Cuando hace clic en Continuar para el acceso a las carpetas en el Explorador de Windows, su cuenta de usuario se agrega a la ACL de la carpeta

Se aplica a: Windows Server 2012 R2 DatacenterWindows Server 2012 R2 StandardWindows Server 2012 R2 Foundation

INTRODUCCIÓN


En este artículo se describe un escenario en el que el Explorador de Windows le pide que haga clic en continuar para obtener acceso a una carpeta de sistema de archivo para el que no tiene permisos de lectura. También se describen soluciones alternativas para evitar determinados aspectos de este comportamiento. Este problema se produce en Windows Vista y versiones posteriores de Windows y en Windows Server 2008 y versiones posteriores de Windows Server. Observe que el Explorador de Windows se denomina Explorador de archivos en Windows 8 y versiones posteriores.

Más información


Supongamos que está habilitado el Control de cuentas de usuario (UAC) y utilizar el Explorador de Windows para tener acceso a una carpeta para el que no tiene permisos de lectura. Además, la carpeta no está marcada por los atributos oculto y sistema . En esta situación, el Explorador de Windows muestra un cuadro de diálogo que le pide que con lo siguiente:

Actualmente no tiene permiso para obtener acceso a esta carpeta. Haga clic en Continuar para obtener permanentemente el acceso a esta carpeta.
Nota: En Windows Vista y Windows Server 2008, la segunda frase no incluye la palabra "permanente"; sólo dice "haga clic en continuar para obtener acceso a esta carpeta."

A continuación, tiene la opción de hacer clic en continuar o Cancelar. (Continuar está seleccionada por defecto). Si hace clic en continuar, UAC intenta obtener derechos administrativos en su nombre. Dependiendo de la configuración de seguridad UAC que controla el comportamiento de la petición de elevación de UAC y que es miembro del grupo Administradores, se le pedirá su consentimiento o credenciales. O bien, puede que no se le en absoluto. Si UAC puede obtener derechos administrativos, un proceso de fondo cambiará los permisos en la carpeta y en todas sus subcarpetas y archivos, para conceder a la cuenta de usuario acceso a ellos. En Windows Vista y Windows Server 2008, el proceso en segundo plano concede a la cuenta de usuario permisos de lectura y ejecución. En versiones posteriores de Windows, este proceso otorga el Control total de la cuenta de usuario.

Este comportamiento es por diseño. Pero dado el patrón típico con elevación de UAC es ejecutar una instancia del programa con privilegios elevados con derechos administrativos, los usuarios pueden esperar que al pulsar continuar, Esto generará una instancia del explorador de Windows con privilegios elevados y no realizar cambios permanentes con los permisos del sistema de archivos. Sin embargo, esta suposición no es posible, como diseño del explorador de Windows no admite la ejecución de varias instancias de proceso en distintos contextos de seguridad en una sesión de usuario interactivo.

Si UAC está deshabilitado, no es posible elevación de UAC. Todos los programas que se ejecutan por miembros del grupo Administradores, incluido el Explorador de Windows, siempre tienen derechos administrativos. Por lo tanto, los administradores no necesitan utilizar la elevación para tener acceso a los recursos que requieren derechos administrativos. Por ejemplo, si una carpeta concede acceso sólo a los grupos Administradores y la cuenta del sistema, un administrador puede examinar directamente sin confirmarlos para modificar los permisos de la carpeta. Si el usuario no tiene permisos de lectura, el Explorador de Windows muestra el cuadro de diálogo que se describió anteriormente. Sin embargo, si UAC está deshabilitado, Windows no puede solicitar credenciales administrativas en nombre del usuario a través de una petición de elevación de UAC. Por lo tanto, Windows no iniciará un proceso en segundo plano con permisos administrativos para poder cambiar los permisos del sistema de archivos.

Sin embargo, si el usuario hace clic en continuar y el descriptor de seguridad actual de la carpeta concede al usuario permisos para leer y cambiar los permisos del objeto, Windows inicia el proceso en segundo plano en el contexto de seguridad actual del usuario y modificar los permisos de la carpeta para conceder al usuario una mayor acceso, como se describió anteriormente. El usuario puede tener permiso para leer y cambiar los permisos del objeto de propiedad de objetos o de lista de control de acceso (ACL) del objeto.

Problemas conocidos

Esta característica puede provocar un comportamiento inesperado. Por ejemplo, suponga que usted pertenece al grupo Administradores y que utilice el Explorador de Windows para tener acceso a una carpeta que requiere acceso administrativo. Después de cambiar los permisos, cualquier programa que se ejecuta a través de su cuenta de usuario puede tener control total sobre la carpeta, incluso si no se eleva el programa e incluso después de que su cuenta se quitó del grupo Administradores. Dichos permisos modificados pueden infringir las directivas de seguridad de la organización y pueden marcarse en una auditoría de seguridad. Además, si un programa comprueba los permisos del sistema de archivos, podrá denegar la ejecución si se han cambiado los permisos.

UAC debe permanecer habilitado en todos los casos excepto en las circunstancias restringidas que se describen en el siguiente artículo de Microsoft Knowledge Base:

Solución 1
Para evitar cambiar los permisos en una carpeta que sólo es accesible para los administradores, considere el uso de otro programa que se puede ejecutar con privilegios elevados en lugar de utilizar el Explorador de Windows. Algunos ejemplos son el símbolo del sistema, PowerShell y el complemento de MMC Administración de equipos para la administración de cuota.

Solución 2
Si tiene una carpeta específica de la aplicación que está bloqueada para evitar que los usuarios normales tener acceso a ella, puede también agregar permisos para un grupo personalizado y, a continuación, agregar usuarios autorizados a ese grupo. Por ejemplo, considere un escenario en el que una carpeta específica de la aplicación concede acceso sólo al grupo Administradores y la cuenta del sistema. En esta situación, cree un dominio o un grupo local de AppManagers y, a continuación, agregarle los usuarios autorizados. A continuación, utilice una utilidad como icacls.exe, la ficha seguridad del cuadro de diálogo Propiedades de la carpeta o el cmdlet de PowerShell Set-Acl para conceder el Control total de la carpeta, además de los permisos existentes de grupo de AppManagers.

Los usuarios que son miembros de AppManagers ahora podrá utilizar el Explorador de Windows para examinar la carpeta sin tener que cambiar los permisos de la carpeta UAC. Tenga en cuenta que esta alternativa se aplica sólo a carpetas específicas de la aplicación. Nunca debe realizar cualquier cambio de permisos en carpetas que forman parte del sistema operativo Windows, como C:\Windows\ServiceProfiles.