Los derechos de usuario conceden determinados privilegios y derechos de inicio de sesión a los usuarios y grupos del entorno de computación. Los administradores pueden asignar derechos específicos a las cuentas de grupo o a cuentas de usuario individuales. Estos derechos autorizan a los usuarios a realizar acciones específicas, como iniciar una sesión en un sistema de forma interactiva o realizar copias de seguridad de archivos y directorios.
Para facilitar la tarea de administración de las cuentas de usuario, asigne privilegios principalmente a cuentas de grupo en lugar de a cuentas de usuario individuales. Cuando se asignan privilegios a una cuenta de grupo, se asignan automáticamente estos privilegios a los usuarios cuando se convierten en miembros de ese grupo. Esta forma de administrar privilegios resulta mucho más fácil que asignar privilegios individuales a cada cuenta de usuario cuando se crea la cuenta.
En la tabla siguiente se enumeran y describen los privilegios que se pueden otorgar a un usuario.
Privilegio | Descripción | Configuración predeterminada |
---|---|---|
Actuar como parte del sistema operativo |
Permite a un proceso suplantar a cualquier usuario sin autenticación. Por tanto, el proceso puede obtener acceso a los mismos recursos locales que el usuario. Los procesos que requieren este privilegio deben usar la cuenta Sistema local, que ya lo incluye, en lugar de usar otra cuenta de usuario con este privilegio asignado especialmente. Sólo es necesario asignar este privilegio a los usuarios si la organización usa servidores que ejecuten Windows 2000 o Windows NT 4.0 y aplicaciones que se intercambian contraseñas en texto simple. |
Sistema local |
Agregar estaciones de trabajo a un dominio |
Determina los grupos o usuarios que pueden agregar estaciones de trabajo a un dominio. Este derecho de usuario sólo es válido en controladores de dominio. De forma predeterminada, todos los usuarios autenticados tienen este derecho y pueden crear hasta 10 cuentas de equipo en el dominio. El hecho de agregar una cuenta de equipo al dominio permite al equipo reconocer las cuentas y los grupos que existen en Servicios de dominio de Active Directory (AD DS). |
Controladores de dominio: Usuarios autenticados |
Ajustar las cuotas de la memoria para un proceso |
Determina quién puede cambiar el máximo de memoria que puede consumir un proceso. Este derecho de usuario se define en el objeto de directiva de grupo (GPO) Controlador de dominio predeterminado y en la directiva de seguridad local de estaciones de trabajo y servidores. |
Administradores |
Hacer copias de seguridad de archivos y directorios |
Determina los usuarios que pueden omitir los permisos de archivos y directorios, del Registro y de otros objetos persistentes para realizar copias de seguridad del sistema. |
Administradores y Operadores de copia de seguridad |
Omitir comprobación de recorrido |
Determina los usuarios que pueden recorrer árboles de directorios aunque no tengan permisos en el directorio recorrido. Este privilegio no permite al usuario enumerar el contenido de un directorio, sólo recorrer directorios. Este derecho de usuario se define en el GPO Controlador de dominio predeterminado y en la directiva de seguridad local de estaciones de trabajo y servidores. |
Estaciones de trabajo y servidores: Administradores, Operadores de copia de seguridad, Usuarios avanzados, Usuarios y Todos Controladores de dominio: Administradores y Usuarios autenticados |
Cambiar la hora del sistema |
Determina los usuarios y grupos que pueden cambiar la hora y la fecha del reloj interno del equipo. Los usuarios a los que se asigna este derecho de usuario pueden cambiar el aspecto de los registros de eventos. Si se cambia la hora del sistema, los eventos registrados reflejarán esta nueva hora en lugar de la hora real en la que se produjeron. Este derecho de usuario se define en el GPO Controlador de dominio predeterminado y en la directiva de seguridad local de estaciones de trabajo y servidores. |
Estaciones de trabajo y servidores: Administradores y Usuarios avanzados Controladores de dominio: Administradores y Operadores de servidor |
Crear un archivo de paginación |
Permite al usuario crear y cambiar el tamaño de un archivo de paginación. Para ello, se especifica un tamaño de archivo de paginación para una unidad determinada en la opción Opciones de rendimiento de la ficha Opciones avanzadas de Propiedades del sistema. |
Administradores |
Crear un objeto símbolo (token) |
Permite a un proceso crear un token que luego puede usar para obtener acceso a cualquier recurso local cuando el proceso usa NtCreateToken() u otras API de creación de tokens. Los procesos que requieren este privilegio deben usar la cuenta Sistema local, que ya lo incluye, en lugar de usar otra cuenta de usuario con este privilegio asignado especialmente. |
Nadie |
Crear objetos globales |
Determina las cuentas que pueden crear objetos globales en una sesión de Terminal Services o Servicios de Escritorio remoto. |
Administradores y Sistema local |
Crear objetos compartidos permanentes |
Permite a un proceso crear un objeto de directorio en el administrador de objetos del sistema operativo. Este privilegio resulta útil para los componentes de modo kernel que amplían el espacio de nombres de objetos. Los componentes que se ejecutan en modo kernel ya tienen este privilegio de forma inherente; no es necesario asignarles este privilegio. |
Nadie |
Depurar programas |
Determina los usuarios que pueden adjuntar un depurador a cualquier proceso o al kernel. Los desarrolladores que depuran sus aplicaciones no necesitan que se les asigne este derecho de usuario. Los desarrolladores que depuran componentes del sistema nuevos necesitan que se les asigne este derecho de usuario. Este derecho de usuario ofrece acceso total a componentes del sistema operativo importantes y fundamentales. |
Administradores y Sistema local |
Habilitar confianza con el equipo y las cuentas de usuario para delegación |
Determina los usuarios que pueden configurar la opción De confianza para delegación en un objeto de usuario o equipo. El objeto de usuario al que se asigna este privilegio debe tener acceso de escritura a los marcadores de control de cuenta del objeto de usuario o equipo. Un proceso de servidor que se ejecuta en un equipo (o en un contexto de usuario) de confianza para delegación puede obtener acceso a los recursos de otro equipo con las credenciales delegadas de un cliente, siempre que la cuenta del cliente no tenga seleccionado el marcador de control de cuenta La cuenta es importante y no se puede delegar. Este derecho de usuario se define en el GPO Controlador de dominio predeterminado y en la directiva de seguridad local de estaciones de trabajo y servidores. |
Controladores de dominio: Administradores |
Forzar cierre desde un sistema remoto |
Determina los usuarios que pueden apagar un equipo desde una ubicación remota de la red. El uso inapropiado de este derecho de usuario puede provocar una denegación de servicio. Este derecho de usuario se define en el GPO Controlador de dominio predeterminado y en la directiva de seguridad local de estaciones de trabajo y servidores. |
Estaciones de trabajo y servidores: Administradores Controladores de dominio: Administradores y Operadores de servidor |
Generar auditorías de seguridad |
Determina las cuentas que puede usar un proceso para agregar entradas al registro de seguridad. El registro de seguridad se usa para realizar un seguimiento de los accesos no autorizados al sistema. El uso inapropiado de este derecho de usuario puede provocar la generación de varios eventos de auditoría, lo que puede ocultar la evidencia de un ataque o provocar una denegación de servicio si está habilitada la opción de directiva de seguridad Auditoría: apagar el sistema de inmediato si no se pueden registrar las auditorías de seguridad. Para obtener más información, vea |
Sistema local |
Suplantar a un cliente tras la autenticación |
Determina las cuentas que pueden suplantar otras cuentas. |
Administradores y Servicio |
Aumentar prioridad de programación |
Determina las cuentas que pueden usar un proceso con acceso a la propiedad de escritura a otro proceso para aumentar la prioridad de ejecución asignada al otro proceso. Un usuario con este privilegio puede cambiar la prioridad de programación de un proceso mediante la interfaz de usuario del Administrador de tareas. |
Administradores |
Cargar y descargar controladores de dispositivo |
Determina los usuarios que pueden cargar y descargar dinámicamente controladores de dispositivos u otro código en el modo kernel. Este derecho de usuario no es aplicable a los controladores de dispositivos Plug and Play. Puesto que los controladores de dispositivos se ejecutan como programas de confianza (o altamente privilegiados), no debe asignar este privilegio a otros usuarios. En su lugar, use la API StartService(). |
Administradores |
Bloquear páginas en la memoria |
Determina las cuentas que pueden usar un proceso para conservar los datos en la memoria física, con lo que se impide que el sistema pagine los datos en la memoria virtual del disco. El ejercicio de este privilegio puede afectar significativamente el rendimiento del sistema reduciendo la cantidad de memoria de acceso aleatorio (RAM) disponible. |
Nadie; algunos procesos de sistema tienen el privilegio de forma inherente |
Administrar registro de seguridad y auditoría |
Determina los usuarios que pueden especificar las opciones de auditoría de acceso a objetos para recursos individuales, como archivos, objetos de Active Directory y claves del Registro. Esta opción de seguridad no permite al usuario habilitar la auditoría de acceso a archivos y objetos. Para habilitar este tipo de auditoría, se debe configurar la opción Auditar el acceso a objetos en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Directivas de auditoría. Para obtener más información, vea Puede ver eventos de auditoría en el registro de seguridad del Visor de eventos. Un usuario con este privilegio también puede ver y borrar el registro de seguridad. |
Administradores |
Modificar valores de entorno firmware |
Determina los usuarios que pueden modificar los valores de entorno firmware. Las variables de entorno firmware son opciones de configuración almacenadas en la RAM permanente de los equipos que no se basan en x86. El efecto de esta opción depende del procesador.
|
Administradores y Sistema local |
Analizar un solo proceso |
Determina los usuarios que pueden usar herramientas para supervisar el rendimiento de los procesos que no son del sistema. |
Administradores, Usuarios avanzados y Sistema local |
Analizar el rendimiento del sistema |
Determina los usuarios que pueden usar herramientas para supervisar el rendimiento de los procesos del sistema. |
Administradores y Sistema local |
Quitar equipo de la estación de acoplamiento |
Determina si un usuario puede desacoplar un equipo portátil de su estación de acoplamiento sin iniciar sesión. Si se habilita esta directiva, el usuario debe iniciar sesión antes de quitar el equipo portátil de su estación de acoplamiento. Si se deshabilita esta directiva, el usuario puede quitar el equipo portátil de su estación de acoplamiento sin iniciar sesión. |
Deshabilitada |
Reemplazar un símbolo (token) de nivel de proceso |
Determina las cuentas de usuario que pueden iniciar un proceso para reemplazar el token predeterminado asociado con un subproceso iniciado. Este derecho de usuario se define en el GPO Controlador de dominio predeterminado y en la directiva de seguridad local de estaciones de trabajo y servidores. |
Servicio local y Servicio de red |
Restaurar archivos y directorios |
Determina los usuarios que pueden omitir los permisos de archivos, de directorios, del Registro y de otros objetos persistentes al restaurar archivos y directorios de los que se ha realizado una copia de seguridad, y determina los usuarios que pueden establecer cualquier entidad de seguridad válida como propietaria de un objeto. En concreto, este derecho de usuario es similar al hecho de conceder los permisos siguientes a un usuario o grupo en todos los archivos y carpetas del sistema:
| Estaciones de trabajo y servidores: Administradores y Operadores de copia de seguridad Controladores de dominio: Administradores, Operadores de copia de seguridad y Operadores de servidores |
Apagar el sistema |
Determina qué usuarios que han iniciado sesión localmente en el equipo pueden apagar el sistema operativo con el comando Apagar. El uso inapropiado de este derecho de usuario puede provocar una denegación de servicio. | Estaciones de trabajo: Administradores, Operadores de copia de seguridad, Usuarios avanzados y Usuarios Servidores: Administradores, Operadores de copia de seguridad y Usuarios avanzados Controladores de dominio: Operadores de cuentas, Administradores, Operadores de copia de seguridad, Operadores de servidores y Operadores de impresión |
Sincronizar los datos del servicio de directorio |
Determina los usuarios y grupos que tienen autoridad para sincronizar todos los datos del servicio de directorio. También se denomina sincronización de Active Directory. |
Ninguno |
Tomar posesión de archivos y otros objetos |
Determina los usuarios que pueden asumir la propiedad de cualquier objeto protegible del sistema, incluidos los objetos de Active Directory, archivos y carpetas, impresoras, claves del Registro, procesos y subprocesos. | Administradores |
Algunos privilegios pueden invalidar los permisos establecidos en un objeto. Por ejemplo, un usuario que ha iniciado sesión en una cuenta de dominio como miembro del grupo Operadores de copia de seguridad puede realizar operaciones de copia de seguridad para todos los servidores de dominio. Sin embargo, requiere la capacidad de leer todos los archivos de estos servidores, incluso los archivos en los que sus propietarios han establecidos permisos que deniegan explícitamente el acceso a todos los usuarios, incluidos los miembros del grupo Operadores de copia de seguridad. Un derecho de usuario, en este caso el derecho a realizar una copia de seguridad, tiene preferencia sobre todos los permisos de archivo y directorio. Para obtener más información, vea
Nota | |
Puede escribir whoami /priv en el símbolo del sistema para ver sus privilegios. |