CSP de directiva: UserRights
Importante
Este CSP contiene algunas configuraciones que están en desarrollo y que solo se aplican a las compilaciones de Windows Insider Preview. Esta configuración está sujeta a cambios y puede tener dependencias en otras características o servicios en versión preliminar.
Los derechos de usuario se asignan para cuentas de usuario o grupos. El nombre de la directiva define el derecho de usuario en cuestión y los valores siempre son usuarios o grupos. Los valores se pueden representar como identificadores de seguridad (SID) o cadenas. Para obtener más información, consulte Estructuras de SID conocidas.
Aunque se admiten cadenas para cuentas y grupos conocidos, es mejor usar SID, ya que las cadenas están localizadas para diferentes idiomas. Algunos derechos de usuario permiten cosas como AccessFromNetwork, mientras que otras no permiten cosas, como DenyAccessFromNetwork.
Ejemplo general
Este es un ejemplo para establecer el derecho de usuario BackupFilesAndDirectories para administradores y grupos de usuarios autenticados.
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Replace>
<CmdID>2</CmdID>
<Item>
<Meta>
<Format>chr</Format>
<Type>text/plain</Type>
</Meta>
<Target>
<LocURI>./Device/Vendor/MSFT/Policy/Config/UserRights/BackupFilesAndDirectories</LocURI>
</Target>
<Data>Authenticated UsersAdministrators</Data>
</Item>
</Replace>
<Final/>
</SyncBody>
</SyncML>
Estos son ejemplos de campos de datos. El codificado 0xF000 es el delimitador o separador estándar.
Conceda a un usuario derecho al grupo Administradores a través de SID:
<Data>*S-1-5-32-544</Data>Conceda a un usuario derecho a varios grupos (administradores, usuarios autenticados) a través de SID:
<Data>*S-1-5-32-544*S-1-5-11</Data>Conceda a un usuario derecho a varios grupos (administradores, usuarios autenticados) mediante una combinación de SID y cadenas:
<Data>*S-1-5-32-544Authenticated Users</Data>Conceda a un usuario derecho a varios grupos (usuarios autenticados, administradores) mediante cadenas:
<Data>Authenticated UsersAdministrators</Data>La entrada vacía indica que no hay ningún usuario configurado para tener ese derecho de usuario:
<Data></Data>
Si usa Intune perfiles personalizados para asignar directivas UserRights, debe usar la etiqueta CDATA (<![CDATA[...]]>) para encapsular los campos de datos. Puede especificar uno o varios grupos de usuarios dentro de la etiqueta CDATA usando 0xF000 como delimitador o separador.
Nota
 es la codificación de entidad de 0xF000.
Por ejemplo, la siguiente sintaxis concede derechos de usuario a usuarios autenticados y grupos de usuarios replicadores:
<![CDATA[Authenticated UsersReplicator]]>
Por ejemplo, la siguiente sintaxis concede derechos de usuario a dos usuarios Microsoft Entra específicos de Contoso, user1 y user2:
<![CDATA[AzureAD\user1@contoso.comAzureAD\user2@contoso.com]]>
Por ejemplo, la sintaxis siguiente concede derechos de usuario a un usuario o grupo específico mediante el SID de la cuenta o grupo:
<![CDATA[*S-1-12-1-430441778-1204322964-3914475434-3271576427*S-1-12-1-2699785510-1240757380-4153857927-656075536]]>
AccessCredentialManagerAsTrustedCaller
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/UserRights/AccessCredentialManagerAsTrustedCaller
Credential Manager usa este derecho de usuario durante la copia de seguridad o restauración. Ninguna cuenta debe tener este privilegio, ya que solo se asigna a Winlogon. Las credenciales guardadas de los usuarios podrían verse comprometidas si se concede este privilegio a otras entidades.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: 0xF000) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Access Credential Manager ase ase a trusted caller |
| Ruta de acceso | Asignación de derechos de usuario de directivas locales de > configuración de > Windows > |
AccessFromNetwork
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/UserRights/AccessFromNetwork
Este derecho de usuario determina qué usuarios y grupos pueden conectarse al equipo a través de la red. Los servicios de Escritorio remoto no se ven afectados por este derecho de usuario.
Nota
Servicios de Escritorio remoto se denominaba Terminal Services en versiones anteriores de Windows Server.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: 0xF000) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Obtener acceso a este equipo desde la red |
| Ruta de acceso | Asignación de derechos de usuario de directivas locales de > configuración de > Windows > |
ActAsPartOfTheOperatingSystem
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/UserRights/ActAsPartOfTheOperatingSystem
Este derecho de usuario permite a un proceso suplantar a cualquier usuario sin autenticación. Por lo tanto, el proceso puede obtener acceso a los mismos recursos locales que ese usuario. Los procesos que requieren este privilegio deben usar la cuenta LocalSystem, que ya incluye este privilegio, en lugar de usar una cuenta de usuario independiente con este privilegio asignado especialmente.
Precaución
La asignación de este derecho de usuario puede ser un riesgo para la seguridad. Asigne solo este derecho de usuario a usuarios de confianza.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: 0xF000) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Actuar como parte del sistema operativo |
| Ruta de acceso | Asignación de derechos de usuario de directivas locales de > configuración de > Windows > |
AdjustMemoryQuotasForProcess
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/AdjustMemoryQuotasForProcess
Ajustar las cuotas de memoria para un proceso: este privilegio determina quién puede cambiar la memoria máxima que puede consumir un proceso. Este privilegio es útil para el ajuste del sistema en un grupo o usuario.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: 0xF000) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Ajustar las cuotas de la memoria para un proceso |
| Ruta de acceso | Asignación de derechos de usuario de directivas locales de > configuración de > Windows > |
AllowLocalLogOn
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/UserRights/AllowLocalLogOn
Este derecho de usuario determina qué usuarios pueden iniciar sesión en el equipo.
Nota
La modificación de esta configuración puede afectar a la compatibilidad con clientes, servicios y aplicaciones. Para obtener información de compatibilidad sobre esta configuración, consulte Permitir el inicio de sesión localmente (https://go.microsoft.com/fwlink/?LinkId=24268 ) en el sitio web de Microsoft.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: 0xF000) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Permitir el inicio de sesión local |
| Ruta de acceso | Asignación de derechos de usuario de directivas locales de > configuración de > Windows > |
AllowLogOnThroughRemoteDesktop
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/AllowLogOnThroughRemoteDesktop
Permitir inicio de sesión a través de Servicios de Escritorio remoto: esta configuración de directiva determina qué usuarios o grupos pueden acceder a la pantalla de inicio de sesión de un dispositivo remoto a través de una conexión de Servicios de Escritorio remoto.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: 0xF000) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Permitir inicio de sesión a través de Servicios de Escritorio remoto |
| Ruta de acceso | Asignación de derechos de usuario de directivas locales de > configuración de > Windows > |
BackupFilesAndDirectories
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/UserRights/BackupFilesAndDirectories
Este derecho de usuario determina qué usuarios pueden omitir los permisos de archivo, directorio, registro y otros objetos persistentes al realizar copias de seguridad de archivos y directorios. En concreto, este derecho de usuario es similar a conceder los siguientes permisos al usuario o grupo en cuestión en todos los archivos y carpetas del sistema:Traverse Folder/Execute File, Read.
Precaución
La asignación de este derecho de usuario puede ser un riesgo para la seguridad. Dado que los usuarios con este derecho de usuario pueden leer cualquier configuración y archivos del Registro, solo asigne este derecho de usuario a usuarios de confianza.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: 0xF000) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Hacer copias de seguridad de archivos y directorios |
| Ruta de acceso | Asignación de derechos de usuario de directivas locales de > configuración de > Windows > |
BypassTraverseChecking
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/BypassTraverseChecking
Este derecho de usuario determina qué usuarios pueden recorrer árboles de directorio aunque el usuario no tenga permisos en el directorio recorrido. Este privilegio no permite al usuario enumerar el contenido de un directorio, solo para recorrer directorios.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: 0xF000) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Omitir comprobación de recorrido |
| Ruta de acceso | Asignación de derechos de usuario de directivas locales de > configuración de > Windows > |
ChangeSystemTime
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/UserRights/ChangeSystemTime
Este derecho de usuario determina qué usuarios y grupos pueden cambiar la hora y la fecha en el reloj interno del equipo. Los usuarios a los que se les asigna este derecho de usuario pueden afectar a la apariencia de los registros de eventos. Si se cambia la hora del sistema, los eventos que se registran reflejarán esta nueva hora, no la hora real en que se produjeron los eventos.
Precaución
Al configurar los derechos de usuario, reemplaza a los usuarios o grupos existentes que se asignaron anteriormente a esos derechos de usuario. El sistema requiere que la cuenta de servicio local (SID S-1-5-19) siempre tenga el derecho ChangeSystemTime. Especifique siempre El servicio local, además de cualquier otra cuenta que necesite configurar en esta directiva.
Si no incluye la cuenta de servicio local , se produce el siguiente error en la solicitud:
| Código de error | Nombre simbólico | Descripción del error | Encabezado |
|---|---|---|---|
0x80070032 (Hexadecimal) |
ERROR_NOT_SUPPORTED | No se admite la solicitud. | winerror.h |
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: 0xF000) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Cambiar la hora del sistema |
| Ruta de acceso | Asignación de derechos de usuario de directivas locales de > configuración de > Windows > |
ChangeTimeZone
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/ChangeTimeZone
Este derecho de usuario determina qué usuarios y grupos pueden cambiar la zona horaria que usa el equipo para mostrar la hora local, que es la hora del sistema del equipo más el desplazamiento de zona horaria. La hora del sistema en sí es absoluta y no se ve afectada por un cambio en la zona horaria.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: 0xF000) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Cambiar la zona horaria |
| Ruta de acceso | Asignación de derechos de usuario de directivas locales de > configuración de > Windows > |
CreateGlobalObjects
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/UserRights/CreateGlobalObjects
Esta configuración de seguridad determina si los usuarios pueden crear objetos globales que están disponibles para todas las sesiones. Los usuarios todavía pueden crear objetos específicos de su propia sesión si no tienen este derecho de usuario. Los usuarios que pueden crear objetos globales podrían afectar a los procesos que se ejecutan en las sesiones de otros usuarios, lo que podría provocar errores en la aplicación o daños en los datos.
Precaución
La asignación de este derecho de usuario puede ser un riesgo para la seguridad. Asigne este derecho de usuario solo a usuarios de confianza.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: 0xF000) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Crear objetos globales |
| Ruta de acceso | Asignación de derechos de usuario de directivas locales de > configuración de > Windows > |
CreatePageFile
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/UserRights/CreatePageFile
Este derecho de usuario determina qué usuarios y grupos pueden llamar a una interfaz de programación de aplicaciones (API) interna para crear y cambiar el tamaño de un archivo de página. El sistema operativo usa internamente este derecho de usuario y, por lo general, no es necesario asignarlo a ningún usuario.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: 0xF000) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Crear un archivo de paginación |
| Ruta de acceso | Asignación de derechos de usuario de directivas locales de > configuración de > Windows > |
CreatePermanentSharedObjects
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/UserRights/CreatePermanentSharedObjects
Este derecho de usuario determina qué cuentas pueden usar los procesos para crear un objeto de directorio mediante el administrador de objetos. El sistema operativo usa internamente este derecho de usuario y resulta útil para los componentes en modo kernel que amplían el espacio de nombres del objeto. Dado que los componentes que se ejecutan en modo kernel ya tienen este derecho de usuario asignado, no es necesario asignarlo específicamente.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: 0xF000) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Crear objetos compartidos permanentes |
| Ruta de acceso | Asignación de derechos de usuario de directivas locales de > configuración de > Windows > |
CreateSymbolicLinks
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/UserRights/CreateSymbolicLinks
Este derecho de usuario determina si el usuario puede crear un vínculo simbólico desde el equipo en el que ha iniciado sesión.
Precaución
Este privilegio solo debe concederse a usuarios de confianza. Los vínculos simbólicos pueden exponer vulnerabilidades de seguridad en aplicaciones que no están diseñadas para controlarlas.
Nota
Esta configuración se puede usar junto con una configuración del sistema de archivos symlink que se puede manipular con la utilidad de línea de comandos para controlar los tipos de vínculos simbólicos que se permiten en la máquina. Escriba 'fsutil behavior set symlinkevaluation /?' en la línea de comandos para obtener más información sobre los vínculos fsutil y simbólicos.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: 0xF000) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Crear vínculos simbólicos |
| Ruta de acceso | Asignación de derechos de usuario de directivas locales de > configuración de > Windows > |
CreateToken
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/UserRights/CreateToken
Este derecho de usuario determina qué cuentas pueden usar los procesos para crear un token que, a continuación, se puede usar para obtener acceso a los recursos locales cuando el proceso usa una interfaz de programación de aplicaciones (API) interna para crear un token de acceso. El sistema operativo usa internamente este derecho de usuario. A menos que sea necesario, no asigne este derecho de usuario a un usuario, grupo o proceso distinto del sistema local.
Precaución
La asignación de este derecho de usuario puede ser un riesgo para la seguridad. No asigne este derecho de usuario a ningún usuario, grupo o proceso que no quiera asumir el control del sistema.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: 0xF000) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Crear un objeto token |
| Ruta de acceso | Asignación de derechos de usuario de directivas locales de > configuración de > Windows > |
DebugPrograms
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/UserRights/DebugPrograms
Este derecho de usuario determina qué usuarios pueden asociar un depurador a cualquier proceso o al kernel. No es necesario asignar este derecho de usuario a los desarrolladores que depuran sus propias aplicaciones. Los desarrolladores que depuran nuevos componentes del sistema necesitarán este derecho de usuario para poder hacerlo. Este derecho de usuario proporciona acceso completo a componentes del sistema operativo confidenciales y críticos.
Precaución
La asignación de este derecho de usuario puede ser un riesgo para la seguridad. Asigne solo este derecho de usuario a usuarios de confianza.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: 0xF000) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Depurar programas |
| Ruta de acceso | Asignación de derechos de usuario de directivas locales de > configuración de > Windows > |
DenyAccessFromNetwork
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyAccessFromNetwork
Este derecho de usuario determina qué usuarios no pueden acceder a un equipo a través de la red. Esta configuración de directiva reemplaza a Access this computer from the network policy setting if a user account is subject to both policies (Acceder a este equipo desde la configuración de directiva de red si una cuenta de usuario está sujeta a ambas directivas).
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: 0xF000) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Denegar el acceso desde la red a este equipo |
| Ruta de acceso | Asignación de derechos de usuario de directivas locales de > configuración de > Windows > |
DenyLocalLogOn
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyLocalLogOn
Esta configuración de seguridad determina qué cuentas de servicio no pueden registrar un proceso como servicio.
Nota
Esta configuración de seguridad no se aplica a las cuentas de sistema, servicio local o servicio de red.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: 0xF000) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Denegar el inicio de sesión como servicio |
| Ruta de acceso | Asignación de derechos de usuario de directivas locales de > configuración de > Windows > |
DenyLogOnAsBatchJob
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyLogOnAsBatchJob
Esta configuración de seguridad determina qué cuentas no pueden iniciar sesión como un trabajo por lotes. Esta configuración de directiva reemplaza la configuración de directiva Iniciar sesión como trabajo por lotes si una cuenta de usuario está sujeta a ambas directivas.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: 0xF000) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Denegar el inicio de sesión como trabajo por lotes |
| Ruta de acceso | Asignación de derechos de usuario de directivas locales de > configuración de > Windows > |
DenyLogOnAsService
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyLogOnAsService
Denegar el inicio de sesión como servicio: esta configuración de seguridad determina qué cuentas de servicio no pueden registrar un proceso como servicio. Esta configuración de directiva reemplaza la configuración de directiva Iniciar sesión como servicio si una cuenta está sujeta a ambas directivas.
Nota
Esta configuración de seguridad no se aplica a las cuentas de sistema, servicio local o servicio de red. Valor predeterminado: Ninguno.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: 0xF000) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Denegar el inicio de sesión como servicio |
| Ruta de acceso | Asignación de derechos de usuario de directivas locales de > configuración de > Windows > |
DenyRemoteDesktopServicesLogOn
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyRemoteDesktopServicesLogOn
Este derecho de usuario determina qué usuarios y grupos tienen prohibido iniciar sesión como cliente de Servicios de Escritorio remoto.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: 0xF000) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Denegar inicio de sesión a través de Servicios de Escritorio remoto |
| Ruta de acceso | Asignación de derechos de usuario de directivas locales de > configuración de > Windows > |
EnableDelegation
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/UserRights/EnableDelegation
Este derecho de usuario determina qué usuarios pueden establecer la opción De confianza para delegación en un objeto de usuario o equipo. El usuario o objeto al que se concede este privilegio debe tener acceso de escritura a las marcas de control de cuenta en el objeto de usuario o equipo. Un proceso de servidor que se ejecuta en un equipo (o en un contexto de usuario) de confianza para la delegación puede tener acceso a los recursos de otro equipo mediante credenciales delegadas de un cliente, siempre y cuando la cuenta de cliente no tenga establecida la marca de control de cuenta delegada.
Precaución
El uso indebido de este derecho de usuario, o de la configuración De confianza para delegación, podría hacer que la red sea vulnerable a ataques sofisticados mediante programas troyanos que suplantan a los clientes entrantes y usan sus credenciales para obtener acceso a los recursos de red.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: 0xF000) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Habilitar confianza con las cuentas de usuario y de equipo para delegación |
| Ruta de acceso | Asignación de derechos de usuario de directivas locales de > configuración de > Windows > |
GenerateSecurityAudits
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/UserRights/GenerateSecurityAudits
Este derecho de usuario determina qué cuentas puede usar un proceso para agregar entradas al registro de seguridad. El registro de seguridad se usa para realizar un seguimiento del acceso no autorizado al sistema. El uso indebido de este derecho de usuario puede dar lugar a la generación de muchos eventos de auditoría, lo que podría ocultar pruebas de un ataque o provocar una denegación de servicio. Apague el sistema inmediatamente si no se puede registrar la configuración de directiva de seguridad de auditorías de seguridad.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: 0xF000) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Generar auditorías de seguridad |
| Ruta de acceso | Asignación de derechos de usuario de directivas locales de > configuración de > Windows > |
ImpersonateClient
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/UserRights/ImpersonateClient
La asignación de este derecho de usuario a un usuario permite a los programas que se ejecutan en nombre de ese usuario suplantar a un cliente. Requerir este derecho de usuario para este tipo de suplantación impide que un usuario no autorizado convenza a un cliente de conectarse (por ejemplo, mediante llamada a procedimiento remoto (RPC) o canalizaciones con nombre) a un servicio que ha creado y, a continuación, suplantar a ese cliente, lo que puede elevar los permisos del usuario no autorizado a los niveles administrativos o del sistema.
Precaución
La asignación de este derecho de usuario puede ser un riesgo para la seguridad. Asigne solo este derecho de usuario a usuarios de confianza.
Nota
De forma predeterminada, los servicios iniciados por Service Control Manager tienen el grupo de servicios integrado agregado a sus tokens de acceso. Los servidores del modelo de objetos componentes (COM) que se inician mediante la infraestructura COM y que están configurados para ejecutarse en una cuenta específica también tienen el grupo de servicios agregado a sus tokens de acceso. Como resultado, estos servicios obtienen el derecho de este usuario cuando se inician. Además, un usuario también puede suplantar un token de acceso si existe alguna de las condiciones siguientes. 1) El token de acceso que se suplanta es para este usuario. 2) El usuario, en esta sesión de inicio de sesión, creó el token de acceso iniciando sesión en la red con credenciales explícitas. 3) El nivel solicitado es menor que Suplantar, como Anónimo o Identificar. Debido a estos factores, los usuarios no suelen necesitar este derecho de usuario.
Advertencia
Si habilita esta configuración, los programas que anteriormente tenían el privilegio Suplantar pueden perderlo y es posible que no se ejecuten.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: 0xF000) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Suplantar a un cliente tras la autenticación |
| Ruta de acceso | Asignación de derechos de usuario de directivas locales de > configuración de > Windows > |
IncreaseProcessWorkingSet
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/IncreaseProcessWorkingSet
Aumentar un conjunto de trabajo de procesos. Este privilegio determina qué cuentas de usuario pueden aumentar o reducir el tamaño del conjunto de trabajo de un proceso. El conjunto de trabajo de un proceso es el conjunto de páginas de memoria visibles actualmente para el proceso en la memoria RAM física. Estas páginas son residentes y están disponibles para que una aplicación las use sin desencadenar un error de página. Los tamaños mínimo y máximo del conjunto de trabajo afectan al comportamiento de paginación de memoria virtual de un proceso.
Advertencia
Aumentar el tamaño del conjunto de trabajo para un proceso reduce la cantidad de memoria física disponible para el resto del sistema.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: 0xF000) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Aumentar el espacio de trabajo de un proceso |
| Ruta de acceso | Asignación de derechos de usuario de directivas locales de > configuración de > Windows > |
IncreaseSchedulingPriority
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/UserRights/IncreaseSchedulingPriority
Este derecho de usuario determina qué cuentas pueden usar un proceso con acceso de propiedad de escritura a otro proceso para aumentar la prioridad de ejecución asignada al otro proceso. Un usuario con este privilegio puede cambiar la prioridad de programación de un proceso a través de la interfaz de usuario del Administrador de tareas.
Advertencia
Si quita El Administrador de ventanas\Grupo del Administrador de ventanas del derecho de usuario Aumentar prioridad de programación , determinadas aplicaciones y equipos no funcionarán correctamente. En concreto, el área de trabajo de INK no funciona correctamente en equipos portátiles y de escritorio de arquitectura de memoria unificada (UMA) que ejecutan Windows 10, versión 1903 o posterior y que usan el controlador Intel GFX.
En los equipos afectados, la pantalla parpadea cuando los usuarios dibujan en áreas de trabajo de INK, como las que usan Microsoft Edge, Microsoft PowerPoint o Microsoft OneNote. El parpadeo se produce porque los procesos relacionados con la entrada manuscrita intentan repetidamente usar la prioridad Real-Time, pero se les deniega el permiso.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: 0xF000) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Aumentar prioridad de programación |
| Ruta de acceso | Asignación de derechos de usuario de directivas locales de > configuración de > Windows > |
LoadUnloadDeviceDrivers
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/UserRights/LoadUnloadDeviceDrivers
Este derecho de usuario determina qué usuarios pueden cargar y descargar dinámicamente controladores de dispositivo u otro código en el modo kernel. Este derecho de usuario no se aplica a Plug and Play controladores de dispositivo. Se recomienda no asignar este privilegio a otros usuarios.
Precaución
La asignación de este derecho de usuario puede ser un riesgo para la seguridad. No asigne este derecho de usuario a ningún usuario, grupo o proceso que no quiera asumir el control del sistema.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: 0xF000) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Cargar y descargar controladores de dispositivo |
| Ruta de acceso | Asignación de derechos de usuario de directivas locales de > configuración de > Windows > |
LockMemory
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/UserRights/LockMemory
Este derecho de usuario determina qué cuentas pueden usar un proceso para mantener los datos en la memoria física, lo que impide que el sistema pagina los datos en memoria virtual en el disco. El ejercicio de este privilegio podría afectar significativamente al rendimiento del sistema al reducir la cantidad de memoria de acceso aleatorio (RAM) disponible.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: 0xF000) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Bloquear páginas en la memoria |
| Ruta de acceso | Asignación de derechos de usuario de directivas locales de > configuración de > Windows > |
LogOnAsBatchJob
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/LogOnAsBatchJob
Esta configuración de seguridad permite que un usuario inicie sesión mediante una instalación de cola por lotes y solo se proporciona para la compatibilidad con versiones anteriores de Windows. Por ejemplo, cuando un usuario envía un trabajo mediante el programador de tareas, el programador de tareas inicia sesión en ese usuario como usuario por lotes en lugar de como usuario interactivo.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: 0xF000) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Iniciar sesión como proceso por lotes |
| Ruta de acceso | Asignación de derechos de usuario de directivas locales de > configuración de > Windows > |
LogOnAsService
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/LogOnAsService
Esta configuración de seguridad permite que una entidad de seguridad inicie sesión como servicio. Los servicios se pueden configurar para ejecutarse en las cuentas de sistema local, servicio local o servicio de red, que tienen un derecho integrado para iniciar sesión como servicio. Se debe asignar el derecho a cualquier servicio que se ejecute en una cuenta de usuario independiente.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: 0xF000) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Iniciar sesión como servicio |
| Ruta de acceso | Asignación de derechos de usuario de directivas locales de > configuración de > Windows > |
ManageAuditingAndSecurityLog
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/UserRights/ManageAuditingAndSecurityLog
Este derecho de usuario determina qué usuarios pueden especificar opciones de auditoría de acceso a objetos para recursos individuales, como archivos, objetos de Active Directory y claves del Registro. Esta configuración de seguridad no permite a un usuario habilitar la auditoría de acceso a archivos y objetos en general. Puede ver los eventos auditados en el registro de seguridad de la Visor de eventos. Un usuario con este privilegio también puede ver y borrar el registro de seguridad.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: 0xF000) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Administrar registro de seguridad y auditoría |
| Ruta de acceso | Asignación de derechos de usuario de directivas locales de > configuración de > Windows > |
ManageVolume
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/UserRights/ManageVolume
Este derecho de usuario determina qué usuarios y grupos pueden ejecutar tareas de mantenimiento en un volumen, como la desfragmentación remota. Tenga cuidado al asignar este derecho de usuario. Los usuarios con este derecho de usuario pueden explorar discos y ampliar los archivos en la memoria que contiene otros datos. Cuando se abren los archivos extendidos, es posible que el usuario pueda leer y modificar los datos adquiridos.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: 0xF000) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Realización de tareas de mantenimiento del volumen |
| Ruta de acceso | Asignación de derechos de usuario de directivas locales de > configuración de > Windows > |
ModifyFirmwareEnvironment
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/UserRights/ModifyFirmwareEnvironment
Este derecho de usuario determina quién puede modificar los valores del entorno de firmware. Las variables de entorno de firmware se almacenan en la RAM no volátil de los equipos no basados en x86. El efecto de la configuración depende del procesador. En equipos basados en x86, el único valor de entorno de firmware que se puede modificar mediante la asignación de este derecho de usuario es la configuración De última configuración correcta conocida, que solo debe modificar el sistema. En los equipos basados en Itanium, la información de arranque se almacena en RAM no volátil. A los usuarios se les debe asignar este derecho de usuario para ejecutar bootcfg.exe y cambiar la configuración del sistema operativo predeterminado en Inicio y recuperación en propiedades del sistema. En todos los equipos, este derecho de usuario es necesario para instalar o actualizar Windows.
Nota
Esta configuración de seguridad no afecta a quién puede modificar las variables de entorno del sistema y las variables de entorno de usuario que se muestran en la pestaña Avanzadas de Propiedades del sistema.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: 0xF000) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Modificar valores de entorno firmware |
| Ruta de acceso | Asignación de derechos de usuario de directivas locales de > configuración de > Windows > |
ModifyObjectLabel
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/UserRights/ModifyObjectLabel
Este derecho de usuario determina qué cuentas de usuario pueden modificar la etiqueta de integridad de objetos, como archivos, claves del Registro o procesos propiedad de otros usuarios. Los procesos que se ejecutan en una cuenta de usuario pueden modificar la etiqueta de un objeto propiedad de ese usuario a un nivel inferior sin este privilegio.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: 0xF000) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Modificar la etiqueta de un objeto |
| Ruta de acceso | Asignación de derechos de usuario de directivas locales de > configuración de > Windows > |
ProfileSingleProcess
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/UserRights/ProfileSingleProcess
Este derecho de usuario determina qué usuarios pueden usar herramientas de supervisión del rendimiento para supervisar el rendimiento de los procesos del sistema.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: 0xF000) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Analizar un solo proceso |
| Ruta de acceso | Asignación de derechos de usuario de directivas locales de > configuración de > Windows > |
ProfileSystemPerformance
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/ProfileSystemPerformance
Esta configuración de seguridad determina qué usuarios pueden usar herramientas de supervisión del rendimiento para supervisar el rendimiento de los procesos del sistema.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: 0xF000) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Analizar el rendimiento del sistema |
| Ruta de acceso | Asignación de derechos de usuario de directivas locales de > configuración de > Windows > |
RemoteShutdown
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/UserRights/RemoteShutdown
Este derecho de usuario determina qué usuarios pueden apagar un equipo desde una ubicación remota de la red. El uso indebido de este derecho de usuario puede dar lugar a una denegación de servicio.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: 0xF000) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Forzar cierre desde un sistema remoto |
| Ruta de acceso | Asignación de derechos de usuario de directivas locales de > configuración de > Windows > |
ReplaceProcessLevelToken
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/ReplaceProcessLevelToken
Esta configuración de seguridad determina qué cuentas de usuario pueden llamar a la interfaz de programación de aplicaciones (API) CreateProcessAsUser() para que un servicio pueda iniciar otro. Un ejemplo de un proceso que usa este derecho de usuario es programador de tareas. Para obtener información sobre el Programador de tareas, consulte Introducción al Programador de tareas.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: 0xF000) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Reemplazar un token de nivel de proceso |
| Ruta de acceso | Asignación de derechos de usuario de directivas locales de > configuración de > Windows > |
RestoreFilesAndDirectories
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/UserRights/RestoreFilesAndDirectories
Este derecho de usuario determina qué usuarios pueden omitir los permisos de archivos, directorios, registro y otros objetos persistentes al restaurar archivos y directorios de copia de seguridad, y determina qué usuarios pueden establecer cualquier entidad de seguridad válida como propietario de un objeto. En concreto, este derecho de usuario es similar a conceder los siguientes permisos al usuario o grupo en cuestión en todos los archivos y carpetas del sistema:Traverse Folder/Execute File, Write.
Precaución
La asignación de este derecho de usuario puede ser un riesgo para la seguridad. Dado que los usuarios con este derecho de usuario pueden sobrescribir la configuración del Registro, ocultar datos y obtener la propiedad de los objetos del sistema, solo asigne este derecho de usuario a usuarios de confianza.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: 0xF000) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Restaurar archivos y directorios |
| Ruta de acceso | Asignación de derechos de usuario de directivas locales de > configuración de > Windows > |
ShutDownTheSystem
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/ShutDownTheSystem
Esta configuración de seguridad determina qué usuarios que han iniciado sesión localmente en el equipo pueden apagar el sistema operativo mediante el comando Apagar. El uso indebido de este derecho de usuario puede dar lugar a una denegación de servicio.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: 0xF000) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Apagar el sistema |
| Ruta de acceso | Asignación de derechos de usuario de directivas locales de > configuración de > Windows > |
TakeOwnership
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/UserRights/TakeOwnership
Este derecho de usuario determina qué usuarios pueden tomar posesión de cualquier objeto protegible en el sistema, incluidos objetos, archivos y carpetas de Active Directory, impresoras, claves del Registro, procesos y subprocesos.
Precaución
La asignación de este derecho de usuario puede ser un riesgo para la seguridad. Dado que los propietarios de objetos tienen control total de ellos, solo asigne este derecho de usuario a usuarios de confianza.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: 0xF000) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Tomar posesión de archivos u otros objetos |
| Ruta de acceso | Asignación de derechos de usuario de directivas locales de > configuración de > Windows > |
Artículos relacionados
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de