Introducción a las configuraciones de seguridad "Suplantar a un cliente después de la autenticación" y "Crear objetos globales" (821546.KB.EN-US.2.2)

Seleccione idioma Seleccione idioma
Id. de artículo: 821546 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

En este artículo se describen los derechos de usuario "Suplantar a un cliente tras la autenticación" y "Crear objetos globales". Estas nuevas configuraciones de seguridad se introdujeron por primera vez en Windows 2000 Service Pack 4 (SP4) y ayudan a aumentar la seguridad en Windows 2000. En este artículo se describen las nuevas configuraciones de seguridad y también se incluye información acerca de algunos problemas que pueden ocurrir y cómo solucionarlos.

Importante: considere las cuestiones siguientes cuando aplique los derechos de usuario "Suplantar a un cliente tras la autenticación" y "Crear objetos globales" con la directiva de dominio predeterminada o con Directiva de grupo:
  • Los derechos de usuario "Suplantar a un cliente tras la autenticación" y "Crear objetos globales" sólo se aplican a equipos que ejecutan Windows 2000 Service Pack 4 o posterior.
  • Puede usar la directiva de dominio predeterminada o Directiva de grupo para aplicar las configuraciones de seguridad "Suplantar a un cliente tras la autenticación" y "Crear objetos globales" en los equipos del entorno si ejecutan Windows 2000 Service Pack 2 (SP2) o posterior. Observe que aunque puede implementar la configuración de seguridad en un entorno que contiene equipos basados en Windows 2000 Service Pack 2 y Windows 2000 Service Pack 3 (SP3), las configuraciones de seguridad sólo se aplican en los equipos basados en Windows 2000 Service Pack 4. No se aplican en los equipos que ejecutan Windows 2000 Service Pack 2 o Windows 2000 Service Pack 3.
  • No use la directiva de dominio predeterminada u otra directiva de grupo para aplicar uno o ambos de estos nuevos derechos de usuario a los equipos que ejecutan Windows 2000 o Windows 2000 Service Pack 1 (SP1). Tenga en cuenta que si usa la directiva de dominio predeterminada o una directiva de grupo diferente para aplicar estos derechos de usuario a los equipos que ejecutan Windows 2000 o Windows 2000 Service Pack 1 (SP1), la propagación de la configuración de seguridad de la directiva no se realiza. Es decir, la directiva no se propaga a los equipos con Windows 2000 o Windows 2000 Service Pack 1 y los derechos de usuario no se muestran en el complemento Configuración de seguridad local. Las situaciones siguientes pueden producirse si usa la directiva de dominio predeterminada u otra directiva de grupo para aplicar uno o ambos de estos nuevos derechos de usuario en los equipos que ejecutan Windows 2000 o Windows 2000 Service Pack 1 (SP1):
    • Otras opciones de configuración de la directiva de seguridad adicionales que se encuentran en el mismo objeto de directiva de grupo y que se destinan a los equipos con Windows 2000 o Windows 2000 Service Pack 1 (SP1) no se propagan en los dispositivos de destino.
    • Las configuraciones adicionales de la directiva de seguridad que se aplican con otras directivas de grupo en los sitios, dominios o unidades organizativas pasan a los equipos con Windows 2000 o Windows 2000 Service Pack 1 (SP1) que se propagarán.
    • Si alguna de estas nuevas configuraciones de seguridad se destina a los equipos con Windows 2000 o Windows 2000 Service Pack 1 (SP1), el complemento de seguridad MMC local en esos dispositivos no puede mostrar correctamente ninguna configuración de seguridad. Sin embargo, todas las configuraciones de seguridad que se aplican a los equipos de destino de otros objetos de directiva de grupo del dominio (que no contienen las nuevas opciones) se les siguen aplicando.
  • Del mismo modo, puede usar la directiva de seguridad Controlador de dominio predeterminado para aplicar las configuraciones de seguridad "Suplantar a un cliente tras la autenticación" y "Crear objetos globales" para los controladores de dominio del entorno si éstos ejecutan Windows 2000 Service Pack 2 o posterior. Observe que aunque puede implementar la configuración de seguridad en un entorno que contenga equipos basados en Windows 2000 Service Pack 2 y Windows 2000 Service Pack 3, las configuraciones de seguridad sólo se aplican en los controladores de dominio basados en Windows 2000 Service Pack 4. No se aplican en los controladores de dominio que ejecuten Windows 2000 Service Pack 2 o Windows 2000 Service Pack 3.

Derecho de usuario "Suplantar a un cliente tras la autenticación" (SeImpersonatePrivilege)

El derecho de usuario "Suplantar a un cliente tras la autenticación" (SeImpersonatePrivilege) es una configuración de seguridad de Windows 2000 que se introdujo por primera vez en Windows 2000 Service Pack 4. De forma predeterminada, a los miembros del grupo Administradores local del dispositivo o de la cuenta Servicio local del dispositivo se les asigna el derecho de usuario "Suplantar a un cliente tras la autenticación". Los componentes siguientes también tienen este derecho de usuario:
  • Servicios que inicia el Administrador de control de servicios
  • Servidores del Modelo de objetos componentes (COM, Component Object Model) que se inician en la infraestructura COM y se configuran para ejecutarse en una cuenta concreta
Cuando asigna el derecho de usuario "Suplantar a un cliente tras la autenticación" a un usuario, permite a los programas que se ejecuten en nombre de ese usuario suplantar a un cliente. Esta configuración de seguridad ayuda a impedir que los servidores no autorizados suplanten a los clientes que se conectan a ellos a través de métodos como las llamadas a procedimientos remotos (RPC) o las canalizaciones con nombre. Para obtener más información acerca de la función SeImpersonatePrivilege, visite el siguiente sitio Web de Microsoft:
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/security/security/authorization_constants.asp
Para obtener más información acerca de las funciones Impersonate (como ImpersonateClient, ImpersonateLoggedOnUser e ImpersonateNamedPipeClient), busque SeImpersonatePrivilege en la documentación el SDK de la plataforma de Microsoft. Para ver esta documentación, visite el siguiente sitio Web de Microsoft:
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/security/security/authorization_constants.asp

Solución de problemas

  • Algunos programas que usan la suplantación pueden no funcionar correctamente después de instalar Windows 2000 Service Pack 4

    Después de instalar Windows 2000 Service Pack 4 (SP4) en un equipo, algunos programas que usan la suplantación pueden no funcionar correctamente.

    Este problema puede producirse en situaciones en las que la cuenta de usuario que se usa para ejecutar el programa no tenga el derecho de usuario "Suplantar a un cliente tras la autenticación".

    En los equipos que ejecutan Windows 2000 Service Pack 3 (SP3) y versiones anteriores, para suplantar a un cliente no se requiere un derecho de usuario. Por lo tanto, algunos programas que utilizan la suplantación pueden no funcionar correctamente después de instalar Windows 2000 Service Pack 4.

    Para resolver este problema, identifique la cuenta de usuario que se usa para ejecutar el programa y asígnele el derecho de usuario "Suplantar a un cliente tras la autenticación". Para ello, siga estos pasos:
    1. Haga clic en Inicio, seleccione Programas, seleccione Herramientas administrativas y haga clic en Directiva de seguridad local.
    2. Expanda Directivas locales y haga clic en Asignación de derechos de usuario.
    3. En el panel de la derecha, haga doble clic en Suplantar a un cliente tras la autenticación.
    4. En el cuadro de diálogo Configuración de la directiva de seguridad local, haga clic en Agregar.
    5. En el cuadro de diálogo Seleccionar usuarios o grupo, haga clic en la cuenta de usuario que desee agregar, haga clic en Agregar y haga clic en Aceptar.
    6. Haga clic en Aceptar.
    Nota: cuando no pueda determinar la cuenta de usuario que se usa para ejecutar un programa, si desea solucionar un problema y comprobar que los síntomas que experimenta están ocasionados por el derecho de usuario, asigne el derecho de usuario "Suplantar a un cliente tras la autenticación" al grupo Todos e inicie el programa. Si el programa funciona correctamente, el problema que experimenta puede deberse a la nueva configuración de seguridad.
  • Aparece un mensaje de error "Error al intentar ejecutar un proyecto" cuando depura una aplicación Web en Visual Studio .NET

    Para obtener información adicional acerca de cómo resolver este problema, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    821255 Recibe el mensaje de error "Error al intentar ejecutar el proyecto" al depurar una aplicación Web en Visual Studio .NET

Derecho de usuario "Crear objetos globales" (SeCreateGlobalPrivilege)

El derecho de usuario "Crear objetos globales" (SeCreateGlobalPrivilege) es una configuración de seguridad de Windows 2000 que se introdujo por primera vez en Windows 2000 Service Pack 4. Este derecho de usuario se necesita para que una cuenta de usuario cree objetos globales en una sesión de Servicios de Terminal Server. Observe que los usuarios siguen pudiendo crear objetos específicos de la sesión sin que se les asigne este derecho. De forma predeterminada, el derecho "Crear objetos globales" se asigna a los miembros del grupo Administradores, la cuenta del sistema y los servicios que inicia el Administrador de control de servicios

Solución de problemas

  • Algunos programas pueden no funcionar correctamente tras instalar Windows 2000 Service Pack 4

    Después de instalar Windows 2000 Service Pack 4 (SP4) en un equipo, algunos programas pueden no funcionar correctamente. Este problema puede producirse en situaciones en las que la cuenta de usuario que se usa para ejecutar el programa no tenga el derecho de usuario "Crear objetos globales".

    Para resolver este problema, identifique la cuenta de usuario que se usa para ejecutar el programa y asígnele el derecho de usuario "Crear objetos globales". Para ello, siga estos pasos:
    1. Haga clic en Inicio, seleccione Programas, seleccione Herramientas administrativas y haga clic en Directiva de seguridad local.
    2. Expanda Directivas locales y haga clic en Asignación de derechos de usuario.
    3. En el panel derecho, haga doble clic en Crear objetos globales.
    4. En el cuadro de diálogo Configuración de directiva de seguridad local, haga clic en Agregar.
    5. En el cuadro de diálogo Seleccionar usuarios o grupo, haga clic en la cuenta de usuario que desee agregar, haga clic en Agregar y haga clic en Aceptar.
    6. Haga clic en Aceptar.
    Nota: cuando no pueda determinar la cuenta de usuario que se usa para ejecutar un programa, si desea solucionar un problema y comprobar que los síntomas que experimenta están ocasionados por el derecho de usuario, asigne el derecho de usuario "Crear objetos globales" al grupo Todos e inicie el programa. Si el programa funciona correctamente, el problema que experimenta puede deberse a la nueva configuración de seguridad.
  • Aparece un mensaje de error "No hay memoria suficiente" cuando busca clips en un documento de Office XP en una sesión de Servicios de Terminal Server

    Para obtener información adicional acerca de este problema, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    821257 Recibe el mensaje "Memoria insuficiente" al buscar clips en un documento de Office XP en una sesión de Servicios de Terminal Server
  • El equipo deja de responder cuando reinicia un equipo basado en Windows 2000 Server después de instalar McAfee Parental Control

    Para obtener información adicional acerca de este problema, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    823043 El equipo con Windows 2000 deja de responder cuando reinicia después de instalar McAfee Parental Controls

Referencias

Para obtener información adicional acerca de cómo obtener el Service Pack más reciente de Windows 2000, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
260910 Cómo obtener el Service Pack más reciente para Windows 2000

Propiedades

Id. de artículo: 821546 - Última revisión: martes, 6 de febrero de 2007 - Versión: 6.1
La información de este artículo se refiere a:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Service Pack 4 de Microsoft Windows 2000
Palabras clave: 
kbfix kbbug KB821546

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com