Información general sobre la suplantación de un cliente después de la autenticación y la configuración de seguridad de creación de objetos globales

  • Artículo

En este artículo se describen los derechos de usuario Suplantar un cliente después de la autenticación y Crear objetos globales .

Se aplica a: Windows Server 2012 R2
Número de KB original: 821546

Resumen

En este artículo se describen los derechos de usuario "Suplantar un cliente después de la autenticación" y "Crear objetos globales". Esta nueva configuración de seguridad se introdujo por primera vez en Windows 2000 Service Pack 4 (SP4) y ayuda a aumentar la seguridad en Windows 2000. En este artículo se describe la nueva configuración de seguridad y también se incluye información sobre algunos problemas conocidos que pueden producirse y cómo solucionarlos.

Importante

Tenga en cuenta los siguientes problemas al aplicar los derechos de usuario "Suplantar un cliente después de la autenticación" y "Crear objetos globales" mediante la directiva de dominio predeterminada o directiva de grupo:

  • Los derechos de usuario "Suplantar un cliente después de la autenticación" y "Crear objetos globales" solo se aplican a los equipos que ejecutan Windows 2000 SP4 o posterior.

  • Puede usar la directiva de dominio predeterminada o directiva de grupo para aplicar la configuración de seguridad "Suplantar un cliente después de la autenticación" y "Crear objetos globales" a los equipos del entorno si los equipos ejecutan Windows 2000 Service Pack 2 (SP2) o posterior. Tenga en cuenta que, aunque puede implementar la configuración de seguridad en un entorno que contiene equipos basados en Windows 2000 SP2 y Windows 2000 Service Pack 3 (SP3), la configuración de seguridad solo se aplica a los equipos basados en Windows 2000 SP4. La configuración no se aplica a los equipos que ejecutan Windows 2000 SP2 o Windows 2000 SP3.

  • No use la directiva de dominio predeterminada u otro directiva de grupo para aplicar ni ninguno de estos nuevos derechos de usuario a los equipos que ejecutan Windows 2000 o Windows 2000 Service Pack 1 (SP1). Tenga en cuenta que si usa la directiva de dominio predeterminada o un directiva de grupo diferente para aplicar estos derechos de usuario a los equipos que ejecutan Windows 2000 o Windows 2000 Service Pack 1 (SP1), se produce un error en la propagación de la configuración de seguridad de la directiva. Es decir, la directiva no se propaga a los equipos windows 2000 o Windows 2000 SP1 y los derechos de usuario no se muestran en el complemento Configuración de seguridad local. Los siguientes escenarios pueden producirse si usa la directiva de dominio predeterminada u otro directiva de grupo para aplicar cualquiera de estos nuevos derechos de usuario a equipos que ejecutan Windows 2000 o Windows 2000 Service Pack 1 (SP1):

    • La configuración de directiva de seguridad adicional que se encuentra en el mismo objeto directiva de grupo y que tienen como destino Dispositivos Windows 2000 o Windows 2000 Service Pack 1 (SP1) no se propaga a los dispositivos de destino.

    • Configuración de directiva de seguridad adicional que se aplica mediante otras directivas de grupo a lo largo de la ruta de acceso SDOU (sitio, dominio, unidad organizativa) a los dispositivos Windows 2000 o Windows 2000 Service Pack 1 (SP1) que se propagarán.

    • Si cualquiera de estas nuevas configuraciones de seguridad o ambas están destinadas a dispositivos Windows 2000 o Windows 2000 Service Pack 1 (SP1), el complemento de seguridad MMC local en esos dispositivos no puede mostrar correctamente ninguna configuración de seguridad. Sin embargo, todas las configuraciones de seguridad que se aplican a los dispositivos de destino de otros objetos directiva de grupo del lado dominio (que no contienen la nueva configuración) seguirán aplicándose a esos dispositivos de destino.

  • Del mismo modo, puede usar la directiva de seguridad del controlador de dominio predeterminado para aplicar la configuración de seguridad "Suplantar un cliente después de la autenticación" y "Crear objetos globales" a los controladores de dominio de su entorno si los controladores de dominio ejecutan Windows 2000 SP2 o posterior. Tenga en cuenta que, aunque puede implementar la configuración de seguridad en un entorno que contiene controladores de dominio basados en Windows 2000 SP2 y Windows 2000 SP3, la configuración de seguridad solo se aplica a los controladores de dominio basados en Windows 2000 SP4. La configuración no se aplica a los controladores de dominio que ejecutan Windows 2000 SP2 o Windows 2000 SP3.

Problema 1: el derecho de usuario "Suplantar a un cliente después de la autenticación" (SeImpersonatePrivilege)

El derecho de usuario "Suplantar un cliente después de la autenticación" (SeImpersonatePrivilege) es una configuración de seguridad de Windows 2000 que se introdujo por primera vez en Windows 2000 SP4. De forma predeterminada, a los miembros del grupo de administradores locales del dispositivo y a la cuenta de servicio local del dispositivo se les asigna el derecho de usuario "Suplantar un cliente después de la autenticación". Los siguientes componentes también tienen este derecho de usuario:

  • Servicios iniciados por Service Control Manager
  • Servidores del modelo de objetos componentes (COM) iniciados por la infraestructura COM y configurados para ejecutarse en una cuenta específica

Al asignar el derecho de usuario "Suplantar un cliente después de la autenticación" a un usuario, permite que los programas que se ejecutan en nombre de ese usuario suplantan a un cliente. Esta configuración de seguridad ayuda a evitar que los servidores no autorizados suplante clientes que se conectan a él a través de métodos como llamadas a procedimientos remotos (RPC) o canalizaciones con nombre. Para obtener más información sobre la función SeImpersonatePrivilege, visite el siguiente sitio web de Microsoft:
Suplantar a un cliente tras la autenticación

Para obtener más información sobre las funciones Impersonate (como ImpersonateClient, ImpersonateLoggedOnUser y ImpersonateNamedPipeClient), busque SeImpersonatePrivilege en la documentación del SDK de la plataforma de Microsoft. Para ver esta documentación, visite el siguiente sitio web de Microsoft:
Suplantar a un cliente tras la autenticación

Solución de problemas del problema 1

  • Es posible que algunos programas que usan suplantación no funcionen correctamente después de instalar Windows 2000 SP4.

    Después de instalar Windows 2000 Service Pack 4 (SP4) en el equipo, es posible que algunos programas que usan suplantación no funcionen correctamente.

    Este problema puede producirse en situaciones en las que la cuenta de usuario que se usa para ejecutar el programa no tiene el derecho de usuario "Suplantar un cliente después de la autenticación".

    En equipos que ejecutan Windows 2000 Service Pack 3 (SP3) y versiones anteriores, no se requiere un derecho de usuario para suplantar a un cliente. Por lo tanto, es posible que algunos programas que usan suplantación no funcionen correctamente después de instalar Windows 2000 SP4.

    Para resolver este problema, identifique la cuenta de usuario que se usa para ejecutar el programa y, a continuación, asigne el derecho de usuario "Suplantar un cliente después de la autenticación" a esa cuenta de usuario. Para ello, siga estos pasos:

    1. Haga clic en Inicio, seleccione Programas, Herramientas administrativasy, a continuación, haga clic en Directiva de seguridad local.
    2. Expanda Directivas localesy, a continuación, haga clic en Asignación de derechos de usuario.
    3. En el panel derecho, haga doble clic en Suplantar un cliente después de la autenticación.
    4. En el cuadro de diálogo Configuración de directiva de seguridad local , haga clic en Agregar.
    5. En el cuadro de diálogo Seleccionar usuarios o grupos , haga clic en la cuenta de usuario que desea agregar, haga clic en Agregary, a continuación, haga clic en Aceptar.
    6. Haga clic en Aceptar.

    Nota:

    Para solucionar problemas de situaciones en las que no puede determinar la cuenta de usuario que se usa para ejecutar el programa y dónde desea comprobar que los síntomas que experimenta se deben al derecho del usuario, asigne el derecho de usuario "Suplantar un cliente después de la autenticación" al grupo Todos y, a continuación, inicie el programa. Si el programa funciona correctamente, el problema que está experimentando puede deberse a la nueva configuración de seguridad.

  • Recibe un mensaje de error "Error al intentar ejecutar el proyecto" al depurar una aplicación web en Visual Studio .NET.

Problema 2: el derecho de usuario "Crear objetos globales" (SeCreateGlobalPrivilege)

El derecho de usuario "Crear objetos globales" (SeCreateGlobalPrivilege) es una configuración de seguridad de Windows 2000 que se introdujo por primera vez en Windows 2000 SP4. El derecho de usuario es necesario para que una cuenta de usuario cree objetos de asignación de archivos globales y vínculos simbólicos. Tenga en cuenta que los usuarios pueden seguir creando objetos específicos de la sesión sin tener asignado este derecho de usuario. De forma predeterminada, a los miembros del grupo Administradores, la cuenta del sistema y los servicios iniciados por el Administrador de control de servicios se les asigna el derecho de usuario "Crear objetos globales".

Solución de problemas del problema 2

  • Es posible que algunos programas no funcionen correctamente después de instalar Windows 2000 SP4.

    Después de instalar Windows 2000 Service Pack 4 (SP4) en el equipo, es posible que algunos programas no funcionen correctamente. Este problema puede producirse en situaciones en las que la cuenta de usuario que se usa para ejecutar el programa no tiene el derecho de usuario "Crear objetos globales".

    Para resolver este problema, identifique la cuenta de usuario que se usa para ejecutar el programa y, a continuación, asigne el derecho de usuario "Crear objetos globales" a esa cuenta de usuario. Para ello, siga estos pasos:

    1. Haga clic en Inicio, seleccione Programas, Herramientas administrativasy, a continuación, haga clic en Directiva de seguridad local.
    2. Expanda Directivas localesy, a continuación, haga clic en Asignación de derechos de usuario.
    3. En el panel derecho, haga doble clic en Crear objetos globales.
    4. En el cuadro de diálogo Configuración de directiva de seguridad local , haga clic en Agregar.
    5. En el cuadro de diálogo Seleccionar usuarios o grupos , haga clic en la cuenta de usuario que desea agregar, haga clic en Agregary, a continuación, haga clic en Aceptar.
    6. Haga clic en Aceptar.

    Nota:

    Para solucionar problemas de situaciones en las que no puede determinar la cuenta de usuario que se usa para ejecutar el programa y donde desea comprobar que los síntomas que experimenta se deben al derecho del usuario, asigne el derecho de usuario "Crear objetos globales" al grupo Todos y, a continuación, inicie el programa. Si el programa funciona correctamente, el problema que está experimentando puede deberse a la nueva configuración de seguridad.

  • Recibe un mensaje de error "No hay suficiente memoria" al buscar clips en un documento de Office XP en una sesión de Terminal Services.

  • El equipo deja de responder (se bloquea) al reiniciar un equipo basado en Windows 2000 Server después de instalar McAfee Parental Control.