CÓMO: Configurar cuentas de equipo y cuentas de usuario para que Windows Server 2003 Enterprise Edition confíe en ellas para delegación

Seleccione idioma Seleccione idioma
Cerrar Cerrar
Id. de artículo: 325894 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

Este artículo describe cómo configurar cuentas para que sean de confianza para delegación en un entorno Windows Server 2003 Enterprise Edition. Un parámetro de seguridad determina qué usuarios pueden establecer Se confía para delegación en un objeto de usuario o de equipo.

El usuario o el objeto al que se conceda el derecho de usuario Se confía para delegación debe tener acceso de escritura en los indicadores de control de cuenta del objeto de usuario o del objeto de equipo. Un proceso de servidor que se ejecute en un equipo (o bajo un contexto de usuario) con confianza para delegación tendrá acceso a los recursos de otro equipo mediante las credenciales delegadas de un equipo cliente. Un proceso del servidor sólo puede tener acceso a estos recursos si la cuenta del cliente no tiene establecido el indicador de control de cuenta La cuenta no se puede delegar.

El derecho de usuario Se confía para delegación se define en el Objeto de directiva de grupo (GPO) del controlador de dominio predeterminado y en la directiva de seguridad local de cada estación de trabajo y cada servidor.

PRECAUCIÓN: si no utiliza correctamente la configuración de la opción Se confía para delegación o del derecho de usuario Se confía para delegación, puede poner la red en peligro ante ataques sofisticados que utilicen programas de tipo caballo de Troya para suplantar a clientes con acceso y utilizar sus credenciales para obtener acceso a los recursos de red. De manera predeterminada, el derecho Se confía para delegación se asigna a la cuenta del Administrador en un controlador de dominio.

Cómo configurar una cuenta de equipo para que sea de confianza para delegación

En un dominio de Windows Server 2003 Enterprise Edition

  1. Haga clic en Inicio, en Panel de control, haga doble clic en Herramientas administrativas y, a continuación, haga doble clic en Usuarios y equipos de Active Directory.
  2. En el árbol de la consola, haga clic en Equipos.
  3. Haga clic con el botón secundario del mouse (ratón) en el equipo que desee configurar y, a continuación, haga clic en Propiedades.
  4. Haga clic en la ficha Delegación, haga clic en Confiar en este equipo para la delegación a cualquier servicio (sólo Kerberos) y, a continuación, haga clic en Aceptar.

En un dominio nativo de Microsoft Windows 2000

  1. Haga clic en Inicio, en Panel de control, haga doble clic en Herramientas administrativas y, a continuación, haga doble clic en Usuarios y equipos de Active Directory.
  2. En el árbol de la consola, haga clic en Equipos.
  3. Haga clic con el botón secundario del mouse en el equipo que desee configurar y, a continuación, haga clic en Propiedades.
  4. Haga clic en la ficha General, haga clic en Confiar en este equipo para delegación y, a continuación, haga clic en Aceptar.
NOTA: por razones de seguridad, no permita que los servidores de la red empresarial realicen delegaciones libremente para cualquier conexión de red.

Cómo configurar una cuenta de usuario para que sea se confianza para delegación

En un dominio de Windows Server 2003 Enterprise Edition

  1. Haga clic en Inicio, en Panel de control, haga doble clic en Herramientas administrativas y, a continuación, haga doble clic en Usuarios y equipos de Active Directory.
  2. En el árbol de la consola, haga clic en Usuarios.
  3. Haga clic con el botón secundario del mouse en el servicio que desee configurar y, a continuación, haga clic en Propiedades.
  4. Haga clic en la ficha Delegación, haga clic en Confiar en este usuario para la delegación a cualquier servicio (sólo Kerberos) y, a continuación, haga clic en Aceptar.

En un dominio nativo de Microsoft Windows 2000

  1. Haga clic en Inicio, en Panel de control, haga doble clic en Herramientas administrativas y, a continuación, haga doble clic en Usuarios y equipos de Active Directory.
  2. En el árbol de la consola, haga clic en Usuarios.
  3. Haga clic con el botón secundario del mouse en el servicio que desee configurar y, a continuación, haga clic en Propiedades.
  4. Haga clic en la ficha Cuentas, haga clic en Se confía en la cuenta para su delegación y, a continuación, haga clic en Aceptar.
NOTA: por razones de seguridad, no permita que los servidores de la red empresarial realicen delegaciones libremente para cualquier conexión de red.

Si la ficha Delegación no aparece, debe registrar un Nombre principal de servicio (Service Principal Name, SPN) para la cuenta mediante la utilidad Setspn que se incluye en el paquete de Herramientas de Soporte técnico que encontrará en el CD-ROM o en el Kit de recursos. La delegación sólo está pensada para que la utilicen las cuentas de servicio, que no tienen un SPN registrado, en lugar de las cuentas de usuario normales, que normalmente no tienen un SPN.

Cómo asignar derechos de usuario para el equipo local

  1. Haga clic en Inicio, en Panel de control, haga doble clic en Herramientas administrativas y, a continuación, haga doble clic en Directiva de seguridad local.
  2. En el árbol de consola, vaya a la ubicación siguiente y, a continuación, haga clic en Asignación de derechos de usuario:
    Configuración de seguridad/Directivas locales/Asignación de derechos de usuario
  3. En el panel de detalles, haga doble clic en el derecho de usuario que desea cambiar.
  4. Haga clic en Agregar usuario o grupo, agregue el usuario o el grupo y, a continuación, haga clic en Aceptar.

Acerca de la delegación

Delegar es el acto de permitir a un servicio suplantar a una cuenta de usuario para obtener acceso a los recursos a través de la red. En un programa de n niveles, el usuario se autentica como un servicio de nivel medio. El servicio de nivel medio se autentica en nombre del usuario en un servidor de datos.

La delegación depende del servicio de nivel medio en el que se confía para delegación. Si el servidor se configura como Se confía para delegación, el servicio puede suplantar a un usuario para utilizar otros servicios de red. Por ejemplo, un usuario ejecuta un programa Web que utiliza varias bases de datos SQL diferentes que existen en diferentes servidores. Cuando el usuario se autentica en un servidor (el servidor de aplicaciones para usuario) en el que se confía para delegación, el servidor puede suplantar al usuario para obtener acceso a la base de datos SQL en los otros servidores. Como el servidor en el que se confía para delegación tiene el tíquet de obtención de tíquets (TGT) del usuario, puede autenticarse en cualquier servicio en la red. Como resultado, esta configuración no es segura. En Windows Server 2003 puede controlar los servicios que pueden suplantar al usuario utilizando la delegación limitada.

Propiedades

Id. de artículo: 325894 - Última revisión: jueves, 06 de noviembre de 2003 - Versión: 4.1
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Palabras clave: 
kbhowto kbhowtomaster KB325894

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com