Compartir a través de


CSP de directiva: UserRights

Los derechos de usuario se asignan para cuentas de usuario o grupos. El nombre de la directiva define el derecho de usuario en cuestión y los valores siempre son usuarios o grupos. Los valores se pueden representar como identificadores de seguridad (SID) o cadenas. Para obtener más información, consulte Estructuras de SID conocidas.

Aunque se admiten cadenas para cuentas y grupos conocidos, es mejor usar SID, ya que las cadenas están localizadas para diferentes idiomas. Algunos derechos de usuario permiten cosas como AccessFromNetwork, mientras que otras no permiten cosas, como DenyAccessFromNetwork.

Ejemplo general

Este es un ejemplo para establecer el derecho de usuario BackupFilesAndDirectories para administradores y grupos de usuarios autenticados.

<SyncML xmlns="SYNCML:SYNCML1.2">

<SyncBody>
    <Replace>
      <CmdID>2</CmdID>
      <Item>
        <Meta>
          <Format>chr</Format>
          <Type>text/plain</Type>
        </Meta>
        <Target>
          <LocURI>./Device/Vendor/MSFT/Policy/Config/UserRights/BackupFilesAndDirectories</LocURI>
        </Target>
        <Data>Authenticated Users&#xF000;Administrators</Data>
      </Item>
    </Replace>
  <Final/>
  </SyncBody>
</SyncML>

Estos son ejemplos de campos de datos. El codificado 0xF000 es el delimitador o separador estándar.

  • Conceda a un usuario derecho al grupo Administradores a través de SID:

    <Data>*S-1-5-32-544</Data>
    
  • Conceda a un usuario derecho a varios grupos (administradores, usuarios autenticados) a través de SID:

    <Data>*S-1-5-32-544&#xF000;*S-1-5-11</Data>
    
  • Conceda a un usuario derecho a varios grupos (administradores, usuarios autenticados) mediante una combinación de SID y cadenas:

    <Data>*S-1-5-32-544&#xF000;Authenticated Users</Data>
    
  • Conceda a un usuario derecho a varios grupos (usuarios autenticados, administradores) mediante cadenas:

    <Data>Authenticated Users&#xF000;Administrators</Data>
    
  • La entrada vacía indica que no hay ningún usuario configurado para tener ese derecho de usuario:

    <Data></Data>
    

Si usa Intune perfiles personalizados para asignar directivas UserRights, debe usar la etiqueta CDATA (<![CDATA[...]]>) para encapsular los campos de datos. Puede especificar uno o varios grupos de usuarios dentro de la etiqueta CDATA usando 0xF000 como delimitador o separador.

Nota

&#xF000; es la codificación de entidad de 0xF000.

Por ejemplo, la siguiente sintaxis concede derechos de usuario a usuarios autenticados y grupos de usuarios replicadores:

<![CDATA[Authenticated Users&#xF000;Replicator]]>

Por ejemplo, la siguiente sintaxis concede derechos de usuario a dos usuarios Microsoft Entra específicos de Contoso, user1 y user2:

<![CDATA[AzureAD\user1@contoso.com&#xF000;AzureAD\user2@contoso.com]]>

Por ejemplo, la sintaxis siguiente concede derechos de usuario a un usuario o grupo específico mediante el SID de la cuenta o grupo:

<![CDATA[*S-1-12-1-430441778-1204322964-3914475434-3271576427&#xF000;*S-1-12-1-2699785510-1240757380-4153857927-656075536]]>

AccessCredentialManagerAsTrustedCaller

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/UserRights/AccessCredentialManagerAsTrustedCaller

Credential Manager usa este derecho de usuario durante la copia de seguridad o restauración. Ninguna cuenta debe tener este privilegio, ya que solo se asigna a Winlogon. Las credenciales guardadas de los usuarios podrían verse comprometidas si se concede este privilegio a otras entidades.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: 0xF000)

Asignación de directivas de grupo:

Nombre Valor
Nombre Access Credential Manager ase ase a trusted caller
Ruta de acceso Asignación de derechos de usuario de directivas locales de > configuración de > Windows >

AccessFromNetwork

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/UserRights/AccessFromNetwork

Este derecho de usuario determina qué usuarios y grupos pueden conectarse al equipo a través de la red. Los servicios de Escritorio remoto no se ven afectados por este derecho de usuario.

Nota

Servicios de Escritorio remoto se denominaba Terminal Services en versiones anteriores de Windows Server.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: 0xF000)

Asignación de directivas de grupo:

Nombre Valor
Nombre Obtener acceso a este equipo desde la red
Ruta de acceso Asignación de derechos de usuario de directivas locales de > configuración de > Windows >

ActAsPartOfTheOperatingSystem

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/UserRights/ActAsPartOfTheOperatingSystem

Este derecho de usuario permite a un proceso suplantar a cualquier usuario sin autenticación. Por lo tanto, el proceso puede obtener acceso a los mismos recursos locales que ese usuario. Los procesos que requieren este privilegio deben usar la cuenta LocalSystem, que ya incluye este privilegio, en lugar de usar una cuenta de usuario independiente con este privilegio asignado especialmente.

Precaución

La asignación de este derecho de usuario puede ser un riesgo para la seguridad. Asigne solo este derecho de usuario a usuarios de confianza.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: 0xF000)

Asignación de directivas de grupo:

Nombre Valor
Nombre Actuar como parte del sistema operativo
Ruta de acceso Asignación de derechos de usuario de directivas locales de > configuración de > Windows >

AdjustMemoryQuotasForProcess

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/UserRights/AdjustMemoryQuotasForProcess

Ajustar las cuotas de memoria para un proceso: este privilegio determina quién puede cambiar la memoria máxima que puede consumir un proceso. Este privilegio es útil para el ajuste del sistema en un grupo o usuario.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: 0xF000)

Asignación de directivas de grupo:

Nombre Valor
Nombre Ajustar las cuotas de la memoria para un proceso
Ruta de acceso Asignación de derechos de usuario de directivas locales de > configuración de > Windows >

AllowLocalLogOn

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/UserRights/AllowLocalLogOn

Este derecho de usuario determina qué usuarios pueden iniciar sesión en el equipo.

Nota

La modificación de esta configuración puede afectar a la compatibilidad con clientes, servicios y aplicaciones. Para obtener información de compatibilidad sobre esta configuración, consulte Permitir el inicio de sesión localmente (https://go.microsoft.com/fwlink/?LinkId=24268 ) en el sitio web de Microsoft.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: 0xF000)

Asignación de directivas de grupo:

Nombre Valor
Nombre Permitir el inicio de sesión local
Ruta de acceso Asignación de derechos de usuario de directivas locales de > configuración de > Windows >

AllowLogOnThroughRemoteDesktop

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/UserRights/AllowLogOnThroughRemoteDesktop

Permitir inicio de sesión a través de Servicios de Escritorio remoto: esta configuración de directiva determina qué usuarios o grupos pueden acceder a la pantalla de inicio de sesión de un dispositivo remoto a través de una conexión de Servicios de Escritorio remoto.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: 0xF000)

Asignación de directivas de grupo:

Nombre Valor
Nombre Permitir inicio de sesión a través de Servicios de Escritorio remoto
Ruta de acceso Asignación de derechos de usuario de directivas locales de > configuración de > Windows >

BackupFilesAndDirectories

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/UserRights/BackupFilesAndDirectories

Este derecho de usuario determina qué usuarios pueden omitir los permisos de archivo, directorio, registro y otros objetos persistentes al realizar copias de seguridad de archivos y directorios. En concreto, este derecho de usuario es similar a conceder los siguientes permisos al usuario o grupo en cuestión en todos los archivos y carpetas del sistema:Traverse Folder/Execute File, Read.

Precaución

La asignación de este derecho de usuario puede ser un riesgo para la seguridad. Dado que los usuarios con este derecho de usuario pueden leer cualquier configuración y archivos del Registro, solo asigne este derecho de usuario a usuarios de confianza.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: 0xF000)

Asignación de directivas de grupo:

Nombre Valor
Nombre Hacer copias de seguridad de archivos y directorios
Ruta de acceso Asignación de derechos de usuario de directivas locales de > configuración de > Windows >

BypassTraverseChecking

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/UserRights/BypassTraverseChecking

Este derecho de usuario determina qué usuarios pueden recorrer árboles de directorio aunque el usuario no tenga permisos en el directorio recorrido. Este privilegio no permite al usuario enumerar el contenido de un directorio, solo para recorrer directorios.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: 0xF000)

Asignación de directivas de grupo:

Nombre Valor
Nombre Omitir comprobación de recorrido
Ruta de acceso Asignación de derechos de usuario de directivas locales de > configuración de > Windows >

ChangeSystemTime

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/UserRights/ChangeSystemTime

Este derecho de usuario determina qué usuarios y grupos pueden cambiar la hora y la fecha en el reloj interno del equipo. Los usuarios a los que se les asigna este derecho de usuario pueden afectar a la apariencia de los registros de eventos. Si se cambia la hora del sistema, los eventos que se registran reflejarán esta nueva hora, no la hora real en que se produjeron los eventos.

Precaución

Al configurar los derechos de usuario, reemplaza a los usuarios o grupos existentes que se asignaron anteriormente a esos derechos de usuario. El sistema requiere que la cuenta de servicio local (SID S-1-5-19) siempre tenga el derecho ChangeSystemTime. Especifique siempre El servicio local, además de cualquier otra cuenta que necesite configurar en esta directiva.

Si no incluye la cuenta de servicio local , se produce el siguiente error en la solicitud:

Código de error Nombre simbólico Descripción del error Encabezado
0x80070032 (Hexadecimal) ERROR_NOT_SUPPORTED No se admite la solicitud. winerror.h

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: 0xF000)

Asignación de directivas de grupo:

Nombre Valor
Nombre Cambiar la hora del sistema
Ruta de acceso Asignación de derechos de usuario de directivas locales de > configuración de > Windows >

ChangeTimeZone

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/UserRights/ChangeTimeZone

Este derecho de usuario determina qué usuarios y grupos pueden cambiar la zona horaria que usa el equipo para mostrar la hora local, que es la hora del sistema del equipo más el desplazamiento de zona horaria. La hora del sistema en sí es absoluta y no se ve afectada por un cambio en la zona horaria.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: 0xF000)

Asignación de directivas de grupo:

Nombre Valor
Nombre Cambiar la zona horaria
Ruta de acceso Asignación de derechos de usuario de directivas locales de > configuración de > Windows >

CreateGlobalObjects

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/UserRights/CreateGlobalObjects

Esta configuración de seguridad determina si los usuarios pueden crear objetos globales que están disponibles para todas las sesiones. Los usuarios todavía pueden crear objetos específicos de su propia sesión si no tienen este derecho de usuario. Los usuarios que pueden crear objetos globales podrían afectar a los procesos que se ejecutan en las sesiones de otros usuarios, lo que podría provocar errores en la aplicación o daños en los datos.

Precaución

La asignación de este derecho de usuario puede ser un riesgo para la seguridad. Asigne este derecho de usuario solo a usuarios de confianza.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: 0xF000)

Asignación de directivas de grupo:

Nombre Valor
Nombre Crear objetos globales
Ruta de acceso Asignación de derechos de usuario de directivas locales de > configuración de > Windows >

CreatePageFile

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/UserRights/CreatePageFile

Este derecho de usuario determina qué usuarios y grupos pueden llamar a una interfaz de programación de aplicaciones (API) interna para crear y cambiar el tamaño de un archivo de página. El sistema operativo usa internamente este derecho de usuario y, por lo general, no es necesario asignarlo a ningún usuario.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: 0xF000)

Asignación de directivas de grupo:

Nombre Valor
Nombre Crear un archivo de paginación
Ruta de acceso Asignación de derechos de usuario de directivas locales de > configuración de > Windows >

CreatePermanentSharedObjects

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/UserRights/CreatePermanentSharedObjects

Este derecho de usuario determina qué cuentas pueden usar los procesos para crear un objeto de directorio mediante el administrador de objetos. El sistema operativo usa internamente este derecho de usuario y resulta útil para los componentes en modo kernel que amplían el espacio de nombres del objeto. Dado que los componentes que se ejecutan en modo kernel ya tienen este derecho de usuario asignado, no es necesario asignarlo específicamente.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: 0xF000)

Asignación de directivas de grupo:

Nombre Valor
Nombre Crear objetos compartidos permanentes
Ruta de acceso Asignación de derechos de usuario de directivas locales de > configuración de > Windows >
Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/UserRights/CreateSymbolicLinks

Este derecho de usuario determina si el usuario puede crear un vínculo simbólico desde el equipo en el que ha iniciado sesión.

Precaución

Este privilegio solo debe concederse a usuarios de confianza. Los vínculos simbólicos pueden exponer vulnerabilidades de seguridad en aplicaciones que no están diseñadas para controlarlas.

Nota

Esta configuración se puede usar junto con una configuración del sistema de archivos symlink que se puede manipular con la utilidad de línea de comandos para controlar los tipos de vínculos simbólicos que se permiten en la máquina. Escriba 'fsutil behavior set symlinkevaluation /?' en la línea de comandos para obtener más información sobre los vínculos fsutil y simbólicos.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: 0xF000)

Asignación de directivas de grupo:

Nombre Valor
Nombre Crear vínculos simbólicos
Ruta de acceso Asignación de derechos de usuario de directivas locales de > configuración de > Windows >

CreateToken

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/UserRights/CreateToken

Este derecho de usuario determina qué cuentas pueden usar los procesos para crear un token que, a continuación, se puede usar para obtener acceso a los recursos locales cuando el proceso usa una interfaz de programación de aplicaciones (API) interna para crear un token de acceso. El sistema operativo usa internamente este derecho de usuario. A menos que sea necesario, no asigne este derecho de usuario a un usuario, grupo o proceso distinto del sistema local.

Precaución

La asignación de este derecho de usuario puede ser un riesgo para la seguridad. No asigne este derecho de usuario a ningún usuario, grupo o proceso que no quiera asumir el control del sistema.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: 0xF000)

Asignación de directivas de grupo:

Nombre Valor
Nombre Crear un objeto token
Ruta de acceso Asignación de derechos de usuario de directivas locales de > configuración de > Windows >

DebugPrograms

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/UserRights/DebugPrograms

Este derecho de usuario determina qué usuarios pueden asociar un depurador a cualquier proceso o al kernel. No es necesario asignar este derecho de usuario a los desarrolladores que depuran sus propias aplicaciones. Los desarrolladores que depuran nuevos componentes del sistema necesitarán este derecho de usuario para poder hacerlo. Este derecho de usuario proporciona acceso completo a componentes del sistema operativo confidenciales y críticos.

Precaución

La asignación de este derecho de usuario puede ser un riesgo para la seguridad. Asigne solo este derecho de usuario a usuarios de confianza.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: 0xF000)

Asignación de directivas de grupo:

Nombre Valor
Nombre Depurar programas
Ruta de acceso Asignación de derechos de usuario de directivas locales de > configuración de > Windows >

DenyAccessFromNetwork

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyAccessFromNetwork

Este derecho de usuario determina qué usuarios no pueden acceder a un equipo a través de la red. Esta configuración de directiva reemplaza a Access this computer from the network policy setting if a user account is subject to both policies (Acceder a este equipo desde la configuración de directiva de red si una cuenta de usuario está sujeta a ambas directivas).

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: 0xF000)

Asignación de directivas de grupo:

Nombre Valor
Nombre Denegar el acceso desde la red a este equipo
Ruta de acceso Asignación de derechos de usuario de directivas locales de > configuración de > Windows >

DenyLocalLogOn

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyLocalLogOn

Esta configuración de seguridad determina qué cuentas de servicio no pueden registrar un proceso como servicio.

Nota

Esta configuración de seguridad no se aplica a las cuentas de sistema, servicio local o servicio de red.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: 0xF000)

Asignación de directivas de grupo:

Nombre Valor
Nombre Denegar el inicio de sesión como servicio
Ruta de acceso Asignación de derechos de usuario de directivas locales de > configuración de > Windows >

DenyLogOnAsBatchJob

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyLogOnAsBatchJob

Esta configuración de seguridad determina qué cuentas no pueden iniciar sesión como un trabajo por lotes. Esta configuración de directiva reemplaza la configuración de directiva Iniciar sesión como trabajo por lotes si una cuenta de usuario está sujeta a ambas directivas.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: 0xF000)

Asignación de directivas de grupo:

Nombre Valor
Nombre Denegar el inicio de sesión como trabajo por lotes
Ruta de acceso Asignación de derechos de usuario de directivas locales de > configuración de > Windows >

DenyLogOnAsService

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyLogOnAsService

Denegar el inicio de sesión como servicio: esta configuración de seguridad determina qué cuentas de servicio no pueden registrar un proceso como servicio. Esta configuración de directiva reemplaza la configuración de directiva Iniciar sesión como servicio si una cuenta está sujeta a ambas directivas.

Nota

Esta configuración de seguridad no se aplica a las cuentas de sistema, servicio local o servicio de red. Valor predeterminado: Ninguno.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: 0xF000)

Asignación de directivas de grupo:

Nombre Valor
Nombre Denegar el inicio de sesión como servicio
Ruta de acceso Asignación de derechos de usuario de directivas locales de > configuración de > Windows >

DenyRemoteDesktopServicesLogOn

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyRemoteDesktopServicesLogOn

Este derecho de usuario determina qué usuarios y grupos tienen prohibido iniciar sesión como cliente de Servicios de Escritorio remoto.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: 0xF000)

Asignación de directivas de grupo:

Nombre Valor
Nombre Denegar inicio de sesión a través de Servicios de Escritorio remoto
Ruta de acceso Asignación de derechos de usuario de directivas locales de > configuración de > Windows >

EnableDelegation

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/UserRights/EnableDelegation

Este derecho de usuario determina qué usuarios pueden establecer la opción De confianza para delegación en un objeto de usuario o equipo. El usuario o objeto al que se concede este privilegio debe tener acceso de escritura a las marcas de control de cuenta en el objeto de usuario o equipo. Un proceso de servidor que se ejecuta en un equipo (o en un contexto de usuario) de confianza para la delegación puede tener acceso a los recursos de otro equipo mediante credenciales delegadas de un cliente, siempre y cuando la cuenta de cliente no tenga establecida la marca de control de cuenta delegada.

Precaución

El uso indebido de este derecho de usuario, o de la configuración De confianza para delegación, podría hacer que la red sea vulnerable a ataques sofisticados mediante programas troyanos que suplantan a los clientes entrantes y usan sus credenciales para obtener acceso a los recursos de red.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: 0xF000)

Asignación de directivas de grupo:

Nombre Valor
Nombre Habilitar confianza con las cuentas de usuario y de equipo para delegación
Ruta de acceso Asignación de derechos de usuario de directivas locales de > configuración de > Windows >

GenerateSecurityAudits

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/UserRights/GenerateSecurityAudits

Este derecho de usuario determina qué cuentas puede usar un proceso para agregar entradas al registro de seguridad. El registro de seguridad se usa para realizar un seguimiento del acceso no autorizado al sistema. El uso indebido de este derecho de usuario puede dar lugar a la generación de muchos eventos de auditoría, lo que podría ocultar pruebas de un ataque o provocar una denegación de servicio. Apague el sistema inmediatamente si no se puede registrar la configuración de directiva de seguridad de auditorías de seguridad.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: 0xF000)

Asignación de directivas de grupo:

Nombre Valor
Nombre Generar auditorías de seguridad
Ruta de acceso Asignación de derechos de usuario de directivas locales de > configuración de > Windows >

ImpersonateClient

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/UserRights/ImpersonateClient

La asignación de este derecho de usuario a un usuario permite a los programas que se ejecutan en nombre de ese usuario suplantar a un cliente. Requerir este derecho de usuario para este tipo de suplantación impide que un usuario no autorizado convenza a un cliente de conectarse (por ejemplo, mediante llamada a procedimiento remoto (RPC) o canalizaciones con nombre) a un servicio que ha creado y, a continuación, suplantar a ese cliente, lo que puede elevar los permisos del usuario no autorizado a los niveles administrativos o del sistema.

Precaución

La asignación de este derecho de usuario puede ser un riesgo para la seguridad. Asigne solo este derecho de usuario a usuarios de confianza.

Nota

De forma predeterminada, los servicios iniciados por Service Control Manager tienen el grupo de servicios integrado agregado a sus tokens de acceso. Los servidores del modelo de objetos componentes (COM) que se inician mediante la infraestructura COM y que están configurados para ejecutarse en una cuenta específica también tienen el grupo de servicios agregado a sus tokens de acceso. Como resultado, estos servicios obtienen el derecho de este usuario cuando se inician. Además, un usuario también puede suplantar un token de acceso si existe alguna de las condiciones siguientes. 1) El token de acceso que se suplanta es para este usuario. 2) El usuario, en esta sesión de inicio de sesión, creó el token de acceso iniciando sesión en la red con credenciales explícitas. 3) El nivel solicitado es menor que Suplantar, como Anónimo o Identificar. Debido a estos factores, los usuarios no suelen necesitar este derecho de usuario.

Advertencia

Si habilita esta configuración, los programas que anteriormente tenían el privilegio Suplantar pueden perderlo y es posible que no se ejecuten.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: 0xF000)

Asignación de directivas de grupo:

Nombre Valor
Nombre Suplantar a un cliente tras la autenticación
Ruta de acceso Asignación de derechos de usuario de directivas locales de > configuración de > Windows >

IncreaseProcessWorkingSet

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/UserRights/IncreaseProcessWorkingSet

Aumentar un conjunto de trabajo de procesos. Este privilegio determina qué cuentas de usuario pueden aumentar o reducir el tamaño del conjunto de trabajo de un proceso. El conjunto de trabajo de un proceso es el conjunto de páginas de memoria visibles actualmente para el proceso en la memoria RAM física. Estas páginas son residentes y están disponibles para que una aplicación las use sin desencadenar un error de página. Los tamaños mínimo y máximo del conjunto de trabajo afectan al comportamiento de paginación de memoria virtual de un proceso.

Advertencia

Aumentar el tamaño del conjunto de trabajo para un proceso reduce la cantidad de memoria física disponible para el resto del sistema.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: 0xF000)

Asignación de directivas de grupo:

Nombre Valor
Nombre Aumentar el espacio de trabajo de un proceso
Ruta de acceso Asignación de derechos de usuario de directivas locales de > configuración de > Windows >

IncreaseSchedulingPriority

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/UserRights/IncreaseSchedulingPriority

Este derecho de usuario determina qué cuentas pueden usar un proceso con acceso de propiedad de escritura a otro proceso para aumentar la prioridad de ejecución asignada al otro proceso. Un usuario con este privilegio puede cambiar la prioridad de programación de un proceso a través de la interfaz de usuario del Administrador de tareas.

Advertencia

Si quita El Administrador de ventanas\Grupo del Administrador de ventanas del derecho de usuario Aumentar prioridad de programación , determinadas aplicaciones y equipos no funcionarán correctamente. En concreto, el área de trabajo de INK no funciona correctamente en equipos portátiles y de escritorio de arquitectura de memoria unificada (UMA) que ejecutan Windows 10, versión 1903 o posterior y que usan el controlador Intel GFX.

En los equipos afectados, la pantalla parpadea cuando los usuarios dibujan en áreas de trabajo de INK, como las que usan Microsoft Edge, Microsoft PowerPoint o Microsoft OneNote. El parpadeo se produce porque los procesos relacionados con la entrada manuscrita intentan repetidamente usar la prioridad Real-Time, pero se les deniega el permiso.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: 0xF000)

Asignación de directivas de grupo:

Nombre Valor
Nombre Aumentar prioridad de programación
Ruta de acceso Asignación de derechos de usuario de directivas locales de > configuración de > Windows >

LoadUnloadDeviceDrivers

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/UserRights/LoadUnloadDeviceDrivers

Este derecho de usuario determina qué usuarios pueden cargar y descargar dinámicamente controladores de dispositivo u otro código en el modo kernel. Este derecho de usuario no se aplica a Plug and Play controladores de dispositivo. Se recomienda no asignar este privilegio a otros usuarios.

Precaución

La asignación de este derecho de usuario puede ser un riesgo para la seguridad. No asigne este derecho de usuario a ningún usuario, grupo o proceso que no quiera asumir el control del sistema.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: 0xF000)

Asignación de directivas de grupo:

Nombre Valor
Nombre Cargar y descargar controladores de dispositivo
Ruta de acceso Asignación de derechos de usuario de directivas locales de > configuración de > Windows >

LockMemory

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/UserRights/LockMemory

Este derecho de usuario determina qué cuentas pueden usar un proceso para mantener los datos en la memoria física, lo que impide que el sistema pagina los datos en memoria virtual en el disco. El ejercicio de este privilegio podría afectar significativamente al rendimiento del sistema al reducir la cantidad de memoria de acceso aleatorio (RAM) disponible.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: 0xF000)

Asignación de directivas de grupo:

Nombre Valor
Nombre Bloquear páginas en la memoria
Ruta de acceso Asignación de derechos de usuario de directivas locales de > configuración de > Windows >

LogOnAsBatchJob

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/UserRights/LogOnAsBatchJob

Esta configuración de seguridad permite que un usuario inicie sesión mediante una instalación de cola por lotes y solo se proporciona para la compatibilidad con versiones anteriores de Windows. Por ejemplo, cuando un usuario envía un trabajo mediante el programador de tareas, el programador de tareas inicia sesión en ese usuario como usuario por lotes en lugar de como usuario interactivo.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: 0xF000)

Asignación de directivas de grupo:

Nombre Valor
Nombre Iniciar sesión como proceso por lotes
Ruta de acceso Asignación de derechos de usuario de directivas locales de > configuración de > Windows >

LogOnAsService

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/UserRights/LogOnAsService

Esta configuración de seguridad permite que una entidad de seguridad inicie sesión como servicio. Los servicios se pueden configurar para ejecutarse en las cuentas de sistema local, servicio local o servicio de red, que tienen un derecho integrado para iniciar sesión como servicio. Se debe asignar el derecho a cualquier servicio que se ejecute en una cuenta de usuario independiente.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: 0xF000)

Asignación de directivas de grupo:

Nombre Valor
Nombre Iniciar sesión como servicio
Ruta de acceso Asignación de derechos de usuario de directivas locales de > configuración de > Windows >

ManageAuditingAndSecurityLog

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/UserRights/ManageAuditingAndSecurityLog

Este derecho de usuario determina qué usuarios pueden especificar opciones de auditoría de acceso a objetos para recursos individuales, como archivos, objetos de Active Directory y claves del Registro. Esta configuración de seguridad no permite a un usuario habilitar la auditoría de acceso a archivos y objetos en general. Puede ver los eventos auditados en el registro de seguridad de la Visor de eventos. Un usuario con este privilegio también puede ver y borrar el registro de seguridad.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: 0xF000)

Asignación de directivas de grupo:

Nombre Valor
Nombre Administrar registro de seguridad y auditoría
Ruta de acceso Asignación de derechos de usuario de directivas locales de > configuración de > Windows >

ManageVolume

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/UserRights/ManageVolume

Este derecho de usuario determina qué usuarios y grupos pueden ejecutar tareas de mantenimiento en un volumen, como la desfragmentación remota. Tenga cuidado al asignar este derecho de usuario. Los usuarios con este derecho de usuario pueden explorar discos y ampliar los archivos en la memoria que contiene otros datos. Cuando se abren los archivos extendidos, es posible que el usuario pueda leer y modificar los datos adquiridos.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: 0xF000)

Asignación de directivas de grupo:

Nombre Valor
Nombre Realización de tareas de mantenimiento del volumen
Ruta de acceso Asignación de derechos de usuario de directivas locales de > configuración de > Windows >

ModifyFirmwareEnvironment

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/UserRights/ModifyFirmwareEnvironment

Este derecho de usuario determina quién puede modificar los valores del entorno de firmware. Las variables de entorno de firmware se almacenan en la RAM no volátil de los equipos no basados en x86. El efecto de la configuración depende del procesador. En equipos basados en x86, el único valor de entorno de firmware que se puede modificar mediante la asignación de este derecho de usuario es la configuración De última configuración correcta conocida, que solo debe modificar el sistema. En los equipos basados en Itanium, la información de arranque se almacena en RAM no volátil. A los usuarios se les debe asignar este derecho de usuario para ejecutar bootcfg.exe y cambiar la configuración del sistema operativo predeterminado en Inicio y recuperación en propiedades del sistema. En todos los equipos, este derecho de usuario es necesario para instalar o actualizar Windows.

Nota

Esta configuración de seguridad no afecta a quién puede modificar las variables de entorno del sistema y las variables de entorno de usuario que se muestran en la pestaña Avanzadas de Propiedades del sistema.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: 0xF000)

Asignación de directivas de grupo:

Nombre Valor
Nombre Modificar valores de entorno firmware
Ruta de acceso Asignación de derechos de usuario de directivas locales de > configuración de > Windows >

ModifyObjectLabel

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/UserRights/ModifyObjectLabel

Este derecho de usuario determina qué cuentas de usuario pueden modificar la etiqueta de integridad de objetos, como archivos, claves del Registro o procesos propiedad de otros usuarios. Los procesos que se ejecutan en una cuenta de usuario pueden modificar la etiqueta de un objeto propiedad de ese usuario a un nivel inferior sin este privilegio.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: 0xF000)

Asignación de directivas de grupo:

Nombre Valor
Nombre Modificar la etiqueta de un objeto
Ruta de acceso Asignación de derechos de usuario de directivas locales de > configuración de > Windows >

ProfileSingleProcess

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/UserRights/ProfileSingleProcess

Este derecho de usuario determina qué usuarios pueden usar herramientas de supervisión del rendimiento para supervisar el rendimiento de los procesos del sistema.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: 0xF000)

Asignación de directivas de grupo:

Nombre Valor
Nombre Analizar un solo proceso
Ruta de acceso Asignación de derechos de usuario de directivas locales de > configuración de > Windows >

ProfileSystemPerformance

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/UserRights/ProfileSystemPerformance

Esta configuración de seguridad determina qué usuarios pueden usar herramientas de supervisión del rendimiento para supervisar el rendimiento de los procesos del sistema.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: 0xF000)

Asignación de directivas de grupo:

Nombre Valor
Nombre Analizar el rendimiento del sistema
Ruta de acceso Asignación de derechos de usuario de directivas locales de > configuración de > Windows >

RemoteShutdown

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/UserRights/RemoteShutdown

Este derecho de usuario determina qué usuarios pueden apagar un equipo desde una ubicación remota de la red. El uso indebido de este derecho de usuario puede dar lugar a una denegación de servicio.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: 0xF000)

Asignación de directivas de grupo:

Nombre Valor
Nombre Forzar cierre desde un sistema remoto
Ruta de acceso Asignación de derechos de usuario de directivas locales de > configuración de > Windows >

ReplaceProcessLevelToken

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/UserRights/ReplaceProcessLevelToken

Esta configuración de seguridad determina qué cuentas de usuario pueden llamar a la interfaz de programación de aplicaciones (API) CreateProcessAsUser() para que un servicio pueda iniciar otro. Un ejemplo de un proceso que usa este derecho de usuario es programador de tareas. Para obtener información sobre el Programador de tareas, consulte Introducción al Programador de tareas.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: 0xF000)

Asignación de directivas de grupo:

Nombre Valor
Nombre Reemplazar un token de nivel de proceso
Ruta de acceso Asignación de derechos de usuario de directivas locales de > configuración de > Windows >

RestoreFilesAndDirectories

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/UserRights/RestoreFilesAndDirectories

Este derecho de usuario determina qué usuarios pueden omitir los permisos de archivos, directorios, registro y otros objetos persistentes al restaurar archivos y directorios de copia de seguridad, y determina qué usuarios pueden establecer cualquier entidad de seguridad válida como propietario de un objeto. En concreto, este derecho de usuario es similar a conceder los siguientes permisos al usuario o grupo en cuestión en todos los archivos y carpetas del sistema:Traverse Folder/Execute File, Write.

Precaución

La asignación de este derecho de usuario puede ser un riesgo para la seguridad. Dado que los usuarios con este derecho de usuario pueden sobrescribir la configuración del Registro, ocultar datos y obtener la propiedad de los objetos del sistema, solo asigne este derecho de usuario a usuarios de confianza.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: 0xF000)

Asignación de directivas de grupo:

Nombre Valor
Nombre Restaurar archivos y directorios
Ruta de acceso Asignación de derechos de usuario de directivas locales de > configuración de > Windows >

ShutDownTheSystem

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/UserRights/ShutDownTheSystem

Esta configuración de seguridad determina qué usuarios que han iniciado sesión localmente en el equipo pueden apagar el sistema operativo mediante el comando Apagar. El uso indebido de este derecho de usuario puede dar lugar a una denegación de servicio.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: 0xF000)

Asignación de directivas de grupo:

Nombre Valor
Nombre Apagar el sistema
Ruta de acceso Asignación de derechos de usuario de directivas locales de > configuración de > Windows >

TakeOwnership

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/UserRights/TakeOwnership

Este derecho de usuario determina qué usuarios pueden tomar posesión de cualquier objeto protegible en el sistema, incluidos objetos, archivos y carpetas de Active Directory, impresoras, claves del Registro, procesos y subprocesos.

Precaución

La asignación de este derecho de usuario puede ser un riesgo para la seguridad. Dado que los propietarios de objetos tienen control total de ellos, solo asigne este derecho de usuario a usuarios de confianza.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: 0xF000)

Asignación de directivas de grupo:

Nombre Valor
Nombre Tomar posesión de archivos u otros objetos
Ruta de acceso Asignación de derechos de usuario de directivas locales de > configuración de > Windows >

Proveedor de servicios de configuración de directivas