Los operadores de cuentas de Windows 2000 pueden administrar sus propias cuentas

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 327709
Este artículo se ha archivado. Se ofrece "tal cual" y no se volverá a actualizar.
Síntomas
En Windows 2000, los operadores de cuentas pueden administrar sus propias cuentas o las cuentas de otros operadores de cuenta. En Windows NT 4.0, los operadores de cuentas no pueden hacerlo.
Causa
Windows 2000 no protege a los miembros del grupo Operadores de cuentas de modificar su propia cuenta o las cuentas de otros operadores de cuenta.
Solución

Información de Service Pack

Para resolver este problema, consiga el Service Pack más reciente para Microsoft Windows 2000. Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
260910Cómo obtener el Service Pack más reciente para Windows 2000

Información de revisiones

Hay una revisión compatible de Microsoft. Sin embargo, esta revisión se diseñó para corregir el problema descrito en este artículo. Aplíquela sólo a los sistemas que experimenten este problema específico.

Si la revisión está disponible para descarga, es hay una sección de "Descarga de revisión disponible" al principio de este artículo. Si no aparece en esta sección, enviar una solicitud al servicio de cliente de Microsoft y soporte para obtener la revisión.

Nota Si se producen problemas adicionales o si cualquier solución de problemas es necesario, quizás tenga que crear una solicitud de servicio independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no guarden relación con esta revisión específica. Para obtener una lista completa de números de teléfono de servicio de atención al cliente y soporte técnico o para crear una solicitud de servicio independiente, visite el siguiente sitio Web: Nota El formulario "Descarga de revisión disponibles" muestra los idiomas para que la revisión está disponible. Si no ve su idioma, es porque una revisión no está disponible para ese idioma.La versión en inglés de esta revisión tiene los atributos de archivo enumerados en la siguiente tabla u otros posteriores. Las fechas y horas de estos archivos aparecen en la hora universal coordinada (UTC). La información de los archivos se convertirá a la hora local cuando la vea. Para averiguar la diferencia entre hora UTC y la hora local, utilice la ficha zona horaria de la herramienta fecha y hora en el panel de control.
   Date         Time   Version        Size     File name   --------------------------------------------------------   05-Sep-2002  14:47  5.0.2195.5781  123,664  Adsldp.dll   05-Sep-2002  14:47  5.0.2195.5781  131,344  Adsldpc.dll   05-Sep-2002  14:47  5.0.2195.5781   62,736  Adsmsext.dll   05-Sep-2002  14:47  5.0.2195.6033  358,160  Advapi32.dll   05-Sep-2002  14:47  5.0.2195.5855   49,424  Browser.dll   05-Sep-2002  14:47  5.0.2195.6012  135,952  Dnsapi.dll   05-Sep-2002  14:47  5.0.2195.6012   96,016  Dnsrslvr.dll   05-Sep-2002  14:47  5.0.2195.5722   45,328  Eventlog.dll   05-Sep-2002  14:47  5.0.2195.6048  146,704  Kdcsvc.dll   05-Sep-2002  14:18  5.0.2195.6048  200,976  Kerberos.dll   21-Aug-2002  05:27  5.0.2195.6023   71,248  Ksecdd.sys   22-Jul-2002  12:54  5.0.2195.5960  507,152  lsasrv.dll   22-Jul-2002  12:54  5.0.2195.5960   33,552  lsass.exe   27-Aug-2002  11:53  5.0.2195.6034  108,816  Msv1_0.dll   05-Sep-2002  14:47  5.0.2195.5979  307,472  Netapi32.dll   05-Sep-2002  14:47  5.0.2195.5966  360,720  Netlogon.dll   05-Sep-2002  14:47  5.0.2195.6048  918,800  Ntdsa.dll   05-Sep-2002  14:47  5.0.2195.6025  389,392  Samsrv.dll   05-Sep-2002  14:47  5.0.2195.5951  129,296  Scecli.dll   05-Sep-2002  14:47  5.0.2195.5951  302,864  Scesrv.dll   05-Sep-2002  14:47  5.0.2195.5859   48,912  W32time.dll   04-Jun-2002  10:32  5.0.2195.5859   57,104  W32tm.exe   05-Sep-2002  14:47  5.0.2195.6043  125,712  Wldap32.dll		

Solución
Para evitar este problema, siga estos pasos:
  1. Cambiar la configuración de lista (ACL) del control de acceso para el grupo Operadores de cuentas impedir que modificar la pertenencia al grupo Operadores de cuentas. Para ello, siga estos pasos:
    1. Inicie sesión como un miembro de los administradores de grupo.
    2. Inicia el complemento Usuarios y Active Directory equipos - en (dsa.msc).
    3. En el menú Ver , haga clic en Características avanzadas .
    4. En el contenedor integrados para el dominio, haga clic con el botón secundario en el objeto Operadores de cuentas y a continuación, haga clic en Propiedades .
    5. Haga clic en la ficha seguridad en Propiedades de operadores de cuenta , seleccione el grupo Operadores de cuentas y a continuación, haga clic en Quitar .
  2. Evitar que los operadores de cuentas modifique los atributos de otros operadores de cuenta. Para ello, siga estos pasos:
    1. En los usuarios y equipos complemento, haga clic con el botón secundario en el contenedor para el dominio (por ejemplo, ACME.COM), seleccione nuevo y haga clic en Unidad organizativa . Nombre de la nueva unidad organizativa AcctOps .
    2. Haga clic con el botón secundario del mouse en la unidad organizativa AcctOps y, a continuación, haga clic en Propiedades .
    3. En AcctOps propiedades , haga clic en la ficha seguridad , seleccione los Operadores de cuentas de grupo y haga clic para activar la casilla de verificación Denegar junto al permiso Control total .

      Si desea aplicar las mismas restricciones a los miembros del grupo Operadores de impresión, en la ficha seguridad , seleccione los Operadores de cuentas de grupo y haga clic para activar la casilla de verificación Denegar junto al permiso Control total .
    4. Mover todos los usuarios miembros de los operadores de cuentas de grupo a la nueva unidad organizativa de AcctOps. Para mover un usuario, haga clic con el botón secundario en el objeto de usuario que desee, haga clic en mover y, a continuación, seleccione la unidad organizativa AcctOps .
Estado
Microsoft ha confirmado que se trata de un problema de los productos de Microsoft enumerados en la sección "La información de este artículo se refiere a:" de este artículo. Este problema se corrigió por primera vez en el Service Pack 4 de Microsoft Windows 2000.
Más información
La revisión que se describe en este artículo realiza los cambios siguientes:
  • Una vez por hora, el controlador de dominio principal (PDC) de Windows 2000 compara la ACL para las cuentas de usuario que están en grupos protegidos (por ejemplo, administradores o operadores de cuentas) a la ACL para el objeto AdminSDHolder . Si no coinciden con las ACL, la configuración de seguridad para el objeto AdminSDHolder sobrescriba la ACL y desactive la herencia de ACL para el objeto de usuario. Esto impide que un usuario no autorizado modificar cuentas de usuario si las cuentas se mueven a un contenedor o unidad organizativa en la que el usuario no autorizado tiene derecho a modificar cuentas de usuario.
  • Cuando quita un usuario de un grupo protegido, la cuenta de usuario conserva la configuración que recibió el objeto AdminSDHolder y debe cambiar manualmente la configuración de seguridad para ese usuario.
Nota : después de aplicar la revisión, debe esperar mientras una hora para los descriptores de seguridad que se actualice para los miembros existentes del grupo Operadores de cuentas.

Para obtener información adicional acerca de la configuración de seguridad de Windows 2000, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
217050Descripción de la configuración de seguridad predeterminada de Windows 2000
Para obtener información adicional sobre derechos de acceso de operadores de cuenta, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
245174Miembros del grupo Operadores de cuenta no pueden administrar todas cuentas de usuario
Para obtener información adicional acerca de cómo obtener un hotfix para Windows 2000 Datacenter Server, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
265173El programa Datacenter y el producto servidor de Windows 2000 Datacenter
Para obtener información adicional acerca de cómo instalar múltiples revisiones con un único reinicio, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
296861Cómo instalar varias actualizaciones o revisiones con un único reinicio

Advertencia: este artículo se tradujo automáticamente

Propiedades

Id. de artículo: 327709 - Última revisión: 02/24/2014 17:59:34 - Revisión: 1.12

Microsoft Windows 2000 Professional SP1, Microsoft Windows 2000 Professional SP2, Service Pack 3 de Microsoft Windows 2000, Microsoft Windows 2000 Server SP1, Microsoft Windows 2000 Server SP2, Service Pack 3 de Microsoft Windows 2000, Microsoft Windows 2000 Advanced Server SP1, Microsoft Windows 2000 Advanced Server SP2, Microsoft Windows 2000 Advanced Server SP3

  • kbnosurvey kbarchive kbmt kbautohotfix kbhotfixserver kbqfe kbsecurity kbwin2ksp4fix kbbug kbfix kbwin2000presp3fix kbwin2000presp4fix kbwin2000sp3fix KB327709 KbMtes
Comentarios