Compartir a través de

Información general sobre la suplantación de un cliente después de la autenticación y la configuración de seguridad de creación de objetos globales

  • Artículo

En este artículo se describe la suplantación de un cliente después de la autenticación y creación de derechos de usuario de objetos globales.

Número de KB original: 821546

Resumen

En este artículo se describen los derechos de usuario "Suplantar a un cliente después de la autenticación" y "Crear objetos globales". Estas nuevas configuraciones de seguridad se introdujeron por primera vez en Windows 2000 Service Pack 4 (SP4) y ayudan a aumentar la seguridad en Windows 2000. En este artículo se describe la nueva configuración de seguridad y también se incluye información sobre algunos problemas conocidos que pueden producirse y cómo solucionarlos.

Importante

Tenga en cuenta los siguientes problemas al aplicar los derechos de usuario "Suplantar a un cliente después de la autenticación" y "Crear objetos globales" mediante la directiva de dominio predeterminada o la directiva de grupo:

  • Los derechos de usuario "Suplantar a un cliente después de la autenticación" y "Crear objetos globales" solo se aplican a los equipos que ejecutan Windows 2000 SP4 o posterior.

  • Puede usar la directiva de dominio predeterminada o la directiva de grupo para aplicar la configuración de seguridad "Suplantar a un cliente después de la autenticación" y "Crear objetos globales" en los equipos del entorno si los equipos ejecutan Windows 2000 Service Pack 2 (SP2) o posterior. Tenga en cuenta que, aunque puede implementar la configuración de seguridad en un entorno que contiene equipos basados en Windows 2000 SP2 y Windows 2000 Service Pack 3 (SP3), la configuración de seguridad solo se aplica a los equipos basados en Windows 2000 SP4. La configuración no se aplica a los equipos que ejecutan Windows 2000 SP2 o Windows 2000 SP3.

  • No use la directiva de dominio predeterminada u otra directiva de grupo para aplicar o ambos derechos de usuario nuevos a los equipos que ejecutan Windows 2000 o Windows 2000 Service Pack 1 (SP1). Tenga en cuenta que si usa la directiva de dominio predeterminada o una directiva de grupo diferente para aplicar estos derechos de usuario a los equipos que ejecutan Windows 2000 o Windows 2000 Service Pack 1 (SP1), se produce un error en la propagación de la configuración de seguridad de la directiva. Es decir, la directiva no se propaga a los equipos Windows 2000 o Windows 2000 SP1 y los derechos de usuario no se muestran en el complemento Configuración de seguridad local. Los escenarios siguientes pueden producirse si usa la directiva de dominio predeterminada u otra directiva de grupo para aplicar o ambos derechos de usuario nuevos a los equipos que ejecutan Windows 2000 o Windows 2000 Service Pack 1 (SP1):

    • La configuración de directiva de seguridad adicional que se encuentra en el mismo objeto de directiva de grupo y que tienen como destino dispositivos Windows 2000 o Windows 2000 Service Pack 1 (SP1) no se propagan a los dispositivos de destino.

    • Configuración de directiva de seguridad adicional que se aplica mediante otras directivas de grupo a lo largo de la ruta de acceso SDOU (sitio, dominio, unidad organizativa) a los dispositivos Windows 2000 o Windows 2000 Service Pack 1 (SP1) que se propagarán.

    • Si o ambos de estos nuevos valores de seguridad están destinados a dispositivos Windows 2000 o Windows 2000 Service Pack 1 (SP1), el complemento de seguridad MMC local en esos dispositivos no puede mostrar correctamente ninguna configuración de seguridad. Sin embargo, todas las configuraciones de seguridad que se aplican a los dispositivos de destino de otros objetos de directiva de grupo del lado dominio (que no contienen la nueva configuración) se seguirán aplicando a esos dispositivos de destino.

  • Del mismo modo, puedes usar la directiva de seguridad De controlador de dominio predeterminado para aplicar la configuración de seguridad "Suplantar a un cliente después de la autenticación" y "Crear objetos globales" en los controladores de dominio de tu entorno si los controladores de dominio ejecutan Windows 2000 SP2 o posterior. Tenga en cuenta que, aunque puede implementar la configuración de seguridad en un entorno que contiene controladores de dominio basados en Windows 2000 SP2 y Windows 2000 SP3, la configuración de seguridad solo se aplica a los controladores de dominio basados en Windows 2000 SP4. La configuración no se aplica a los controladores de dominio que ejecutan Windows 2000 SP2 o Windows 2000 SP3.

Problema 1: el derecho de usuario "Suplantar a un cliente AfterAuthentication" (SeImpersonatePrivilege)

El derecho de usuario "Suplantar a un cliente después de la autenticación" (SeImpersonatePrivilege) es una configuración de seguridad de Windows 2000 que se introdujo por primera vez en Windows 2000 SP4. De forma predeterminada, a los miembros del grupo administradores locales del dispositivo y a la cuenta de servicio local del dispositivo se les asigna el derecho de usuario "Suplantar a un cliente después de la autenticación". Los siguientes componentes también tienen este derecho de usuario:

  • Servicios iniciados por Service Control Manager
  • Servidores del modelo de objetos componentes (COM) iniciados por la infraestructura COM y que están configurados para ejecutarse en una cuenta específica

Al asignar el derecho de usuario "Suplantar a un cliente después de la autenticación" a un usuario, permite que los programas que se ejecuten en nombre de ese usuario suplantan a un cliente. Esta configuración de seguridad ayuda a evitar que los servidores no autorizados suplantan a los clientes que se conectan a él a través de métodos como llamadas a procedimientos remotos (RPC) o canalizaciones con nombre. Para obtener más información sobre la función SeImpersonatePrivilege, visite el siguiente sitio web de Microsoft:
Suplantar un cliente después de autenticación

Para obtener más información sobre las funciones impersonate (como ImpersonateClient, ImpersonateLoggedOnUser y ImpersonateNamedPipeClient), busque SeImpersonatePrivilege en la documentación del SDK de plataforma de Microsoft. Para ver esta documentación, visite el siguiente sitio web de Microsoft:
Suplantar un cliente después de autenticación

Solución de problemas del problema 1

  • Es posible que algunos programas que usan suplantación no funcionen correctamente después de instalar Windows 2000 SP4.

    Después de instalar Windows 2000 Service Pack 4 (SP4) en el equipo, es posible que algunos programas que usan suplantación no funcionen correctamente.

    Este problema puede producirse en situaciones en las que la cuenta de usuario que se usa para ejecutar el programa no tiene el derecho de usuario "Suplantar a un cliente después de la autenticación".

    En equipos que ejecutan Windows 2000 Service Pack 3 (SP3) y versiones anteriores, no se requiere un derecho de usuario para suplantar a un cliente. Por lo tanto, es posible que algunos programas que usan suplantación no funcionen correctamente después de instalar Windows 2000 SP4.

    Para resolver este problema, identifique la cuenta de usuario que se usa para ejecutar el programa y, a continuación, asigne el derecho de usuario "Suplantar a un cliente después de la autenticación" a esa cuenta de usuario. Para ello, siga estos pasos:

    1. Haga clic en Inicio, seleccione Programas, Herramientas administrativas y luego haga clic en Directiva de seguridad local.
    2. Expanda Directivas locales y, a continuación, haga clic en Asignación de derechos de usuario.
    3. En el panel derecho, haga doble clic en Suplantar a un cliente después de la autenticación.
    4. En el cuadro de diálogo Configuración de directiva de seguridad local, haga clic en Agregar.
    5. En el cuadro de diálogo Seleccionar usuarios o grupo , haga clic en la cuenta de usuario que desea agregar, haga clic en Agregar y, a continuación, haga clic en Aceptar.
    6. Haga clic en Aceptar.

    Nota

    Para solucionar situaciones en las que no puede determinar la cuenta de usuario que se usa para ejecutar el programa y dónde desea comprobar que los síntomas que experimenta están causados por el derecho de usuario, asigne el derecho de usuario "Suplantar a un cliente después de la autenticación" al grupo Todos y, a continuación, iniciar el programa. Si el programa funciona correctamente, el problema que experimenta puede deberse a la nueva configuración de seguridad.

  • Recibirá un mensaje de error "Error al intentar ejecutar el proyecto" al depurar una aplicación web en Visual Studio .NET.

Problema 2: el derecho de usuario "Crear objetos globales" (SeCreateGlobalPrivilege)

El derecho de usuario "Crear objetos globales" (SeCreateGlobalPrivilege) es una configuración de seguridad de Windows 2000 que se introdujo por primera vez en Windows 2000 SP4. El derecho de usuario es necesario para que una cuenta de usuario cree objetos de vínculo simbólico y asignación de archivos globales. Tenga en cuenta que los usuarios todavía pueden crear objetos específicos de la sesión sin tener asignado este derecho de usuario. De forma predeterminada, a los miembros del grupo Administradores, a la cuenta del sistema y a los servicios iniciados por Service Control Manager se les asigna el derecho de usuario "Crear objetos globales".

Solución de problemas del problema 2

  • Es posible que algunos programas no funcionen correctamente después de instalar Windows 2000 SP4.

    Después de instalar Windows 2000 Service Pack 4 (SP4) en el equipo, es posible que algunos programas no funcionen correctamente. Este problema puede producirse en situaciones en las que la cuenta de usuario que se usa para ejecutar el programa no tiene el derecho de usuario "Crear objetos globales".

    Para resolver este problema, identifique la cuenta de usuario que se usa para ejecutar el programa y, a continuación, asigne el derecho de usuario "Crear objetos globales" a esa cuenta de usuario. Para ello, siga estos pasos:

    1. Haga clic en Inicio, seleccione Programas, Herramientas administrativas y luego haga clic en Directiva de seguridad local.
    2. Expanda Directivas locales y, a continuación, haga clic en Asignación de derechos de usuario.
    3. En el panel derecho, haga doble clic en Crear objetos globales.
    4. En el cuadro de diálogo Configuración de directiva de seguridad local, haga clic en Agregar.
    5. En el cuadro de diálogo Seleccionar usuarios o grupo , haga clic en la cuenta de usuario que desea agregar, haga clic en Agregar y, a continuación, haga clic en Aceptar.
    6. Haga clic en Aceptar.

    Nota

    Para solucionar situaciones en las que no puede determinar la cuenta de usuario que se usa para ejecutar el programa y dónde desea comprobar que los síntomas que experimenta están causados por el derecho de usuario, asigne el derecho de usuario "Crear objetos globales" al grupo Todos y, a continuación, inicie el programa. Si el programa funciona correctamente, el problema que experimenta puede deberse a la nueva configuración de seguridad.

  • Recibirá un mensaje de error "Memoria insuficiente" al buscar clips en un documento de Office XP en una sesión de Terminal Services.

  • El equipo deja de responder (se bloquea) al reiniciar un equipo basado en Windows 2000 Server después de instalar McAfee Parental Control.