Páginas

24 abril, 2011

Permisos NTFS: ACLs en cuentas de usuarios y grupos en Windows

Modificar permisos a usuarios y a grupos sobre objetos, privilegios a cuentas de usuarios y administradores en Windows.

Tenía pensado dividir este artículo en varias partes, ya que es extenso, pero para no tener comentarios en unas entradas y otras sobre el mismo tema, he decido incluir todo lo relacionado en el mismo post. A parte, a la hora de buscar en buscadores y en el blog se reflejará toda la información en un mismo artículo.

Como dije, este artículo es bastante extenso y completo. Por eso, cito un índice con los diferentes apartados o secciones de este post, un índice con enlaces internos (a esta página) que hacen referencia a todos los diferentes apartados.

Índice

Lecturas recomendables


El último enlace al que hago referencia, está muy completo ya que nos dice como modificar permisos de archivos o carpetas a usuarios, y es algo muy parecido a lo que voy comentar posteriormente en este artículo.

1) Definiciones y conceptos

1.A) Acceso a los archivos y directorios

Todo el tema de permisos que aquí muestro y explico se dan gracias al sistema de ficheros: NTFS (New Technology File System), uno de los sistemas de ficheros de Microsoft Windows, que permite un gran avance de seguridad en cuanto a las concesiones de permisos o privilegios de usuarios en Windows.

Herencia: La herencia permite la propagación de ACL posicionadas en objetos contenedores padres a sus hijos. Al crear una ACE, es posible precisar si se va aplicar al objeto, sólo a sus hijos (indicador de herencia solamente o Inherit Only) o al objeto en sí y a sus hijos.

Objetos: Un objeto es simplemente un elemento que puede asegurarse y protegerse mediante permisos. Puede tratarse de un archivo, un directorio, una clave de registro o un objeto de sistema, como una canalización con nombre, un socket, un proceso, un subproceso, etc.

ACL (Access Control List): Es una lista de control de acceso que regula los permisos de acceso a los objetos del sistem. Está compuesta por entradas de controles de acceso ACE

ACE (Access Control Entry): Una entrada de control de acceso es un elemento de una ACL. Una ACE está compuesta por un SID, una máscara de acceso que define los permisos concedidos al SID (ya sean: Lectura, escritura, etc.), un indicador que determina el tipo de ACE y otro indicador que determina a que objetos se refieren estos permisos.
Hay tres tipos de ACE: Acceso concedido, acceso denegado y Audit (para auditar la seguridad del sistema).

SD (Security Descriptor): Un descriptor de seguridad es la estructura vinculada a todo objeto al que se le puede aplicar seguridad que contiene el SID del propietario del objeto, su grupo primario y las dos listas de ACL: DACL y SACL.

DACL (Discretionary Access Control List): Una lista de control de acceso discrecional es la que está controlada por el propietario del objeto. Especifica quién tiene permiso y quién no para acceder a dicho objeto.

SACL (System Access Control List): Una lista de control de acceso de sistema es la que controla la generación de mensajes de auditoría durante los intentos de acceder a un objeto seguro. (Es necesario tener privilegios SE_SECURITY_NAME para modificar una SACL).

SDDL (Security Descriptor Definition Language): Un lenguaje de definición descriptor de seguridad que permite definir y transportar datos almacenados en un descriptor de seguridad en formato de texto.
Por ejemplo, el comando "sc sdshow" muestra el descriptor de seguridad ligado al servicio en formato SDDL.

El orden de interpretación de los permisos es o debería ser el siguiente:
- Accesos denegados explícitos (DENY ONLY).
- Accesos autorizados explícitos (ALLOW ONLY).
- Accesos denegados heredados.
- Accesos autorizados heredados.

Resumen

Un descriptor de seguridad de un recurso contiene el SID del propietario y varias listas de control de acceso. Una ACL es una lista de entradas de control de ACEs, cada una de las cuales identifica una confianza y unos permisos permitidos o denegados.

Las ACLs pueden ser de dos tipos: DACL (Discretionary ACL) o SACL (System ACL). 
  • DACL especifican permisos de acceso -permitidos o denegados- que el propietario del recurso especifica discrecionalmente. 
  • SACL especifican las acciones de confianza que el sistema debe auditar (intentos fallidos o exitosos de acceso según su tipo).
Cada recurso, además de poder incluir sus propias ACLs (ACLs explícitas), puede marcarse para que herede las ACLs de sus recursos antecesores (se indica separadamente para DACL y SACL).

Para determinar si debe concederse un permiso a una confianza del sistema primero ordena las ACEs de las distintas listas. Después las evalúa una a una y cuando encuentra una que se corresponde ya no evalúa el resto.

Si un recurso no tiene DACLs se concede el permiso. Si tiene DACL pero no tiene ACEs se deniega el permiso.

Para ordenar las ACEs el algoritmo tiene en cuenta lo siguiente:
  • Dentro de una lista, las ACEs que deniegan tienen prioridad sobre las que permiten.
  • Las ACLs explícitas tienen prioridad sobre las heredadas.
  • Las ACLs de los padres tienen prioridad sobre las de los abuelos.
Por otra parte:
  • Al anular la herencia el sistema nos permite elegir entre quitar todos los permisos heredados o copiarlos como explícitos.
  • Cuando se crea un nuevo recurso éste hereda todos los permisos (todas las ACLs) de su padre (tanto heredados como explícitos).
  • Al copiar un recurso (o moverlo a otro volumen) creamos un nuevo recurso.
  • Al mover un recurso dentro de un volumen se mantienen los permisos.

1.B) Tipos de cuentas de usuarios (NT AUTHORITY), grupos por defecto en Windows y sus SID

Trusted Installer (Instalador de confianza): No es una cuenta de usuario propiamente dicha, sino que una cuenta de servicio. Su SID (Security Identifier) comienza por S-1-5-80, que corresponde a SECURTIY_SERVICE_ID_BASE_RID. Sirve para ejecutar el servicio que instala los componentes Windows, los hotfixes y los paquetes MSI (Microsoft Installer).

Este SID posee los permisos para todos los archivos de sistema que le permiten actualizar el sistema operativo. TrustedInstaller es un usuario del sistema de "Protección de Recursos de Windows" (WRP Windows Resource Protection), asume el control propietario de ciertos ficheros, carpetas o ciertas claves de registro de Windows para su correcto funcionamiento. No instala programas como tal, como pueda parecer, trabaja bajo el servicio de Windows "Instalador de módulos de Windows" controlado en la clave de registro "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\TrustedInstaller", este habilita la instalación, modificación y eliminación de actualizaciones (Windows Update) y componenetes opciones de Windows, su path físico está en: C:\Windows\servicing\TrustedInstaller.exe.

Tiene acceso completo a los directorios Windows, System32 y Archivos de Programas (Program Files), lo que le confiere permisos necesarios para reemplazar un archivo del sistema cuando ni siquiera los administradores tienen acceso en escritura. De la misma manera, están accesibles en escritura muchas claves del registro que definen clases y objetos COM únicamente en el servicio Trusted Installer. Cuando se llama, el servicio de instalación a MsiExec (fichero que lee la instalación MSI y lanza el asistente).

Creator Group: Utilizado por el subsistema POSIX únicamente, este SID genérico es sustituido durante la evaluación por el grupo principal del propietario del objeto. Concede control total o lo establecidos explícitamente en "permisos especiales" a un objeto sobre un grupo concreto. Esto está más detallado en el apartado: 3.B) Modificar permisos desde la sesión "Usuario raso" (Propietarios de objetos). En la sección de "Propietarios de un objeto".

Creator Owner (SID: S-1-3-0): Este SID genérico es reemplazado por el SID del propietario del objeto durante la evaluación de los permisos. Al igual que el anterior, concede control total o lo establecidos explícitamente en "permisos especiales" a un objeto sobre un grupo concreto. Esto está más detallado en el apartado: 3.B) Modificar permisos desde la sesión "Usuario raso" (Propietarios de objetos). En la sección de "Propietarios de un objeto".

Owner Rights (Derechos del propietario): Es una nueva cuenta (nuevo SID) de Windows Vista y 7. En Windows XP, pero también en Windows 7, el creador de un objeto posee implícitamente el derecho de modificar las ACL en su posible prohibir el acceso a un objeto (un archivo o una clave de registro, entre otros) a un administrador. El administrador tiene derecho a cambiar las ACL para otorgarse los permisos necesarios, como por ejemplo un control total.

A un usuario estándar o raso, ser propietario de un objeto le confiere un control total sobre el objeto e impide que se le pueda restringir el acceso, porque puede manejar y modificar sus ACLs. Un administrador que desee restringir el acceso a un propietario de un objeto deberá, en primer lugar, cambiar el propietario y luego ajustar las ACL del objeto de conformidad con lo deseado.

Windows Vista y Windows 7 introducen, por tanto, un nuevo SID que corresponde a "Derechos del Propietario" (no se corresponde con una nueva cuenta de usuario con la cual es posible iniciar sesión), que puede utilizarse para limitar los derechos del propietario del objeto. Cuando este SID no está en una ACL, se aplica la lógica habitual: el propietario posee los derechos para modificar las ACL de ese objeto. Sin embargo, cuando está presente, el propietario recibe los permisos asociados a este SID.

Se utiliza normalmente para restringir los permisos de los propietarios de forma sencilla y eficaz. Por ejemplo, situando en un directorio los permisos Lectura en el SID derechos del Propietario y lectura/escritura en un grupo dado, el grupo puede crear archivos y directorios que serán de sólo lectura una vez creados, porque el usuario recibirá los derechos del propietario.

Imaginemos que un usuario cambia de servicio, antes podía crear archivos y acceder a ellos en un directorio mediante la pertenencia a un grupo que le daba un control total sobre un directorio dado. Al abandonar el servicio, se le retira de este grupo. Sin embargo, sigue siendo propietario de sus objetos, es decir, de los archivos que creó, y puede, según las ACL establecidas en el directorio, seguir accediendo y modificando las ACL de sus archivos para devolverse a si mismo el control. Si se establece una denegación (DENY) WRITE_DAC en el SID Derechos del Propietario en el directorio raíz, los propietarios ya no pueden cambiar las ACL en los objetos que han creado. Para terminar, cuando un administrador cambia el propietario de un objeto, se deshabilitamos permisos asociados al SID Derechos del Propietario para que un administrador pierda definitivamente el control de un objeto.

Más detalle y un ejemplo en el apartado: 3.B) Modificar permisos desde la sesión "Usuario raso" (Propietarios de objetos). En la parte de "Propietarios de un objeto".

Ahora comentaré un poco los usuarios NT AUTHORITY, son usuarios usados por el sistema para operaciones de privilegios concretos en determinadas funcionalidades, estos usuarios el sistema hace uso de ellos de forma transparente al usuario final.

Figura 1: Usuarios NT AUTHORITY utilizados por Windows 7.

Usuarios autentificados (SID: S-1-5-11): Son Usuarios que pertenecen o forman parte de Active Directory de una red de dominio.

Anonymous Logon (SID: S-1-5-7): Son usuarios que no disponen de una cuenta de usuario en Servicios de dominio de Active Directory, pero que pueden recibir una invitación para participar de forma remota en una conferencia local.

IUSR (SID: S-1-5-17): Este grupo sirve para dar permisos a las cuentas de servicio encargadas de ejecutar los pools de aplicación del servidor Web IIS (Internet Information Services).

Interactive (SID: S-1-5-4): Representa a los usuarios que han abierto sesión localmente en la máquina y que no acceden a un recurso de la máquina a través de la red.

Local Service (SID: S-1-5-19): Los miembros de este grupo tienen permiso para leer el registro de eventos del equipo local.

Dialup (SID: S-1-5-1): Son usuarios conectados a través de una conexión de acceso remoto.

Network (SID: S-1-5-2): Son los usuarios que acceden a un recurso de la máquina a través de la red, a diferencia de los usuarios que han abierto una sesión localmente para acceder a los recursos. No incluye a los usuarios que inicien sesión mediante una sesión de Escritorio remoto (mstsc-Miscroft Terminal Service Connection).

Service (SID: S-1-5-6): Son los usuarios que inician sesión como servicio.

Network service (SID: S-1-5-20): "Servicio de red" es una cuenta utilizada por los servicios que necesitan acceder a recursos en la red bajo la identidad de la cuenta máquina en la cual se ejecutan. Tiene menos privilegios y permisos localmente que el "System Local".

Local service (SID: S-1-5-19): Es una cuenta utilizada por los servicios que necesitan acceder a recursos locales y no por red (se identifica anónimamente en la red). La diferencia entre Local Service y System Local reside en que System Local posee permisos sobre la red (los mismos que Network Service), mientras que Local Service se autentifica anónimamente en la red.
Network Service y System Local se autentifican en Kerberos utilizando la cuenta máquina del equipo definida en el servicio de Active Directory. Muchos servicios de Windows 7 que no necesitan acceder a la red se ejecutan bajo la identidad de Local Service. Este funcionamiento es el que siempre ha existido en los sistemas Microsoft. Con Windows y 2008, nuevas directivas de grupos permiten a la cuenta Local System autentificarse en NTLM en la red, y no de forma anónima. Este comportamiento no está activo de forma predeterminada, sino que es necesario activarlo.

System (SID: S-1-5-18): Representa el sistema operativo. Permite asignar permisos específicos al sistema. Se llama también Sistema Local (Local System). Es la cuenta que tiene más derechos y privilegios en la máquina.

Batch (SID: S-1-5-3): Son las cuentas utilizadas para ejecutar tareas programadas (Control Schedtasks).

Terminal Server User (SID: S-1-5-13): Son los usuario que abren una sesión de terminal server en la máquina.

Remote Interactive Logon (SID: S-1-5-14): Son los usuarios conectados mediante un inicio de sesión de escritorio remoto.

Otros usuarios del sistema para realizar otras funciones determinadas:

Usuarios de Operadores de cifrado: Como sería lógico, los miembros de este grupo tienen permisos para realizar operaciones de cifrado.

Usuarios de Operadores de copia de seguridad: Encargados de realizar las copias de seguridad del equipo programadas o automáticas de Windows o lo que se le hubiese establecido.

Usuarios del monitor de rendimiento: Los miembros de este grupo pueden acceder a los datos del Monitor de rendimiento (perfmon.exe) localmente y en remoto.

Usuarios del registro de rendimiento: Los miembros de este grupo pueden programar el registro de los monitores de rendimiento, activar los proveedores de seguimiento y recoger el seguimiento de eventos simultáneamente de forma local y a través de un acceso a este equipo.

Añado una nota sobre los SID de los usuarios:
  • Administrador: SID: S-1-5-500
  • Invitado: SID: S-1-5-501
  • El resto de usuarios locales, empezarán ordenadamente a partir del siguiente SID: S-1-5-1000, S-1-5-1002 , S-1-5-1003, etc. y así sucesivamente por cada usuario local creado.
Existen muchos más grupos de usuarios predeterminados en Windows, aquí menciono los que para mi son los más usados y relevantes.
Más información sobre los SID (Identificadores de seguridad): http://support.microsoft.com/kb/243330/es

Intentaré explicar de manera clara y sencilla, para que sea entendible por cualquier tipo de usuario: Como modificar ya sea, para conceder o denegar permisos en Windows y como configurar cuentas de usuarios y administradores de Windows.

Existen muchas formas de realizar esto, ya sea por la shell (consola de comandos CMD) de Windows, como de manera gráfica en el sistema. Mencionaré las dos formas de hacerlo, para cada uno de los casos.

Nota: El nombre de usuario que utilizaré para este tutorial será Administrador (por defecto del sistema) y loiswin7 que correrán bajo una máquina virtual con Windows 7 Ultimate.

2) Habilitar o deshabilitar cuenta de Administrador

2.A) De manera gráfica.

[1] - Nos vamos a: Inicio > botón derecho en "Equipo" > Administrar.
Nos aparecerá la ventana de "Administración de equipos".

[2] - Nos vamos a: Usuarios y grupos locales > Usuarios > Administrador > botón derecho "Propiedades".

Se nos mostrará la ventana de "Propiedades: Administrador".
[3] - En la pestaña "General" desmarcamos (para activar la cuenta, en caso contrario marcaríamos el checkbox) el checkbox que dice: "La cuenta está deshabilitada", Aplicamos los cambios y Aceptamos.

[4] - Cerramos la ventana "Administrador de equipos" y cerramos sesión para poder entrar como Administrador al sistema.

Figura 2: Habilitar o deshabilitar cuenta administrador desde lusrmgr.msc.

2.B) Con la consola de comandos (CMD), Shell de Windows

[1] - Nos vamos a: Inicio > escribimos: CMD > esperamos a la búsqueda > botón derecho sobre: cmd.exe > Ejecutar como administrador. Se nos abrirá la Shell de Windows (CMD).

[2] - Aquí tipearémos o escribirémos la siguiente linea de comandos:
net user administrador /active:yes
(para activar la cuenta administrador del sistema)

net user administrador /active:no
(para desactivar la cuenta administrador del sistema)
[3] - Pulsamos Enter y cerramos la consola con el comando Exit, o simplemente cerrando la ventana.

[4] - Cerramos sesión para poder entrar como Administrador al sistema.

Figura 3: Habilitar o deshabilitar cuenta administrador a través de consola, cmd.exe.

En algunos casos, puede dar errores. Uno muy frecuente es:

Error de Sistema 5 (System error 5):
Se refiere a que no tenemos los permisos adecuados.
Soluciones:
  • Comprobar los permisos de la cuenta.
  • Realizar un logueo en la maquina remota, para que las credencias queden el cache (un error muy típico).
  • Comprobar que el servicio netlogon este corriendo.
Estas dos maneras que mencioné, tanto gráficamente como mediante comandos con la Shell de Windows, son válidas. Aclaro que esto solamente es para activar o desactivar la cuenta Administrador del sistema.

3) Modificar permisos o privilegios de usuarios o grupos locales

3.A) Modificar permisos desde la sesión Administrador.

En cualquiera de los dos casos que hubiésemos realizado anteriormente.
Cuando cerramos sesión, veremos ya habilitada la cuenta Administrador, entramos como Administrador al sistema.

Figura 4: Inicio de sesión como administrador.

Una vez iniciada la sesión como Administrador:

[1] - Nos vamos al "Explorador de Windows" (Tecla Win + E) o doble clic en Equipo.

[2] - Hacemos clic derecho sobre el disco local C: (que por defecto en la mayoría de los casos suele ser la asignación de letra de unidad C:) > Propiedades.

Figura 5: Acceder a las propiedades de %systemdrive% para configurar la seguridad de permisos.

[3] - En ventana de "Propiedades: Disco local (C:)". Nos vamos a:

Seguridad > Editar... > (Se nos abrirá la ventana: "Permisos de Disco local (C:)") ahí seleccionamos el grupo "Usuarios" o "Administradores" y concedemos (en este caso) o denegamos privilegios o permisos a dichos grupos, marcando los checkbox que deseemos o simplemente si queremos conceder o denegar todos, marcamos el checkbox de "Control total".

Si no vemos la opción de Seguridad en una solapa o pestaña de esta ventana. Deberemos activar lo siguiente:

En la "Barra de Herramientas" de 'Mi PC' o 'Explorador de Windows' (Pulsamos F10 o 'Alt') > Herramientas > Opciones de carpeta > Ver > buscamos 'Utilizar uso compartido simple de archivos' y desmarcamos este checkbox > Aceptar. Ahora ya podremos ver la ficha de Seguridad.


[4] - Aplicamos los cambios, se nos mostrará una ventana en la que nos dice si estamos seguros de la operación, le decimos que si. Y aceptamos.
Veremos como después de aplicar la operación en la ventana "Propiedades: Disco local (C:)" se nos muestran todos los tics en "Permitir" en el grupo que seleccionáramos (Usuarios o Administradores).

Figura 6: Edición de permisos para "Usuarios" y otros.

3.B) Modificar permisos desde la sesión de un "Usuario raso" (Propietarios de objetos)

En este caso, omitiríamos desde el principio de este post hasta este apartado los pasos y las diferentes maneras de hacerlo sin necesidad de habilitar la cuenta Administrador.

Dentro de nuestra sesión de usuario normal:

[1] - Nos vamos al "Explorador de Windows" (Tecla Win + E) o doble clic en Equipo.

[2] - Hacemos clic derecho sobre el disco local C: (que por defecto en la mayoría de los casos suele ser la asignación de letra de unidad C:) > Propiedades.

[3] - En ventana de "Propiedades: Disco local (C:)" nos vamos a:
Seguridad > Opciones avanzadas.
 
[4] - Se nos mostrará la ventana: "Configuración de seguridad avanzada para Disco local (C:)". Nos vamos a: Propietario > Editar....

En la ficha propietario el usuario tendría que estar en el "Grupo de Administradores" locales para poder realizar algunas de estas funciones

Cuando un fichero o carpeta tiene a un administrador local como propietario en este fichero y/o carpeta no podremos eliminar, modificar, mover, cambiar permisos, etc., es debido a que quizás ese administrador NO esté como propietario del fichero o carpeta, ya que puede que ni siquiera esté en el grupo administradores, y sea simplemente un usuario normal-raso.

Si conseguimos añadir el usuario que queramos en la ficha de Propietario de un fichero/carpeta y remplazamos el que ya está (que esto nos lo permite si el que actualmente está es administrador pero pese a eso no nos permite borrar el fichero por decirlo de algún modo) añadiendo otro user con privilegios y reemplazando la propiedad del fichero conseguiremos realizar todo tipo de acciones sobre dicho fichero/carpeta como por ejemplo borrar esos ficheros o carpetas que Windows en ocasiones bloquea.

Es importante que después de seleccionarlo y aplicar nos fijemos de que donde aparece "Propietario actual", en la casilla de texto de abajo esté asignado o establecido el correspondiente usuario que queremos hacer propietario. (Ya que "en ocasiones" pasa que seleccionas y los cambios parece que surgen efecto y en realidad no es así).

Tendremos también que marcar los checkbox para "incluir todos los permisos heredables del objeto primario de este objeto".

Figura 7: Cambiando propietario, algo importante para la manipulación total de un objeto.

Se nos abrirá otra ventana en la que:

[5] - Seleccionamos el usuario del sistema con el que tenemos iniciada sesión (es decir, el usuario normal).
 
[6] - Marcamos el checkbox que dice: "Reemplazar propietarios en subcontenedores y objetos". Aplicamos y Aceptamos.
Cuando apliquemos se nos mostrará una ventana en la que realizará las operaciones necesarias, esperamos a que acaben de realizarse.

Que me ofrece ser propietario de un objeto?

Hacer un usuario propietario de un objeto o de los siguientes objetos (subcontenedores) no hace que tenga control total sobre dicho objeto sino, que pueda tener control para CAMBIAR los permisos de dicho objeto a su antojo, y de ese modo poderse dar así mismo más permisos. Esta es básicamente la única característica de ser propietario o no de un objeto.
Aunque veremos como aprovechar esto y ponerlo en práctica, en un próximo ejemplo de un posible escenario como funciona el ser propietario de un objeto usando los usuarios por defecto de Windows (Owners) y como afectan a sus ACEs en futuros objetos creados por dichos usuarios.

Figura 8: Reemplazando propietario en subcontenedores y objetos.

Si tenemos el siguiente escenario:

Los usuarios "Pepe" y "Lili" forman parte del grupo "Empleados" y a este grupo se le da permisos especiales de crear y solo lectura sobre los objetos carpeta y ficheros, este grupo solo va poder crear y leer estos ficheros. Pero sin embargo añadimos el usuario por defecto de Windows "Creator Owner" y a este le damos control total sobre los objetos carpetas y ficheros, quiere decir que el usuario, "Lili" por ejemplo, cree dicho objeto tendrá control total sobre este independiente de si forma parte del grupo de creación y solo lectura (empleados) ya que al crear dicho objeto a este usuario se le establecen las ACLs del "Creator Owner", con esto conseguimos que un objeto solo sea manipulable desde su creador y que solo lo puedan leer desde otros usuarios del sistema, esto es gracias a las ACLs establecidas en el grupo "Empleados" y a las del "Creator Owner".
 
Lo mismo pasaría con el "Creator Group" pero en ese caso orientado a un grupo en concreto en vez de a un usuario.

Figura 9: Añadiendo "Creator Owner" a un objeto.

Figura 10: Editando permisos especiales de solo carpeta y archivos al "Creator Owner".

Cuando acabe el proceso, volveremos a la ventana anterior. Pero esta vez nos vamos a:
 
[7] - La ficha de "Permisos" > seleccionamos nuestro usuario > Cambiar permisos... > (se nos abrirá otra ventana) seleccionamos nuestro usuario nuevamente > Editar...


Figura 11: Modificación de permisos de usuarios.

Se nos abrirá una la ventana: "Entrada de permiso para Disco local (C:)".

[8] - En el menú desplegable "Aplicar a" Seleccionamos la opción: "Esta carpeta, subcarpetas y archivos" (Esta opción está marcada por defecto, pero nos aseguramos de que esté seleccionada).

[9] - Después simplemente nos queda Permitir o Denegar privilegios o permisos al usuario, en este caso permitimos y concedemos los privilegios al usuario seleccionado anteriormente. Marcamos el checkbox Control total en permitir, para directamente seleccionar todos los campos. Sería lo mismo para la denegación, pero lógicamente marcando el checkbox contrario (en la columna de "Denegar").

[10] - Pulsamos Aceptar, se nos mostrará una ventana realizando las operaciones necesarias para efectuar los cambios en el sistema, esperamos y Aceptamos una ventana que se mostrará al terminar dicho proceso.
Aceptamos también todas las ventanas abiertas. Reiniciamos. Y listo!

Figura 12: Modificación de permisos de usuarios de forma avanzada.

Ahora tendremos el control total del sistema y podremos conceder y denegar privilegios a otros usuarios de manera normal. Como se muestra en la sección de este post "3.A) - Modificar permisos como Administrador"

No voy a pararme a explicar que hacen o deja de hacer cada uno de los permisos ya que para eso las propias webs a las que hice referencia al principio de esta guía, las cuales Microsoft las detalla como los artículos: KB-981949 y KB-308419. Explican perfectamente para que valen y que hacen cada una de las características de los permisos.

3.C) Conflictos en permisos para un mismo usuario: Permitir y denegar

Abro un pequeño apartado explicativo sobre esta cuestión. Planteo el siguiente escenario:
Si tenemos un usuario "pepe" y otros usuarios del que forma parte del grupo "empleados" y un objeto (carpeta compartida) común para almacenar información personal. Si se le da permisos de SOLO LECTURA al grupo empleados del que forma parte pepe, pero sin embargo explícitamente se le dan permisos de ESCRITURA a pepe sobre ese contenedor este va poder leer y escribir, pero el resto de usuarios que forman parte del grupo empleados solo van poder leer.

Por lo que podemos entender de que si a un un usuario que pertenece a un grupo le das unos permisos y después a ese usuario de forma independiente le añades otros permisos, el sistema de permisos NTFS de Windows da prioridad a los permisos explícitos a ese usuario en concreto y no al establecido en el grupo del que también forma parte dicho usuario.

3.D) Permisos heredables de objetos primarios

Destacar también que tenemos las opciones de "Incluir permisos heredables del objeto primario al objeto actual", esto nos dice que si tenemos una: CarpetaA con X permisos y dentro de esta creamos una CarpetaB, la CarpetaB tendrá por defecto los mismos permisos que tiene la carpeta padre-raíz (objeto primario).

Pero si quiero que la CarpetaB no herede dichos permisos solamente para esa carpeta y sus objetos ya existentes tendremos que desmarcar y agregar los permisos heredables para que esto no se aplique a las siguientes subcarpetas y/o ficheros.

Nos puede pasar que queramos eliminar de un objeto (carpeta o fichero) el grupo de "usuarios" o "usuarios autentificados" y no podamos hacerlo, así como intentar agregar o quitar otros usuarios y grupos por defecto del sistema. Esto es debido a que los permisos son heredados de los objetos padres, por lo que tenemos que desheredar dichos permisos y después proceder a eliminar esos grupos de ese objeto en cuestión.

Si desmarcamos el checkbox (que está marcado por defecto) de "Incluir todos los permisos del objeto primario de este objeto", aparecerá un cuadro de advertencia en el que se nos dice si queremos "Agregar" o "Quitar" esta herencia.

Agregar: Nos mantiene los mismos usuarios y grupos pero quita la herencia del objeto primario padre.

Quitar: Quita todos los usuarios y grupos del objeto, de modo que no quede ninguno asignado a dicho objeto, eso conlleva a que también se elimine la herencia. 

Figura 13: Permisos heredables del objeto primario de este ojeto

Microsoft nos dice lo siguiente:

"Incluir todos los permisos heredables del objeto primario de este objeto":
Si se selecciona, cada objeto secundario tendrá permisos heredados de su objeto primario.
Si se anula la selección, los permisos aplicados al objeto primario no se aplicarán a su objeto u objetos secundarios.

"Reemplazar todos los permisos heredables existentes en todos los descendientes con permisos heredables de este objeto":
Si se selecciona, los permisos de este objeto primario reemplazarán los de los objetos descendientes.
Si se anula la selección, los permisos de cada objeto (tanto de los primarios como de sus descendientes) pueden ser únicos.

Ahora, a modo de comentario detallo un poco para completar la información sobre las dos fichas que quedan restantes: Permisos efectivos y Auditoría.

En la ficha o pestaña "Permisos efectivos" nos servirá sencillamente para visualizar o mostrar los permisos por un usuario específico o grupo de usuarios. Pero no es más que ver los permisos que se permiten o deniegan en la ventana de edición de permisos de un objeto como la que se muestra anteriormente.
En el caso de la imagen que vemos a continuación podemos ver el usuario "pepeprueba" (un usuario raso dentro del grupo "Usuarios locales"), los concesión de permisos que tiene.

Figura 14: Visualización de permisos aplicados al usuario seleccionado.

En la ficha o pestaña "Auditoría", pues creo que está claro que es para poder auditar los objetos y el acceso a ellos para un usuario específico o un grupo de usuarios.

Figura 15: Auditando acceso o modificación a objetos a un usuario específico.

Lo cual para poder hacer esto y poder examinar o ver el Visor de eventos (eventvwr.msc) de Windows Vista/7, tendremos que tener habilitada una directiva en el "Editor de directivas de grupo local" (gpedit.msc). La cual nos permite auditar el acceso correcto o erróneo a objetos, esta se encuentra en:

Configuración de equipo > Configuración de Windows > Configuración de seguridad > Directivas locales > Directiva de auditoría.

Figura 16: Aplicando la GPO para auditar objetos en gpedit.msc.

4) Cambiar el tipo de cuenta: Usuarios o Administrador

Si queremos omitir el apartado de este post "2) - Habilitar o deshabilitar cuenta de Administrador" y el "3.B) - Modificar permisos desde la sesión "Usuario raso"  (Propietarios de objetos).

Directamente podemos asignar el "Grupo Administradores" la cuenta de usuario que estemos utilizando o deseemos, de manera muy sencilla. De este modo concederemos o denegaremos permisos de manera normal (siendo Administrador) como se muestra en la sección de este post "3.A) - Modificar permisos desde la sesión Administrador" (pero sin necesidad de entrar en la sesión de Administrador, ya que lo haremos todo desde la sesión usuario).

[1] - Nos vamos a: Inicio > Panel de control > Cuentas de usuario y protección infantil > Cuentas de usuario > Seleccionamos nuestra cuenta de usuario (o la que deseemos) > cambiar el tipo de cuenta > Administrador > pulsamos en el botón que dice: "Cambiar el tipo de cuenta".

Figura 17: Cambiando el tipo de cuenta de un usuario de forma gráfica. 

De este modo la cuenta seleccionada pasará a ser parte del "Grupo Administradores" y ya seremos Administrador del sistema, con lo cual tendremos los privilegios para conceder o denegar permisos a otros usuarios. En el apartado de este post "3.A) - Modificar permisos desde la sesión Administrador" veremos como modificar los permisos, pero sin necesidad de entrar en la sesión de Administrador, ya que lo haremos todo desde la sesión de la cuenta de usuario que estemos usando en Windows.

Esto anterior es la manera elegante que nos proporciona Windows de hacer de la manera tradicional y que personalmente siempre uso ya es exactamente los mismo.
Se trata de administrar y gestionar esto desde una consola de Microsft "MSC" (MicroSoft Console). Como es el caso del fichero de consola: Inicio > Ejecutar: lusrmgr.msc (Editor de usuarios y grupos locales).

Aquí podemos realizar lo mismo e incluso más funciones ya que podremos ver todos los usuarios y grupos creados en nuestro sistema, modificar así como crearlos y borrar otros (aunque tener cuidado cuales se borran ya que algunos hace uso Windows de ellos). Esta consola nos permite visualizarlo las cuentas y grupos de usuario de un modo digamos ordenado y claro, a mi parecer, más detallado, completo, igual de eficaz y a la vez hacerlo de forma rápida y sencilla.

Figura 18: La "forma más correcta" de cambiar la pertenencia de usuarios a grupos.

5) Habilitar y conceder permisos de Administrador mediante la Shell de Windows (CMD)

En este apartado, omitiremos todo lo mencionado desde el principio de este post hasta esta sección, excepto la sección "4) - Cambiar el tipo de cuenta: Usuarios o Administrador".

En esta parte, explicaré como modificar (conceder o denegar) permisos (en este caso conceder) de control total en el sistema al grupo Administradores del equipo. Mediante dos simples lineas de comandos, que escribiremos en en la consola o símbolo del sistema CMD de Windows.

[1] - Si ya cambiamos el tipo de cuenta a Administrador, abrimos la Shell de Windows como Administrador (ya que para ejecutar las siguientes instrucciones de comandos necesitamos privilegios de una cuenta del tipo Administrador), para ello, nos vamos a:
Inicio > Todos los programas > Accesorios > botón derecho sobre Símbolo de Sistema > botón derecho sobre ejecutar como Administrador
Se nos abrirá la shell de Windows CMD.

[2] - Aquí escribimos los siguiente.
takeown /F "%SYSTEMDRIVE%\*" /R /D S
Pulsamos Enter. y esperaremos a que el sistema realice todo el proceso necesario (tendría que terminar con una lista extensa, poniendo en todas las líneas que fue procesando: "CORRECTO").

[3] - A continuación, escribimos esta otra línea de comandos:
icacls "%SYSTEMDRIVE%\*" /grant Administradores:(D,WDAC) /T
Pulsamos Enter, y esperamos a que el sistema termine el proceso.

[4] - Si todo lo procesado salió correctamente, salimos de la consola, escribiendo exit y reiniciamos el equipo.
  • takeown: es para indicar el propietario.
  • icacls: es para indicar los permisos del propietario que pusimos en takeown.
Ahora el análisis de las propiedades o atributos de las dos líneas de comandos:
takeown /F "%SYSTEMDRIVE%\*" /R /D S
/F: Indica el archivo/carpeta al que queremos cambiar el propietario (en este caso es %SYSTEMDRIVE%).
%SYSTEMDRIVE%: Es la variable de entorno del disco duro principal desde donde se ejecuta Windows, es decir "C:\" (por defecto, lo más común).
*: Con el símbolo asterisco indicamos todos los archivos de esa carpeta (Archivos, no carpetas, pero combinado con /R es igual a: Todos los archivos de todas las carpetas del disco duro (en este caso)).
/R: Realiza el cambio de propietario en los subdirectorios (En este caso sería en todo el disco duro).
/D S: En algunas carpetas puede surgir una pregunta al intentar indicar el propietario donde dice que si quieres darle permisos, pues "/D S" lo único que hacen en este caso es contestar "Si" automáticamente a esa pregunta, para no tener que hacerlo manualmente.
icacls "%SYSTEMDRIVE%\*" /grant Administradores:(D,WDAC) /T
%SYSTEMDRIVE%: Como ya dijimos anteriormente, "C:\" (En este caso). 
* > (símbolo asterisco) Todos los archivos de esa carpeta (Archivos, no carpetas, pero combinado con /T es igual a: Todos los archivos de todas las carpetas del disco duro).
/T: Realiza el cambio de permisos en los subdirectorios (En este caso sería en todo el disco duro).
/grant: Es la opción para indicar que se le quieren conceder permisos a un usuario. (Lo que quiero decir, es que en vez de /Grant se podria usar /Deny para denegar permisos por ejemplo.)
Administradores: El grupo de usuarios (en este caso), (Administrador).
(D,WDAC): Los permisos a conceder. (en este caso "D" y "WDAC").

Algunos permisos importantes:
D: acceso de eliminación
WDAC: escribir DAC
F: acceso total
M: acceso de modificación
RX: acceso de lectura y ejecución

Un ejemplo de sintaxis básica de ICACLS:
icacls [PATH] [/grant|/deny] [grupo|usuario]:(herencia2)(herencia1)(permiso1,permiso2,) [otros_argumentos /?]
icacls c:\carpetapublica /inheritance:r /grant wuser:(OI)(CI)(F) /grant todos:(OI)(CI)(AD,RX)  /Q
Para ICACLS una lista de permisos simples:
  • N - sin acceso
  • F - acceso total
  • M - acceso de modificación
  • RX - acceso de lectura y ejecución
  • R - acceso de solo lectura
  • W - acceso de solo escritura
  • D - acceso de eliminación
Una lista de permisos más específica:
  • DE - eliminar
  • RC - control de lectura
  • WDAC - escribir DAC
  • WO - escribir propietario
  • S - sincronizar
  • AS - acceso al sistema de seguridad
  • MA - máximo permitido
  • GR - lectura genérica
  • GW - escritura genérica
  • GE - ejecución genérica
  • GA - todo genérico
  • RD - leer datos/lista de directorio
  • WD - escribir datos/agregar archivo
  • AD - anexar datos/agregar subdirectorio
  • REA - leer atributos extendidos
  • WEA - escribir atributos extendidos
  • X - ejecutar/atravesar
  • DC - eliminar secundario
  • RA - leer atributos
  • WA - escribir atributos
Lista de herencias:
  • (OI) - herencia de objeto
  • (CI) - herencia de contenedor
  • (IO) - solo herencia
  • (NP) - no propagar herencia
  • (I) - permiso heredado del contenedor principal
Lista de parámetros aplicables para las herencias de objetos (OI IO CI) con ICALCS (explicado):
  • OI: (Object Inherit) Afecta a carpeta que se gestiona y ficheros que tiene dentro.
  • CI: (Container Inherit) Afecta a carpeta y subcarpetas (no a ficheros).
  • IO: (Inherit Only) NO AFECTA a fichero o carpeta que se gestiona sólo los que están dentro (solo subcarpetas).
  • OI CI: Afecta a carpeta, subcarpeta y ficheros. (suele ser la herencia de permisos por defecto y habitual)
  • CI IO: Sólo afecta a subcarpetas.
  • OI IO: Sólo afecta a los ficheros contenidos en la carpeta que se gestiona.
  • CI IO OI: Afecta a los ficheros que tiene dentro y a las subcarpetas.
Para más información de las propiedades de estos dos comandos consultar la ayuda de los mismos. Escribir en una consola CMD:
Takeown /?
Icacls /?

6) UAC (User Account Control "Control de cuentas de usuario")

No tiene que ver con privilegios establecidos en un objeto o permisos ni tipos de cuentas. La relación está en que si eres administrador el sistema ya no te sobresaltará tanto con las típicas ventanas de Windows. Me refiero, aquellas que en el momento de instalar alguna aplicación o realizar alguna otra operación en el sistema, aparecen unas ventanas de advertencia, del estilo: Estas seguro que quieres ejecutar xxx? Se requieren permisos de Administrador... (Aceptar o Cancelar) o introducir el usuario y su contraseña con privilegios más altos del sistema.

Pues con el UAC deshabilitado del todo (en su nivel más bajo de seguridad) lo que se consigue es que siendo un usuario normal sin apenas privilegios en el sistema, dichas ventanas no sobresalten. Esto siempre y cuando el dicho usuario esté incluido en el grupo administradores locales del sistema. Si se trata desde otra sesión de usuario en el grupo usuarios por ejemplo la ventana de UAC seguirá mostrándose para elevar dichos privilegios. Como ya dije esto no tiene que ver con permisos (escritura, lectura, ejecución, modificación, etc.).

El UAC básicamente es una tecnología que nos notifica con advertencias de una elevación de privilegios necesaria para la ejecución de algo. Aunque lo podremos configurar el UAC mediante distintos niveles de seguridad indicando como se tiene que comportar ante ciertas advertencias informativas.

Por seguridad es muy recomendado tenerlo en su nivel más alto de seguridad "notificar siempre".

Finalmente, recomiendo este hilo del foro oficial de soporte de Microsoft (social.technet.microsoft.com), en el que Jose Manuel Tella Llop da respuesta a algunos problemas de los usuarios:
http://social.technet.microsoft.com/Forums/es-ES/wcvistaes/thread/95da492a-13bd-405d-a782-e2daffa4b893

Saludos!

61 comentarios

  1. Hola! Gracias por este post!
    He hecho lo que díces en el CMD pq un Control Active X que necesitaba no se instalaba. Aún no sé si con tu ayuda tendré éxito.
    Pero ya te pregunto si puedes decir cómo restaurar todos los cambios que provoca las intrucciones en CMD.
    Puedes escribirme un email? cabrerarey gmail com
    Gracias por todo!

    ResponderEliminar
  2. @Amaury
    Hola. Si te refieres al apartado 5, puedes consultar la ayuda:
    Takeown /?
    Icacls /?
    Y mirar alguna solución en sus subcomandos.

    Hace tiempo que escribiera este artículo, el cual me llevo su trabajo... en su día.

    Pero recuperar "restaurar" acciones hechas en la shell de Windows con los comandos Takeown e Icacls
    Puedes intentar reinvertir las acciones aplicadas.

    Igualmente esto no te afectaría con Control Active X.

    Saludos

    ResponderEliminar
  3. excellente post. Lo probare.

    ResponderEliminar
  4. @Anónimo
    Gracias, me alegro de que te fuese útil. En su día me llevo su tiempo prepararlo.

    Saludos

    ResponderEliminar
  5. Buenas, mi problema es con un windows server 2008 r2, por error cuando accedi a la ficha de seguridad para administrar los derechos de usuario sobre la unidad c, elimine o denege a los usuarios de tipo administrador, ahora nadie logra acceder a la unidad C:\, incluyendo el miembro administrador de primer nivel... indica acceso denegado; y en verdad estoy que formateo el servidor ya que he leido varios articulos y no he logrado solventar mi problema.. no puedo ejecutar nada desde el cmd ya que indica: ERROR acceso denegado... si pudiera ayudarme, te lo agradeceria mucho.

    ResponderEliminar
  6. @Jvaldez
    Buf... en tu caso, si no tienes ningún usuario con privilegios más levados que los de usuario normal y ni al símbolo de sistema puedes acceder... me temo que te quedaría restaurar el servidor o de nuevo instalar Win2008-R2
    Lo siento.

    Saludos

    ResponderEliminar
  7. tengo weindows 7 ultimate service pack 1 y cuando utilizo el metodo por shell para darme permisos me da un "Error de sistema 5 Acceso denegado"
    O_o

    ResponderEliminar
  8. @Anónimo
    Ok. Prueba en ejcutar como administrador la Command Promt y realizar los comandos.

    Te dejo un post que escribí sobre los errores: net use:
    http://www.zonasystem.com/2011/05/errores-del-comando-net-use.html

    Espero que este te sea de ayuda.
    Saludos ;)

    ResponderEliminar
  9. exelente post muy bn explicado y sirve de mucho se agradece...

    ResponderEliminar
  10. Trasteando, por error, he cambiado los privilegios de mi cuenta administrador y ahora no me deja leer ni escribir en C: (ni en D:, pero bueno, eso es menos preocupante)
    Y según parece la cuenta Administrador, por defecto, tiene una contraseña la cual juraría no haber puesto, aunque el sistema lleva dos años sin formatearse y no la recuerdo.
    ¿Existe alguna manera de cambiar los privilegios al disco antes de que Windows inicie, para que no cargue ese privilegio denegado?
    Ni Reperación ni Restauración del Sistema han surtido efecto.
    Gracias

    ResponderEliminar
  11. @Anónimo
    Hola. Puedes mirar esta guía de este modo podrás modificar la unidad c:
    http://www.zonasystem.com/2011/07/generar-o-restablecer-la-password-o.html

    Aunque, si la cuenta que tienes es administrador, ese "administrador" es un administrador creado por ti o es una cuenta con privilegios de administrador.
    si ejecutar en una ventan ejecutar esto: lusrmgr.msc
    Podrás mirar como tienes montado las cuentas y grupos y a que pertenecen si puedes tocar con libertad en esta msc entonces crea un nuevo usuario con privilegios administrativos y eliminar el resto de cuentas des de ahí. Para eliminar los perfiles de la cuentas o bien manualmente o si no escribe en una ventana ejecutar: sysdm.cpl
    Esto te llevará a las propiedades avanzadas de MiPC, después vete a: Opciones avanzadas y en la sección perfiles de usuario configuración. Ahí borras los perfiles de las cuentas que borraras antes (por si hay algún tipo de conflicto) Algunas cuentas tendrán algún identificador raro con muchos números, esas puede que sean cuentas ya creadas en un pasado o un pasado reciente o las propias que te da el conflicto si te gusta el riesgo (a mi me gusta...) bórralas.

    Para más dudas no dudes en consultar
    -Saludos-

    ResponderEliminar
  12. Hola, me puedes decir la diferencia entre el usuario Administrador y un usuario que esta dentro del grupo Administradores en W2008R2? Tengo un plugin ActiveX en una página web que solo funciona con el usuario Administrador, y no funciona con ningún otro usuario aunque este en el grupo Administradores.
    Gracias.

    ResponderEliminar
  13. @Carlos
    Un usuario estandar que pertenezca al grupò administradores NO tiene los mismos "privilegios" que el usuario administrador local de Windows de la propia máquina.

    El UAC (User Account Control) es el que controla y advierte de estos privilegios.

    Un usuario raso dentro de un grupo administradores, tiene todos los privilegios de instalación de aplicaciones, modificación en carpetas del sistema de Windows\system32..., modificación de configuraciones de Windows, desisntalaciones, modificaciones de politicas y directivas, claves del regedit, etc.

    Pero el user administrador local de la máquina, tiene las mismas y más, ya que tiene absulolutamente todo el control del sistema Windows a más bajo nivel.

    Por eso, el ActiveX que ejecutas solo funciona con Administrador debido a que este ActiveX llamará a ciertos controles que solo pueden ser ejecutados por un usuario con estos privilegios y necesarios para poder ver la correcta funcionalidad de la website. Esto pasa con Windows por temas de seguridad ya que ActiveX es vulnerable a que se pueda escribir código malintencionado y este se descargue en el equipo de la víctima, por eso Windows, solicita privilegios para poder descargarse dichos controles necesarios para ese ActiveX en cuestión.

    Esto, no tendría por que pasarte, ya que entonces, solo los usuarios que sean administrador local de la máquina podrían visualizar de manera adecuada la páqina web y los usuarios normales o incluso del grupo invitados no podrían hacerlo... es un poco ilógico.

    Prueba a utilizar otros controles ActiveX, o mejor aún y más seguro, Java applets.

    Un Saludo

    ResponderEliminar
  14. Tengo un pequeño problema. Restaure mi sistema desde un punto de restauracion.. funciono perfecto, salvo porque ahora tengo problemas con privilegios en los programas.. Si no los ejecuto como administrador algunos no corren de fomar correcta. Como cambio los privilegios a las carpetas de los sistemas.. intente seguir los pasos descriptos mas arriba pero cuando cambio los privilegios, empieza aplicar los cambios y algunos archivos dicen lo siguiente "An error occurred while applying security information to: C:/Users/XXX/AppData/... Access is denied", alguna ayuda?
    Tambien cuando consulto la "seguridad" de algunas carpetas en "Group or user names" aparecen aparte de "everyone, System, MiUsuario, Administrador otros que tienen muchos caracteres... algo asi como esto: 0A21E49B-46-4A6E-A7E2-79AD95B. Alguna ayuda? gracias!

    ResponderEliminar
  15. @Anónimo
    Hola, abre una ventan ejecutar y escribe:
    lusrmgr.msc
    La consola de administración de usuarios locales y grupos de Windows.
    En la zona de "Usuarios" HABILITA el usuario Administrador del sistema local y estable una contraseña para este (que por defecto está desactivado) inicia sesión con ese usuario administrador. Y prueba a dar permisos a esas carpetas de forma normal.
    QUITA o ELIMINA, de paso los AllUsers o Everyone de esas carpetas, ya que si no cualquier usuario podría ve, ejecutar y modificar el contenido de estas, o al menos que te haga falta... pues déjalo, dependiendo la información que trates en esos directorios.

    Una vez des permisos a los usuarios que quieras. Puedes volver a deshabilitar la cuenta de administrador (desde un usuario quue pertenezca al grupo administradores), pero que no sea el adminsitrador real del sistema (ya que ese es que tendrías que desactivar, en este paso).

    Los usuarios creados con "caracteres raros", son SID (Security Identifier) que son marcadores de seguridad, estos identifican a usuarios ya creados anteriormente que apuntan al path o ruta de los perfiles de este mendiante claves del registro, estos se originan siempre pero en ocasiones Windows las muestra en lugares que no solo es el registro y pueden ser fruto de que nose borraron de manera adecuada, ya sea por que se borro el perfil del usuario y no la cuenta o viceversa... aunque no siempre tiene por que se así. Ya que algunas veces si andas creando o moviendo perfiles Windows los genera, pero el funcionamiento del sistema sigue siendo igual. Simplemente es "basurilla", que no estorba y por si a caso alguno de esos esté vilvulado a tu usuario estandar, te aconsejo no eliminarlos.
    Simpre puedes buscar en regedit estos IDs y mirar a que usuarios pertenecieron o pertenecen.

    La ruta en regedit es:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

    Para más info de lo que quiere decir las primeras cadenas de estos SID la tienes en la página de soporte de Microsoft:
    http://support.microsoft.com/kb/243330/es

    Espero a ver sido de ayuda,
    Un Saludo.

    ResponderEliminar
  16. Tengo un problema, hace tiempo cambie mi tipo de cuenta a administrador por unos problemas molestos que tenia en la pc, me di cuenta hasta ahora que debia de tener una contraseña (la cual ya no existe) del aministrador (osease yo) para poder abrir cosas en otras cuentas las cuales eran normales, trate de cambiar a cuenta normal por el panel de control pero me di cuenta que estaba bloqueada la opcion de "usuario comun", busque posts que me ayudaran a deshacerme del sistema de cuentas de administrador para lo cual encontre el post equivocado ya que solo desbbloqueè una cuenta extra, pense que podia volver a ella en cualquier tiempo si la ocultaba de la pantalla d inicio de cuentas, tranquilamente la bloquee y volvi mi cuenta a usuario comun (grandisimo error) ahora trao de buscar manera de volverme administrador por medio del cmd ya que por algun otro lado me dice "acceso denegado", no puedo ni si quiera borrar los iconos de mi escritorio y pareciera que no hubiera otra solucion... alguna idea de algun comando que me ayude?... por ahora trato de usar la cuenta de administrador por medio del "run as /user:Administrador" pero no importa que programa sea, me dice que no a sido encontrado por el sistema, y aún asi siguiendo cualquiera de tus pasos me dice la pc "acceso denegado" inlcuyendo el cmd...

    ni idea de algun comando de parte de otra cuenta que me de privilegios de administrador?...

    ResponderEliminar
  17. @Anónimo
    Hola, un comando para elevar privilegios o más bien para ejecutar ficheros o lo que quieras desde otro usuario cualquiera es "RunAS" ( abre un cmd y escribe: runas /? ), para mostrar la ayuda de utilización de este comando, al final de la ayuda tendrás ejemplos.

    Otra forma es haces lo siguiente que describo en este post:
    http://www.zonasystem.com/2011/07/generar-o-restablecer-la-password-o.html

    Una vez consigas abrir la consola de Windows puedes ir al netplwiz o control userpasswords2 o directamente a lusrmgr.msc. La consola de Windows de administración de usuarios y grupos locales.
    Ahí ya añadirías tu user normal al grupo administradores o desbloquearías el propio administrador, etc.

    Suerte y ya me cuentas

    ResponderEliminar
  18. De nada, personalmente (y como autor) opino que esta entrada es de las que me parecen más interesantes del blog.

    Saludos!

    ResponderEliminar
  19. Hola, me podrías decir qué comando utilizaría para cambiar los privilegios no en el disco C, si no en el disco D?

    takeown /F "%SYSTEMDRIVE%\*" /R /D S <= este es para el disco C, cómo sería el disco D?

    Mil gracias, excelente post!

    ResponderEliminar
  20. Hola @AndreMontaya.
    En respuesta a tu pregunta:
    takeown /F LETRAUNIDAD /R /D S

    Lo que quedaría en tu caso con la letra D:, algo tal que así:
    takeown /F "D:" /R /D S
    (Prueba con las comillas o sin ellas, no recuerdo la sintaxis correcta...)

    Saludos!

    ResponderEliminar
  21. EXCELENTE POST! Adrián, muchas gracias! Hice todo como dijiste, mi problema era con el disco D: Y Ahora todo ha vuelto a la normalidad. Gracias por compartir tu conocimiento!

    Saludos

    ResponderEliminar
  22. Tenemos un servidor ad w2008 r2, y necesito que los usuarios que estamos migrando a w7 no soliciten la cuenta de administrador para instalar un driver de impresora, como resuelvo ese problema??? ya que ellos debeìian hacerlo sin nuestra intervenciòn
    Saludos y gracias

    ResponderEliminar
  23. Hola,

    Eso no es un problema, sino un "punto fuerte" de seguridad (UAC).
    Lo que puede hacer es deshabilitar el UAC desde panel de control por cada máquina o si se trata de un dominio corporativo, buscar alguna GPO en la GPMC en Windows Server 2008 R2 la que permita deshabilitar el sistema UAC para un grupo determinado dentro del AD.
    Aquí tiene una captura de pantalla:
    http://b2b.cbsimg.net/blogs/windowsserver_uactip_figb.jpg

    A mayores añado, que menciona: "ellos deberían hacerlo sin nuestra intervención".
    Mi consejo, es que si está hablando de usuarios finales en producción, sean usuarios muy muy capados y que solo el Soporte TI, tenga permisos para esta acción. Aunque esto depende de su modo de ver las cosas y de la organización y seguridad que quiera dar en su corporación.

    Saludos!

    ResponderEliminar
  24. Hola Adriàn, gracias por tu respuesta, sì son usuarios finales, la idea es que no tengan permisos para instalar ningun programa, pero es necesario esta opciòn que ellos puedan instalar la impresora que se encuentra en su sector, estamos hablando de aproximamadamente mas de 1000 terminales, hoy utilizan Wxp.
    Saludos y gracias

    ResponderEliminar
  25. Hola de nuevo, dar permisos solo para ejecutar copiar drivers a %systemroot%\system32 y que además también se pueda instalar impresoras, lo cual sería dar permisos a un objeto en concreto dentro del panel de control de Windows... Lo siento, pero no conozco nada al respecto.
    Aunque esto casi convencido de que podrías solucionar de algún modo similar con alguna/s directivas. Es cuestión de pasarse un tiempo leyendolas (puede ser un trabajo arduo y pesado).
    Suerte a ver!
    Espero a verte ayudando en lo posible y seguiré investigando. Ya lo comento por aquí si encuentro algo.

    ---
    Como detalle personal añado que en el entorno corporativo donde formo parte son casi más de 3000 equipos y más de 1000 impresoras en red y algunas directas.
    En nuestro Soporte informático se solicita la instalación de estas y si se autoriza por que se valora si es realmente necesario para cada servicio. Y se van instalando de modo seguro manualmente todas. Si, tardas más y es más tedioso pero esto se va haciendo sobre la marcha y de este modo se intenta tener todo más controlado.

    Saludos!

    ResponderEliminar
  26. Hola, espero que me puedas ayudar.. Mi problema es que siendo el administrador de mi equipo no puedo modificar, mover ni borrar ningún archivo o carpeta del directorio C\Archivos de programa(x 86).. He realizado todos los pasos del este tutorial, y al momento en que sale la ventanita en donde el computador está realizando los cambios, de cuando en vez me aparece una ventana en donde me pone: "ERROR AL APLICAR ORDEN DE SEGURIDAD en C\Archivos de programa (x86)"... y también en algunos objetos mas. Pero lo que realmente me importa es C\Archivos de programa (x86).. Hace unos dias cambié el nombre de mi cuenta, y he notado que desde entonces tengo ese problema, aún estando como administrador con el nuevo nombre de cuenta (ya que es la misma cuenta, pero con otro nombre). También me he dado cuenta que mi carpeta de usuario sigue con mi nombre anterior (ya sabes: C\Users\PEPITO\App\Data\Temp.... bla, bla, bla, bla), y si bien he buscado la forma de cambiarle el antiguo nombre (JAVIER) por mi actual nombre (mejor que no lo escriba aquí. jajajaja... POdría sonar grosero) me ha resultado imposible.. ¿Puede ser este el problema que tengo?, ¿puede ser que no pueda concederme permiso a mi mismo en C\archivos de programa (x86) a causa de que el nombre de mi cuenta no se corresponde con el nombre de la carpeta C\Users?. ¿Tendré que formatear la maldita máquina? (¡ME MUERO!).. AYUDEME, POR FAVOR.., ya que necesito acceso urgente a C\archivos de programa (x86).. Se lo agradeceré enormemente.

    ResponderEliminar
  27. Vale, ya descubrí y resolví mi problema con C/Archivos de Programa (x86).. Resultó que era por el antivirus, que al instalarlo, sin querer lo instalé fuera de su carpeta contenedora y quedó directamente instalado en C/Archivos de programa (x86) en lugar de haber quedado así (como debería): C/Archivos de programa (x86)/ESET Smart security 6. En dos palabras, se me fué el antivirus por fuera. Jajajaja.. Y ya que el antivirus tomó todo el directorio (Archivos de Programa (x86) como su carpeta en propiedad, pues no me dejaba modificar absolutamente nada. Ya reinstalado el antivirus, de nuevo en Arch. Prog. (x86) pero dentro de su propia carpeta, TODO ESTA RESUELTO. Ya tengo completo control de nuevo sobre x86. Gracias de todas formas.

    ResponderEliminar
  28. Si justamente es de eso, a parte tratándose de un software como un AV en el que necesita darse permisos para que los malwares NO los puedan modificar y de más.

    Saludos y perdón el restraso...!

    ResponderEliminar
  29. Hola buenas tardes mi nombre es mario soy de mexico, mira ya e intentado los pasos para que en la maquina de mi trabajo pueda instalar programas pero sigo sin poder para todo me pide la clave de administrador que le pusieron el personal de soporte de mi trabajo, y pues no le puedo hacer nada que puedo hacer me ayudar? tengo windows 7

    ResponderEliminar
  30. Hola,

    Podrías realizar un escalado de privilegios (aprovechando los privilegios de carpetas y de librerías dll con las que hace uso por servicios de Windows y tiene permisos con localsystem), pero no es motivo de este post.
    Aunque hablaré de ello en un futuro post.

    Saludos!

    ResponderEliminar
  31. Hola, espero que me responda mi duda.... lo que pasa es que yo lo hice todos los pasos para denegar un usuario pero accidentalmente puse denegar control total a mi propio usuario, no me di cuenta y puse aceptar. Al día siguiente cuando abrí mi usuario es pone arreglando escritorio y al entrar no tenia nada como si estuviese nueva por completo, mis archivo, juegos, todo se había desaparecido, ademas se hizo un usuario llamado TEMP, también no puedo entra a la carpeta de mi usuario "Laptop" porque me dice "Se denegó el acceso a esta carpeta"

    Mi disco duro todavía esta casi lleno por lo que me hace pensar que todavía están mi archivos pero no aparecen. Además el sistema puso en una ventana emergente que al cerrar sesión se va a borrar toda la información de usuario, así que no se si puedo evitar eso y recuperar mis archivos o si ya hice la gran y borro no mas el usuario.

    Esto lo hice antes de ver este post (mi ignorancia paso sus limites) por lo que espero su respuesta. Gracias de antemano.


    ResponderEliminar
  32. Hola @Anómimo, estaría bien que dejase un nombre aunque sea ficticio por lo menos para dirigirme a usted.

    Antes de nada S.O. utilizas, WinXP o WinVista/7?

    En cualquier de los dos casos anteriores la causa por la que se genera un perfil TEMP, es que ese perfil Temp se crea como copia del perfil original al que intentó iniciar sesión, este falló en su carga y creo el Temp en su copia y/o en su lugar.

    Para solucionar este error, la solución para Windows XP:
    Es renombrar el perfil en la ruta:
    %systemdrive%\Documents and Settings\UsuarioARenombrar

    Después solo queda iniciar sesión en Windows y pasar los datos del usuario renombrado al nuevo usuario generado (partiendo de que la cuenta del usuario es la misma).

    Y el Windows Vista o 7, puede mirar esta entrada mejor:
    http://www.zonasystem.com/2012/10/renombrar-perfiles-locales-de-usuarios.html

    Espero que esto le ayude, no dude en comentar cualquier duda.
    Saludos!

    ResponderEliminar
  33. Soy @Anonimo (jajaj) gracias por contestar.

    Mi sistema operativo es Windows 7 (Ultimate) y intente lo del otro post y no me funciona por que ni siquiera me permite cambiar el nombre, me dice que necesito permisos de administrador. Utilice otro usuario (aparte del afectado) y me sigue saliendo lo mismo por lo que no puedo aplicar lo que dice el post.

    Ya intente ver en google como solucionar esto de los permisos pero nada funciona y como no conozco casi o nada sobre este tipo de cosas pues no llego a nada.

    Gracias por tu contestación y perdón si causo molestia debido a mi falta de conocimento.

    ResponderEliminar
  34. Hola de nuevo @Geovanni,

    Prueba lo siguiente con otro usuario a parte del afectado.
    En la ruta: %systemroot%\windows busca el fichero "regedit.exe", y las propiedades de los permisos de seguridad que permite ntfs, haz los pasos del apartado 3.B en la ficha de propietario, intenta poner al usuario actual el NO afectado como PROPIETARIO del fichero REGEDIT.EXE. Si te deja realizar los cambios, después ya te dejará dar control total y todos los permisos sobre ese fichero, por lo que podrás editarlo y renombrar el perfil afectado en el registro de Windows.
    Aclaro: Seguramente veas la carpeta con el CLSID del usuario acaba en un ".bak" ese .bak es el usuario TEMP que se generó a partir del usuario actual dañado.

    ResponderEliminar
  35. Hola soy yo de nuevo @Anonimo (jaja....)

    Bueno hice lo que me recomendaste y esta vez pude hacer todo lo que mi indica el otro post. A terminar e iniciar de nuevo la sesión el sistema hizo el mismo procedimiento que antes pero al ver en las carpetas de "Usuarios" no habia ninguna llamada "TEMP" si no que había otra llamada "Laptop.GEOVANNI-PC" por lo que en ese usuario no estaba mi información.

    AHORA SI LO MUY BUENO intente lo que me dice el apartado 3B lo del propietario del Disco Local C en otro usuario administrador y resulta que al ver la carpeta del perfil "Laptop" me dejo entrar y estaba toda mi información ALLÍ, fue un verdadero alivio.

    No se si después de pasar mi información a otro usuario lo borro o que, pero bueno....

    Por ultimo y muy importante un gran GRACIAS POR SU AYUDA no sabe lo feliz que me puse al poder recuperar mi información en serio gracias por su paciencia y rapidez en contestar.

    P.S. por la felicidad no se si escribí todo coherente pero ya, y también un futuro FELIZ NAVIDAD Y PROSPERO AÑO NUEVO (OuO) b

    ResponderEliminar
  36. Hola de nuevo @Geovanni,
    El perfil "Laptop.Geovanni-pc" debió de ser una copia por otro perfil o incluso un propia copia defectuosa del perfil original que a su vez después de esta última fue cuando se creó el TEMP... todo un lio! jajaja.

    Me alegro que el apartado de la propiedad de los permisos ntfs te valiese para la unidad local C:\ y así ver y modificar otros usuarios como era el original ("Laptop").

    Respeto a la información, haz como veas... si ya tienes todo copiado y sabes que no te falta nada... pues puedes borrar los perfiles y revisar las cuentas de usuario, restablecer los permisos y de más. Y dejar todo otra vez bien montado.

    Igualmente Feliz Navidad! y me alegra saber que te pude ser de ayuda. ;-)

    ResponderEliminar
  37. Hola, a ver si me puedes ayudar, tengo win 2008 server r2, he intentado modificar la seguridad en la carpeta c:/archivos de programa x86, para habilitar el control total para el usuario administrador, pero las casillas estan en color gris (bloqueadas) y no puedo asignar los atributos, como le puedo hacer para desbloquearlas y de esta manera asignar los permisos,, muchas gracias!!!!

    ResponderEliminar
  38. @TRISTE
    Tengo Win 8 instalado y se me ocurrió cambiar mi nombre de usuario (no correo) "user1" a "user2" que tenia permiso de control total, esto fue con el comando netplwiz... Además tenia un invitado de permisos limitado.
    Al hacer el cambio, solo me permitió acceso al invitado y cualquier intento de modificar cualquier cosa me dice que necesito permisos de ADMINISTRADOR.
    1. No sé si tenia el user1 como Administrador o solo con Control Total. Pero de todas formas ya no lo encuentra.
    2. Mi acceso es como invitado, e intenté Restauración de PC, pero no modificó nada del usuario. Intenté punto de restauración, comando por CMD, Seguridad y Cuentas de Usuario, hasta en el REGEDIT, pero TOODO me pide ser ADMINISTRADOOR!!!
    TODO POR CAMBIAR EL NOMBRE DE USUARIO :/
    Si consigo el disco de Win 8, podría agregar un administrador??
    Quiero rescatar mi usuario. Que necesito??? Ayúdenme por favor..

    ResponderEliminar
  39. Hola Ignacio,

    Para poder "desbloquear" esas casillas de control total y meter al usuario que quieras en un grupo administradores y/o que pueda modificar esas casillas necesitas que tu usuario actual con el que realices la modificación en la carpeta en cuestión esté YA en el grupo administradores o si se trata de un usuario "raso" (con menos privilegios), necesita estar como PROPIETARIO de la carpeta, para eso te aconsejo LEER el apartado:
    3.B (Nota sobre la ficha PROPIETARIO)

    Espero a verte servido de ayuda,
    Saludos!

    ResponderEliminar
  40. Hola @TRISTE,

    Si TODO te pide privilegios de administrador desde el usuario "Invitado o limitado", será por que Windows es seguro con eso no?... jajaj si no sentido tendría este post...

    Aún así. Hay un pequeño bug, por decirlo de algún modo, que es el que ya tengo comentado en los comentarios y que si se leyese bien el post ya lo verías.
    Es en el apartado: 3.B (Nota sobre la ficha PROPIETARIO).

    Prueba a ver si un usuario invitado o limitado de Win8 permite hacerse como PROPIETARIO del fichero: C:\Windows\System32\lusrmgr.msc

    Una vez en esa consola de microsoft de control de cuentas de usuarios, prueba a crear un usuario NUEVO (user3 con contraseña) y meterlo en el grupo administradores.
    Cuando te permita eso, inicia sesión con ese usuario. Si llegas hasta aquí, puedes editar ya todo con privilegios.

    De todos modos, te aconsejo que NUNCA cambies el nombre de un usuario en Win7 o Win8. Ya que se indentifican con CLSID en el registro de Windows y puede generar muchos conflictos dentro del perfil de usuario.
    Puedes informarte más en este post:
    http://www.zonasystem.com/2012/10/renombrar-perfiles-locales-de-usuarios.html

    Lo que yo haría sería, recuperar los datos del perfil del "user1", meterlos en "C:\nueva carpeta" y BORRAR tanto el perfil como la cuenta de usuario de Windows del "user1" y "user2". Crearía un usuario nuevo de cero y restauraría los datos.
    Acuérdate de no solo borrar las cuentas si no también el PERFIL. Ya que el perfil identifica ese CLSID en el registro. Para borrar el perfil correctamente y que Windows ya lo haga el solo de forma transparente a ti, vete a:
    Mi pc -> propiedades -> opciones avanzadas -> perfiles de usuario "configuración" y desde ahí los eliminas.

    Ya me contarás que tal te ha ido,
    Saludos!

    ResponderEliminar
  41. Muchas gracis! Has salvado mi vida ♥ y muy bien redactado y solucionando dudas. Se agradece su trabajo

    ResponderEliminar
  42. Quería cambiar el nombre del disco duro y el usuario, acababa de instalar Avast o Avg, no recuerdo cual, no lo permitió, en los privilegios de usuario, definí todos los privilegios, pero por error tambien denegue permisos,ahora no puedo acceder a a unidad C, por favor, ¿qué hago?

    ResponderEliminar
  43. Hola @Toño,
    Creo que te entendí... Si quieres volver a tener permisos para ese usuario.
    Prueba con esto:
    http://www.zonasystem.com/2011/07/generar-o-restablecer-la-password-o.html

    Una vez tengas la CMD abierta, escribe: lusrmgr.msc
    Y ahí genera un usuario nuevo en el grupo "Administradores", inicias sesión con ese usuario nuevo y restableces permisos al otro usuario. Entras finalmente, en el usuario origen y eliminas ese nuevo.
    Acuérdate que a parte de eliminar la cuenta del nuevo que creaste elimines también el perfil de Win7.

    Saludos!

    ResponderEliminar
  44. Gracias, 1000, Adrián. Perdón la tardanza al responderte.

    ResponderEliminar
  45. Hola Adrian muy buen post, gracias por la ayuda que das!
    Te hago una preguntita. Tengo windows 7. Para poder utilizar la impresora en red desde una pc, leí que para poder acceder a la misma debería cambiar los permisos desde administrar equipo. Cambie los permisos en Administrador del equipo, en usuarios y grupos locales--agregue a "Todos" tanto en usuarios como tambien en invitados.
    A partir de esto puedo imprimir sin problemas, pero no puedo modificar nada desde la pc que tiene la impresora, como instalar drivers o actualizaciones. Al quitar a Todos en usuarios e invitados vuelve todo a la normalidad pero no puedo imprimir.
    Espero haber sido claro con mi problema. Como puedo hacer para solucionar esto o por que puede ocurrir? Debo habilitar el administrador?
    Muchas gracias y disculpame si ya explicaste esto lei todo lo que pude pero no lo encontre

    ResponderEliminar
  46. Hola @martin,

    Siento decirte que no te he entendido muy bien...

    Cuando la impresora te imprime: A donde as agregado el GRUPO "Todos", "Invitados" y "Usuarios", los has agregado al GRUPO "Administradores"?
    Y de este modo no te deja hacer nada en el equipo, pero con que usuario? ese usuario que "no te deja hacer nada" está metido o excluido en algunos de los grupos que me dices, no forma parte de administradores locales del equipo, o como?.

    Bueno, te dejo igualmente lo que puedes hacer, lo que puedes hacer para poder imprimir y/o configurar la impresora y de más es, dejar todo como estaba por defecto en Windows.
    Y si no te imprime, agrega aquel grupo o usuarios solo con permisos de impresión, como? fácil.
    Inicio -> Dispositivos e impresoras -> Botón derecho sobre la impresora en cuestión -> "PROPIEDADES DE LA IMPRESORA". En la ventana de propiedades de la impresora, dale a la pestaña "Seguridad", que es la que controla los permisos y acciones y ahí lo gestionas como más te convenga.

    Saludos!

    ResponderEliminar
  47. Gracias por la respuesta! Disculpa por no ser claro, voy a intentar dejar todo como estaba y agregar los usuarios particulares.
    Lo que habia hecho es dentro de administrar equipos-->usuarios y grupos locales-->grupos-->invitados....agregué "Todos". Lo mismo lo hice para usuarios. Desde allí no pude modificar nada más.
    Voy a intentar lo que me recomendaste y volver todo a cero.
    Muchas gracias de nuevo por la respuesta.

    ResponderEliminar
  48. buenas tardes, mi cuenta es de usuario normal, y quiero cambiarla a administrador en una red de trabajo con un servidor, tengo los datos de una cuenta del grupo administrador, que debo hacer?

    ResponderEliminar
  49. Hola @AlexisGimon, si te he entendido bien, el perfil de la cuenta, osea los datos que tengas en ella, no va influir en el tipo de cuenta que sea, es decir, si es usuario raso o con más privilegios.

    Simplemente, en una msc de "Usuarios y grupos locales" (lusrmgr.msc), en grupos > Administradores > agrega el usuario que deseas dentro de este grupo. ya que se trata de un grupo de trabajo y no de un dominio, agrégalo con la siguiente sintaxis.
    "NombreDelPC/NombreDelUsuario" (sin comillas).

    Espero que esto te sea de ayuda.
    Saludos!

    ResponderEliminar
  50. Tengo un problema, acabo de formatera mi máquina, todo bien, los problemas surgieron cuando no pude intalar las fuentes de Office por falta de permisos. Habilité la cuenta de administrador, eliminé la anterior, ahora lo unico es que la querer dar permisos de seguridad y todo, no puedo, sale un mensaje que dice que se puede brindar la información de seguridad porque el "el archivo X" está siendo utilizado por otro proceso. No entindo. Es windows 7, los permisos que quiero modificar es darle control total al disco C. Gracias

    ResponderEliminar
  51. Hola @SamuelCastilla,

    Me comentas que "Habilité la cuenta de administrador, eliminé la anterior", anterior? cual?, Cuenta de administrador por defecto solo hay una y Windows 7 por defecto también, la tiene DESHABILITADA por seguridad.

    Tampoco comprendo muy bien el mensaje que mencionas.
    Y no hace falta darle permisos a C:, si ya eres administrador del sistema, pero si quieres dárselos, basta con hacerlo de forma normal como explico en el apartado: "3.A paso 4º".

    Saludos!

    ResponderEliminar
  52. Yo tengo un usuario administrador local con el cual podia instalar programas en el equipo, un dia me c onectaron en el dominio de una empresa termine mi trabajo y me logueaba al equipo con mi usuario administrador sin necesidad de usar algun dominio pero al intentar instalar un programa el sistema me manda el mensaje: the system administrator has set policies to prevent installation por que me manda este mensaje si antes podia instalar programas agradecere mucho tu ayuda

    ResponderEliminar
  53. Hola @Manuel, en teoría como bien dices aunque tu equipo forme parte de un dominio si te logeas con un usuario en el grupo administradores, ese usuario es local y el login lo haces a través del equipo local y no del nombre de dominio te debería dejar instalar aplicaciones y por consecuencia elevar más tus privilegios.
    En mi organización para instalar aplicaciones y modificar otras configuraciones avanzadas de Windows hago de ese modo.

    Pero deberías revisar dos aspectos en tu caso.

    1º - Sigue estando ese usuario creado dentro del grupo administradores? a ver si alguien de la organización lo ha visto y lo borró o simplemente lo cambio para un grupo "usuarios".

    2º - Quizás y es lo más probable, para los equipos unidos al dominio y políticas aplicadas por máquina a nivel de red, independientemente de que te logues con dominio\User o NombreDeEquipo\User, dicha política que podría estar implementada restringe configuraciones avanzadas e instalación de aplicaciones a todos aquellos usuarios ajenos a no ser "administradores de dominio" (Domain Admins).

    La solución sería hablar con el soporte informático de tu organización y que ellos te puedan comentar "algo" de como tienen su sistema implementado.

    Saludos!

    ResponderEliminar
  54. Hola.
    Mi problema es un poco mas complejo.
    Un programador, mediante asistencia remota, y seguramente utilizando tarjeta inteligente, puso propiedad intelectual a mis archivos de imagen, video y música.
    Luego los borró.
    Logre recuperárlos, pero también le cambio las extensiones.
    Cuando busco revertir los permisos heredábles de los archivos recuperados (además de las arriba mencionadas), aparece cuenta de cuenta de usuario desconocido.
    no me permite modificar los permisos especiales, ni heredábles.
    Por los movimientos que pude indagar en el día que se gesto dicha intromisión, a utilizado varios programas, scripts, y un antivirus con una función de triple destrucción de datos.
    que puedo hacer.
    Llevo más de cuatro meses sin poder seguir editando mis pistas, ni tengo acceso a ver videos y fotos de mis hijos.

    ResponderEliminar
  55. Hola @ariel zagar,

    Asistencia remota se refiere a conexión de escritorio remoto por RDP? o la propia asistencia remota de Microsoft.
    Dicho "programador" para iniciar sesión de usuario en su equipo por medio de un smart card tendría que tener acceso a su equipo personal de forma física, por eso no acabo de entender este tipo de intrusión a sus ficheros de carácter personal.

    Por otro lado, seguramente lo que pasó fue que ese usuario cambió los permisos para otro usuario de su conveniencia poniéndose como propietario o simplemente dando permisos totales solo a ese usuario, por lo que en ese caso sería difícil añadirle permisos totales a un NUEVO usuario y borrar ese "usuario intruso".

    Lo que podría probar es, copiar todos los ficheros personales a una unidad externa tipo pendrive o HDD externo, insertarlos en otro PC con una sesión con altos privilegios, pegarlos en el escritorio mismamente y desde ahí cambiar los permisos de los ficheros.

    Nota: Puede echarle un ojo a los atributos de los datos mediante una cmd con attrib.

    Saludos!

    ResponderEliminar
  56. hola que tal quisiera que me ayudes porfavor.. lo que pasa esque en mi cuenta de invitado lo configure y lo cambie a invitado local que quiere decir que tiene algunos permisos y no como el invito que tiene acceso limitado ps quiero ponerle como antes estaba osea de fabrica quiero que sea limitado mi sistema operativo es windows 8.1 pro, espero su pronta respuesta gracias!!...

    ResponderEliminar
  57. Hola @Rommel,
    Lo que tendrías que hacer es reinvertir el orden de los cambios que aplicaras para el usuario invitado.
    La única forma que veo de darle permisos sería metiéndolo en algún grupo con mayor privilegios, ya sea el de "usuarios" o el de "administradores".

    Asegúrate que no está en ninguno de esos dos grupos y que SOLO está en el "grupo Invitados".

    Saludos.

    ResponderEliminar
  58. Gracias, gracias y gracias..... probé mil cosas antes y me cansé de buscar en las páginas de microsoft para solucionar el problema. Sólo lo que indicas aquí ha funcionado bien.

    ResponderEliminar
  59. esta pagina la tenia guardada hace tiempo en mi compu y recien hoy pude leer el post muy bueno lastima que al llegar a la parte de takeown /F "%SYSTEMDRIVE%\*" /R /D S no e podido hacer la practica ya que no me deja el sistema.saludos

    ResponderEliminar