Autor
Índice:
1) Recomiendo estas tres lecturas
2) Habilitar o deshabilitar cuenta de Administrador
2.A) De manera gráfica
2.B) Con la consola de comandos (CMD), Shell de Windows
3) Modificar permisos o privilegios de usuarios o grupos locales
3.A) Modificar permisos desde la sesión Administrador
3.B) Modificar permisos desde la sesión Usuario "normal"
4) Cambiar el tipo de cuenta: Usuarios o Administrador
5) Habilitar y conceder permisos de Administrador.
Mediante la Shell de Windows (consola o símbolo de sistema CMD)
6) UAC (User Account Control "Control de cuentas de usuario")
Permisos o privilegios de cuentas de usuarios en Windows 7
En primer lugar:
1) - Recomiendo estas tres lecturas:
http://windows.microsoft.com/es-ES/windows7/What-are-permissions
http://support.microsoft.com/kb/981949/es
http://support.microsoft.com/kb/983628/es
(El último enlace al que hago referencia, está muy completo ya que nos dice como modificar permisos de archivos o carpetas a usuarios, y es algo muy parecido a lo que voy comentar posterirormente en este artículo).
Intentaré explicar de manera clara y sencilla, para que sea entendible por cualquier tipo de usuario: Como modificar ya sea, para conceder o denegar permisos en Windows 7, y como configurar cuentas de usuarios y adminsitradores de Windows 7.
Existen muchas formas de realizar esto, ya sea por la shell (consola de comandos CMD) de Windows, como de manera gráfica en el sistema. Mencionaré las dos formas de hacerlo, para cada uno de los casos.
* Nota: El nombre de usuario que utilizaré para estes tutoriales serán: Administrador (por defecto del sistema) y loiswin7, que correrán bajo una máquina virtual con Windows 7 Ultimate x86. Ya que la arquitectura del SO sea x86 o x64 bits, no influirá sobre la configuración o modificación de permisos en Windows 7.
2) - Habilitar o deshabilitar cuenta de Administrador:
2.A) - De manera gráfica:
[1] - Nos vamos a: Inicio -> botón derecho en "Equipo" -> Administrar.
Nos aparecerá la ventana de "Administración de equipos".
[2] - Nos vamos a: Usuarios y grupos locales -> Usuarios -> Administrador -> botón derecho "Propiedades".
Se nos mostrará la ventana de "Propiedades: Administrador".
[3] - En la pestaña "General" desmarcamos (para activar la cuenta, en caso contrario marcaríamos el checkbox) el checkbox que dice: "La cuenta está deshabilitada", Aplicamos los cambios y Aceptamos.
[4] - Cerramos la ventana "Administrador de equipos" y cerramos sesión para poder entrar como Administrador al sistema.
En esta captura de pantalla se muestran los últimos pasos citados anterioremente.
2.B) - Con la consola de comandos (CMD), Shell de Windows:
[1] - Nos vamos a: Inicio -> escribimos: CMD -> esperamos a la busqueda -> botón derecho sobre: cmd.exe -> Ejecutar como administrador.
Se nos abrirá la Shell de Windows (CMD)
[2] - Aquí tipearémos o escribirémos la siguiente linea de comandos:
Código:
net user administrador /active:yes
(para activar la cuenta administrador del sistema)Código:
net user administrador /active:no
(para desactivar la cuenta administrador del sistema)[3] - Pulsamos Enter y cerramos la consola con el comando Exit, o simplemente cerrando la ventana.
[4] - Cerramos sesión para poder entrar como Administrador al sistema.
Captura de pantalla de los pasos anteriores.
* Nota: En algunos casos, puede dar errores. Uno muy frecuente es:
Error de Sistema 5 (System error 5):
Se refiere a que no tenemos los permisos adecuados.
Soluciones:
- Comprobar los permisos de la cuenta.
- Realizar un logueo en la maquina remota, para que las credencias queden el cache (un error muy típico).
- Comprobar que el servicio netlogon este corriendo.
Estas dos maneras que mencioné, tanto gráficamente como mediante comandos con la Shell de Windows, son válidas.
Aclaro: Esto solamente es para activar o desactivar la cuenta Administrador del sistema.
3) - Modificar permisos o privilegios de usuarios o grupos locales:
3.A) - Modificar permisos desde la sesión Administrador:
En cualquiera de los dos casos que hubiésemos realizado anteriormente.
Cuando cerramos sesión, veremos ya habilitada la cuenta Administrador, entramos como Administrador al sistema.
Inicio de sesión como administrador
Una vez iniciada la sesión como Administrador:
[1] - Nos vamos al "Explorador de Windows" (Tecla Win + E) o doble click en Equipo.
[2] - Hacemos click derecho sobre el disco local C: (que por defecto en la mayoría de los casos suele ser la asignación de letra de unidad C:) -> Propiedades.
[3] - En ventana de "Propiedades: Disco local (C:)". Nos vamos a:
Seguridad -> Editar... -> (Se nos abrirá la ventana: "Permisos de Disco local (C:)") ahí seleccionamos el grupo "Usuarios" o "Administradores" y concedemos (en este caso) o denegamos privilegios o permisos a dichos grupos, marcando los checkbox que deseemos o simplemente si queremos conceder o denegar todos, marcamos el checkbox de "Control total".
* Nota: Si no vemos la opción de Seguridad en una solapa o pestaña de esta ventana. Deberemos activar lo siguiente:
En la "Barra de Herramientas" de 'Mi PC' o 'Explorador de Windows' (Pulsamos F10 o 'Alt') -> Herramientas -> Opciones de carpeta -> Ver -> buscamos 'Utilizar uso compartido simple de archivos' y desmarcamos este checkbox -> Aceptar. Ahora ya podremos ver la ficha de Seguridad.
[4] - Aplicamos los cambios, se nos mostrará una ventana en la que nos dice si estamos seguros de la operación, le decimos que si. Y aceptamos.
Veremos como después de aplicar la operación en la ventana "Propiedades: Disco local (C:)" se nos muestran todos los tics en "Permitir" en el grupo que seleccionáramos (Usuarios o Administradores).
Pasos de lo mencionado anteriormente.
3.B) - Modificar permisos desde la sesión Usuario "normal":
En este caso, omitiríamos desde el principio de este post hasta este apartado los pasos y las diferentes maneras de hacerlo, sin necesidad de habilitar la cuenta Administrador.
Dentro de nuestra sesión de usuario normal:
[1] - Nos vamos al "Explorador de Windows" (Tecla Win + E) o doble click en Equipo.
[2] - Hacemos click derecho sobre el disco local C: (que por defecto en la mayoría de los casos suele ser la asignación de letra de unidad C:) -> Propiedades.
[3] - En ventana de "Propiedades: Disco local (C:)" nos vamos a:
Seguridad -> Opciones avanzadas.
[4] - Se nos mostrará la ventana: "Configuración de seguridad avanzada para Disco local (C:)". Nos vamos a: Propietario -> Editar....
Se nos abrirá otra ventana en la que:
[5] - Seleccionamos el usuario del sistema con el que tenemos iniciada sesión (es decir, el usuario normal).
[6] - Marcamos el checkbox que dice: "Reemplazar propietarios en subcontenedores y objetos". Aplicamos y Aceptamos.
Cuando apliquemos se nos mostrará una ventana en la que realizará las operaciones necesarias, esperamos a que acaben de realizarse.
Cuando acabe el proceso, volveremos a la ventana anterior. Pero esta vez nos vamos a:
[7] - Permisos -> seleccionamos nuestro usuario -> Cambiar permisos... -> (se nos abrirá otra ventana) seleccionamos nuestro usuario nuevamente -> Editar...
Se nos abrirá una la ventana: "Entrada de permiso para Disco local (C:)".
[8] - En el menú desplegable (Aplicar a:) Seleccionamos la opción: "Esta carpeta, subcarpetas y archivos" (Esta opción está marcada por defecto, pero nos aseguramos de que esté seleccionada).
[9] - Después simplemente nos queda Permitir o Denegar privilegios o permisos al usuario, en este caso permitimos y concedemos los privilegios al usuario seleccionado anteriormente. Marcamos el checkbox Control total en permitir, para directamente seleccionar todos los campos. (Sería lo mismo para la denegación, pero lógicamente marcando el checkbox contrario (en la columna de "Denegar")).
[10] - Pulsamos Aceptar, se nos mostrará una ventana realizando las operaciones necesarias para efectuar los cambios en el sistema, esperamos y Aceptamos una ventana que se mostrará al terminar dicho proceso.
Aceptamos también todas las ventanas abiertas. Reiniciamos. Y listo!
Ahora tendremos el control total del sistema y podremos conceder y denegar privilegios a otros usuarios de manera normal. Como se muestra en la sección de este post "3.A) - Modificar permisos como Administrador"
4) - Cambiar el tipo de cuenta: Usuarios o Administrador:
Si queremos omitir el apartado de este post "2) - Habilitar o deshabilitar cuenta de Administrador" y el "3.B) - Modificar permisos desde la sesión Usuario "normal".
Direcctamente podremos asignar el "Grupo Administradores" la cuenta de usuario que estemos utilizando o deseemos, de manera muy sencilla. De este modo concederemos o denegaremos permisos de manera normal (siendo Administrador) como se muestra en la sección de este post "3.A) - Modificar permisos desde la sesión Administrador" (pero sin necesidad de entrar en la sesión de Administrador, ya que lo haremos todo desde la sesión usuario).
[1] - Nos vamos a: Inicio -> Panel de control -> Cuentas de usuario y protección infantil -> Cuentas de usuario -> Seleccionamos nuestra cuenta de usuario (o la que deseemos) -> cambiar el tipo de cuenta -> Administrador -> pulsamos en el botón que dice: "Cambiar el tipo de cuenta".
De este modo la cuenta seleccionada pasará a ser parte del "Grupo Administradores" y ya seremos Administrador del sistema, con lo cual tendremos los privilegios para conceder o denegar permisos a otros usuarios. Como ya mendioné anteriormente: en el apartado de este post "3.A) - Modificar permisos desde la sesión Administrador" veremos como modificar los permisos, pero sin necesidad de entrar en la sesión de Administrador, ya que lo haremos todo desde la sesión de la cuenta de usuario que estemos usuando en Windows 7.
5) - Habilitar y conceder permisos de Administrador.
Mediante la Shell de Windows (CMD):
En este apartado, omitiremos todo lo mencionado desde el principio de este post hasta esta sección, excepto la sección "4) - Cambiar el tipo de cuenta: Usuarios o Administrador".
En esta parte, explicaré como modificar (conceder o denegar) permisos (en este caso conceder) de control total en el sistema al grupo Administradores del equipo. Mediante dos simples lineas de comandos, que escribiremos en en la consola o símbolo del sistema (CMD) de Windows 7.
* Nota: Estas lineas de comandos (en este caso) SOLO afectarán al grupo Administradores y concederá permisos totales a dicho grupo. (Es decir, que no negará permisos). Pero existen otras propiedades de los mismo comandos utilizados para denegar permisos. (mirar la ayuda de los comandos, para mirar la información o ayuda de a algún comando en Windows. Colocaremos al final del nombre de comando que queramos: /?. Hago referencia de esto al final de este apartado).
[1] - Si ya cambiamos el tipo de cuenta a Adminsitrador, abrimos la Shell de Windows como Adminsitrador (ya que para ejecutar las siguientes instrucciones de comandos necesitamos privilegios de una cuenta del tipo Administrador), para ello, nos vamos a:
Inicio -> Todos los programas -> Accesorios -> botón derecho sobre Símbolo de Sistema -> botón derecho sobre ejecutar como Adminsitrador.
Se nos abrirá la Shell de Windows (CMD).
[2] - Aquí tipearémos o escribirémos la siguiente linea de comandos:
takeown /F "%SYSTEMDRIVE%\*" /R /D S
Pulsamos Enter. y esperaremos a que el sistema realize todo el proceso necesario (tendría que terminar con una lista extensa, poniendo en todas las lineas que fue procesando: "CORRECTO").
[3] - A continuación, escribimos esta otra linea de comandos:
icacls "%SYSTEMDRIVE%\*" /grant Administradores:(D,WDAC) /T
Pulsamos Enter, y esperamos a que el sistema termine el proceso.
[4] - Si todo lo procesado salió correctamente, salimos de la consola, escribiendo exit o simplemente cerrando la ventana. Y reiniciamos el PC.
Como algunos le pueden quedar dudas de las linea de comandos mencionadas arriba, pasaré a explicarlas breve y rápidamente:
El comando Takeown: es para indicar el propietario.
El comando Icacls: es para indicar los permisos del propietario que pusimos en el primer comando (Takeown).
Ahora el análisis de las propiedades o atributos de las dos lineas de comandos:
Código:
takeown /F "%SYSTEMDRIVE%\*" /R /D S
/F -> Indica el archivo/carpeta al que queremos cambiar el propietario (en este caso es %SYSTEMDRIVE%).
%SYSTEMDRIVE% -> Es la variable de entorno del disco duro principal desde donde se ejecuta windows, es decir: "C:\" (por defecto, lo más común).
* -> Con el símbolo asterisco, indicamos todos los archivos de esa carpeta (Archivos, no carpetas, pero combinado con /R es igual a: Todos los archivos de todas las carpetas del disco duro (en este caso)).
/R -> Realiza el cambio de propietario en los subdirectorios (En este caso sería en todo el disco duro).
/D S -> En algunas carpetas puede surgir una pregunta al intentar indicar el propietario donde dice que si quieres darle permisos, pues "/D S" lo único que hacen en este caso es contestar "Si" automaticamente a esa pregunta, para no tener que hacerlo manualmente.
Código:
icacls "%SYSTEMDRIVE%\*" /grant Administradores:(D,WDAC) /T
%SYSTEMDRIVE% -> Como ya dijimos anteriormente, "C:\" (En este caso).
* -> (símbolo asterisco) Todos los archivos de esa carpeta (Archivos, no carpetas, pero combinado con /T es igual a: Todos los archivos de todas las carpetas del disco duro).
/T -> Realiza el cambio de permisos en los subdirectorios (En este caso sería en todo el disco duro).
/grant -> Es la opción para indicar que se le quieren conceder permisos a un usuario. (Lo que quiero decir, es que en vez de /Grant se podria usar /Deny para denegar permisos por ejemplo.)
Administradores -> El grupo de usuarios (en este caso), (Administrador).
(D,WDAC) -> Los permisos a conceder. (en este caso "D" y "WDAC").
Aqui algunos permisos importantes:
D -> acceso de eliminación
WDAC -> escribir DAC
F -> acceso total
M -> acceso de modificación
RX -> acceso de lectura y ejecución
Para más información de las propiedades de estos dos comandos consultar la ayuda de los mismos. Escribir en una consola CMD:
Código:
Takeown /?
Icacls /?
Icacls /?
6) - UAC (User Account Control "Control de cuentas de usuario"):
Por si alguno se pregunta si el UAC (User Account Control "Control de cuentas de usuario" - http://es.wikipedia.org/wiki/Control_de_cuentas_de_usuario), influye en todo esto.
Mi respuesta es: En parte.
No tiene que ver con privilegios o permisos ni tipos de cuentas. La relación está, en que si eres administrador, el sistema ya no te sobresaltará tanto con las típicas vetanas de Windows. Me refiero, aquellas que en el momento de instalar alguna aplicación o relaizar alguna otra operación en el sistema, aparecen unas ventanas de advertencia, del estilo:
Estas seguro que quieres ejecutar xxx? Se requieren permisos de Administrador... (Aceptar o Cancelar).
Pues con el UAC deshabilitado del todo (en su nivel más bajo de seguridad) lo que se consigue es que siendo un usuario normal sin apenas privilegios en el sistema, dichas ventanas no sobresalten. Pero como ya dije esto no tiene que ver con permisos (escritura, lectura, ejecución, modificación, etc.).
¿Debemos entonces deshabilitar el UAC?
Si somos administradores no tendríamos necesidad ya que no nos saltarían dichas ventanas (tener en cuenta de que Windows incluyó esta tecnología es su sistema por razones de seguridad). Eso ya es a gusto de cada uno y de la seguridad que quiera tener en su sistema.
El UAC básicamente es una tecnología que lo que hace es avisarnos con advertencias de permisos (mediante pequeñas ventanas) sobre la ejecución de aplicaciones o acciones que se realicen en nuestro sistema Windows. Aunque lo podremos configurar el UAC mediante niveles de seguridad. Para decirle como se tiene que comportar ante ciertas advertencias informativas.
Lo podremos encontrar para su configuración en:
Inicio -> Panel de Control -> Cuentas de Usuario -> Cambiar configuración de Control de cuentas de usuario
Y por último. Recomiendo este hilo del foro oficial de soporte de Microsoft (social.technet.microsoft.com), en el que Jose Manuel Tella Llop da respuesta a algunos problemas de los usuarios:
http://social.technet.microsoft.com/Forums/es-ES/wcvistaes/thread/95da492a-13bd-405d-a782-e2daffa4b893
En línea
, estos de abajo ya están bien.
...
