Información para usuarios avanzados acerca de los cambios en la cuenta de administrador integrada en Windows Vista

Soporte técnico para Windows Vista sin ningún service Pack instalado finalizó el 13 de abril de 2010. Para seguir recibiendo actualizaciones de seguridad para Windows, asegúrese de que está ejecutando Windows Vista con Service Pack 2 (SP2). Para obtener más información, consulte la página web de Microsoft: está finalizando el soporte para algunas versiones de Windows

INTRODUCCIÓN

Este artículo describe los cambios en la cuenta de administrador integrada en Windows Vista.

Más información

Fondo

De forma predeterminada, la cuenta predefinida Administrador se denomina Administrador. Además, la cuenta de administrador integrada se asigna el identificador relativo (RID) 500. En Windows Vista, el tipo de cuenta de usuario predeterminada es un usuario estándar. Un usuario estándar es un usuario que tiene derechos de cuenta limitados y Windows permisos limitados. La secciones siguientes se muestran cómo ha cambiado la cuenta predefinida Administrador a reducir la superficie de ataque potencial de las cuentas de usuario integradas en Windows Vista.

Nota: Estos cambios sólo se aplican a la cuenta de administrador integrada, RID 500.

Comportamiento cuando instala Windows Vista como una nueva instalación

De forma predeterminada, la cuenta Administrador integrado está deshabilitada en una instalación nueva de Windows Vista. Este comportamiento se produce a menos que se reemplaza el comportamiento predeterminado en el archivo Unattend.xml. Para obtener más información acerca de cómo utilizar el archivo Unattend.xml de Windows Vista, visite el siguiente sitio Web de Microsoft:Si se establece el elemento < SkipMachineOOBE > a True para omitir la bienvenida de Windows, debe crear una cuenta de usuario o debe especificar una contraseña de administrador con el componente Microsoft-Windows-Shell-Setup. Si lo hace, ninguna de estas acciones, no puede iniciar sesión en el equipo a menos que reinicie el equipo en modo seguro.

En el ejemplo de código siguiente se muestra cómo habilitar la cuenta predefinida Administrador mediante el elemento < AutoLogon > en el archivo Unattend.xml. Además, en el ejemplo de código siguiente se muestra cómo utilizar el elemento < SkipMachineOOBE >.
<AutoLogon>    <Enabled>true</Enabled>
<LogonCount>9999</LogonCount>
<Username>Administrator</Username>
<Password>
<Value>""</Value>
<PlainText>true</PlainText>
</Password>
</AutoLogon>
<OOBE>
<HideEULAPage>true</HideEULAPage>
<ProtectYourPC>3</ProtectYourPC>
<SkipMachineOOBE>true</SkipMachineOOBE>
<SkipUserOOBE>true</SkipUserOOBE>
</OOBE>
<UserAccounts>
<AdministratorPassword>
<Value>""</Value>
<PlainText>true</PlainText>
</AdministratorPassword>
</UserAccounts>

Notas:
  • En el archivo Unattend.xml, el elemento < Value > designa la contraseña para la cuenta predefinida Administrador. Este ejemplo de código muestra el elemento < Value >. Se recomienda que cree una contraseña segura para la cuenta predefinida Administrador. Para obtener más información acerca de contraseñas seguras, visite el siguiente sitio Web de Microsoft:
  • Independientemente del estado de la cuenta predefinida Administrador antes de ejecutar el Sysprep.exe /OOBE comando, la cuenta Administrador integrado está deshabilitada una vez completada la instalación.

Comportamiento al actualizar desde Windows XP a Windows Vista

Si la cuenta de administrador integrada es la cuenta de administrador local activo sólo durante una actualización desde Windows XP, Windows Vista deja habilitada la cuenta Administrador integrada. Además, Windows Vista coloca la cuenta de administrador integrada en modo de aprobación de administrador. Modo de aprobación de administrador es un componente de Control de cuentas de usuario (UAC). UAC requiere que un administrador apruebe cualquier acción que requiere credenciales administrativas.

Si uno o más de las siguientes condiciones son verdaderas, la cuenta de administrador integrada no es una cuenta de administrador local activo:
  • La cuenta de administrador integrada no se encuentra en el Administrador de cuentas de seguridad (SAM) local.
  • La cuenta de administrador integrada no es un miembro del grupo Administradores local.
  • La cuenta Administrador integrado está deshabilitada.
  • La cuenta de administrador integrada se define en la configuración de directiva Denegar el inicio de sesión local .
  • El nombre de la cuenta de administrador integrada se filtra explícitamente desde la pantalla de inicio de sesión de Windows.
La siguiente clave del registro determina si un nombre de cuenta de usuario está filtrado explícitamente desde la pantalla de inicio de sesión de Windows.
Clave del registroHKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList
Nombre de valorNombreDeCuentaDeUsuario
Escriba elDWORD32
Datos de valor0 = no no aparecen en la pantalla de inicio de sesión de Windows
Cualquier valor mayor que 0 = aparece en la pantalla de inicio de sesión de Windows
Nota: Si la cuenta de administrador integrada se define explícitamente para que aparezca en la pantalla de inicio de sesión de Windows, Windows Vista habilita la cuenta de administrador integrada. Además, Windows Vista coloca la cuenta de administrador integrada en modo de aprobación de administrador. Este comportamiento se produce independientemente del estado de la cuenta de administrador local activo.

Comportamiento al iniciar el equipo en modo seguro

Si la cuenta Administrador integrado está deshabilitada, no puede iniciar sesión en un equipo en modo seguro utilizando la cuenta Administrador integrado si se cumple alguna de las condiciones siguientes:
  • El equipo es miembro de un dominio.
  • Existe al menos una cuenta de administrador local activo.
Sin embargo, puede iniciar sesión en el equipo utilizando cualquier cuenta de administrador local activo en su lugar. El modo seguro permite iniciar sesión en el equipo utilizando la cuenta Administrador integrado deshabilitada para recuperar el sistema si se cumple alguna de las condiciones siguientes:
  • Involuntariamente degradar la última cuenta de administrador local.
  • Sin querer deshabilitar la última cuenta de administrador local.
  • Sin querer eliminar la última cuenta de administrador local.
Antes de reiniciar el equipo, crear una nueva cuenta de administrador local activo o recuperar una cuenta de administrador local activo anterior.

Si la cuenta Administrador integrado está deshabilitada, no puede iniciar sesión en un equipo que está unido a un dominio en modo seguro con la cuenta Administrador integrada. De forma predeterminada, puede iniciar sesión en el equipo como miembro del grupo Administradores de dominio para crear una cuenta de administrador local activo si no existe una cuenta de administrador local activo. Si no ha iniciado sesión en el equipo como miembro del grupo Administradores de dominio antes, debe iniciar el equipo en "modo seguro con funciones de red". Debe hacerlo porque las credenciales no se almacenan en caché. Después de que el equipo se separará del dominio, el equipo vuelve al comportamiento de un equipo que no está unido a un dominio.

Nota: Asegúrese de que no ha olvidado los nombres de usuario y las contraseñas para las otras cuentas de administrador local activo. Si la cuenta Administrador integrado está deshabilitada y se olviden de los nombres de usuario y las contraseñas para las otras cuentas de administrador local activo, podrá realizar cambios administrativos adicionales en el equipo. Además, no puede iniciar sesión en todos. Los usuarios domésticos deben tomar las siguientes precauciones para asegurarse de que no pierdan el acceso a otras cuentas de administrador local activo:
  • En el Panel de Control, utilice al Asistente para contraseña olvidada en Cuentas de usuario para crear un disco para restablecer contraseña para las cuentas. Almacene el disco para restablecer contraseña en un lugar seguro o almacenar el dispositivo USB extraíble en un lugar seguro.
  • Crear sugerencias de contraseñas para las cuentas.
  • Nota los nombres de usuario y las contraseñas y, a continuación, almacenar los nombres de usuario y las contraseñas en un lugar seguro.
Propiedades

Id. de artículo: 942956 - Última revisión: 14 ene. 2017 - Revisión: 1

Comentarios