7 cuentas usuariowindowsasoitson

Instituto Tecnológico de Sonora
Administración de Sistemas Operativos (LSIA)

Introducción a Usuarios y grupos locales
Usuarios y grupos locales se encuentra en Administración de equipos, un conjunto de herramientas
administrativas que puede utilizar para administrar un único equipo local o remoto. Puede utilizar Usuarios y
grupos locales para proteger y administrar las cuentas de usuario y los grupos almacenados de forma local en
el equipo. A cada cuenta de usuario o de grupo local se le puede asignar permisos y derechos en un equipo
determinado, y sólo para ese equipo. Usuarios y grupos locales se encuentra en los siguientes sistemas
operativos de cliente y servidor:

Clientes que utilicen Microsoft® Windows® 2000 Professional o Windows XP Professional
Servidores miembro que ejecuten cualquiera de los productos de las familias de servidores de
Microsoft Windows 2000 Server o Windows Server 2003
Servidores independientes que ejecuten cualquiera de los productos de las familias de servidores de
Microsoft Windows 2000 Server o Windows Server 2003

Usuarios y grupos locales permite limitar la capacidad de los usuarios y los grupos para llevar a cabo
determinadas acciones, mediante la asignación de derechos y permisos. Un derecho autoriza a un usuario a
realizar ciertas acciones en un equipo, como efectuar copias de seguridad de archivos y carpetas, o apagar un
equipo. Un permiso es una regla asociada con un objeto (normalmente un archivo, carpeta o impresora) que
regula los usuarios que pueden tener acceso al objeto y de qué manera.

No puede utilizar Usuarios y grupos locales para ver las cuentas de usuario y de grupo locales después de
promocionar un servidor miembro a controlador de dominio. Sin embargo, sí es posible utilizar Usuarios y
grupos locales en un controlador de dominio para administrar equipos remotos (que no sean controladores de
dominio) en la red. Utilice Usuarios y equipos de Active Directory para administrar usuarios y grupos en
Active Directory.

Cuentas de usuario locales
En la carpeta Usuarios del complemento Usuarios y grupos locales de MMC (Microsoft Management
Console) se muestran las cuentas de usuario predeterminadas y las creadas por los usuarios. Las cuentas de
usuario predeterminadas se crean automáticamente al instalar un servidor independiente o un servidor
miembro que utilice Windows Server 2003. En la tabla siguiente se describe cada cuenta de usuario
predeterminada en los servidores donde se usa este sistema.


CUENTA DE USUARIO
DESCRIPCIÓN
PREDETERMINADA

La cuenta Administrador tiene control total en el servidor y puede asignar
derechos de usuario y permisos de control de acceso a los usuarios según sea
necesario. Sólo debe utilizar esta cuenta para las tareas que requieran
credenciales administrativas. Se recomienda configurarla para utilizar una
contraseña segura. Para obtener más información, vea Contraseñas seguras.
Para conocer otras consideraciones acerca de la seguridad de las cuentas con
credenciales administrativas, vea Prácticas recomendadas para usuarios y
grupos locales.

La cuenta Administrador es miembro del grupo Administradores en el
servidor. La cuenta Administrador nunca se puede eliminar ni quitar del
grupo Administradores, pero es posible cambiarle el nombre o deshabilitarla.
Como es sabido que la cuenta Administrador existe en muchas versiones de
Cuenta Administrador Windows, si le cambia el nombre o la deshabilita dificultará el acceso a ella a
usuarios malintencionados. Para obtener más información acerca de cómo
cambiar el nombre de una cuenta de usuario o deshabilitarla, vea Cambiar el
nombre de una cuenta de usuario local y Deshabilitar o activar una cuenta de
usuario local.

La cuenta Administrador es la que se utiliza al configurar por primera vez el
servidor. Utilice esta cuenta para crear una cuenta para usted.

Importante

Incluso aunque la cuenta Administrador esté deshabilitada, siempre puede
utilizarse para obtener acceso a un equipo en Modo a prueba de errores.

La cuenta Invitado sólo la utilizan los usuarios que no poseen una cuenta real
en el equipo. Un usuario con su cuenta deshabilitada (pero no eliminada)
también puede utilizar la cuenta Invitado. La cuenta Invitado no requiere
ninguna contraseña. La cuenta Invitado está deshabilitada de forma
predeterminada, pero puede habilitarla.

Cuenta Invitado Puede asignar derechos y permisos para la cuenta Invitado de la misma forma
que para cualquier cuenta de usuario. De manera predeterminada, la cuenta
Invitado es miembro del grupo predeterminado Invitados, lo que permite al
usuario iniciar sesión en un servidor. Un miembro del grupo Administradores
debe conceder derechos adicionales, así como cualquier permiso, al grupo
Invitados. La cuenta Invitado está deshabilitada de forma predeterminada, y
se recomienda que permanezca así.
Se trata de la cuenta principal que se utiliza para establecer una sesión de
Asistencia remota. La cuenta se crea automáticamente al solicitar una sesión
Cuenta Asistente de ayuda de Asistencia remota, y tiene limitado el acceso al equipo. El servicio
(se instala con una sesión de Administrador de sesiones de ayuda para Escritorio remoto administra la
Asistencia remota) cuenta Asistente de ayuda, que se eliminará automáticamente si no hay
solicitudes de Asistencia remota pendientes. Para obtener más información
acerca de Asistencia remota, vea Administrar Asistencia remota.

Crear una cuenta de usuario local
Para crear una cuenta de usuario local

1. Abra Administración de equipos.
2. En el árbol de la consola, haga clic en Usuarios.
¿Dónde?
o Administración de equipos/Herramientas del sistema/Usuarios y grupos locales/Usuarios
3. En el menú Acción, haga clic en Usuario nuevo.
4. Escriba la información correspondiente en el cuadro de diálogo.
5. Active o desactive las siguientes casillas de verificación:
o El usuario debe cambiar la contraseña en el siguiente inicio de sesión
o El usuario no puede cambiar la contraseña
o La contraseña nunca caduca
o Cuenta deshabilitada
6. Haga clic en Crear y, después, en Cerrar.

Notas
Para ejecutar este procedimiento, debe ser miembro del grupo Usuarios avanzados o del grupo
Administradores en el equipo local, o debe haberle sido delegada la autoridad correspondiente en el
equipo local. Si el equipo está unido a un dominio, los miembros del grupo Administradores de
dominio podrían llevar a cabo este procedimiento. Como práctica recomendada de seguridad,
considere la posibilidad de utilizar la opción Ejecutar como para llevar a cabo este procedimiento.
Para obtener más información, vea Grupos locales predeterminados, Grupos predeterminados y
Utilizar Ejecutar como.
Para abrir Administración de equipos, haga clic en Inicio, en Panel de control, haga doble clic en
Herramientas administrativas y, a continuación, haga doble clic en Administración de equipos.
Un nombre de usuario no puede coincidir con otro nombre de usuario o de grupo en el equipo que
está administrando. Puede contener hasta 20 caracteres, en mayúsculas o minúsculas, excepto los
siguientes:
"/ [ ]: ; |= ,+ * ?< >
Un nombre de usuario no puede estar formado sólo por puntos (.) o espacios.
En Contraseña y Confirmar contraseña puede escribir una contraseña que contenga hasta 127
caracteres. Sin embargo, si la red está formada únicamente por equipos que utilicen Windows 95 o
Windows 98, tenga en cuenta la posibilidad de utilizar contraseñas que no tengan más de 14
caracteres. Si su contraseña tiene más caracteres, es posible que no pueda iniciar una sesión en la red
desde esos equipos.
El uso de contraseñas seguras y de directivas de contraseña adecuadas puede facilitar la protección
del equipo en caso de ataque. Para obtener más información, vea Temas relacionados.

Restablecer la contraseña para una cuenta de usuario local
Para restablecer la contraseña para una cuenta de usuario local

¿Dónde?

3. Haga clic con el botón secundario del mouse (ratón) en la cuenta de usuario cuya contraseña
desea restablecer y, después, haga clic en Establecer contraseña.
4. Lea el mensaje de advertencia y haga clic en Continuar si desea seguir adelante.
5. Escriba la contraseña en Contraseña nueva y en Confirmar contraseña nueva y, a continuación,
haga clic en Aceptar.

Notas
Para ejecutar este procedimiento, deberá ser miembro del grupo Usuarios avanzados que creó la
cuenta o del grupo Administradores del equipo local, o bien se le debe haber delegado la autoridad
apropiada. Si el equipo está conectado a un dominio, los miembros del grupo Administradores de
dominio podrían llevar a cabo este procedimiento. Como práctica de seguridad recomendada,
considere la posibilidad de utilizar la opción Ejecutar como para realizar este procedimiento. Para
obtener más información, vea Grupos locales predeterminados, Grupos predeterminados y Utilizar
Ejecutar como.
Las contraseñas seguras mejoran la seguridad del equipo y de la red. Para obtener más información,
vea Temas relacionados.
El restablecimiento de la contraseña de una cuenta de usuario local puede producir la pérdida de
datos del usuario. Para obtener más información, vea Temas relacionados.

Deshabilitar o activar una cuenta de usuario local
Para deshabilitar o habilitar una cuenta de usuario local

¿Dónde?
3. Haga clic con el botón secundario del mouse (ratón) en la cuenta de usuario que desea
cambiar y, después, haga clic en Propiedades.
4. Realice una de estas acciones:
o Para deshabilitar la cuenta de usuario seleccionada, active la casilla de verificación La cuenta
está deshabilitada.
o Para habilitar la cuenta de usuario seleccionada, desactive la casilla de verificación La cuenta
está deshabilitada.

Notas

Cuando se deshabilita una cuenta de usuario, el usuario deja de estar autorizado para iniciar sesión.
La cuenta aparece en el panel de detalles con una X sobre el icono.
Antes de activar una cuenta deshabilitada, compruebe que no se deshabilitó por motivos de
seguridad. Para obtener más información, vea Temas relacionados.
Cuando se habilita una cuenta de usuario, el usuario está autorizado a iniciar sesión con la cuenta de
la forma habitual.

Eliminar una cuenta de usuario local
Para eliminar una cuenta de usuario local

¿Dónde?
3. Haga clic con el botón secundario del mouse (ratón) en la cuenta de usuario que desea
eliminar y, después, haga clic en Eliminar.

Notas
cuenta o del grupo Administradores del equipo local, o bien se le debe haber delegado la autoridad
apropiada. Si el equipo está conectado a un dominio, los miembros del grupo Administradores de
dominio podrían llevar a cabo este procedimiento. Como práctica de seguridad recomendada,
considere la posibilidad de utilizar la opción Ejecutar como para realizar este procedimiento. Para
obtener más información, vea Grupos locales predeterminados, Grupos predeterminados y Utilizar
Ejecutar como.
Si necesita eliminar una cuenta de usuario, es recomendable deshabilitarla antes de hacerlo. Cuando
esté seguro de que al deshabilitar la cuenta no se causa ningún problema, puede eliminarla de forma
segura.
No se puede recuperar una cuenta de usuario eliminada.
No es posible eliminar las cuentas Administrador e Invitado.

Cambiar el nombre de una cuenta de usuario local
Para cambiar el nombre de una cuenta de usuario local

¿Dónde?
o Administración del equipo (local)/Herramientas del sistema/Usuarios y grupos
locales/Usuarios
3. Haga clic con el botón secundario del mouse (ratón) en la cuenta de usuario cuyo nombre desee
cambiar y, después, haga clic en Cambiar nombre.
4. Escriba el nombre de usuario nuevo y presione ENTRAR.

Notas
cuenta o del grupo Administradores del equipo local, o bien debe tener delegada la autoridad
apropiada. Si el equipo se ha unido a un dominio, los miembros del grupo Administradores de
dominio pueden llevar a cabo este procedimiento. Como práctica de seguridad, se recomienda utilizar
la opción Ejecutar como para realizar este procedimiento. Para obtener más información, vea Grupos
locales predeterminados, Grupos predeterminados y Utilizar Ejecutar como.
Dado que una cuenta de usuario cuyo nombre se ha cambiado conserva el identificador de seguridad
(SID), conserva también las demás propiedades, como la descripción, la contraseña, la pertenencia a
grupos, el perfil de usuario, la información de cuenta y todos los permisos y derechos de usuario
asignados.
Un nombre de usuario no puede coincidir con otro nombre de usuario o de grupo del equipo que está
administrando. Puede contener hasta 20 caracteres, en mayúsculas o minúsculas, excepto los
siguientes:
"/ [ ]: ; |= ,+ * ?< >
Un nombre de usuario no puede estar formado sólo por puntos (.) o espacios.

Asignar una secuencia de comandos de inicio de sesión a una cuenta
de usuario local
Para asignar una secuencia de comandos de inicio de sesión a una cuenta de usuario local

¿Dónde?
3. Haga clic con el botón secundario del mouse (ratón) en la cuenta de usuario que desee y,
después, haga clic en Propiedades.
4. En la ficha Perfil, en Secuencia de comandos de inicio de sesión, escriba el nombre de archivo y la
ruta de acceso relativa de la misma.

Notas
Las secuencias de comandos de inicio de sesión pueden contener comandos malintencionados. Se
recomienda conocer el contenido de la secuencia de comandos de inicio de sesión antes de asignarlo
a un usuario.
Las secuencias de comandos de inicio de sesión que se almacenan en un equipo local se aplican
únicamente a los usuarios que inician sesión en ese equipo.

Las secuencias de comandos de inicio de sesión locales deben almacenarse en una carpeta
compartida llamada Netlogon, o bien en subcarpetas de la misma. Si la carpeta no se creó de forma
predeterminada, deberá crearla. Para especificar una secuencia de comandos de inicio de sesión
almacenada en una subcarpeta de la carpeta Netlogon, incluya delante del nombre la ruta de acceso
relativa de la misma. Por ejemplo, para asignar a un usuario la secuencia de comandos de inicio de
sesión Startup.bat almacenada en nombreDeEquipoNetlogonnombreDeCarpeta, en Secuencia de
comandos de inicio de sesión, escriba: nombreDeCarpetaStartup.bat

Asignar una carpeta principal a una cuenta de usuario local
Para asignar una carpeta principal a una cuenta de usuario local

¿Dónde?
3. Haga clic con el botón secundario del mouse (ratón) en la cuenta de usuario a la que desee
asignar una carpeta principal y, a continuación, haga clic en Propiedades.
4. En la ficha Perfil, realice una de las acciones siguientes:
o Para especificar una carpeta principal local, haga clic en Ruta de acceso local y escriba la
ruta de acceso. Por ejemplo, c:usuariosjuana
o Para especificar una carpeta principal en un recurso compartido, haga clic en Conectar, haga
clic en la letra de unidad correspondiente y, a continuación, escriba la ruta de acceso de red.
Por ejemplo, airedaleusuariospedro

Notas
Mis documentos ofrece una alternativa cómoda a las carpetas principales, pero no las reemplaza.
Cada usuario tiene una carpeta Mis documentos en el volumen de inicio. Para abrir Directiva de
seguridad local, haga clic en Inicio, seleccione Configuración, haga clic en Panel de control, haga
doble clic en Herramientas administrativas y, a continuación, haga doble clic en Directiva de
seguridad local.
Para abrir Directiva de seguridad local, haga clic en Inicio, seleccione Configuración, haga clic en
Panel de control, haga doble clic en Herramientas administrativas y, a continuación, haga doble
clic en Directiva de seguridad local .
Si no se asigna una carpeta principal, el sistema asigna una carpeta principal local predeterminada
para cada cuenta de usuario (en el directorio raíz en el que se instalaron los archivos del sistema
operativo).
Para especificar una ruta de acceso de red para la carpeta principal, deberá crear primero el recurso
compartido y establecer permisos que concedan acceso al usuario.


Grupos locales predeterminados
En la carpeta Grupos, situada en Usuarios y grupos locales de MMC (Microsoft Management Console), se
muestran los grupos locales predeterminados, así como los creados por el usuario. Los grupos locales
predeterminados se crean automáticamente al instalar un servidor independiente o un servidor miembro
donde se use Windows Server 2003. Al pertenecer a un grupo local, se le proporcionan al usuario los
derechos y capacidades necesarios para realizar diversas tareas en el equipo local. Para obtener más
información acerca de los grupos basados en dominios, vea Grupos predeterminados.

Puede agregar cuentas de usuario locales, cuentas de usuario de dominio, cuentas de equipo y cuentas de
grupo a los grupos locales. Sin embargo, no es posible agregar cuentas de usuario locales ni cuentas de
grupo locales a las cuentas de grupo de dominio. Para obtener más información acerca de cómo agregar
miembros a los grupos locales, vea Agregar un miembro a un grupo local.

Nota
En la sección Cómo del Centro de Ayuda y soporte técnico encontrará varios temas sobre procedimientos en
los que se describe a qué grupos hay que pertenecer para realizar determinados procedimientos.

En la siguiente tabla se describen los grupos predeterminados que se encuentran en la carpeta Grupos, y se
indican los derechos de usuario asignados a cada grupo. Estos derechos se asignan mediante la directiva de
seguridad local. Para ver una descripción completa de los derechos de usuario que se indican en la tabla, vea
Asignación de derechos de usuario. Para obtener información acerca de cómo modificar estos derechos, vea
Asignar derechos de usuario para el equipo local.

DERECHOS DE USUARIO
GRUPO DESCRIPCIÓN
PREDETERMINADOS

Tener acceso a este equipo desde la red;
Ajustar las cuotas de memoria de un
proceso; Permitir el inicio de sesión
Los miembros de este grupo tienen local; Permitir el inicio de sesión a
control total del servidor y pueden través de Servicios de Terminal Server;
asignar derechos de usuario y permisos Hacer copia de seguridad de archivos y
de control de acceso a los usuarios según directorios; Saltarse la comprobación de
sea necesario. La cuenta Administrador recorrido; Cambiar la hora del sistema;
es miembro de este grupo de forma Crear un archivo de paginación; Depurar
predeterminada. Cuando el servidor se programas; Forzar el apagado desde un
Administradores une a un dominio, se agrega sistema remoto; Aumentar la prioridad
automáticamente al grupo el grupo de programación; Cargar y descargar
Admins. de dominio. Como este grupo controladores de dispositivo; Permitir el
tiene una control total en el servidor, sea inicio de sesión local; Administrar el
prudente al agregar usuarios. Para registro de auditoría y seguridad;
obtener más información, vea Grupos Modificar valores de entorno del
locales predeterminados y Grupos firmware; Realizar tareas de
predeterminados. mantenimiento de volumen; Hacer perfil
de un solo proceso; Hacer perfil del
rendimiento del sistema; Quitar un
equipo de una estación de acoplamiento;

Restaurar archivos y directorios; Apagar
el sistema; Tomar posesión de archivos
y otros objetos.
Los miembros de este grupo pueden
realizar copias de seguridad y restaurar
archivos del servidor,
Permitir el inicio de sesión local; Hacer
independientemente de los permisos que
Operadores de copia copia de seguridad de archivos y
protejan dichos archivos. Es así porque el
de seguridad directorios; Saltarse la comprobación de
derecho a realizar una copia de seguridad
recorrido; Restaurar archivos y
tiene preferencia sobre todos los
directorios; Apagar el sistema.
permisos de archivo. No pueden cambiar
la configuración de seguridad.
Los miembros de este grupo tienen
acceso como administradores al servicio
Servidor de Protocolo de configuración
dinámica de host (DHCP, Dynamic
Host Configuration Protocol). El
grupo proporciona una forma de
Administradores de
conceder acceso administrativo limitado
DHCP (se instala con No hay derechos de usuario
solamente al servidor DHCP, sin
el servicio Servidor predeterminados.
proporcionar acceso completo al equipo
DHCP)
servidor. Los miembros de este grupo
pueden administrar DHCP en el servidor
mediante la consola DHCP o los
comandos Netsh, pero no pueden realizar
otras tareas administrativas en el
servidor.
acceso de sólo lectura al servicio
Servidor DHCP. De este modo, los
miembros pueden ver la información y
Usuarios de DHCP (se
las propiedades almacenadas en un No hay derechos de usuario
instala con el servicio
servidor DHCP especificado. Esta predeterminados.
Servidor DHCP)
información resulta útil para que el
personal del departamento de soporte
técnico realice informes de estado de
DHCP.
Los miembros de este grupo disponen de
un perfil temporal que se crea al iniciar la
sesión y que se elimina cuando el
No hay derechos de usuario
Invitados miembro la cierra. La cuenta Invitado
predeterminados.
(que está deshabilitada de forma
predeterminada) también es miembro del
grupo de forma predeterminada.
Este grupo permite que los
administradores establezcan permisos
HelpServicesGroup comunes para todas las aplicaciones de
predeterminados.
soporte técnico. De forma
predeterminada, el único miembro del


grupo es la cuenta que se asocia a las
aplicaciones de soporte técnico de
Microsoft, como Asistencia remota. No
agregue usuarios a este grupo.
modificar la configuración TCP/IP y
Operadores de No hay derechos de usuario
renovar y liberar las direcciones TCP/IP.
configuración de red predeterminados.
Este grupo no tiene ningún miembro
predeterminado.
supervisar los contadores de rendimiento
Usuarios del monitor del servidor, tanto de forma local como No hay derechos de usuario
de sistema de forma remota, sin ser miembros de los predeterminados.
grupos Administradores o Usuarios del
registro de rendimiento.
administrar los contadores de
Usuarios del registro rendimiento, registros y alertas del No hay derechos de usuario
de rendimiento servidor, tanto de forma local como de predeterminados.
forma remota, sin ser miembros del
grupo Administradores.
Los miembros del grupo Usuarios
avanzados pueden crear cuentas de
usuario y modificar y eliminar las
cuentas que crean. Pueden crear grupos
locales y quitar o agregar usuarios a los
grupos locales que hayan creado. Tener acceso a este equipo desde la red;
También pueden agregar o quitar Permitir el inicio de sesión local;
usuarios de los grupos Usuarios Saltarse la comprobación de recorrido;
Usuarios avanzados avanzados, Usuarios e Invitados. Los Cambiar la hora del sistema; Hacer
miembros de este grupo pueden crear perfil de un solo proceso; Quitar el
recursos compartidos y administrar los equipo de la estación de acoplamiento;
que han creado. No pueden tomar la Apagar el sistema.
propiedad de archivos, realizar copias de
seguridad o restaurar directorios, cargar o
descargar controladores de dispositivos
ni administrar la seguridad y los registros
de auditoría.
Opers. de impresión administrar las impresoras y las colas de
predeterminados.
impresión.
iniciar sesión en un servidor de forma
remota.
Usuarios de escritorio Permitir inicio de sesión a través de
remoto Servicios de Terminal Server.
Para obtener más información, vea
Permitir que los usuarios se conecten de
forma remota al servidor.
Replicador El grupo Replicador admite funciones de No hay derechos de usuario


replicación. El único miembro del grupo predeterminados.
Replicador debe ser una cuenta de
usuario de dominio que se utilice para
iniciar los servicios Replicador de un
controlador de dominio. No agregue a
este grupo las cuentas de usuario de los
usuarios reales.
Este grupo contiene todos los usuarios
que iniciaron sesión en el equipo que
utiliza Servicios de Terminal Server
actualmente. Cualquier programa que un
usuario puede ejecutar en
Usuario de Terminal No hay derechos de usuario
Windows NT 4.0 lo ejecutará un usuario
Server predeterminados.
miembro del grupo Usuario de Terminal
Server. Los permisos predeterminados de
este grupo permiten que sus miembros
ejecuten la mayoría de los programas
indicados anteriormente.
Los miembros del grupo Usuarios
pueden realizar las tareas más habituales,
como ejecutar aplicaciones, utilizar
impresoras locales y de red, y bloquear la
estación de trabajo. No pueden compartir
directorios ni crear impresoras locales.
Usuarios Permitir el inicio de sesión local;
Los grupos Usuarios de dominio,
Saltarse la comprobación de recorrido.
Usuarios autenticados e Interactivo son
miembros de este grupo de forma
predeterminada. Por tanto, todas las
cuentas de usuario que se crean en el
dominio son miembros de este grupo.
acceso de sólo lectura al Servicio de
nombres Internet de Windows (WINS).
De este modo, los miembros pueden ver
Usuarios de WINS (se
la información y las propiedades No hay derechos de usuario
instala con el servicio
almacenadas en un servidor WINS predeterminados.
WINS)
especificado. Esta información resulta
útil para que el personal del
departamento de soporte técnico realice
informes de estado de WINS.

Crear un grupo local
Para crear un grupo local

Mediante la interfaz de Windows
Mediante la línea de comandos


2. En el árbol de la consola, haga clic en Grupos.
¿Dónde?
o Administración de equipos/Herramientas del sistema/Usuarios y grupos locales/Grupos
3. En el menú Acción, haga clic en Grupo nuevo.
4. En Nombre de grupo, escriba un nombre para el nuevo grupo.
5. En Descripción, escriba la descripción del nuevo grupo.
6. Para agregar uno o varios miembros al grupo nuevo, haga clic en Agregar.
7. En el cuadro de diálogo Seleccionar usuarios, equipos o grupos, haga lo siguiente:
o Para agregar al grupo una cuenta de usuario o de grupo, escriba su nombre en Escriba los nombres
de objeto que desea seleccionar y, después, haga clic en Aceptar.
o Para agregar una cuenta de equipo a este grupo, haga clic en Tipos de objetos, active la casilla de
verificación Equipos y, a continuación, haga clic en Aceptar. En Escriba los nombres de objeto que
desea seleccionar, escriba el nombre de la cuenta de equipo que desee agregar y, después, haga clic
en Aceptar.
8. En el cuadro de diálogo Grupo nuevo, haga clic en Crear y, a continuación, en Cerrar.

Notas
Administradores en el equipo local, o debe haberle sido delegada la autoridad correspondiente en el equipo
local. Si el equipo está unido a un dominio, los miembros del grupo Administradores de dominio podrían
llevar a cabo este procedimiento. Como práctica re comendada de seguridad, considere la posibilidad de
utilizar la opción Ejecutar como para llevar a cabo este procedimiento. Para obtener más información, vea
Grupos locales predeterminados, Grupos predeterminados y Utilizar Ejecutar como.
El nombre de un grupo local no puede coincidir con ningún otro nombre de grupo o usuario del equipo local
administrado. Puede contener hasta 256 caracteres, en mayúsculas o minúsculas, excepto los siguientes:
"/[ ] :; | =, + * ? < >
Un nombre de grupo no puede contener exclusivamente puntos (.) o espacios en blanco.


1. Abra la ventana del símbolo del sistema.
2. Para crear un grupo, escriba:
net localgroupnombreDeGrupo/add

Notas
local. Si el equipo está unido a un dominio, los miembros del grupo Administradores de domini o podrían
Para abrir el símbolo del sistema, haga clic en Inicio, seleccione Todos los programas, Accesorios y, a
continuación, haga clic en Símbolo del sistema.
El nombre de un grupo local no puede coincidir con ningún otro nombre de grupo o usuario del equipo local
administrado. Puede contener hasta 256 caracteres, en mayúsculas o minúsculas, excepto los siguientes:
"/[ ] :; | =, + * ? < >
Un nombre de grupo no puede contener exclusivamente puntos (.) o espacios en blanco.
Para obtener más información acerca del comando net localgroup, vea Temas relacionados.

Agregar un miembro a un grupo local
Para agregar un miembro a un grupo local



¿Dónde?
o Administración del equipo (local)/Herramientas del sistema/Usuarios y grupos locales/Grupos
3. Haga clic con el botón secundario del mouse (ratón) en el grupo al que desee agregar un miembro, haga clic
en Agregar al grupo y, a continuación, en Agregar.
4. En el cuadro de diálogo Seleccionar usuarios, equipos o grupos, realice las acciones siguientes:
o Para agregar al grupo una cuenta de usuario o de grupo, escriba el nombre de ésta en Escriba los
nombres de objeto que desea seleccionar y, después, haga clic en Aceptar.
o Para agregar una cuenta de equipo a este grupo, haga clic en Tipos de objetos, active la casilla de
verificación Equipos y, a continuación, haga clic en Aceptar. En Escriba los nombres de objeto que
desea seleccionar, escriba el nombre de la cuenta de equipo que desee agregar al grupo y, después,
haga clic en Aceptar.

Notas
Para ejecutar este procedimiento, debe ser miembro del grupo Usuarios avanzados que creó la cuenta o del
grupo Administradores del equipo local, o bien debe tener delegada la autoridad apropiada. Si el equipo se
ha unido a un dominio, los miembros del grupo Administradores de dominio pueden llevar a cabo este
procedimiento. Como práctica de seguridad, se recomienda utilizar la opción Ejecutar como para realizar
este procedimiento. Para obtener más información, vea Grupos locales predeterminados, Grupos
predeterminados y Utilizar Ejecutar como.


Para quitar un miembro de un grupo local, seleccione la cuenta de usuario, cuenta de equipo o cuenta de
grupo en Miembros y, a continuación, haga clic en Quitar.
Los derechos y permisos asignados a un grupo se asignan a todos sus miembros. Para obtener más
información, vea los Temas relacionados.
Reduzca al mínimo ne cesario el número de usuarios del grupo Administradores, ya que en un equipo local
los miembros de dicho grupo tienen permisos de Control total.
Si el equipo se ha unido a un dominio, también puede agregar a un grupo local las cuentas de usuario, de
equipo y de grupo de ese dominio y de los dominios de confianza.


2. Para agregar un miembros al grupo Usuarios avanzados, escriba:
net localgroup"nombreDeGrupoUsuariosAvanzados""nombreDeMiembro"/add
Es necesario incluir las comillas.

Notas
Para ejecutar este procedimiento, debe ser miembro del grupo Usuarios avanzados que creó la cuenta o del
grupo Administradores del equipo local, o bien debe tener delegada la autoridad apropiada. Si el equipo se
ha unido a un dominio, los miembros del grupo Administradores de dominio pueden llevar a cabo este
procedimiento. Como práctica de seguridad, se recomienda utilizar la opción Ejecutar como para realizar
este procedimiento. Para obtener más información, vea Grupos locales predeterminados, Grupos
predeterminados y Utilizar Ejecutar como.
Los derechos y permisos asignados a un grupo se asignan a todos sus miembros. Para obtener más
información, vea los Temas relacionados.
Reduzca al mínimo ne cesario el número de usuarios del grupo Administradores, ya que en un equipo local
los miembros de dicho grupo tienen permisos de Control total.
Si el equipo se ha unido a un dominio, también puede agregar a un grupo local las cuentas de usuario, de
equipo y de grupo de ese dominio y de los dominios de confianza.

Identificar miembros de un grupo local
Para identificar miembros de un grupo local



¿Dónde?
o Administración del equipo (local)/Herramientas del sistema/Usuarios y grupos locales/Grupos
3. Haga clic con el botón secundario del mouse (ratón) en el grupo cuyos miembros desee identificar y, a
continuación, haga clic en Propiedades.

Notas
Para llevar a cabo esta tarea no es necesario contar con credenciales administrativas. Por lo tanto, para
garantizar la mayor seguridad, se recomienda realizar esta tarea como usuario sin credenciales
administrativas.


2. Para ver los miembros del grupo Usuarios avanzados, escriba lo siguiente:
net localgroup"nombreDeGrupoUsuariosAvanzados"
Es necesario incluir las comillas.

Notas
Para llevar a cabo esta tarea no es necesario conta r con credenciales administrativas. Por lo tanto, para
garantizar la mayor seguridad, se recomienda realizar esta tarea como usuario sin credenciales
administrativas.
Para obtener más información acerca del comando net localgroup, vea los Temas relacionados.

Eliminar un grupo local
Para eliminar un grupo local

Using the Windows interface
Using a command line


¿Dónde?
o Administración de equipos/Herramientas del sistema/Usuarios y grupos locales/Grupos
3. Haga clic con el botón secundario del mouse (ratón) en el grupo que desea eliminar y, a continuación,
haga clic en Eliminar.

Notas


Los siguientes grupos predeterminados no se pueden eliminar:
o Administradores
o Operadores de copia de seguridad
o Invitados
o Operadores de configuración de red
o Usuarios del registro de rendimiento
o Usuarios del Monitor de sistema
o Usuarios avanzados
o Operadores de impresión
o Usuarios de escritorio remoto
o Replicador
o Usuarios
Los grupos eliminados no se pueden recuperar.
Al eliminar un grupo local sólo se elimina el grupo, no las cuentas de usuario, las cuentas de equipo ni las
cuentas de grupo que eran miembros de dicho grupo.
Si elimina un grupo y crea otro con el mismo nombre, deberá establecer nuevos permisos para el nuevo
grupo, ya que éste no heredará los permisos concedidos al grupo antiguo.

Mediante una línea de comandos

2. Para eliminar un grupo, escriba:
net localgroupnombreDeGrupo/delete

Notas
Los siguientes grupos predeterminados no se pueden eliminar:
o Administradores
o Operadores de copia de seguridad
o Invitados
o Operadores de configuración de red
o Usuarios del registro de rendimiento
o Usuarios del Monitor de sistema
o Usuarios avanzados
o Operadores de impresión
o Usuarios de escritorio remoto
o Replicador
o Usuarios
Los grupos eliminados no se pueden recuperar.
Al eliminar un grupo local sólo se elimina el grupo, no las cuentas de usuario, las cuentas de equi po ni las
cuentas de grupo que eran miembros de dicho grupo.
Si elimina un grupo y crea otro con el mismo nombre, deberá establecer nuevos permisos para el nuevo
grupo, ya que éste no heredará los permisos concedidos al grupo antiguo.
Para obtener más información acerca del comando net localgroup, vea Temas relacionados.

Permitir que los miembros del grupo Inicio de sesión anónimo sean
miembros del grupo Todos en un equipo local
1. Abra Configuración de seguridad local.
2. En el árbol de la consola, haga doble clic en Directivas locales y, a continuación, haga clic en
Opciones de seguridad.
3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en Acceso de
red: dejar que los permisos de Todos se apliquen a los usuarios anónimos y, a continuación, haga
clic en Propiedades.
4. En la ficha Configuración de seguridad local , haga clic en Habilitada.

Notas
Para llevar a cabo este procedimiento, debe ser miembro del grupo Administradores en el equipo
local o tener delegada la autoridad correspondiente. Si el equipo está unido a un dominio, los
miembros del grupo Administradores de dominio podrían llevar a cabo este procedimiento. Como
práctica recomendada de seguridad, considere la posibilidad de utilizar la opción Ejecutar como para
llevar a cabo este procedimiento.
Para abrir la Configuración de seguridad local, haga clic en Inicio, seleccione Todos los programas,
Herramientas administrativas y, a continuación, haga clic en Directiva de seguridad local.
El grupo de seguridad Todos no está incluido en el testigo del usuario anónimo de forma
predeterminada.

Configuración de seguridad predeterminada para grupos
Antes de modificar la configuración de seguridad, es importante tener en consideración la configuración
predeterminada.

Hay tres niveles fundamentales de seguridad que se conceden a los usuarios. Estos niveles se otorgan a los
usuarios finales a través de su pertenencia a los grupos Usuarios, Usuarios avanzados o Administradores.

Administradores

El grupo Administradores se proporciona para realizar tareas de mantenimiento en el equipo. Los permisos
predeterminados asignados a este grupo permiten un control completo sobre todo el sistema. Por tanto, sólo
el personal de confianza debería ser miembro de este grupo.

Usuarios avanzados

Los miembros del grupo Usuarios avanzados tienen más permisos que los componentes de los grupos
Usuarios y menos que los del grupo Administradores. Estos usuarios pueden realizar cualquier tarea del
sistema operativo excepto aquellas reservadas para el grupo Administradores. Los permisos predeterminados
asignados al grupo Usuarios avanzados permiten a sus miembros modificar las opciones de configuración
que afectan a todo el equipo.

Cuando se actualiza Windows NT 4.0, los miembros del grupo Usuarios restringidos se colocan
automáticamente en el grupo Usuarios avanzados para evitar problemas de compatibilidad con las versiones
anteriores de las aplicaciones. Muchas aplicaciones utilizadas en Windows NT 4.0 necesitaban permisos
elevados para ejecutarse correctamente. La configuración de seguridad predeterminada de Windows 2000,
Windows XP Professional y la familia de Windows Server 2003 para los Usuarios avanzados es muy similar


a la configuración de seguridad para los Usuarios de Windows NT 4.0. Cualquier programa que un usuario
puede ejecutar en Windows NT 4.0, puede ejecutarlo un Usuario avanzado en Windows 2000, Windows XP
Professional o la familia de Windows Server 2003.

Si no desea que los usuarios finales tengan los permisos elevados del grupo Usuarios avanzados, puede
hacerles miembros del grupo Usuarios y que sólo ejecuten aplicaciones que pertenecen al programa del
logotipo de Windows para software. Si es necesario utilizar aplicaciones que no pertenezcan al programa del
logotipo de Windows para software, los usuarios finales deberán formar parte del grupo Usuarios avanzados.
Para obtener información acerca del programa del logotipo de Windows para software, vea su página en el
sitio Web de Microsoft.

Los Usuarios avanzados pueden:

Ejecutar aplicaciones antiguas, además de aplicaciones de Windows 2000, Windows XP Professional
o de la familia de Windows Server 2003 que pertenezcan al programa del logotipo de Windows para
software.
Instalar programas que no modifican archivos del sistema operativo ni instalan servicios del sistema.
Personalizar los recursos de todo el sistema, entre los que se incluyen impresoras, fecha y hora,
opciones de energía y otros recursos del Panel de control.
Crear y administrar cuentas de usuario y grupos locales.
Iniciar y detener servicios del sistema que no se inician de forma predeterminada.

El grupo Usuarios avanzados no tiene permisos para agregarse a sí mismo al grupo Administradores. No
tiene acceso a los datos de otros usuarios de un volumen NTFS, a menos que dichos usuarios les otorguen el
permiso.

Precaución

La ejecución de programas antiguos en Windows 2000, Windows XP Professional o en un miembro
de la familia de Windows Server 2003 suele requerir la modificación del acceso a ciertas opciones de
configuración del sistema. Los mismos permisos predeterminados que permiten a los miembros del
grupo Usuarios avanzados ejecutar programas antiguos también pueden hacer posible que un Usuario
avanzado obtenga privilegios adicionales sobre el sistema, incluso el control administrativo
completo. Por lo tanto, es importante implementar aplicaciones que pertenezcan al programa del
logotipo de Windows para software con el fin de conseguir la máxima seguridad sin sacrificar la
funcionalidad del programa. Estos programas se pueden ejecutar correctamente en la configuración
Segura proporcionada por el grupo Usuarios.
Como el grupo Usuarios avanzados puede instalar o modificar programas, actuar como miembro del
grupo Usuarios avanzados al conectarse a Internet podría exponer el sistema ante programas de tipo
caballo de Troya y otros riesgos para la seguridad.

Usuarios

El grupo Usuarios es el más seguro, ya que los permisos que tiene asignados de forma predeterminada no
permiten a sus miembros modificar la configuración del sistema operativo ni los datos de otros usuarios.

El grupo Usuarios proporciona el entorno más seguro para ejecutar programas. En un volumen formateado
con el sistema de archivos NTFS, la configuración de seguridad predeterminada de un sistema recién
instalado (no actualizado) está diseñada para que los miembros de este grupo no puedan poner en peligro la
integridad del sistema operativo y de las aplicaciones instaladas. Los usuarios no pueden modificar la
configuración del Registro, los archivos del sistema operativo ni los archivos de programa. Los usuarios


pueden apagar las estaciones de trabajo, pero no los servidores. Asimismo, pueden crear grupos locales, pero
únicamente pueden administrar los grupos locales que hayan creado. Pueden ejecutar programas de
Windows 2000, Windows XP Professional o un miembro de la familia de Windows Server 2003 que
pertenezcan al programa del logotipo de Windows para software que haya sido instalado o implementado
por los administradores. Los usuarios tienen control total sobre todos sus archivos de datos (almacenados en
%userprofile%) y su propia parte del Registro (que se encuentra en HKEY_CURRENT_USER).

Tenga en cuenta que los permisos de los usuarios no suelen dejarles ejecutar correctamente aplicaciones
antiguas. Para ejecutar dichas aplicaciones, debe rebajar la seguridad para que los miembros del grupo
Usuarios tengan esa capacidad o promover los miembros del grupo Usuarios al grupo Usuarios avanzados.
Ambas opciones reducen la seguridad de la organización. Dado que los miembros del grupo Usuarios tienen
la garantía de poder ejecutar aplicaciones que pertenezcan al programa del logotipo de Windows para
software, resulta conveniente utilizar sólo este tipo de aplicaciones. Para obtener más información, vea el
programa del logotipo de Windows para software en el sitio Web de Microsoft

Para garantizar la seguridad de un sistema que ejecuta Windows 2000, Windows XP Professional o un
miembro de la familia de Windows Server 2003, un administrador debe:

Asegurarse de que los usuarios finales sólo son miembros del grupo Usuarios.
Implementar programas que los miembros del grupo Usuarios puedan ejecutar correctamente, por
ejemplo, aquéllos que pertenecen al programa del logotipo de Windows para software.

Los usuarios no podrán ejecutar la mayor parte de los programas escritos para versiones de Windows
anteriores a Windows 2000, porque no admitían el sistema de archivos y la seguridad del Registro (como
Windows 95 y Windows 98) o se suministraron con otras configuraciones de seguridad predeterminadas
(Windows NT). Si tiene problemas al ejecutar aplicaciones antiguas en sistemas NTFS recién instalados,
siga una de las acciones siguientes:

1. Instale nuevas versiones de las aplicaciones que pertenecen al programa del logotipo de Windows
para software.
2. Traslade a los usuarios desde el grupo Usuarios al grupo Usuarios avanzados.
3. Reduzca los permisos de seguridad predeterminados del grupo Usuarios. Esto se puede conseguir
mediante la plantilla de seguridad compatible.

El grupo Anónimo ya no es miembro del grupo Todos
En Windows XP Professional y la familia de Windows Server 2003, el grupo Anónimo ha dejado de ser
miembro del grupo Todos.

Cuando un sistema Windows 2000 se actualiza a Windows XP Professional o a la familia de Windows
Server 2003, los recursos con entradas con permiso para el grupo Todos (y no explícitamente para el grupo
Inicio de sesión anónimo) dejarán de estar disponibles para los usuarios anónimos después de la
actualización. En la mayor parte de los casos, es una restricción apropiada para el acceso anónimo. Puede
que tenga que permitir el acceso anónimo para mantener la compatibilidad con aplicaciones existentes que lo
requieran. Si necesita conceder acceso al grupo Inicio de sesión anónimo, debe agregarlo de forma explícita,
así como los permisos correspondientes.

Sin embargo, en determinados casos en los que puede resultar difícil determinar y modificar las entradas
correspondientes a los permisos en los recursos, puede cambiar la opción de configuración de seguridad
Network access: deja que los permisos de Todos se apliquen a los usuarios anónimos.


Otros grupos
Interactivo. Este grupo contiene al usuario que ha iniciado actualmente la sesión en el equipo.
Durante una actualización a Windows 2000, Windows XP Professional o a la familia de Windows
Server 2003, los miembros del grupo Interactivo también se agregarán al grupo Usuarios avanzados,
para que las aplicaciones antiguas puedan seguir funcionando igual que antes de la actualización.
Red. Este grupo contiene a todos los usuarios que tienen actualmente acceso al sistema a través de la
red.
Operadores de copia de seguridad
Los miembros del grupo Operadores de copia pueden realizar copias de seguridad y restaurar
archivos en el equipo, independientemente de los permisos que protejan dichos archivos. También
pueden iniciar sesión en el equipo y apagarlo, pero no pueden cambiar la configuración de seguridad.
Precaución
o La copia de seguridad y la restauración de archivos de datos y de sistema requiere permisos
para leer y escribir dichos archivos. Los mismos permisos predeterminados concedidos a
Operadores de copia de seguridad que les permiten hacer copia de seguridad de los archivos y
restaurarlos también hacen posible que utilicen los permisos del grupo para otros propósitos,
como leer los archivos de otros usuarios o instalar programas de caballo de Troya. Se puede
utilizar la configuración de Directiva de grupo para crear un entorno en el que el grupo
Operadores de copia de seguridad sólo pueda ejecutar un programa de copia de seguridad.
Para obtener más información, vea la página de seguridad de Microsoft en el sitio Web de
Microsoft.

Fuente Original: http://technet.microsoft.com/es-es/library/cc786411%28WS.10%29.aspx
http://technet.microsoft.com/es-es/library/cc785020(WS.10).aspx
http://technet.microsoft.com/es-es/library/cc757094(WS.10).aspx

Todo el contenido de este documento es propiedad de las fuentes originales bajo su respectivo licenciamiento, la
institución educativa que lo emite no se atribuye ningún derecho sobre la información contenida en este, solo se
hace referencia y mención de la misma con fines totalmente informativos.

7 cuentas usuariowindowsasoitson

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (16)

Destacado

Destacado (20)

Similar a 7 cuentas usuariowindowsasoitson

Similar a 7 cuentas usuariowindowsasoitson (20)

Más de OpenCourseWare México

Más de OpenCourseWare México (20)

7 cuentas usuariowindowsasoitson