Por razones de seguridad, tanto en casa como en las redes de empresa tiene sentido no trabajar con un identificador en el PC que sea miembro del grupo de administradores locales. Así, un ataque desde Internet sólo suele provocar daños menores, ya que un hacker o un virus que se haya colado sólo puede manipular el perfil del usuario conectado, pero no el sistema operativo ni las aplicaciones instaladas. En las redes de empresa, también debe evitarse que los usuarios puedan instalar otras aplicaciones o manipular a su antojo la configuración del sistema operativo.
Especialmente para Windows XP y Windows 2000, se puede encontrar una solución en noadmin.de para muchas aplicaciones que causan problemas cuando se ejecutan con un ID de no administrador. Sin embargo, algunas aplicaciones sólo se ejecutan con derechos de administrador, o lleva demasiado tiempo buscar una solución e implementarla en la red en muchos clientes. Si ha iniciado sesión como usuario simple, puede hacer clic con el botón derecho del ratón en el acceso directo correspondiente del menú de inicio y seleccionar el comando «Ejecutar como…» para iniciar la aplicación como administrador. Este paso se olvida a menudo – y especialmente en redes donde los usuarios del dominio sólo trabajan con derechos de usuario simples, es engorroso explicar a todos los usuarios para qué aplicaciones hay que hacer clic primero en el acceso directo con el botón derecho del ratón y seleccionar el comando «Ejecutar como…» para iniciar la aplicación sin errores con derechos ampliados. Sin embargo, puedes asegurarte de que, al hacer clic en determinados accesos directos, primero se abra automáticamente la ventana «Ejecutar como»:
Inicie sesión como administrador, abra las propiedades del acceso directo de esta aplicación en el menú de inicio y pulse el botón «Avanzado…» en la pestaña «Acceso directo». En la ventana que se abre, selecciona la opción «Ejecutar con otras credenciales».
Figura 1: Ejecutar como… |
Si ahora se hace clic en el acceso directo, se abre directamente la ventana «Ejecutar como», en la que el usuario debe introducir la contraseña de administrador.
Ilustración 2: …detalles del usuario |
Índice de contenidos
Iniciar componentes de control del sistema como no administrador
Ningún problema en Windows Vista
Si abre un componente del panel de control en Windows Vista para el que necesita derechos de administrador, se inicia automáticamente el control de cuentas de usuario en el que puede introducir la contraseña de administrador. Por ejemplo, inicie el componente «Cuentas de usuario» y haga clic en «Administrar otras cuentas» para comprobarlo.
Por cierto, puede cambiar este comportamiento predeterminado mediante una directiva de grupo: Para ello, inicie «Panel de control – Herramientas administrativas – Política de seguridad local» y en «Opciones de seguridad – Control de cuentas de usuario» abra la política «Comportamiento de solicitud de elevación para usuarios estándar». Si cambia aquí la opción «Solicitar información de inicio de sesión» por «Rechazar automáticamente las solicitudes de elevación», una persona que no sea administrador recibirá en el futuro el mensaje «Este programa ha sido bloqueado por una política de grupo» al hacer clic en los componentes correspondientes del panel de control.
Por cierto, también puede introducir el comando «gpedit.msc» a través de «Inicio – Ejecutar» y abrir así el editor de objetos de directiva de grupo. Allí debe abrir primero «Configuración del equipo – Configuración de Windows – Configuración de seguridad – Políticas locales» para llegar a la política «Opciones de seguridad – Control de cuentas de usuario – «Comportamiento de solicitud de elevación para usuarios estándar», como se ha descrito anteriormente.
En Windows XP/2000 también es posible
En Windows XP y Windows 2000 es posible iniciar todos los componentes del panel de control, pero los campos aparecen en gris y no se pueden modificar como no administrador. Si haces clic en el panel de control en el menú de inicio o en componentes individuales del panel de control con el botón derecho del ratón, verás que no tienen propiedades que se puedan cambiar. Aunque puede crear un nuevo acceso directo con el destino «%windir%\system32\control.exe» para iniciar todo el panel de control y luego cambiar sus propiedades, el panel de control no se inicia según el procedimiento descrito anteriormente si no ha iniciado sesión como administrador.
Sin embargo, existe la siguiente posibilidad de iniciar componentes individuales del panel de control con derechos de administrador. Para ello, cree un nuevo acceso directo y especifique el archivo CPL correspondiente, por ejemplo %windir%\system32\sysdm.cpl, para iniciar el componente Sistema. Una vez creado el acceso directo, abra sus propiedades y seleccione primero un símbolo memorable para el acceso directo en la pestaña «Acceso directo» mediante el botón «Otro símbolo…». Utilice el botón «Avanzado…» para activar la opción «Ejecutar con información de inicio de sesión diferente». También es importante añadir el grupo de seguridad «Usuario» en la pestaña «Seguridad» o, al menos, el ID de usuario del usuario que posteriormente podrá realizar los cambios en el panel de control.
Figura 3: Configuración de seguridad |
A continuación, mueva el nuevo acceso directo en Windows XP a «C:³Documents and Settings\All Users\Startmenu» o a «C:³Documents and Settings\All Users\Desktop». En Windows Vista, la carpeta «C:Todos los usuarios» se llama ahora «C:Todos los usuarios».
A continuación se muestra una lista de algunos archivos CPL y su significado en Windows XP y Windows Vista:
ACCESS.CPL Accesibilidad (sólo Windows XP)
APPWIZ.CPL Software
DESK.CPL Pantalla
FIREWALL.CPL Firewall de Windows
HDWWIZ.CPL Asistente de hardware
INETCPL.CPL Configuración de Internet
INTL.CPL Opciones de región e idioma
JOY.CPL Mando de juegos
MAIN.CPL Propiedades del ratón
MMSYS.CPL Dispositivos de sonido y audio
NCPA.CPL Conexiones de red
NETSETUP.CPL Asistente de instalación de red (sólo Windows XP)
NUSRMGR.CPL Cuentas de usuario (sólo Windows XP)
ODBCCP32.CPL Administrador de fuentes de datos ODBC
POWERCFG.CPL Opciones de energía
STICPL.CPL Propiedades de escáner y cámara
SYSDM.CPL Propiedades del sistema
TABLETPC.CPL Lápiz y dispositivos de entrada (sólo Windows Vista)
TELEPHON.CPL en Windows XP: opciones de teléfono y módem, en Windows Vista: información de ubicación
TIMEDATE.CPL Propiedades de fecha/hora
WSCUI.CPL Centro de seguridad de Windows
Para que el usuario no tenga que preguntar al Helpdesk cuál es la contraseña de administrador, puede cambiar el nombre del acceso directo: Por ejemplo, cambie el nombre del acceso directo «Sistema» por «Iniciar sistema como administrador con contraseña F+4g#3» o, más corto, «Contraseña de administrador del sistema F+4g#3». También puede proceder de este modo para facilitar a los usuarios el inicio administrativo de aplicaciones que, de otro modo, no se ejecutarían sin errores.
Cuestiones de seguridad en un dominio
Por motivos de seguridad, es problemático dar a los usuarios de un dominio de Windows la contraseña de administrador local. ¿Qué debería impedir entonces que el usuario del dominio inicie sesión como administrador todo el tiempo e instale aplicaciones arbitrarias en lugar de contentarse con las restricciones de un identificador que no es miembro del grupo de administradores locales?
Sin embargo, una declaración firmada por todos los usuarios puede prohibirles instalar aplicaciones no autorizadas o manipular el sistema de cualquier forma. Una infracción puede dar lugar a una advertencia o a la rescisión del contrato. El administrador local tampoco es miembro del dominio y no puede acceder a los servidores y sus servicios (sistema de correo electrónico, impresora de red, directorio de grupo, plantillas de documentos de la empresa, etc.). Por lo tanto, el trabajo productivo simplemente no es posible con el ID de administrador, lo que obliga a los usuarios a iniciar sesión con su ID de usuario de dominio.
Especialmente en las redes más pequeñas, por ejemplo, bajo Microsoft Small Business Server, a menudo no hay administradores de sistemas sólo por razones de coste que puedan activarse inmediatamente si determinadas aplicaciones no funcionan sin errores bajo derechos de usuario simples o hay que cambiar ad hoc la configuración del sistema para permitir un trabajo posterior significativo. En este entorno, es sin duda una mejor alternativa dar al usuario la contraseña de administrador local para que pueda iniciar aplicaciones específicas con derechos ampliados según el método descrito anteriormente, en lugar de incluir el ID de usuario en el grupo de administradores locales y dejar así que el usuario trabaje con derechos de administrador de forma generalizada.
Características especiales del control de usuarios de Windows Vista
Elevación de scripts PowerToys para Windows Vista
En un artículo, Michael Murgolo, consultor sénior de infraestructuras de Microsoft Consulting Services, presenta algunos PowerToys de elevación de scripts que ha creado para superar las limitaciones causadas por el Control de cuentas de usuario al ejecutar scripts.
La herramienta de elevación se puede utilizar para lanzar aplicaciones que soliciten al usuario elevar los privilegios de usuario a través de una línea de comandos, mediante un script o a través del cuadro de diálogo Ejecutar. Por ejemplo, con el siguiente comando, abra el archivo «win.in» después de la solicitud de elevación en el editor: elevate notepad c:\Windows\Win.ini
Para la mayoría de los tipos de script de Windows, no existe la opción «Ejecutar como administrador» al hacer clic con el botón derecho del ratón sobre el archivo en el Explorador. Los PowerToys Elevate HTML Application, Elevate Windows PowerShell Script y Elevate WSH Script añaden la opción «Ejecutar como administrador» al menú contextual del Explorador para los HTA, para Windows PowerShell y para los tipos de archivo Windows Script Host respectivamente.
La herramienta ElevateMSI. inf clona las acciones estándar para los paquetes de Windows Installer (archivos msi) y los archivos de parches asociados (archivos msp) de modo que la opción del menú contextual «Instalar como administrador» esté disponible para los paquetes y la opción «Aplicar parche como administrador» para los parches.
Otras herramientas gratuitas presentadas en el artículo son CMD Prompt Here as Administrator y PowerShell Prompt Here as Administrator.
Puede encontrar el artículo aquí.
Todos los PowerToys presentados en el artículo pueden encontrarse en el área de descarga de código en: technetmagazine .com/code07.aspx
Lea también la entrada del blog Scripting Elevation on Vista
Control de usuarios
Pero incluso si añades usuarios individuales o un grupo de seguridad especial de Active Directory de un dominio al grupo de administradores locales, puedes restringir sus permisos de nuevo, por ejemplo con User Control. Este shareware funciona con Windows 2000, XP, Vista, 2008 y Windows 7 y permite establecer diversas restricciones en el sistema para los usuarios. Se puede utilizar un filtro de software para determinar qué programas puede o no ejecutar el usuario. Hay un filtro de sitios web, filtro de Internet, protección del escritorio y otros. Más información en WinTotal.
Ya puedes encontrar algunos consejos sobre las características especiales del Control de Cuentas de Usuario (UAC) de Windows Vista en WinTotal:
Activar la cuenta de administrador en Vista
El artículo describe la diferencia entre administradores reales y restringidos y muestra cómo activar el administrador real, que está desactivado por defecto.
Si quieres desactivar el UAC para los administradores restringidos, lee el artículo Desactivar o editar el control de cuentas de usuario.
Deshabilitar y volver a habilitar el Control de cuentas de usuario
El artículo muestra varias formas de desactivar y volver a activar el Control de Cuentas de Usuario.
El freeware TweakUAC también se puede utilizar para desactivar el Control de Cuentas de Usuario, pero realmente no necesitas este tipo de herramientas después de leer el artículo anterior.
Si quieres saber más sobre cómo funciona el Control de Cuentas de Usuario, puedes encontrar varios artículos en los foros web de Microsoft:
- El Control de Cuentas de Usuario de Windows Vista
- Con el Control de cuentas de usuario, los programas sin derechos de administrador ya no son un sueño
- Control de cuentas de usuario para profesionales de TI
- Windows Vista para desarrolladores: Requisitos de desarrollo de aplicaciones de Windows Vista para el Control de cuentas de usuario