la seguridad es su principal preocupación, le recomendamos que use medios físicos (por ejemplo, que contengan una imagen de detección) para arrancar cada equipo.

Seleccionar una imagen de arranque

No se requiere ningún permiso para seleccionar imágenes de arranque ni existe ningún mecanismo para proteger las entradas que se muestran en la lista. El primer mecanismo de autenticación se produce cuando el cliente de Servicios de implementación de Windows se ejecuta en Windows PE.

Seleccionar una imagen de instalación

Las credenciales proporcionadas en la interfaz de usuario del cliente de Servicios de implementación de Windows deben ser las de una cuenta de dominio. Una vez autenticado un cliente en el servidor de Servicios de implementación de Windows, es necesario que el usuario autenticado pueda leer el archivo .wim de instalación y el archivo Res.rwm de la carpeta RemoteInstall. Los usuarios autenticados poseen, de forma predeterminada, permisos para leerlos.

Unirse a un dominio

La cuenta de usuario debe contar con permisos para unirse al dominio. La configuración JoinRights determina el conjunto de privilegios de seguridad y la propiedad de usuario determina qué usuarios tendrán derecho a unirse al dominio.

La configuración JoinRights posee dos valores:

  • Sólo unirse. Los usuarios con el tipo de derecho Sólo unirse no pueden unirse al dominio sin la ayuda del administrador (un administrador con los permisos adecuados sobre el objeto de cuenta de equipo debe restablecer la cuenta de equipo para que la instalación de cliente y el dominio puedan unirse).

  • Completo. Los usuarios con el tipo de derecho Completo pueden restablecer la cuenta y unirse al dominio sin la ayuda del administrador.

En cuanto a la propiedad de usuario, pueden usarse dos modelos de administración.

  • (recomendado) Puede asociar un usuario principal a la cuenta en el momento de la aprobación del equipo. Cuando se apruebe el equipo, la cuenta de equipo otorgará al usuario principal los siguientes derechos:

    • Lectura y escritura de todas las propiedades del objeto de equipo (JoinRights = JoinOnly o JoinRights = Full)

    • Restablecimiento y modificación de los derechos de contraseña sobre el objeto de equipo (JoinRights = Full)

  • Puede especificar valores predeterminados de servidor para el usuario y la configuración JoinRights que sean aplicables a todos los clientes aprobados de una determinada arquitectura. Los valores predeterminados otorgan a los administradores de dominio el derecho de unión Completo. Si no se asigna un usuario principal a la cuenta de equipo en el momento de la aprobación, se aplicarán estos valores predeterminados.

Si se trata de un equipo preconfigurado (es decir, si ya existe en AD DS una cuenta de equipo que representa al equipo cliente físico), es necesario que el usuario que va a realizar la instalación (o las credenciales del archivo de instalación desatendida para la unión a un dominio) cuente con los derechos de unión a un dominio (JoinDomain) adecuados (tal y como se ha descrito con anterioridad).

Si no es un equipo preconfigurado, lo cual significa que los Servicios de implementación de Windows crearán una cuenta de equipo en AD DS, es necesario que el usuario que va a realizar la instalación (o las credenciales según se especifica en el archivo de instalación desatendida para la unión a un dominio) tenga derecho a agregar equipos preconfigurados y cuente con los derechos de unión a un dominio (JoinRights) adecuados.

Uso de la funcionalidad ResetBootProgram

Si se habilita la funcionalidad ResetBootProgram, el usuario necesita contar con permisos de lectura y escritura para la propiedad netbootMachineFilePath del objeto de equipo preconfigurado. Si no se concede este permiso y el programa de arranque del usuario se establece en pxeboot.n12, Servicios de implementación de Windows no podrá restablecer el programa de arranque de red en pxeboot.com, lo cual forzará al ordenador a entrar en un bucle de reinicio infinito. Para obtener más información, consulte el tema que trata acerca de la Administrar programas de arranque de red (puede estar en inglés).

Deshabilitación del acceso al símbolo del sistema durante las instalaciones

De forma predeterminada, los usuarios pueden obtener acceso a un símbolo del sistema durante los procesos de instalación de Servicios de implementación de Windows del siguiente modo:

  • Presionando Mayús+F10 cuando el programa de instalación se esté ejecutando en Windows PE.

  • Presionando Mayús+F10 cuando el Asistente para capturar imágenes se esté ejecutando en Windows PE.

  • Manteniendo presionada la tecla CTRL cuando esté arrancando el Entorno de preinstalación de Microsoft Windows (Windows PE).

  • Presionando Mayús+F10 cuando la configuración rápida (OOBE) se esté ejecutando (OOBE es el asistente que normalmente se ejecuta después del programa de instalación).

    ImportantImportante
    Una ventana de símbolo del sistema abierta durante la configuración rápida estará en ejecución en el contexto de sistema. Si la ventana no se cierra al finalizar el programa de instalación, es posible que el usuario tenga acceso a ella y, por lo tanto, derechos de sistema, aunque no sea el administrador local del equipo cliente.

Puede deshabilitar esta funcionalidad si agrega un archivo DisableCmdRequest.tag a la imagen.

  1. En el complemento MMC de Servicios de implementación de Windows, haga clic con el botón secundario en la imagen de arranque deseada y seleccione Deshabilitar.

  2. Monte la imagen para acceso de lectura y escritura con las herramientas suministradas con el Kit de instalación automatizada de Windows (AIK).

  3. Cree el archivo %windir%\Setup\Scripts\DisableCmdRequest.tag en la imagen montada.

  4. Realice los cambios y desmonte la imagen.

  5. En el complemento MMC de Servicios de implementación de Windows, haga clic con el botón secundario en la imagen de arranque deseada y seleccione Habilitar.

  1. En el complemento MMC de Servicios de implementación de Windows, haga clic con el botón secundario en la imagen de arranque deseada y seleccione Deshabilitar.

  2. Exporte la imagen a un archivo .wim externo.

  3. Monte la imagen para acceso de lectura y escritura con las herramientas suministradas con el Kit de instalación automatizada de Windows.

  4. Cree el archivo %windir%\Setup\Scripts\DisableCmdRequest.tag en la imagen montada.

  5. Realice los cambios y desmonte la imagen.

  6. En el complemento MMC de Servicios de implementación de Windows, haga clic con el botón secundario en la imagen de instalación deseada y seleccione Reemplazar imagen.

  7. Siga las instrucciones del asistente para volver a importar la imagen de instalación modificada.

En la sección que figura a continuación se explica el conjunto mínimo de permisos necesario para llevar a cabo tareas de administración habituales mediante las páginas de propiedades de servidor. Para obtener acceso a estas configuraciones, abra el complemento MMC de Servicios de implementación de Windows, haga clic con el botón secundario en el servidor y seleccione Propiedades.

 

Ficha Configuraciones que requieren permisos

Configuración de respuesta PXE
  • Directiva de respuestas PXE . La directiva de respuestas PXE se almacena en el protocolo de control simple (SCP) del servidor. Para configurar estas opciones se requieren permisos de lectura y escritura para el objeto.

    1. Abra Usuarios y equipos de Active Directory.

    2. Haga clic en Ver y, a continuación, en Características avanzadas (si no se encuentra habilitada).

    3. Haga clic con el botón secundario en la cuenta de equipo del servidor de Servicios de implementación de Windows y seleccione Propiedades.

    4. En la ficha Instalación remota, seleccione Configuración avanzada.

    5. En la ficha Seguridad, haga clic en Agregar.

    6. Elija un usuario y seleccione Control total sobre este objeto.

  • Retraso en la respuesta PXE . El retraso en la respuesta PXE se almacena en el protocolo de control simple del servidor. Para configurar el retraso en la respuesta PXE de un servidor, es necesario poder leer y escribir en el siguiente objeto:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WDSSERVER\Providers\WDSPXE\Providers\BINLSVC

    • Nombre: netbootAnswerRequests

    • Tipo: REG_SZ

    • Valor: False = no responder a ninguna solicitud del cliente; True = responder a las solicitudes del cliente

Servicios de directorio
  • Directiva de nomenclatura de cliente . Esta configuración se almacena en el objeto SCP del servidor. La propiedad se denomina: netbootNewMachineNamingPolicy

  • Ubicación de la cuenta del cliente . Esta configuración se almacena en el objeto SCP del servidor. La propiedad se denomina: netbootNewMachineOU

Arranque

Programa de arranque predeterminado

  • Para todo el servidor: esta opción está controlada por la siguiente clave del Registro:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WDSPXE\Providers\BINLSVC\BootPrograms\<arquitectura>

    • Nombre: valor predeterminado

    • Tipo: REG_SZ

    • Valor: ruta al programa de arranque predeterminado de cliente para todo el servidor de esta arquitectura. Por ejemplo: boot\x86\pxeboot.com

  • Por equipo: el atributo de cuenta de equipo es: netbootMachineFilePath

Imagen de arranque predeterminada

  • Para todo el servidor: esta opción está controlada por la siguiente clave del Registro:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WDSPXE\Providers\BINLSVC\BootImages\<arquitectura>

    • Nombre: BootImagePath

    • Tipo: REG_SZ

    • Valor: ruta a la imagen de arranque predeterminada de cliente para todo el servidor de esta arquitectura. Por ejemplo: boot\x86\images\boot.wim

  • Por equipo: el atributo de cuenta de equipo es: netbootMirrorDataFile

Cliente

Archivo de instalación desatendida

  • Para todo el servidor: esta opción está controlada por la siguiente clave del Registro:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WdsImgSrv\Unattend\x86

    • Nombre: FilePath

    • Tipo: REG_SZ

    • Valor: ruta al archivo de instalación desatendida de cliente para todo el servidor relativa a la carpeta RemoteInstall. Por ejemplo: WdsClientUnattend\WdsUnattend.xml

  • Por equipo: el atributo de cuenta de equipo es netbootMirrorDataFile

Creación de cuentas de cliente

  • esta opción está controlada por la siguiente clave del Registro:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WDSPXE\Providers\BINLSVC

    • Nombre: NewMachineDomainJoin

    • Tipo: DWORD

    • Valor: 0 para impedir la unión al dominio por parte de los clientes; 1 para permitirla.

DHCP
  • No escuchar en el puerto 67 . Esta opción está controlada por la siguiente clave del Registro:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WDSSERVER\Providers\WDSPXE

    • Nombre: UseDhcpPorts

    • Tipo: DWORD

    • Valor: 0 habilitada; 1 deshabilitada

  • Configure la opción 60 de DHCP como "PXEClient".Esto exige que el usuario pueda configurar el servidor DHCP de Microsoft que se está ejecutando en el equipo local.

Opciones avanzadas
  • DC/GC usado por el servidor de Servicios de implementación de Windows (este servidor). Esta configuración se almacena en la siguiente ubicación del Registro:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WDSPXE\Providers\BINLSVC

    Las claves de esta configuración son las siguientes:

    Controlador de dominio predeterminado

    • Nombre: DefaultServer

    • Tipo: REG_SZ

    • Valor: FQDN de controlador de dominio predeterminado

    Servidor de catálogo global predeterminado

    • Nombre: DefaultGCServer

    • Tipo: REG_SZ

    • Valor: FQDN de servidor de catálogo global predeterminado

  • Autorización de DHCP. Se realiza con las API de DHCP; es preciso disponer de permisos para autorizar el servidor DHCP de Microsoft.

¿Te ha resultado útil?
(Caracteres restantes: 1500)

Adiciones de comunidad

AGREGAR
© 2013 Microsoft. Reservados todos los derechos.