Al seleccionar Continuar para el acceso a carpetas en el Explorador de Windows, la cuenta de usuario se agrega a la ACL de la carpeta.
En este artículo se proporciona una solución a un problema al seleccionar Continuar para obtener acceso a una carpeta del sistema de archivos para la que no tiene permisos de lectura.
Se aplica a: Windows 10 (todas las ediciones), Windows Server 2012 R2
Número de KB original: 950934
Introducción
En este artículo se describe un escenario en el que el Explorador de Windows le pide que seleccione Continuar para obtener acceso a una carpeta del sistema de archivos para la que no tiene permisos de lectura. También describe soluciones alternativas para evitar aspectos concretos de este comportamiento. Este problema se produce en Windows Vista y versiones posteriores de Windows y en Windows Server 2008 y versiones posteriores de Windows Server. El Explorador de Windows se denomina Explorador de archivos en Windows 8 y versiones posteriores.
Más información
Suponga que el Control de cuentas de usuario (UAC) está habilitado y que usa el Explorador de Windows para acceder a una carpeta para la que no tiene permisos de lectura. Además, la carpeta no está marcada por los atributos Hidden y System. En esta situación, el Explorador de Windows muestra un cuadro de diálogo que le pide el siguiente mensaje:
Actualmente no tiene permiso para acceder a esta carpeta. Haga clic en Continuar para obtener acceso permanente a esta carpeta.
Nota:
En Windows Vista y Windows Server 2008, la segunda oración no incluye la palabra de forma permanente; simplemente dice Haga clic en Continuar para obtener acceso a esta carpeta.
A continuación, puede seleccionar Continuar o Cancelar. (Continuar está seleccionado de forma predeterminada). Si selecciona Continuar, UAC intenta obtener derechos administrativos en su nombre. En función de la configuración de seguridad de UAC que controle el comportamiento del símbolo del sistema de elevación de UAC y de si es miembro del grupo Administradores, es posible que se le pida consentimiento o credenciales. O bien, es posible que no se le pida en absoluto. Si UAC puede obtener derechos administrativos, un proceso en segundo plano cambiará los permisos en la carpeta y en todas sus subcarpetas y archivos para concederles acceso a su cuenta de usuario. En Windows Vista y Windows Server 2008, el proceso en segundo plano concede a la cuenta de usuario permisos de lectura y ejecución. En versiones posteriores de Windows, este proceso concede el control total de la cuenta de usuario.
Este comportamiento es una característica del diseño de la aplicación. Pero dado que el patrón típico con elevación de UAC es ejecutar una instancia del programa con privilegios elevados con derechos administrativos, es posible que los usuarios esperen que al seleccionar Continuar, que generará una instancia con privilegios elevados del Explorador de Windows, y no realice cambios permanentes en los permisos del sistema de archivos. Sin embargo, esta expectativa no es posible, ya que el diseño del Explorador de Windows no admite la ejecución de varias instancias de proceso en contextos de seguridad diferentes en una sesión de usuario interactiva.
Si UAC está deshabilitado, no es posible la elevación de UAC. Todos los programas que ejecutan los miembros del grupo Administradores, incluido el Explorador de Windows, siempre tienen derechos administrativos. Por lo tanto, los administradores no necesitan usar la elevación para acceder a los recursos que requieren derechos administrativos. Por ejemplo, si una carpeta concede acceso solo al grupo Administradores y a la cuenta del sistema, un administrador puede examinarla directamente sin que se le pida que modifique los permisos de la carpeta. Si el usuario no tiene permisos de lectura, el Explorador de Windows muestra el cuadro de diálogo que se describió anteriormente. Sin embargo, si UAC está deshabilitado, Windows no puede solicitar credenciales administrativas para el usuario a través de un símbolo del sistema de elevación de UAC. Por lo tanto, Windows no iniciará un proceso en segundo plano con permisos administrativos para cambiar los permisos del sistema de archivos.
Sin embargo, si el usuario selecciona Continuar y el descriptor de seguridad actual de la carpeta concede al usuario permiso para leer y cambiar los permisos del objeto, Windows iniciará el proceso en segundo plano en el contexto de seguridad actual del usuario y modificará los permisos de la carpeta para conceder al usuario mayor acceso, como se describió anteriormente. El usuario puede tener permiso para leer y cambiar los permisos del objeto de la propiedad del objeto o de la lista de control de acceso (ACL) del objeto.
Problemas conocidos
Esta característica puede provocar un comportamiento inesperado. Por ejemplo, suponga que pertenece al grupo Administradores y que usa el Explorador de Windows para acceder a una carpeta que requiere acceso administrativo. Una vez que se han cambiado los permisos, cualquier programa que se ejecute a través de la cuenta de usuario puede tener control total de la carpeta, incluso si el programa no tiene privilegios elevados e incluso después de que la cuenta se haya quitado del grupo Administradores. Estos permisos modificados pueden infringir las directivas de seguridad de una organización y se pueden marcar en una auditoría de seguridad. Además, si un programa comprueba los permisos del sistema de archivos, puede negarse a ejecutarse si se han cambiado los permisos.
UAC debe permanecer habilitado en todos los casos, excepto en las circunstancias restringidas que se describen en Cómo deshabilitar el Control de cuentas de usuario (UAC) en Windows Server.
Solución alternativa 1
Para evitar cambiar los permisos de una carpeta accesible solo para los administradores, considere la posibilidad de usar otro programa que se pueda ejecutar con privilegios elevados en lugar de usar el Explorador de Windows. Algunos ejemplos son símbolo del sistema, PowerShell y el complemento MMC administración de equipos para la administración de recursos compartidos.
Solución alternativa 2
Si tiene una carpeta específica de la aplicación que está bloqueada para impedir que los usuarios normales accedan a ella, también puede agregar permisos para un grupo personalizado y, a continuación, agregar usuarios autorizados a ese grupo. Por ejemplo, considere un escenario en el que una carpeta específica de la aplicación concede acceso solo al grupo Administradores y a la cuenta del sistema. En esta situación, cree un dominio o un grupo local de AppManagers y, a continuación, agréguele usuarios autorizados. A continuación, use una utilidad como icacls.exe, la pestaña seguridad del cuadro de diálogo Propiedades de la carpeta o el cmdlet Set-Acl de PowerShell para conceder al grupo AppManagers control total de la carpeta, además de los permisos existentes.
Los usuarios que son miembros de AppManagers pueden usar el Explorador de Windows para examinar la carpeta sin que UAC tenga que cambiar los permisos de la carpeta. Esta alternativa solo se aplica a carpetas específicas de la aplicación. Nunca debe realizar ningún cambio de permisos en las carpetas que forman parte del sistema operativo Windows, como C:\Windows\ServiceProfiles.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de