Configuración de privilegios y derechos de usuario de Windows 2000

Actualizado: 18 de Junio de 2004

En esta página

	Descripción del módulo
	Objetivos
	Marco de aplicación
	Uso del módulo
	Privilegios y derechos de usuario

Descripción del módulo

Este módulo describe las asignaciones de derechos de usuario predeterminados de los sistemas que ejecutan Microsoft® Windows 2000® y ofrece una lista de cambios recomendados en el módulo "Configuraciones de seguridad de Windows 2000".

Principio de la página

Objetivos

Utilice este módulo para:

•	Identificar las asignaciones de derechos de usuario predeterminados en los sistemas que ejecutan Windows 2000.
•	Identificar cambios recomendados en las asignaciones de derechos de usuario predeterminados para ofrecer un entorno más seguro.

Principio de la página

Marco de aplicación

Este módulo se aplica a los siguientes productos y tecnologías:

•	Sistema operativo Microsoft Windows 2000
•	Controladores de dominio de sistemas operativos Microsoft Windows 2000
•	Dominios de Microsoft Windows 2000

Principio de la página

Uso del módulo

Utilice este módulo para identificar la configuración de las asignaciones de derechos de usuario predeterminados para Windows 2000 y buscar cambios recomendados en la configuración predeterminada para crear un entorno más seguro.

Para sacar el máximo provecho de este módulo:

•

Lea el módulo "Configuraciones de seguridad de Windows 2000". En este módulo se proporciona documentación detallada sobre la configuración de seguridad que se puede utilizar para mejorar la seguridad en el sistema operativo Windows 2000.

•

Lea el módulo "Configuración de las directivas de seguridad predeterminadas de Windows 2000". En este módulo se identifican las configuraciones de las directivas de seguridad predeterminadas que se aplican a las diferentes funciones del sistema operativo Windows 2000.

•

Lea el módulo "Herramientas de configuración de seguridad de Windows 2000". En este módulo se describen las herramientas de Windows 2000 que se pueden utilizar para aplicar configuraciones seguras.

•

Utilice la lista de comprobación "Lista de comprobación de configuración de seguridad de Windows 2000". Este módulo contiene listas de comprobación de seguridad que se pueden utilizar al evaluar un sistema para comprobar que se han realizado todos los cambios de configuración.

•

Utilice los artículos de instrucciones que acompañan a la guía:

•	"Cómo instalar de forma segura Windows 2000".
•	"Configuración y aplicación de plantillas de seguridad con Windows 2000"

Principio de la página

Privilegios y derechos de usuario

La tabla 1 identifica los derechos de usuario predeterminados que se asignan a usuarios en sistemas independientes Windows 2000 Professional y Server, y en un controlador de dominio Windows 2000. Además, muestra los derechos de usuario predeterminados de una directiva de seguridad de dominio (todos están sin definir de forma predeterminada). Las asignaciones de la directiva de seguridad de dominio tiene prioridad sobre la configuración de las directivas de seguridad local para los miembros del dominio.

Las asignaciones de privilegios o derechos se pueden encontrar en la GUI de directivas de seguridad local y de dominio, tal y como se muestra a continuación:

•

Windows 2000 Professional:

Herramientas administrativas -> Directiva de seguridad local -> Configuración de seguridad\Directivas locales\Asignación de derechos de usuario

•

Windows 2000 Server:

Herramientas administrativas -> Directiva de seguridad local -> Configuración de seguridad\Directivas locales\Asignación de derechos de usuario

•

Controlador de dominio Windows 2000:

Herramientas administrativas -> Directiva de seguridad del controlador de dominio -> Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario

Herramientas administrativas -> Directiva de seguridad de dominio -> Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario

Tabla 1: Privilegios y derechos de usuario

Privilegios y derechos de usuario	Descripción	Grupos que tienen asignado este derecho en equipos Windows 2000 Professional independientes	Grupos que tienen asignado este derecho en equipos Windows 2000 Server independientes	Grupos que tienen asignado este derecho en la directiva de seguridad de dominio de Windows 2000 (ubicada en el controlador de dominio)	Grupos que tienen asignado este derecho en el controlador de dominio de Windows 2000 con servicios AD (directiva de seguridad del controlador de dominio)
Derechos de inicio de sesión
Tener acceso a este equipo desde la red (SeNetwork LogonRights)	Determina qué usuarios pueden conectarse al equipo a través de la red.	Predeterminado: Administradores Operadores de copia de seguridad Usuarios avanzados Usuarios Todos Cambio recomendado: Administradores Operadores de copia de seguridad Usuarios avanzados Usuarios Usuarios auten.	Predeterminado: Administradores Operadores de copia de seguridad Usuarios avanzados Usuarios Todos Cambio recomendado: Administradores Operadores de copia de seguridad Usuarios avanzados Usuarios Usuarios auten.	Predeterminado: (No está definido) Recomendación: No cambiar	Predeterminado: Administradores Usuarios auten. Todos Cambio recomendado: Administradores Usuarios auten.
Iniciar sesión como proceso por lotes (SeBatch LogonRight)	Permite que un usuario inicie sesión mediante un servicio de cola por lotes.	Predeterminado: Ninguno Recomendación: No cambiar	Predeterminado: Ninguno Recomendación: No cambiar	Predeterminado: (No está definido) Recomendación: No cambiar	Predeterminado: Ninguno Recomendación: No cambiar
Inicio de sesión local (SeInteractive LogonRight)	Permite que un usuario inicie sesión localmente en el equipo.	Predeterminado: Administradores Operadores de copia de seguridad Usuarios avanzados Usuarios NombreEquipo\Invitado Cambio recomendado: Administradores Operadores de copia de seguridad Usuarios avanzados Usuarios	Predeterminado: Administradores Operadores de copia de seguridad Usuarios avanzados Usuarios NombreEquipo\Invitado NombreEquipo \ TsInternetUser. Cambio recomendado: Administradores Operadores de copia de seguridad Usuarios avanzados Usuarios	Predeterminado: (No está definido) Recomendación: No cambiar	Predeterminado: Administradores Operadores de cuentas Operadores de copia de seguridad Operadores de impresión Operadores de servidores TsInternetUser Cambio recomendado: Administradores Operadores de cuentas Operadores de copia de seguridad Operadores de impresión Operadores de servidores
Iniciar sesión como servicio (SeService LogonRight)	Permite que una entidad de seguridad principal inicie sesión como servicio. Los servicios se pueden configurar para ejecutar la cuenta LocalSystem, la cual tiene un derecho integrado para iniciar sesión como servicio. Todo servicio que se ejecute en una cuenta diferente debe tener asignado el derecho.	Predeterminado: Ninguno Recomendación: No cambiar	Predeterminado: Ninguno Recomendación: No cambiar	Predeterminado: (No está definido) Recomendación: No cambiar	Predeterminado: Ninguno Recomendación: No cambiar
Denegar el acceso desde la red a este equipo (SeDenyNetwork LogonRight)	Prohíbe a un usuario o grupo de usuarios la conexión al equipo desde la red.	Predeterminado: Ninguno Recomendación: No cambiar	Predeterminado: Ninguno Recomendación: No cambiar	Predeterminado: (No está definido) Recomendación: No cambiar	Predeterminado: Ninguno Recomendación: No cambiar
Denegar inicio de sesión localmente (SeDenyInteractive LogonRight)	Prohíbe a un usuario o grupo de usuarios iniciar sesión localmente en el equipo.	Predeterminado: Ninguno Recomendación: No cambiar	Predeterminado: Ninguno Recomendación: No cambiar	Predeterminado: (No está definido) Recomendación: No cambiar	Predeterminado: Ninguno Recomendación: No cambiar
Denegar el inicio de sesión como archivo por lotes (SeDenyBatch LogonRight)	Prohíbe a un usuario o grupo de usuarios iniciar sesión mediante un servicio de cola por lotes.	Predeterminado: Ninguno Recomendación: No cambiar	Predeterminado: Ninguno Recomendación: No cambiar	Predeterminado: (No está definido) Recomendación: No cambiar	Predeterminado: Ninguno Recomendación: No cambiar
Denegar el inicio de sesión como servicio (SeDenyService LogonRight)	Prohíbe a un usuario o grupo de usuarios iniciar sesión como servicio.	Predeterminado: Ninguno Recomendación: No cambiar	Predeterminado: Ninguno Recomendación: No cambiar	Predeterminado: (No está definido) Recomendación: No cambiar	Predeterminado: Ninguno Recomendación: No cambiar
Actuar como parte del sistema operativo (SeTcbPrivilege)	Permite que un proceso se autentique como usuario y, de esta forma, obtener acceso a los mismos recursos que un usuario. Solamente los servicios de autenticación de bajo nivel requieren este servicio. El acceso potencial no se limita a los elementos asociados de forma predeterminada al usuario, ya que el proceso que realiza la llamada puede requerir que se agreguen otros accesos arbitrarios al token de acceso. Es muy importante tener en cuenta que el proceso que realiza la llamada puede crear un token anónimo que proporcione alguno o todos los accesos. Además, este token no proporciona una identidad principal para hacer un seguimiento de los sucesos en el registro de auditoría. La cuenta LocalSystem utiliza este privilegio de forma predeterminada.	Predeterminado: Ninguno Recomendación: No cambiar	Predeterminado: Ninguno Recomendación: No cambiar	Predeterminado: (No está definido) Recomendación: No cambiar	Predeterminado: Ninguno Recomendación: No cambiar
Agregar estaciones de trabajo al dominio (SeMachineAccount Privilege)	Permite que un usuario agregue un equipo a un dominio específico. Para que este privilegio sea efectivo, se debe asignar al usuario como parte de la directiva de seguridad local de controladores del dominio específico. Un usuario que disfrute de este privilegio puede agregar hasta 10 estaciones de trabajo. En Windows 2000, el comportamiento de este privilegio se duplica por el permiso Crear objetos de equipo para unidades organizativas y el contenedor predeterminado Equipos de Microsoft Active Directory®. Los usuarios con el permiso Crear objetos de equipo pueden agregar un número ilimitado de equipos al dominio.	Predeterminado: Ninguno Recomendación: No cambiar	Predeterminado: Ninguno Recomendación: No cambiar	Predeterminado: (No está definido) Recomendación: No cambiar	Predeterminado: Usuarios auten. Cambio recomendado: Administradores de dominio
Realizar copias de seguridad de archivos y directorios (SeBackup Privilege)	Permite que el usuario eluda permisos de archivos y directorios para realizar copias de seguridad del sistema. El privilegio se selecciona solamente cuando la aplicación intenta tener acceso mediante la interfaz de aplicación de copias de seguridad NTFS. De lo contrario, se aplican los permisos normales de directorios y archivos.	Predeterminado: Administradores Operadores de copia de seguridad Recomendación: No cambiar	Predeterminado: Administradores Operadores de copia de seguridad Recomendación: No cambiar	Predeterminado: (No está definido) Recomendación: No cambiar	Predeterminado: Administradores Operadores de copia de seguridad Operadores de servidores Recomendación: No cambiar
Omitir la comprobación de recorrido (SeChangeNotify Privilege)	Permite que el usuario pase por carpetas a las que no tendría acceso de otra manera al explorar por una ruta de objeto en cualquier sistema de archivos de Microsoft Windows o en el Registro. Este privilegio no permite al usuario enumerar los contenidos de una carpeta, sólo atravesar sus directorios.	Predeterminado: Administradores Operadores de copia de seguridad Usuarios avanzados Usuarios Todos Recomendación: No cambiar	Predeterminado: Administradores Operadores de copia de seguridad Usuarios avanzados Usuarios Todos Recomendación: No cambiar	Predeterminado: (No está definido) Recomendación: No cambiar	Predeterminado: Administradores Usuarios auten. Todos Recomendación: No cambiar
Cambiar la hora del sistema (SeSystemTime Privilege)	Permite que el usuario establezca la hora del reloj interno del equipo.	Predeterminado: Administradores Usuarios avanzados Recomendación: No cambiar	Predeterminado: Administradores Usuarios avanzados Recomendación: No cambiar	Predeterminado: (No está definido) Recomendación: No cambiar	Predeterminado: Administradores Operadores de servidores Recomendación: No cambiar
Crear un objeto Token (SeCreateToken Privilege)	Permite que un proceso cree un token de acceso llamando a NtCreateToken o a otras API de creación de tokens.	Predeterminado: Ninguno Recomendación: No cambiar	Predeterminado: Ninguno Recomendación: No cambiar	Predeterminado: (No está definido) Recomendación: No cambiar	Predeterminado: Ninguno Recomendación: No cambiar
Crear objetos compartidos permanentes (SeCreate Permanent Privilege)	Permite que un proceso cree un objeto de directorio en el administrador de objetos de Windows 2000. Este privilegio resulta útil para componentes de modo de núcleo que amplían el espacio de nombres de objetos de Windows 2000. Los componentes que se ejecutan en modo de núcleo ya disponen de este privilegio, por lo que no es necesario asignárselo.	Predeterminado: Ninguno Recomendación: No cambiar	Predeterminado: Ninguno Recomendación: No cambiar	Predeterminado: (No está definido) Recomendación: No cambiar	Predeterminado: Ninguno Recomendación: No cambiar
Crear un archivo de paginación (SeCreatePagefile Privilege)	Permite al usuario crear y cambiar el tamaño de un archivo de paginación.	Predeterminado: Administradores Recomendación: No cambiar	Predeterminado: Administradores Recomendación: No cambiar	Predeterminado: (No está definido) Cambio recomendado: Administradores	Predeterminado: Administradores Recomendación: No cambiar
Depurar programas (SeDebugPrivilege)	Permite al usuario asignar un depurador a cualquier proceso.	Predeterminado: Administradores Recomendación: No cambiar	Predeterminado: Administradores Recomendación: No cambiar	Predeterminado: (No está definido) Recomendación: No cambiar	Predeterminado: Administradores Recomendación: No cambiar
Habilitar la opción De confianza para la delegación en las cuentas de usuario y de equipo (SeEnable Delegation Privilege)	Permite que el usuario cambie la opción De confianza para la delegación de un usuario o equipo en Active Directory. El usuario o equipo con este privilegio también debe disponer de los derechos de escritura en el indicador de control de cuenta en el objeto.	Predeterminado: Ninguno Recomendación: No cambiar	Predeterminado: Ninguno Recomendación: No cambiar	Predeterminado: (No está definido) Recomendación: No cambiar	Predeterminado: Administradores Recomendación: No cambiar
Forzar el apagado de un sistema remoto (SeRemote ShutdownPrivilege)	Permite que el usuario apague el equipo desde una ubicación remota de la red.	Predeterminado: Administradores Recomendación: No cambiar	Predeterminado: Administradores Recomendación: No cambiar	Predeterminado: (No está definido) Cambio recomendado: Administradores	Predeterminado: Administradores Operadores de servidores Recomendación: No cambiar
Generar auditorías de seguridad (SeAuditPrivilege)	Permite que un proceso genere entradas en el registro de seguridad. El registro de seguridad se utiliza para hacer un seguimiento de los accesos no autorizados al sistema y otras actividades relevantes para la seguridad.	Predeterminado: Ninguno Recomendación: No cambiar	Predeterminado: Ninguno Recomendación: No cambiar	Predeterminado: (No está definido) Recomendación: No cambiar	Predeterminado: Ninguno Recomendación: No cambiar
Aumentar las cuotas (SeIncrease QuotaPrivilege)	Permite que un proceso con propiedad de escritura tenga acceso a otro proceso para aumentar la cuota de procesador que se asigna al otro proceso. Este privilegio resulta útil para el ajuste del sistema, pero puede producirse un abuso del mismo, como en un ataque por denegación de servicio.	Predeterminado: Administradores Recomendación: No cambiar	Predeterminado: Administradores Recomendación: No cambiar	Predeterminado: (No está definido) Cambio recomendado: Administradores	Predeterminado: Administradores Recomendación: No cambiar
Aumentar la prioridad de programación (SeIncreaseBase PriorityPrivilege)	Permite que un proceso con Propiedad de escritura tenga acceso a otro proceso para incrementar la prioridad de ejecución del otro proceso.	Predeterminado: Administradores Recomendación: No cambiar	Predeterminado: Administradores Recomendación: No cambiar	Predeterminado: (No está definido) Cambio recomendado: Administradores	Predeterminado: Administradores Recomendación: No cambiar
Cargar y descargar controladores de dispositivo (SeLoadDriver Privilege)	Permite que un usuario instale y desinstale controladores de dispositivo Plug and Play. Este privilegio no se aplica a controladores de dispositivo que no sean Plug and Play; sólo los administradores pueden instalar estos controladores de dispositivo. Tenga en cuenta que los controladores se ejecutan como procesos de confianza (privilegios importantes). Un usuario puede abusar de este privilegio al instalar programas hostiles y ofrecerles acceso destructivo a los recursos.	Predeterminado: Administradores Recomendación: No cambiar	Predeterminado: Administradores Recomendación: No cambiar	Predeterminado: (No está definido) Cambio recomendado: Administradores	Predeterminado: Administradores Recomendación: No cambiar
Bloquear páginas en la memoria (SeLockMemory Privilege)	Permite que un proceso mantenga datos en la memoria física. Esto evita que el sistema pagine los datos en la memoria virtual del disco. Si se asigna este privilegio, el rendimiento del sistema se puede degradar de forma significativa.	Predeterminado: Ninguno Recomendación: No cambiar	Predeterminado: Ninguno Recomendación: No cambiar	Predeterminado: (No está definido) Recomendación: No cambiar	Predeterminado: Ninguno Recomendación: No cambiar
Administrar registros de auditoría y de seguridad (SeSecurity Privilege)	Permite que un usuario especifique las opciones de auditoría de acceso a objetos para recursos individuales, como archivos, objetos de Active Directory y claves de registro. La auditoría de acceso a objetos no se realiza realmente a menos que se haya habilitado en la directiva de auditoría. Un usuario que tiene este privilegio puede, además, ver y borrar el registro de seguridad desde el visor de sucesos.	Predeterminado: Administradores Recomendación: No cambiar	Predeterminado: Administradores Recomendación: No cambiar	Predeterminado: (No está definido) Cambio recomendado: Administradores	Predeterminado: Administradores Recomendación: No cambiar
Modificar valores de entorno del firmware (SeSystem Environment Privilege)	Permite la modificación de las variables del entorno del sistema mediante un proceso a través de una API o mediante un usuario a través del cuadro de diálogo Propiedades del sistema.	Predeterminado: Administradores Recomendación: No cambiar	Predeterminado: Administradores Recomendación: No cambiar	Predeterminado: (No está definido) Cambio recomendado: Administradores	Predeterminado: Administradores Recomendación: No cambiar
Perfilar un único proceso (SeProfile SingleProcess Privilege)	Permite que un usuario ejecute las herramientas de supervisión del rendimiento de Microsoft Windows NT y Windows 2000 para supervisar el rendimiento de procesos que no son del sistema.	Predeterminado: Administradores Usuarios avanzados Recomendación: No cambiar	Predeterminado: Administradores Usuarios avanzados Recomendación: No cambiar	Predeterminado: (No está definido) Recomendación: No cambiar	Predeterminado: Administradores Recomendación: No cambiar
Perfilar el rendimiento del sistema (SeSystemProfile Privilege)	Permite que un usuario ejecute las herramientas de supervisión del rendimiento de Microsoft Windows NT y Windows 2000 para supervisar el rendimiento de procesos que no son del sistema.	Predeterminado: Administradores Recomendación: No cambiar	Predeterminado: Administradores Recomendación: No cambiar	Predeterminado: (No está definido) Cambio recomendado: Administradores	Predeterminado: Administradores Recomendación: No cambiar
Quitar el equipo de la estación de acoplamiento (SeUndock Privilege)	Permite que un usuario de un equipo portátil desbloquee el equipo haciendo clic en Retirar equipo en el menú Inicio.	Predeterminado: Administradores Usuarios avanzados Usuarios Recomendación: No cambiar	Predeterminado: Administradores Usuarios avanzados Usuarios Recomendación: No cambiar	Predeterminado: (No está definido) Recomendación: No cambiar	Predeterminado: Administradores Recomendación: No cambiar
Reemplazar un token de nivel de proceso (SeAssignPrimaryToken Privilege)	Permite que un proceso principal sustituya el token de acceso que se asocia a un proceso secundario.	Predeterminado: Ninguno Recomendación: No cambiar	Predeterminado: Ninguno Recomendación: No cambiar	Predeterminado: (No está definido) Recomendación: No cambiar	Predeterminado: Ninguno Recomendación: No cambiar
Restaurar archivos y directorios (SeRestore Privilege)	Permite que el usuario eluda los permisos de archivo y directorio al restaurar archivos o directorios con copia de seguridad y establezca cualquier entidad principal de seguridad válida como propietario de un objeto.	Predeterminado: Administradores Operadores de copia de seguridad Recomendación: No cambiar	Predeterminado: Administradores Operadores de copia de seguridad Recomendación: No cambiar	Predeterminado: (No está definido) Recomendación: No cambiar	Predeterminado: Administradores Operadores de copia de seguridad Operadores de servidores Recomendación: No cambiar
Apagar el sistema (SeShutdown Privilege)	Permite que un usuario apague el equipo local.	Predeterminado: Administradores Operadores de copia de seguridad Usuarios avanzados Usuarios Cambio recomendado: Administradores Operadores de copia de seguridad Usuarios avanzados Usuarios autenticados	Predeterminado: Administradores Operadores de copia de seguridad Usuarios avanzados Cambio recomendado: Administradores Operadores de copia de seguridad Usuarios avanzados Usuarios autenticados	Predeterminado: (No está definido) Recomendación: No cambiar	Predeterminado: Administradores Operadores de cuentas Operadores de copia de seguridad Operadores de impresión Operadores de servidores Recomendación: No cambiar
Sincronizar los datos del servicio de directorio (SeSyncAgent Privilege)	Permite que un servicio ofrezca servicios de sincronización de directorios. Este privilegio sólo es relevante para controladores de dominio. Este privilegio es necesario para que un controlador de dominio utilice los servicios de sincronización de directorio LDAP. Permite al usuario que dispone de este privilegio leer todos los objetos y propiedades del directorio, independientemente de la protección de los objetos y las propiedades. De forma predeterminada, se asigna a las cuentas de administrador y LocalSystem en los controladores de dominio.	Predeterminado: Ninguno Recomendación: No cambiar	Predeterminado: Ninguno Recomendación: No cambiar	Predeterminado: (No está definido) Recomendación: No cambiar	Predeterminado: Administradores Recomendación: No cambiar
Tomar posesión de archivos u otros objetos (SeTakeOwnership Privilege)	Permite que el usuario sea propietario de cualquier objeto que se pueda asegurar del sistema, como los objetos de Active Directory, archivos y carpetas, impresoras, claves de registro, procesos y subprocesos.	Predeterminado: Administradores Recomendación: No cambiar	Predeterminado: Administradores Recomendación: No cambiar	Predeterminado: (No está definido) Cambio recomendado: Administradores	Predeterminado: Administradores Recomendación: No cambiar
Leer datos no solicitados desde un dispositivo terminal (SeUnsolicited InputPrivilege)	Es necesario para leer información no solicitada desde un dispositivo terminal. Este privilegio es obsoleto y no se utiliza. Además, no afecta al sistema.	Predeterminado: Ninguno Recomendación: No cambiar	Predeterminado: Ninguno Recomendación: No cambiar	Predeterminado: Ninguno Recomendación: No cambiar	Predeterminado: Ninguno Recomendación: No cambiar

Privilegios y derechos de usuario

Descripción

Grupos que tienen asignado este derecho en equipos Windows 2000 Professional independientes

Grupos que tienen asignado este derecho en equipos Windows 2000 Server independientes

Grupos que tienen asignado este derecho en la directiva de seguridad de dominio de Windows 2000 (ubicada en el controlador de dominio)

Grupos que tienen asignado este derecho en el controlador de dominio de Windows 2000 con servicios AD (directiva de seguridad del controlador de dominio)

Derechos de inicio de sesión

Tener acceso a este
equipo
desde la red

(SeNetwork
LogonRights)

Determina qué usuarios pueden conectarse al equipo a través de la red.

Predeterminado:
Administradores
Operadores de copia de seguridad
Usuarios avanzados
Usuarios
Todos

Cambio
recomendado:
Administradores
Operadores de copia de seguridad
Usuarios avanzados
Usuarios
Usuarios auten.

Predeterminado:
Administradores
Operadores de copia de seguridad
Usuarios avanzados
Usuarios
Todos

Cambio
recomendado:
Administradores
Operadores de copia de seguridad
Usuarios avanzados
Usuarios
Usuarios auten.

Predeterminado:
(No está definido)

Recomendación:
No cambiar

Predeterminado:
Administradores
Usuarios auten.
Todos

Cambio
recomendado:
Administradores
Usuarios auten.

Iniciar sesión como
proceso por lotes

(SeBatch
LogonRight)

Permite que un usuario inicie sesión mediante un servicio de cola por lotes.

Predeterminado:
Ninguno

Recomendación:
No cambiar

Predeterminado:
Ninguno

Recomendación:
No cambiar

Predeterminado:
(No está definido)

Recomendación:
No cambiar

Predeterminado:
Ninguno

Recomendación:
No cambiar

Inicio de sesión local

(SeInteractive
LogonRight)

Permite que un usuario inicie sesión localmente en el equipo.

Predeterminado:
Administradores
Operadores de copia de seguridad
Usuarios avanzados
Usuarios
NombreEquipo\Invitado

Cambio recomendado:
Administradores
Operadores de copia de seguridad
Usuarios avanzados
Usuarios

Predeterminado:
Administradores
Operadores de copia de seguridad
Usuarios avanzados
Usuarios
NombreEquipo\Invitado
NombreEquipo \
TsInternetUser.

Cambio
recomendado:
Administradores
Operadores de copia de seguridad
Usuarios avanzados
Usuarios

Predeterminado:
(No está definido)

Recomendación:
No cambiar

Predeterminado:
Administradores
Operadores de cuentas
Operadores de copia de seguridad
Operadores de impresión
Operadores de servidores
TsInternetUser

Cambio
recomendado:
Administradores
Operadores de cuentas
Operadores de copia de seguridad
Operadores de impresión
Operadores de servidores

Iniciar sesión como servicio

(SeService
LogonRight)

Permite que una entidad de seguridad principal inicie sesión como servicio. Los servicios se pueden configurar para ejecutar la cuenta LocalSystem, la cual tiene un derecho integrado para iniciar sesión como servicio. Todo servicio que se ejecute en una cuenta diferente debe tener asignado el derecho.

Predeterminado:
Ninguno

Recomendación:
No cambiar

Predeterminado:
Ninguno

Recomendación:
No cambiar

Predeterminado:
(No está definido)

Recomendación:
No cambiar

Predeterminado:
Ninguno

Recomendación:
No cambiar

Denegar el acceso
desde la red a
este equipo

(SeDenyNetwork
LogonRight)

Prohíbe a un usuario o grupo de usuarios la conexión al equipo desde la red.

Predeterminado:
Ninguno

Recomendación:
No cambiar

Predeterminado:
Ninguno

Recomendación:
No cambiar

Predeterminado:
(No está definido)

Recomendación:
No cambiar

Predeterminado:
Ninguno

Recomendación:
No cambiar

Denegar inicio de sesión localmente

(SeDenyInteractive
LogonRight)

Prohíbe a un usuario o grupo de usuarios iniciar sesión localmente en el equipo.

Predeterminado:
Ninguno

Recomendación:
No cambiar

Predeterminado:
Ninguno

Recomendación:
No cambiar

Predeterminado:
(No está definido)

Recomendación:
No cambiar

Predeterminado:
Ninguno

Recomendación:
No cambiar

Denegar el inicio de sesión
como archivo por lotes

(SeDenyBatch
LogonRight)

Prohíbe a un usuario o grupo de usuarios iniciar sesión mediante un servicio de cola por lotes.

Predeterminado:
Ninguno

Recomendación:
No cambiar

Predeterminado:
Ninguno

Recomendación:
No cambiar

Predeterminado:
(No está definido)

Recomendación:
No cambiar

Predeterminado:
Ninguno

Recomendación:
No cambiar

Denegar el inicio de
sesión como servicio

(SeDenyService
LogonRight)

Prohíbe a un usuario o grupo de usuarios iniciar sesión como servicio.

Predeterminado:
Ninguno

Recomendación:
No cambiar

Predeterminado:
Ninguno

Recomendación:
No cambiar

Predeterminado:
(No está definido)

Recomendación:
No cambiar

Predeterminado:
Ninguno

Recomendación:
No cambiar

Actuar como parte del
sistema operativo

(SeTcbPrivilege)

Permite que un proceso se autentique como usuario y, de esta forma, obtener acceso a los mismos recursos que un usuario. Solamente los servicios de autenticación de bajo nivel requieren este servicio.

El acceso potencial no se limita a los elementos asociados de forma predeterminada al usuario, ya que el proceso que realiza la llamada puede requerir que se agreguen otros accesos arbitrarios al token de acceso. Es muy importante tener en cuenta que el proceso que realiza la llamada puede crear un token anónimo que proporcione alguno o todos los accesos. Además, este token no proporciona una identidad principal para hacer un seguimiento de los sucesos en el registro de auditoría.

La cuenta LocalSystem utiliza este privilegio de forma predeterminada.

Predeterminado:
Ninguno

Recomendación:
No cambiar

Predeterminado:
Ninguno

Recomendación:
No cambiar

Predeterminado:
(No está definido)

Recomendación:
No cambiar

Predeterminado:
Ninguno

Recomendación:
No cambiar

Agregar estaciones de trabajo
al dominio

(SeMachineAccount
Privilege)

Permite que un usuario agregue un equipo a un dominio específico. Para que este privilegio sea efectivo, se debe asignar al usuario como parte de la directiva de seguridad local de controladores del dominio específico. Un usuario que disfrute de este privilegio puede agregar hasta 10 estaciones de trabajo.

En Windows 2000, el comportamiento de este privilegio se duplica por el permiso Crear objetos de equipo para unidades organizativas y el contenedor predeterminado Equipos de Microsoft Active Directory®. Los usuarios con el permiso Crear objetos de equipo pueden agregar un número ilimitado de equipos al dominio.

Predeterminado:
Ninguno

Recomendación:
No cambiar

Predeterminado:
Ninguno

Recomendación:
No cambiar

Predeterminado:
(No está definido)

Recomendación:
No cambiar

Predeterminado:
Usuarios auten.

Cambio
recomendado:
Administradores de dominio

Realizar copias de seguridad
de archivos y directorios

(SeBackup
Privilege)

Permite que el usuario eluda permisos de archivos y directorios para realizar copias de seguridad del sistema. El privilegio se selecciona solamente cuando la aplicación intenta tener acceso mediante la interfaz de aplicación de copias de seguridad NTFS. De lo contrario, se aplican los permisos normales de directorios y archivos.

Predeterminado:
Administradores
Operadores de copia de seguridad

Recomendación:
No cambiar

Predeterminado:
Administradores
Operadores de copia de seguridad

Recomendación:
No cambiar

Predeterminado:
(No está definido)

Recomendación:
No cambiar

Predeterminado:
Administradores
Operadores de copia de seguridad
Operadores de servidores

Recomendación:
No cambiar

Omitir la comprobación
de recorrido

(SeChangeNotify
Privilege)

Permite que el usuario pase por carpetas a las que no tendría acceso de otra manera al explorar por una ruta de objeto en cualquier sistema de archivos de Microsoft Windows o en el Registro. Este privilegio no permite al usuario enumerar los contenidos de una carpeta, sólo atravesar sus directorios.

Predeterminado:
Administradores
Operadores de copia de seguridad
Usuarios avanzados
Usuarios
Todos

Recomendación:
No cambiar

Predeterminado:
Administradores
Operadores de copia de seguridad
Usuarios avanzados
Usuarios
Todos

Recomendación:
No cambiar

Predeterminado:
(No está definido)

Recomendación:
No cambiar

Predeterminado:
Administradores
Usuarios auten.
Todos

Recomendación:
No cambiar

Cambiar la hora
del sistema

(SeSystemTime
Privilege)

Permite que el usuario establezca la hora del reloj interno del equipo.

Predeterminado:
Administradores
Usuarios avanzados

Recomendación:
No cambiar

Predeterminado:
Administradores
Usuarios avanzados

Recomendación:
No cambiar

Predeterminado:
(No está definido)

Recomendación:
No cambiar

Predeterminado:
Administradores
Operadores de servidores

Recomendación:
No cambiar

Crear un objeto
Token

(SeCreateToken
Privilege)

Permite que un proceso cree un token de acceso llamando a NtCreateToken o a otras API de creación de tokens.

Predeterminado:
Ninguno

Recomendación:
No cambiar

Predeterminado:
Ninguno

Recomendación:
No cambiar

Predeterminado:
(No está definido)

Recomendación:
No cambiar

Predeterminado:
Ninguno

Recomendación:
No cambiar

Crear objetos
compartidos permanentes

(SeCreate
Permanent
Privilege)

Permite que un proceso cree un objeto de directorio en el administrador de objetos de Windows 2000. Este privilegio resulta útil para componentes de modo de núcleo que amplían el espacio de nombres de objetos de Windows 2000. Los componentes que se ejecutan en modo de núcleo ya disponen de este privilegio, por lo que no es necesario asignárselo.

Predeterminado:
Ninguno

Recomendación:
No cambiar

Predeterminado:
Ninguno

Recomendación:
No cambiar

Predeterminado:
(No está definido)

Recomendación:
No cambiar

Predeterminado:
Ninguno

Recomendación:
No cambiar

Crear un archivo de paginación

(SeCreatePagefile
Privilege)

Permite al usuario crear y cambiar el tamaño de un archivo de paginación.

Predeterminado:
Administradores

Recomendación:
No cambiar

Predeterminado:
Administradores

Recomendación:
No cambiar

Predeterminado:
(No está definido)

Cambio
recomendado:
Administradores

Predeterminado:
Administradores

Recomendación:
No cambiar

Depurar programas

(SeDebugPrivilege)

Permite al usuario asignar un depurador a cualquier proceso.

Predeterminado:
Administradores

Recomendación:
No cambiar

Predeterminado:
Administradores

Recomendación:
No cambiar

Predeterminado:
(No está definido)

Recomendación:
No cambiar

Predeterminado:
Administradores

Recomendación:
No cambiar

Habilitar la
opción
De confianza para la delegación
en las cuentas
de usuario y de equipo

(SeEnable
Delegation
Privilege)

Permite que el usuario cambie la opción De confianza para la delegación de un usuario o equipo en Active Directory. El usuario o equipo con este privilegio también debe disponer de los derechos de escritura en el indicador de control de cuenta en el objeto.

Predeterminado:
Ninguno

Recomendación:
No cambiar

Predeterminado:
Ninguno

Recomendación:
No cambiar

Predeterminado:
(No está definido)

Recomendación:
No cambiar

Predeterminado:
Administradores

Recomendación:
No cambiar

Forzar el apagado
de un sistema
remoto

(SeRemote
ShutdownPrivilege)

Permite que el usuario apague el equipo desde una ubicación remota de la red.

Predeterminado:
Administradores

Recomendación:
No cambiar

Predeterminado:
Administradores

Recomendación:
No cambiar

Predeterminado:
(No está definido)

Cambio
recomendado:
Administradores

Predeterminado:
Administradores

Operadores de servidores
Recomendación:
No cambiar

Generar auditorías
de seguridad

(SeAuditPrivilege)

Permite que un proceso genere entradas en el registro de seguridad. El registro de seguridad se utiliza para hacer un seguimiento de los accesos no autorizados al sistema y otras actividades relevantes para la seguridad.

Predeterminado:
Ninguno

Recomendación:
No cambiar

Predeterminado:
Ninguno

Recomendación:
No cambiar

Predeterminado:
(No está definido)

Recomendación:
No cambiar

Predeterminado:
Ninguno

Recomendación:
No cambiar

Aumentar las cuotas

(SeIncrease
QuotaPrivilege)

Permite que un proceso con propiedad de escritura tenga acceso a otro proceso para aumentar la cuota de procesador que se asigna al otro proceso. Este privilegio resulta útil para el ajuste del sistema, pero puede producirse un abuso del mismo, como en un ataque por denegación de servicio.

Predeterminado:
Administradores

Recomendación:
No cambiar

Predeterminado:
Administradores

Recomendación:
No cambiar

Predeterminado:
(No está definido)

Cambio
recomendado:
Administradores

Predeterminado:
Administradores

Recomendación:
No cambiar

Aumentar la prioridad
de programación

(SeIncreaseBase
PriorityPrivilege)

Permite que un proceso con Propiedad de escritura tenga acceso a otro proceso para incrementar la prioridad de ejecución del otro proceso.

Predeterminado:
Administradores

Recomendación:
No cambiar

Predeterminado:
Administradores

Recomendación:
No cambiar

Predeterminado:
(No está definido)

Cambio
recomendado:
Administradores

Predeterminado:
Administradores

Recomendación:
No cambiar

Cargar y descargar
controladores de dispositivo

(SeLoadDriver
Privilege)

Permite que un usuario instale y desinstale controladores de dispositivo Plug and Play. Este privilegio no se aplica a controladores de dispositivo que no sean Plug and Play; sólo los administradores pueden instalar estos controladores de dispositivo. Tenga en cuenta que los controladores se ejecutan como procesos de confianza (privilegios importantes). Un usuario puede abusar de este privilegio al instalar programas hostiles y ofrecerles acceso destructivo a los recursos.

Predeterminado:
Administradores

Recomendación:
No cambiar

Predeterminado:
Administradores

Recomendación:
No cambiar

Predeterminado:
(No está definido)

Cambio
recomendado:
Administradores

Predeterminado:
Administradores

Recomendación:
No cambiar

Bloquear páginas en la memoria

(SeLockMemory
Privilege)

Permite que un proceso mantenga datos en la memoria física. Esto evita que el sistema pagine los datos en la memoria virtual del disco. Si se asigna este privilegio, el rendimiento del sistema se puede degradar de forma significativa.

Predeterminado:
Ninguno

Recomendación:
No cambiar

Predeterminado:
Ninguno

Recomendación:
No cambiar

Predeterminado:
(No está definido)

Recomendación:
No cambiar

Predeterminado:
Ninguno

Recomendación:
No cambiar

Administrar registros de
auditoría y de seguridad

(SeSecurity
Privilege)

Permite que un usuario especifique las opciones de auditoría de acceso a objetos para recursos individuales, como archivos, objetos de Active Directory y claves de registro. La auditoría de acceso a objetos no se realiza realmente a menos que se haya habilitado en la directiva de auditoría. Un usuario que tiene este privilegio puede, además, ver y borrar el registro de seguridad desde el visor de sucesos.

Predeterminado:
Administradores

Recomendación:
No cambiar

Predeterminado:
Administradores

Recomendación:
No cambiar

Predeterminado:
(No está definido)

Cambio
recomendado:
Administradores

Predeterminado:
Administradores

Recomendación:
No cambiar

Modificar valores
de entorno
del firmware

(SeSystem
Environment
Privilege)

Permite la modificación de las variables del entorno del sistema mediante un proceso a través de una API o mediante un usuario a través del cuadro de diálogo Propiedades del sistema.

Predeterminado:
Administradores

Recomendación:
No cambiar

Predeterminado:
Administradores

Recomendación:
No cambiar

Predeterminado:
(No está definido)

Cambio recomendado:
Administradores

Predeterminado:
Administradores

Recomendación:
No cambiar

Perfilar
un único proceso

(SeProfile
SingleProcess
Privilege)

Permite que un usuario ejecute las herramientas de supervisión del rendimiento de Microsoft Windows NT y Windows 2000 para supervisar el rendimiento de procesos que no son del sistema.

Predeterminado:
Administradores
Usuarios avanzados

Recomendación:
No cambiar

Predeterminado:
Administradores
Usuarios avanzados

Recomendación:
No cambiar

Predeterminado:
(No está definido)

Recomendación:
No cambiar

Predeterminado:
Administradores

Recomendación:
No cambiar

Perfilar el rendimiento
del sistema

(SeSystemProfile
Privilege)

Permite que un usuario ejecute las herramientas de supervisión del rendimiento de Microsoft Windows NT y Windows 2000 para supervisar el rendimiento de procesos que no son del sistema.

Predeterminado:
Administradores

Recomendación:
No cambiar

Predeterminado:
Administradores

Recomendación:
No cambiar

Predeterminado:
(No está definido)

Cambio
recomendado:
Administradores

Predeterminado:
Administradores

Recomendación:
No cambiar

Quitar el equipo
de la estación
de acoplamiento

(SeUndock
Privilege)

Permite que un usuario de un equipo portátil desbloquee el equipo haciendo clic en Retirar equipo en el menú Inicio.

Predeterminado:
Administradores
Usuarios avanzados
Usuarios

Recomendación:
No cambiar

Predeterminado:
Administradores
Usuarios avanzados
Usuarios

Recomendación:
No cambiar

Predeterminado:
(No está definido)

Recomendación:
No cambiar

Predeterminado:
Administradores

Recomendación:
No cambiar

Reemplazar un token de nivel de proceso

(SeAssignPrimaryToken
Privilege)

Permite que un proceso principal sustituya el token de acceso que se asocia a un proceso secundario.

Predeterminado:
Ninguno

Recomendación:
No cambiar

Predeterminado:
Ninguno

Recomendación:
No cambiar

Predeterminado:
(No está definido)

Recomendación:
No cambiar

Predeterminado:
Ninguno

Recomendación:
No cambiar

Restaurar archivos
y directorios

(SeRestore
Privilege)

Permite que el usuario eluda los permisos de archivo y directorio al restaurar archivos o directorios con copia de seguridad y establezca cualquier entidad principal de seguridad válida como propietario de un objeto.

Predeterminado:
Administradores
Operadores de copia de seguridad

Recomendación:
No cambiar

Predeterminado:
Administradores
Operadores de copia de seguridad

Recomendación:
No cambiar

Predeterminado:
(No está definido)

Recomendación:
No cambiar

Predeterminado:
Administradores
Operadores de copia de seguridad
Operadores de servidores
Recomendación:
No cambiar

Apagar el
sistema

(SeShutdown
Privilege)

Permite que un usuario apague el equipo local.

Predeterminado:
Administradores
Operadores de copia de seguridad
Usuarios avanzados
Usuarios

Cambio
recomendado:
Administradores
Operadores de copia de seguridad
Usuarios avanzados
Usuarios autenticados

Predeterminado:
Administradores
Operadores de copia de seguridad
Usuarios avanzados

Cambio
recomendado:
Administradores
Operadores de copia de seguridad
Usuarios avanzados
Usuarios autenticados

Predeterminado:
(No está definido)

Recomendación:
No cambiar

Predeterminado:
Administradores
Operadores de cuentas
Operadores de copia de seguridad
Operadores de impresión
Operadores de servidores

Recomendación:
No cambiar

Sincronizar los
datos del servicio
de directorio

(SeSyncAgent
Privilege)

Permite que un servicio ofrezca servicios de sincronización de directorios. Este privilegio sólo es relevante para controladores de dominio.

Este privilegio es necesario para que un controlador de dominio utilice los servicios de sincronización de directorio LDAP. Permite al usuario que dispone de este privilegio leer todos los objetos y propiedades del directorio, independientemente de la protección de los objetos y las propiedades. De forma predeterminada, se asigna a las cuentas de administrador y LocalSystem en los controladores de dominio.

Predeterminado:
Ninguno

Recomendación:
No cambiar

Predeterminado:
Ninguno

Recomendación:
No cambiar

Predeterminado:
(No está definido)

Recomendación:
No cambiar

Predeterminado:
Administradores

Recomendación:
No cambiar

Tomar posesión
de archivos u
otros objetos

(SeTakeOwnership
Privilege)

Permite que el usuario sea propietario de cualquier objeto que se pueda asegurar del sistema, como los objetos de Active Directory, archivos y carpetas, impresoras, claves de registro, procesos y subprocesos.

Predeterminado:
Administradores

Recomendación:
No cambiar

Predeterminado:
Administradores

Recomendación:
No cambiar

Predeterminado:
(No está definido)

Cambio recomendado:
Administradores

Predeterminado:
Administradores

Recomendación:
No cambiar

Leer datos no
solicitados desde
un dispositivo terminal

(SeUnsolicited
InputPrivilege)

Es necesario para leer información no solicitada desde un dispositivo terminal. Este privilegio es obsoleto y no se utiliza. Además, no afecta al sistema.

Predeterminado:
Ninguno

Recomendación:
No cambiar

Predeterminado:
Ninguno

Recomendación:
No cambiar

Predeterminado:
Ninguno

Recomendación:
No cambiar

Predeterminado:
Ninguno

Recomendación:
No cambiar

Principio de la página