Descripción del control de cuentas de usuario y las restricciones remotas en Windows Vista
En este artículo se describen el Control de cuentas de usuario (UAC) y las restricciones remotas.
Se aplica a: Windows Vista
Número de KB original: 951016
Introducción
Control de cuentas de usuario (UAC) es un nuevo componente de seguridad de Windows Vista. UAC permite a los usuarios realizar tareas diarias comunes como no administradores. Estos usuarios se denominan usuarios estándar en Windows Vista. Las cuentas de usuario que son miembros del grupo de administradores locales ejecutarán la mayoría de las aplicaciones mediante el principio de privilegios mínimos. En este escenario, los usuarios con privilegios mínimos tienen derechos similares a los derechos de una cuenta de usuario estándar. Sin embargo, cuando un miembro del grupo administradores local tiene que realizar una tarea que requiere derechos de administrador, Windows Vista solicita automáticamente al usuario la aprobación.
Funcionamiento de las restricciones remotas de UAC
Para proteger mejor a los usuarios que son miembros del grupo de administradores local, implementamos restricciones de UAC en la red. Este mecanismo ayuda a evitar ataques de bucle invertido . Este mecanismo también ayuda a evitar que el software malintencionado local se ejecute de forma remota con derechos administrativos.
Cuentas de usuario locales (cuenta de usuario del Administrador de cuentas de seguridad)
Cuando un usuario que es miembro del grupo administradores local en el equipo remoto de destino establece una conexión administrativa remota mediante el comando net use *\\remotecomputer\Share$ , por ejemplo, no se conectará como administrador completo. El usuario no tiene ningún potencial de elevación en el equipo remoto y el usuario no puede realizar tareas administrativas. Si el usuario quiere administrar la estación de trabajo con una cuenta de Administrador de cuentas de seguridad (SAM), el usuario debe iniciar sesión interactivamente en el equipo que se va a administrar con Asistencia remota o Escritorio remoto, si estos servicios están disponibles.
Cuentas de usuario de dominio (cuenta de usuario de Active Directory)
Un usuario que tiene una cuenta de usuario de dominio inicia sesión de forma remota en un equipo Windows Vista. Además, el usuario del dominio es miembro del grupo Administradores. En este caso, el usuario del dominio se ejecutará con un token de acceso de administrador completo en el equipo remoto y UAC no estará en vigor.
Nota:
Este comportamiento no es diferente del comportamiento de Windows XP.
Cómo deshabilitar las restricciones remotas de UAC
Importante
Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. En consecuencia, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, cree una copia de seguridad del registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información sobre cómo hacer una copia de seguridad del Registro y cómo restaurarlo, consulte Cómo realizar una copia de seguridad del Registro y restaurarlo en Windows.
Para deshabilitar las restricciones remotas de UAC, siga estos pasos:
Haga clic en Inicio y en Ejecutar, escriba regedit y presione ENTRAR.
Busque la siguiente subclave del registro y haga clic en ella:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\SystemSi la
LocalAccountTokenFilterPolicyentrada del Registro no existe, siga estos pasos:- En el menú Editar , seleccione Nuevo y, a continuación, seleccione Valor DWORD.
- Escriba LocalAccountTokenFilterPolicy y presione ENTRAR.
Haga clic con el botón derecho en LocalAccountTokenFilterPolicy y, a continuación, seleccione Modificar.
En el cuadro Datos de valor , escriba 1 y, a continuación, seleccione Aceptar.
Salga del Editor del Registro.
¿Se ha corregido el problema?
Compruebe si se ha solucionado el problema. Si el problema no se soluciona, póngase en contacto con el soporte técnico.
Configuración remota de UAC
La entrada del Registro LocalAccountTokenFilterPolicy puede tener un valor de 0 o 1. Estos valores cambian el comportamiento de la entrada del Registro a la que se describe en la tabla siguiente.
| Valor | Descripción |
|---|---|
| 0 | Este valor compila un token filtrado. Es el valor predeterminado. Se quitan las credenciales de administrador. |
| 1 | Este valor compila un token con privilegios elevados. |
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de