Una configuración de directiva de grupo no está disponible en la lista de configuración de directivas de seguridad

  • Artículo

En este artículo se describe un problema en el que la opción "Objetos del sistema: propietario predeterminado de objetos creados por miembros del grupo Administradores directiva de grupo" no está disponible en la lista de configuración de directivas de seguridad.

Se aplica a: Windows Server 2012 R2
Número de KB original: 947721

Síntomas

Al intentar acceder a la opción "Objetos del sistema: propietario predeterminado para objetos creados por miembros del grupo Administradores" directiva de grupo configuración en un equipo que ejecuta Windows Vista o versiones posteriores, esta configuración no está disponible en la lista de configuración de directivas de seguridad.

Cuando la configuración está presente en la directiva de grupo de seguridad, Windows Vista y los miembros de dominio más recientes la omitirán.

Causa

Windows Vista, Windows 7, Windows Server 2008 y Windows Server 2008 R2 ya no admiten esta configuración. Cuando esté habilitada, el Control de cuentas de usuario (UAC) garantizará que la cuenta de usuario se usa como propietario para todos los objetos creados localmente. Para el acceso remoto, el grupo de administradores se usará sin ningún token restringido para las sesiones de red.

Puesto que se quitó la compatibilidad con la configuración, la directiva de seguridad del sistema "Objetos del sistema: propietario predeterminado de objetos creados por miembros del grupo Administradores" ya no está disponible en la interfaz de usuario Plantillas de seguridad.

Solución

Puede agregar el valor "Objetos del sistema: propietario predeterminado de los objetos creados por miembros del grupo Administradores" directiva de grupo configuración a la interfaz de usuario Plantillas de seguridad.

Sugerencia: Este procedimiento NO hará que Windows Vista y las versiones más recientes respeten la configuración como hacen Windows XP y Windows Server 2003.

Para poder crear esta configuración de directiva de grupo para algunos equipos que ejecutan Windows XP o Windows Server 2003, siga estos pasos en un equipo que ejecuta Windows Server 2008:

  1. Inicie sesión en como administrador local para configurar la configuración de directiva de grupo.

  2. Realice una copia de seguridad del archivo c:\windows\inf\Sceregvl.inf.

  3. Tome la propiedad de este archivo y conceda al grupo administradores derechos de usuario de acceso completo. Para ello, siga estos pasos:

    Nota:

    Este archivo es propiedad del grupo TrustedInstaller. Por lo tanto, los administradores solo tienen derechos de usuario de acceso de solo lectura.

    1. Haga clic con el botón derecho en el archivo c:\windows\inf\Sceregvl.inf y, a continuación, haga clic en Propiedades.
    2. Haga clic en la pestaña Seguridad.
    3. Haga clic en Avanzadas.
    4. Haga clic en la pestaña Propietario .
    5. Haga clic en Editar.
    6. En Cambiar propietario a, haga clic en el grupo Administradores y, a continuación, haga clic en Aceptar.
    7. Haga clic tres veces en Aceptar.

  4. Para conceder al grupo administradores derechos de usuario de acceso completo al archivo, siga estos pasos.

    Nota:

    Después de conceder al grupo administradores derechos de usuario de acceso completo, puede editar y guardar los cambios en el archivo.

    1. Haga clic con el botón derecho en el archivo c:\windows\inf\Sceregvl.inf y, a continuación, haga clic en Propiedades.
    2. Haga clic en la pestaña Seguridad.
    3. Haga clic en Editar.
    4. En Nombres de grupo o de usuario, haga clic en el grupo Administradores .
    5. En Permisos para administradores, haga clic para activar la casilla Permitir para Control total y, a continuación, haga clic en Aceptar.
    6. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de Sceregvl.inf .

  5. Abra y edite el archivo c:\windows\inf\Sceregvl.inf mediante el Bloc de notas.

  6. Copie el texto siguiente que debe estar en una línea:

    MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\nodefaultadminowner,3,"Objetos del sistema: Propietario predeterminado para objetos creados por miembros del grupo Administradores", 3,0|Grupo de administradores,1|Creador de objetos

  7. Pegue el texto justo después de la siguiente línea en el archivo:(MACHINE\System\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy,4,%SCENoAp plyLegacyAuditPolicy%,0)

  8. Guarde los cambios en el archivo y, a continuación, salga del Bloc de notas.

  9. Restablezca la propiedad y los permisos del archivo c:\windows\inf\Sceregvl.inf a la configuración predeterminada. Para ello, siga estos pasos:

    1. Haga clic con el botón derecho en el archivo c:\windows\inf\Sceregvl.inf y, a continuación, haga clic en Propiedades.
    2. Haga clic en la pestaña Seguridad.
    3. Haga clic en Avanzadas.
    4. Haga clic en la pestaña Propietario .
    5. Haga clic en Editar.
    6. Haga clic en Otros usuarios o grupos.
    7. Haga clic en Ubicaciones.
    8. En Ubicaciones, haga clic en el nombre del equipo local y, a continuación, haga clic en Aceptar.
    9. En la ventana Seleccionar usuarios o grupo , escriba NT SERVICE\TrustedInstaller en Escriba el nombre del objeto que desea seleccionar y, a continuación, haga clic en Aceptar.
    10. En la ventana Configuración de seguridad avanzada para Sceregvl.inf , haga clic en la cuenta de TrustedInstaller en Cambiar propietario a y, a continuación, haga clic en Aceptar.
    11. Haga clic tres veces en Aceptar.

  10. Restablezca los permisos de acceso del grupo Administradores para el archivo c:\windows\inf\Sceregvl.inf a solo Lectura & ejecutar y Leer. Para ello, siga estos pasos:

    1. Haga clic con el botón derecho en el archivo c:\windows\inf\Sceregvl.inf y, a continuación, haga clic en Propiedades.
    2. Haga clic en la pestaña Seguridad.
    3. Haga clic en Editar.
    4. En Nombres de grupo o de usuario, haga clic en el grupo Administradores .
    5. En Permisos para administradores, haga clic para desactivar todas las casillas excepto la casilla Leer & ejecutar y la casilla Leer y, a continuación, haga clic en Aceptar.
    6. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de Sceregvl.inf .

  11. Vuelva a registrar la extensión del lado cliente para el archivo directiva de grupo Scecli.dll. Para ello, abra un símbolo del sistema con privilegios elevados, escriba el siguiente comando y presione ENTRAR:REGSVR32 scecli.dll Haga clic en Aceptar.

  12. Para aplicar la opción "Objetos del sistema: propietario predeterminado para objetos creados por miembros del grupo Administradores" directiva de grupo en la configuración de directiva de seguridad local, siga estos pasos.

Nota:

Si el equipo es un controlador de dominio, use el complemento "Directiva de seguridad del controlador de dominio".

  1. Haga clic en Inicio, en Panel de control, en Herramientas administrativasy, a continuación, en Directiva de seguridad local.
  2. Vaya a la ubicación Configuración de seguridad\Directivas locales\Opciones de seguridad.
  3. En el panel derecho de la ventana, haga clic con el botón derecho en la opción "Objetos del sistema: propietario predeterminado de los objetos creados por miembros del grupo Administradores" directiva de grupo configuración y, a continuación, haga clic en Propiedades.
  4. En el cuadro desplegable, haga clic en Creador de objetosy, a continuación, haga clic en Aceptar.
  5. Puede recibir una advertencia en un cuadro de mensaje de Seguridad de Windows. Lea la advertencia y, a continuación, haga clic en .