Gua: Permisos NTFS y cuentas de

usuarios y grupos en Windows

Debido a los mensajes privados de usuarios que estoy recibiendo ltimamente. He
decidio escribir una entrada completa de todo lo relacionado con el tema de: modificar
(conceder o denegar) permisos a usuairos y a grupos sobre objetos, privilegios a
cuentas
de
usuarios
y
administradores
en
Windows
7.
Tena pensado dividir este artculo en varias partes, ya que es extenso, pero para no
tener comentarios en unas entradas y otras sobre el mismo tema, he decido incluir todo
lo relacionado en el mismo post. A parte, a la hora de buscar en buscadores y en el blog
se
reflejar
toda
la
informacin
en
un
mismo
artculo.
Como dije, este artculo es bastante extenso y completo. Por eso, cito un ndice con los
diferentes apartados o secciones de este post, un ndice con enlaces internos (a esta
pgina)
que
hacen
referencia
a
todos
los
diferentes
apartados.
ndice:

1) Definiciones y conceptos.
o 1.A) Acceso a los archivos y directorios.
o 1.B) Tipos de cuentas de usuarios y grupos por defecto en Windows 7 y
sus SID.

2) Habilitar o deshabilitar cuenta de Administrador.

o 2.A) De manera grfica.
o 2.B) Con la consola de comandos (CMD), Shell de Windows.

3) Modificar permisos o privilegios de usuarios o grupos locales.

o 3.A) Modificar permisos desde la sesin Administrador.
o 3.B) Modificar permisos desde la sesin "Usuario raso" (Propietarios de
objetos).
o 3.C) Conflictos en permisos para un mismo usuario: Permitir y denegar.
o 3.D) Permisos heredables de objetos primarios.

4) Cambiar el tipo de cuenta: Usuarios o Administrador.

5) Habilitar y conceder permisos de Administrador, mediante la Shell de

Windows (consola o smbolo de sistema CMD).

6) UAC (User Account Control "Control de cuentas de usuario").

En primer lugar:

Recomiendo antes estas tres lecturas:

http://support.microsoft.com/kb/981949/es

http://support.microsoft.com/kb/308419/es

http://support.microsoft.com/kb/983628/es

(El ltimo enlace al que hago referencia, est muy completo ya que nos dice como
modificar permisos de archivos o carpetas a usuarios, y es algo muy parecido a lo que
voy comentar posterirormente en este artculo).

1) Definiciones y conceptos.
1.A)

Acceso

los

archivos

directorios.

Todo el tema de permisos que aqu muestro y explico se dan gracias al sistema de
ficheros: NTFS (New Technology File System), uno de los sistemas de ficheros de
Microsoft Windows, que permite un gran avance de seguridad en cuanto a las
concesiones
de
permisos
o
privilegios
de usuarios
en Windows.
Herencia: La herencia permite la propagacin de ACL posicionadas en objetos
contenedores padres a sus hijos. Al crear una ACE, es posible precisar si se va aplicar al
objeto, slo a sus hijos (indicador de herencia solamente o Inherit Only) o al objeto en s
y
a
sus
hijos.
Objetos: Un objeto es simplemente un elemento que puede asegurarse y protegerse
mediante permisos. Puede tratarse de un archivo, un directorio, una clave de registro o
un objeto de sistema, como una canalizacin con nombre, un socket, un proceso, un
subproceso,
etc.
ACL (Access Control List): Es una lista de control de acceso que regula los permisos de
acceso a los objetos del sistem. Est compuesta por entradas de controles de acceso
ACE
ACE (Access Control Entry): Una entrada de control de acceso es un elemento de una
ACL. Una ACE est compuesta por un SID, una mscara de acceso que define los
permisos concedidos al SID (ya sean: Lectura, escritura, etc.), un indicador que
determina el tipo de ACE y otro indicador que determina a que objetos se refieren estos
permisos.

Hay tres tipos de ACE: Acceso concedido, acceso denegado y Audit (para auditar la
seguridad
del
sistema).
SD (Security Descriptor): Un descriptor de seguridad es la estructura vinculada a todo
objeto al que se le puede aplicar seguridad que contiene el SID del propietario del
objeto, su grupo primario y las dos listas de ACL: DACL y SACL.
DACL (Discretionary Access Control List): Una lista de control de acceso discrecional
es la que est controlada por el propietario del objeto. Especifica quin tiene permiso y
quin
no
para
acceder
a
dicho
objeto.
SACL (System Access Control List): Una lista de control de acceso de sistema es la que
controla la generacin de mensajes de auditora durante los intentos de acceder a un
objeto seguro. (Es necesario tener privilegios SE_SECURITY_NAME para modificar
una
SACL).
SDDL (Security Descriptor Definition Language): Un lenguaje de definicin descriptor
de seguridad que permite definir y transportar datos almacenados en un descriptor de
seguridad
en
formato
de
texto.
Por ejemplo, el comando "sc sdshow" muestra el descriptor de seguridad ligado al
servicio
en
formato
SDDL.
El orden de interpretacin de los permisos es o debera ser el siguiente:
Accesos
denegados
explcitos
(DENY
ONLY).
Accesos
autorizados
explcitos
(ALLOW
ONLY).
Accesos
denegados
heredados.
- Accesos autorizados heredados.

1.B) Tipos de cuentas de usuarios (NT AUTHORITY),

grupos por defecto en Windows 7 y sus SID.
- Trusted Installer (Instalador de confianza): No es una cuenta de usuario propiamente
dicha, sino que una cuenta de servicio. Su SID (Security Identifier) comienza por S-1-580, que corresponde a SECURTIY_SERVICE_ID_BASE_RID. Sirve para ejeuctar el
servicio que instala los componentes Windows, los hotfixes y los paquetes MSI
(Microsoft
Installer).
Este SID posee los permisos para todos los arhicvos de sistema que le permiten
actualizar el sistema operativo. Tiene acceso completo a los directorios Windows,
System32 y Archivos de Programas (Program Files), lo que le confiere permisos
necesarios para reemplazar un archivo del sistema cuando ni siquiera los
administradores tienen acceso en escritura. De la misma manera, estn accesibles en
escritura muchas claves del registro que definen clases y objetos COM nicamente en el
servicio Trusted Installer. Cuando se llama, el servicio de instalacin a MsiExec (fichero
que
lee
la
instalacin
MSI
y
lanza
el
asistente).
- Creator Owner (SID: S-1-3-0): Este SID genrico es reemplazado por el SID del
propietario
del
objeto
durante
la
evaluacin
de
los
permisos.
- Owner Rights (Derechos del propietario): Es una nueva cuenta (nuevo SID) de

Windows Vista y 7. En Windows XP, pero tambin en Windows 7, el creador de un

objeto posee implcitamente el derecho de modificar las ACL en su posible prohibir el
acceso a un objeto (un archivo o una clave de registro, entre otros) a un administrador.
El administrador tiene derecho a cambiar las ACL para otorgarse los permisos
necesarios,
como
por
ejemplo
un
control
total.
A un usuario estndar, ser propietario de un objeto le confiere un control total
sobre el objeto e impide que se le pueda restringir el acceso, porque puede manejar y
modificar sus ACLs. Un administrador que desee restringir el acceso a un porpietario de
un objeto deber, en primer lugar, cambiar el propietario y luego ajustar las ACL del
aobjeto
de
conformidad
con
lo
deseado.
Windows Vista y Windows 7 introducen, por tanto, un nuevo SID que corresponde a
"Derechos del Propietario" (no se corresponde con una nueva cuenta de usuario con la
cual es posible iniciar sesin), que puede utilizarse para limitar los derechos del
propietario del objeto. Cuando este SID no est en una ACL, se aplica la lgica habitual:
el propietario posee los derechos para modificar las ACL de ese objeto. Sin embargo,
cuando est presente, el propietario recibe los permisos asociados a este SID.
Se utiliza normalmente para restringir los permisos de los propietarios de forma sencilla
y eficaz. Por ejemplo, situando en un directorio los permisos Lectura en el SID derechos
del Propietario y lectura/escritura en un grupo dado, el grupo puede crear archivos y
directorios que sern de slo lectura una vez creados, porque el usuario recibir los
derechos
del
propietario.
Imaginemos que un usuario cambia de servicio, antes poda crear archivos y acceder a
ellos en un directorio mediante la pertenencia a un grupo que le daba un control total
sobre un directorio dado. Al abandonar el servicio, se le retira de este grupo. Sin
embargo, sigue siendo propietario de sus objetos, es decir, de los archivos que cre, y
puede, segn las ACL establecidas en el directorio, seguir accediendo y modificando las
ACL de sus archivos para devolverse a si mismo el control. Si se establece una
denegacin (DENY) WRITE_DAC en el SID Derechos del Propietario en el directorio
raz, los porpietarios ya no pueden cambiar las ACL en los objetos que han creado.
Para terminar, cuando un administrador cambia el porpietario de un objeto, se
deshabilitanlos permisos asociados al SID Derechos del Propietario para que un
administrador
pierda
definitivamente
el
control
de
un
objeto.
- Creator Group: Utilizado por el subsistema POSIX nicamente, este SID genrico es
sustituido durante la evaluacin por el grupo principal del propietario del objeto.
Ahora comentar un poco los usuarios NT AUTHORITY, son usuarios usados por el
sistema para operaciones de privilegios concretos en determinadas funcionalidades,
estos usuarios el sistema hace uso de ellos de forma transparente al usuario final.

Figura 1: Usuarios NT AUTHORITY utilizados por Windows 7.

- Usuarios autentificados (SID: S-1-5-11): Son Usuarios que pertenecen o forman

parte
de
Active
Directory
de
una
red
de
dominio.
- Anonymous Logon (SID: S-1-5-7): Son usuarios que no disponen de una cuenta de
usuario en Servicios de dominio de Active Directory, pero que pueden recibir una
invitacin para participar de forma remota en una conferencia local.
- IUSR (SID: S-1-5-17): Este grupo sirve para dar permisos a las cuentas de servicio
encargadas de ejecutar los pools de aplicacin del servidor Web IIS (Internet
Information
Services).
- Interactive (SID: S-1-5-4): Representa a los usuarios que han abierto sesin
localmente en la mquina y que no acceden a un recurso de la mquina a travs de la
red.
- Local Service (SID: S-1-5-19): Los miembros de este grupo tienen permiso para leer
el
registro
de
eventos
del
equipo
local.
- Dialup (SID: S-1-5-1): Son usuarios conectados a travs de una conexin de acceso
remoto.
- Network (SID: S-1-5-2): Son los usuarios que acceden a un recurso de la mquina a
travs de la red, a diferencia de los usuarios que han abierto una sesin localmente para
acceder a los recursos. No incluye a los usuarios que inicien sesin mediante una sesin
de
Escritorio
remoto
(mstsc-Miscroft
Terminal
Service
Connection).
- Service (SID: S-1-5-6): Son los usuarios que inician sesin como servicio.
- Network service (SID: S-1-5-20): "Servicio de red" es una cuenta utilizada por los
servicios que necesitan acceder a recursos en la red bajo la identidad de la cuenta
mquina en la cual se ejecutan. Tiene menos privilegios y permisos localmente que el
"System
Local".
- Local service (SID: S-1-5-19): Es una cuenta utilizada por los servicios que necesitan
acceder a recursos locales y no por red (se identifica annimamente en la red). La

diferencia entre Local Service y System Local reside en que System Local posee
permisos sobre la red (los mismos que Network Service), mientras que Local Service se
autentifica
annimamente
en
la
red.
Network Service y System Local se autentifican en Kerberos utilizando la cuenta
mquina del equipo definida en el servicio de Active Directory. Muchos servicios de
Windows 7 que no necesitan acceder a la red se ejecutan bajo la identidad de Local
Service. Este funcionamiento es el que siempre ha existido en los sistemas Microsoft.
Con Windows y 2008, nuevas directivas de grupos permiten a la cuenta Local System
autentificarse en NTLM en la red, y no de forma annima. Este comportamiento no est
activo de forma predeterminada, sino que es necesario activarlo.
- System (SID: S-1-5-18): Representa el sistema operativo. Permite asignar permisos
especficos al sistema. Se llama tambin Sistema Local (Local System). Es la cuenta
que
tiene
ms
derechos
y
privilegios
en
la
mquina.
- Batch (SID: S-1-5-3): Son las cuentas utilizadas para ejecutar tareas programadas
(Control
Schedtasks).
- Terminal Server User (SID: S-1-5-13): Son los usuario que abren una sesin de
terminal
server
en
la
mquina.
- Remote Interactive Logon (SID: S-1-5-14): Son los usuarios conectados mediante un
inicio
de
sesin
de
escritorio
remoto.
Otros

usuarios

del

sistema

para

realizar

otras

funciones

determinadas:

- Usuarios de Operadores de cifrado: Como sera lgico, los miembros de este grupo
tienen
permisos
para
realizar
operaciones
de
cifrado.
- Usuarios de Operadores de copia de seguridad: Encargados de realizar las copias de
seguridad del equipo programadas o automticas de Windows o lo que se le hubiese
establecido.
- Usuarios del monitor de rendimiento: Los miembros de este grupo pueden acceder a
los datos del Monitor de rendimiento (perfmon.exe) localmente y en remoto.
- Usuarios del registro de rendimiento: Los miembros de este grupo pueden
programar el registro de los monitores de rendimiento, activar los proveedores de
seguimiento y recoger el seguimiento de eventos simultneamente de forma local y a
travs de un acceso a este equipo.
Aado
una
nota
sobre
los
SID
de
los
usuarios:
Administrador:
SID:
S-1-5-500
- Invitado: SID: S-1-5-501
- El resto de usuarios locales, empezarn ordenadamente a partir del siguiente SID: S1-5-1000, S-1-5-1002 , S-1-5-1003, etc. y as sucesivamente por cada usuario local
creado.
Existen muchos ms grupos de usuarios predeterminados en Windows, aqu menciono
los que para mi son los ms usados y relevantes.

Ms
informacin
sobre
los
SID
seguridad): http://support.microsoft.com/kb/243330/es

(Identificadores

de

Intentar explicar de manera clara y sencilla, para que sea entendible por cualquier tipo
de usuario: Como modificar ya sea, para conceder o denegar permisos en Windows
7, y como configurar cuentas de usuarios y adminsitradores de Windows 7.
Existen muchas formas de realizar esto, ya sea por la shell (consola de comandos CMD)
de Windows, como de manera grfica en el sistema. Mencionar las dos formas de
hacerlo,
para
cada
uno
de
los
casos.
Nota: El nombre de usuario que utilizar para estes tutoriales sern: Administrador (por
defecto del sistema) y loiswin7, que corrern bajo una mquina virtual con Windows 7
Ultimate x86. Ya que la arquitectura del SO sea x86 o x64 bits, no influir sobre la
configuracin o modificacin de permisos en Windows 7.

2) Habilitar o deshabilitar cuenta de

Administrador.
2.A) De manera grfica.
[1] - Nos vamos a: Inicio > botn derecho en "Equipo" > Administrar.
Nos
aparecer
la
ventana
de
"Administracin
de
equipos".
[2] - Nos vamos a: Usuarios y grupos locales > Usuarios > Administrador > botn
derecho
"Propiedades".
Se
nos
mostrar
la
ventana
de
"Propiedades:
Administrador".
[3] - En la pestaa "General" desmarcamos (para activar la cuenta, en caso contrario
marcaramos el checkbox) el checkbox que dice: "La cuenta est deshabilitada",
Aplicamos
los
cambios
y
Aceptamos.
[4] - Cerramos la ventana "Administrador de equipos" y cerramos sesin para poder
entrar como Administrador al sistema.

Figura 2: Habilitar o deshabilitar cuenta administrador desde lusrmgr.msc.

2.B) Con la consola de comandos (CMD), Shell de

Windows.
[1] - Nos vamos a: Inicio > escribimos: CMD > esperamos a la busqueda > botn
derecho
sobre:
cmd.exe
>
Ejecutar
como
administrador.
Se
nos
abrir
la
Shell
de
Windows
(CMD)
[2] - Aqu tipearmos o escribirmos la siguiente linea de comandos:
net
user
administrador
/active:yes
(para
activar
la
cuenta
administrador
del
sistema)
net
user
administrador
/active:no
(para desactivar la cuenta administrador del sistema)
[3] - Pulsamos Enter y cerramos la consola con el comando Exit, o simplemente
cerrando
la
ventana.
[4] - Cerramos sesin para poder entrar como Administrador al sistema.

Figura 3: Habilitar o deshabilitar cuenta administrador a travs de consola, cmd.exe.

En
algunos
casos,
puede
dar
errores.
Uno
muy
frecuente
es:
Error
de
Sistema
5
(System
error
5):
Se
refiere
a
que
no
tenemos
los
permisos
adecuados.
Soluciones:
Comprobar
los
permisos
de
la
cuenta.
- Realizar un logueo en la maquina remota, para que las credencias queden el cache (un
error
muy
tpico).
Comprobar
que
el
servicio
netlogon
este
corriendo.
Estas dos maneras que mencion, tanto grficamente como mediante comandos con
la
Shell
de
Windows,
son
vlidas.
Aclaro: Esto solamente es para activar o desactivar la cuenta Administrador del
sistema.

3) Modificar permisos o privilegios de

usuarios o grupos locales.
3.A) Modificar permisos desde la sesin Administrador.
En cualquiera de los dos casos que hubisemos realizado anteriormente.
Cuando cerramos sesin, veremos ya habilitada la cuenta Administrador, entramos
como Administrador al sistema.

Figura 4: Inicio de sesin como administrador.

Una

vez

iniciada

la

sesin

como

Administrador:

[1] - Nos vamos al "Explorador de Windows" (Tecla Win + E) o doble click en Equipo.
[2] - Hacemos click derecho sobre el disco local C: (que por defecto en la mayora de
los casos suele ser la asignacin de letra de unidad C:) > Propiedades.

Figura 5: Acceder a las propiedades de %systemdrive% para configurar la seguridad de permisos.

[3] - En ventana de "Propiedades: Disco local (C:)". Nos vamos a:

Seguridad > Editar... > (Se nos abrir la ventana: "Permisos de Disco local (C:)") ah
seleccionamos el grupo "Usuarios" o "Administradores" y concedemos (en este caso) o
denegamos privilegios o permisos a dichos grupos, marcando los checkbox que
deseemos o simplemente si queremos conceder o denegar todos, marcamos el checkbox
de
"Control
total".
Si no vemos la opcin de Seguridad en una solapa o pestaa de esta ventana.
Deberemos
activar
lo
siguiente:
En la "Barra de Herramientas" de 'Mi PC' o 'Explorador de Windows' (Pulsamos F10 o
'Alt') > Herramientas > Opciones de carpeta > Ver > buscamos 'Utilizar uso
compartido simple de archivos' y desmarcamos este checkbox > Aceptar. Ahora ya
podremos
ver
la
ficha
de
Seguridad.
[4] - Aplicamos los cambios, se nos mostrar una ventana en la que nos dice si estamos
seguros
de
la
operacin,
le
decimos
que
si.
Y
aceptamos.
Veremos como despus de aplicar la operacin en la ventana "Propiedades: Disco local
(C:)" se nos muestran todos los tics en "Permitir" en el grupo que seleccionramos
(Usuarios o Administradores).

Figura 6: Edicin de permisos para "Usuarios" y otros.

3.B) Modificar permisos desde la sesin de un "Usuario

raso" (Propietarios de objetos).
En este caso, omitiramos desde el principio de este post hasta este apartado los
pasos y las diferentes maneras de hacerlo, sin necesidad de habilitar la cuenta
Administrador.
Dentro

de

nuestra

sesin

de

usuario

normal:

[1] - Nos vamos al "Explorador de Windows" (Tecla Win + E) o doble click en Equipo.
[2] - Hacemos click derecho sobre el disco local C: (que por defecto en la mayora de
los casos suele ser la asignacin de letra de unidad C:) > Propiedades.
[3] - En ventana de "Propiedades: Disco local (C:)" nos vamos a:
Seguridad
>
Opciones
avanzadas.
[4] - Se nos mostrar la ventana: "Configuracin de seguridad avanzada para Disco
local
(C:)".
Nos
vamos
a:
Propietario
>
Editar....
La ficha PROPIETARIO, (aqu el usuario tendra que estar en el "Grupo de
Administradores" locales para poder realizar algunas de estas funciones):
Importante: Cuando un fichero o carpeta tiene a un administrador local como
propietario en este fichero y/o carpeta NO podremos eliminar, modificar, mover,
cambiar permisos, etc., es debido a que quizs ese administrador NO est como
propietario del fichero o carpeta, ya que puede que ni siquiera est en el grupo
administradores,
y
sea
simplemente
un
usuario
normal-raso.
Si conseguimos aadir el usuario que queramos en la ficha de Propietario de un
fichero/carpeta y remplazamos el que ya est (que esto nos lo permite si el que
actualmente est es administrador pero pese a eso no nos permite borrar el fichero por
decirlo de algn modo) aadiendo otro user con privilegios y reemplazando la
propiedad del fichero conseguiremos realizar TODO tipo de acciones sobre dicho
fichero/carpeta como por ejemplo borrar esos ficheros o carpetas que Windows en
ocasiones
bloquea.
ES MUY IMPORTANTE que despus de seleccionarlo y APLICAR nos fijemos de
que donde aparece "Propietario actual", en la casilla de texto de abajo est asignado o
establecido el correspondiente usuario que queremos hacer propietario. (Ya que "en
ocasiones" pasa que seleccionas y los cambios parece que surgen efecto y en realidad no
es
as).
Tendremos tambin que marcar los checkbox para "incluir todos los permisos
heredables del objeto primario de este objeto".

Figura 7: Cambiando propietario, algo importante para la manipulacin total de un objeto.

Se
nos
abrir
otra
ventana
en
la
que:
[5] - Seleccionamos el usuario del sistema con el que tenemos iniciada sesin (es decir,
el
usuario
normal).
[6] - Marcamos el checkbox que dice: "Reemplazar propietarios en subcontenedores y
objetos".
Aplicamos
y
Aceptamos.
Cuando apliquemos se nos mostrar una ventana en la que realizar las operaciones
necesarias,
esperamos
a
que
acaben
de
realizarse.
Que

me

ofrece

ser

propietario

de

un

objeto?

Hacer un usuario propietario de un objeto o de los siguientes objetos

(subcontenedores) no hace que tenga control total sobre dicho objeto sino, que pueda
tener control para CAMBIAR los permisos de dicho objeto a su antojo, y de ese
modo poderse dar as mismo ms permisos. Esta es bsicamente la nica
caracterstica de ser propietario o no de un objeto.

Figura 8: Reemplazando propietario en subcontenedores y objetos.

Cuando acabe el proceso, volveremos a la ventana anterior. Pero esta vez nos vamos a:
[7] - A la ficha de "Permisos" > seleccionamos nuestro usuario > Cambiar
permisos... > (se nos abrir otra ventana) seleccionamos nuestro usuario nuevamente
>
Editar...

Figura 9: Modificacin de permisos de usuarios.

Se nos abrir una la ventana: "Entrada de permiso para Disco local (C:)".
[8] - En el men desplegable (Aplicar a:) Seleccionamos la opcin: "Esta carpeta,
subcarpetas y archivos" (Esta opcin est marcada por defecto, pero nos aseguramos de
que
est
seleccionada).
[9] - Despus simplemente nos queda Permitir o Denegar privilegios o permisos al
usuario, en este caso permitimos y concedemos los privilegios al usuario seleccionado
anteriormente. Marcamos el checkbox Control total en permitir, para directamente
seleccionar todos los campos. (Sera lo mismo para la denegacin, pero lgicamente
marcando el checkbox contrario (en la columna de "Denegar")).
[10] - Pulsamos Aceptar, se nos mostrar una ventana realizando las operaciones
necesarias para efectuar los cambios en el sistema, esperamos y Aceptamos una ventana
que
se
mostrar
al
terminar
dicho
proceso.
Aceptamos tambin todas las ventanas abiertas. Reiniciamos. Y listo!

Figura 10: Modificacin de permisos de usuarios de forma avanzada.

Ahora tendremos el control total del sistema y podremos conceder y denegar

privilegios a otros usuarios de manera normal. Como se muestra en la seccin de este
post
"3.A)
Modificar
permisos
como
Administrador"
No voy a pararme a explicar que hacen o deja de hacer cada uno de los permisos ya
que para eso las propias websites a las que hice referencia al principio de esta gua, las
cuales Microsoft las detalla como los artculos: KB-981949 y KB-308419. Explican
perfectamente para que valen y que hacen cada una de las caractersticas de los
permisos.

3.C) Conflictos en permisos para un mismo usuario:

Permitir
y
denegar.
Abro un pequeo apartado explicativo sobre esta cuestin. Planteo el siguiente
escenario:
Si tenemos un usuario "pepe" y otros usuarios del que forma parte del grupo
"empleados" y un objeto (carpeta compartida) comn para almacenar informacin
personal. Si se le da permisos de SOLO LECTURA al grupo empleados del que forma
parte pepe, pero sin embargo explicitamente se le dan permisos de ESCRITURA a pepe
sobre ese contenedor este va poder leer y escribir, pero el resto de usuarios que forman
parte
del
grupo
empleados
solo
van
poder
leer.
Por lo que podemos entender de que si a un un usuario que pertence a un grupo le das
unos permisos y despus a ese usuairo de forma independiente le aades otros permisos,
el sistema de permisos NTFS de Windows da prioridad a los permisos explicitos a
ese usuario en concreto y no al establecido en el grupo del que tambin forma
parte
dicho
usuairo.

3.D) Permisos heredables de objetos primarios.

Destacar tambin que tenemos las opciones de "Incluir permisos heredables del
objeto primario al objeto actual", esto nos dice que si tenemos una: CarpetaA con X
permisos y dentro de esta creamos una CarpetaB, la CarpetaB tendr por defecto los
mismos permisos que tiene la carpeta padre-raz (objeto primario).
Pero si quiero que la CarpetaB no herede dichos permisos solamente para esa carpeta y
sus objetos ya existentes tendremos que desmarcar y agregar los permisos heredables
para que esto no se aplique a las siguientes subcarpetas y/o ficheros.
Nos puede pasar que queramos eliminar de un objeto (carpeta o fichero) el grupo de
"usuarios" o "usuarios autentificados" y no podamos hacerlo, es debido a que este
hereda los permisos de los objetos padres, por lo que tenemos que desheredar dichos
permisos y despus proceder a eliminar esos grupos de ese objeto en cuestin.

Figura 11: Permisos heredables del objeto primario de este ojeto

Microsoft

dice

lo

siguiente:

"Incluir todos los permisos heredables del objeto primario de este objeto":
Si se selecciona, cada objeto secundario tendr permisos heredados de su objeto
primario.
Si se anula la seleccin, los permisos aplicados al objeto primario no se aplicarn a su
objeto
u
objetos
secundarios.
"Reemplazar todos los permisos heredables existentes en todos los descendientes con
permisos
heredables
de
este
objeto":
Si se selecciona, los permisos de este objeto primario reemplazarn los de los objetos
descendientes.
Si se anula la seleccin, los permisos de cada objeto (tanto de los primarios como de sus
descendientes)
pueden
ser
nicos.
Ahora, a modo de comentario detallo un poco para completar la informacin sobre
las dos fichas que quedan restantes: Permisos efectivos y Auditora.

En la ficha o pestaa "Permisos efectivos" nos servir sencillamente para visualizar o

mostrar los permisos por un usuario especfico o grupo de usuarios. Pero no es ms
que ver los permisos que se permiten o deniegan en la ventana de edicin de permisos
de
un
objeto
como
la
que
se
muestra
anteriormente.
En el caso de la imagen que vemos a continuacin podemos ver el usuario "pepeprueba"
(un usuario raso dentro del grupo "Usuarios locales"), los concesin de permisos que
tiene.

Figura 12: Visualizacin de permisos aplicados al usuario seleccionado.

En la ficha o pestaa "Auditora", pues creo que est claro que es para poder auditar
los objetos y el acceso a ellos para un usuario especfico o un grupo de usuarios.

Figura 13: Auditando acceso o modificacin a objetos a un usuario especfico.

Lo cual para poder hacer esto y poder examinar o ver el Visor de eventos
(eventvwr.msc) de Windows Vista/7, tendremos que tener habilitada una directiva en el
"Editor de directivas de grupo local" (gpedit.msc). La cual nos permite auditar el

acceso
correcto
o
errneo
a
objetos,
esta
se
encuentra
en:
Configuracin de equipo > Configuracin de Windows > Configuracin de seguridad
> Directivas locales > Directiva de auditora.

Figura 14: Aplicando la GPO para auditar objetos en gpedit.msc.

4) Cambiar el tipo de cuenta: Usuarios o

Administrador.
Si queremos omitir el apartado de este post "2) - Habilitar o deshabilitar cuenta de
Administrador" y el "3.B) - Modificar permisos desde la sesin "Usuario raso"
(Propietarios
de
objetos).
Direcctamente podremos asignar el "Grupo Administradores" la cuenta de usuario
que estemos utilizando o deseemos, de manera muy sencilla. De este modo
concederemos o denegaremos permisos de manera normal (siendo Administrador) como
se muestra en la seccin de este post "3.A) - Modificar permisos desde la sesin
Administrador" (pero sin necesidad de entrar en la sesin de Administrador, ya que lo
haremos
todo
desde
la
sesin
usuario).
[1] - Nos vamos a: Inicio > Panel de control > Cuentas de usuario y proteccin infantil
> Cuentas de usuario > Seleccionamos nuestra cuenta de usuario (o la que deseemos)
> cambiar el tipo de cuenta > Administrador > pulsamos en el botn que dice:
"Cambiar el tipo de cuenta".

Figura 15: Cambiando el tipo de cuenta de un usuario de forma grfica.

De este modo la cuenta seleccionada pasar a ser parte del "Grupo Administradores" y
ya seremos Administrador del sistema, con lo cual tendremos los privilegios para
conceder o denegar permisos a otros usuarios. Como ya mendion anteriormente: en el
apartado de este post "3.A) - Modificar permisos desde la sesin Administrador"
veremos como modificar los permisos, pero sin necesidad de entrar en la sesin de
Administrador, ya que lo haremos todo desde la sesin de la cuenta de usuario que
estemos
usuando
en
Windows
7.
Esto anterior es la manera elegante que nos proporciona Windows 7 de hacer de la
manera tradicional y que personalmente siempre uso ya es exactamente los mismo.
Se trata de administrar y gestionar esto desde una consola de Microsft "MSC"
(MicroSoft Console). Como es el caso del fichero de consola: Inicio >
Ejecutar: lusrmgr.msc
(Editor
de
usuarios
y
grupos
locales).
Aqu podemos realizar lo mismo e incluso ms funciones ya que podremos ver todos
los usuarios y grupos creados en nuestro sistema, modificar as como crearlos y
borrar otros (aunque tener cuidado cuales se borran ya que algunos hace uso Windows
de ellos). Esta consola nos permite visualizarlo las cuentas y grupos de usuario de
un modo digamos ordenado y claro, a mi parecer, ms detallado, completo, igual de
eficaz y a la vez hacerlo de forma rpida y sencilla.

Figura 16: La "forma ms correcta" de cambiar la pertenencia de usuarios a grupos.

5) Habilitar y conceder permisos de

Administrador mediante la Shell de
Windows (CMD).
En este apartado, omitiremos todo lo mencionado desde el principio de este post hasta
esta seccin, excepto la seccin "4) - Cambiar el tipo de cuenta: Usuarios o
Administrador".
En esta parte, explicar como modificar (conceder o denegar) permisos (en este caso
conceder) de control total en el sistema al grupo Administradores del equipo. Mediante
dos simples lineas de comandos, que escribiremos en en la consola o smbolo del
sistema
(CMD)
de
Windows
7.
Para saber como habilitar o no la cuenta de Administrador de Windows, ms
informacin en este otro artculo: HABILITAR LA CUENTA ADMINISTRADOR
DE
WINDOWS.
Nota: Estas lineas de comandos (en este caso) SOLO afectarn al grupo
Administradores y conceder permisos totales a dicho grupo. (Es decir, que no negar
permisos). Pero existen otras propiedades de los mismo comandos utilizados para
denegar permisos. (mirar la ayuda de los comandos, para mirar la informacin o ayuda
de a algn comando en Windows. Colocaremos al final del nombre de comando que
queramos: /?. Hago referencia de esto al final de este apartado).
[1] - Si ya cambiamos el tipo de cuenta a Adminsitrador, abrimos la Shell de Windows
como Adminsitrador (ya que para ejecutar las siguientes instrucciones de comandos
necesitamos privilegios de una cuenta del tipo Administrador), para ello, nos vamos a:
Inicio > Todos los programas > Accesorios > botn derecho sobre Smbolo de Sistema
>
botn
derecho
sobre
ejecutar
como
Adminsitrador

Se
nos
abrir
la
Shell
de
Windows
(CMD).
[2] - Aqu tipearmos o escribirmos la siguiente linea de comandos:
takeown /F "%SYSTEMDRIVE%\*" /R /D S
Pulsamos Enter. y esperaremos a que el sistema realize todo el proceso necesario
(tendra que terminar con una lista extensa, poniendo en todas las lineas que fue
procesando:
"CORRECTO").
[3] - A continuacin, escribimos esta otra linea de comandos:
icacls "%SYSTEMDRIVE%\*" /grant Administradores:(D,WDAC) /T
Pulsamos Enter, y esperamos a que el sistema termine el proceso.
[4] - Si todo lo procesado sali correctamente, salimos de la consola, escribiendo exit o
simplemente
cerrando
la
ventana.
Y
reiniciamos
el
PC.
Como algunos le pueden quedar dudas de las linea de comandos mencionadas
arriba,
pasar
a
explicarlas
breve
y
rpidamente:
El
comando
Takeown:
es
para
indicar
el
propietario.
El comando Icacls: es para indicar los permisos del propietario que pusimos en el
primer
comando
(Takeown).
Ahora el anlisis de las propiedades o atributos de las dos lineas de comandos:
takeown
/F
"%SYSTEMDRIVE%\*"
/R
/D
S
/F > Indica el archivo/carpeta al que queremos cambiar el propietario (en este caso es
%SYSTEMDRIVE%).
%SYSTEMDRIVE% > Es la variable de entorno del disco duro principal desde donde
se ejecuta windows, es decir: "C:\" (por defecto, lo ms comn).
* > Con el smbolo asterisco, indicamos todos los archivos de esa carpeta (Archivos, no
carpetas, pero combinado con /R es igual a: Todos los archivos de todas las carpetas del
disco
duro
(en
este
caso)).
/R > Realiza el cambio de propietario en los subdirectorios (En este caso sera en todo
el
disco
duro).
/D S > En algunas carpetas puede surgir una pregunta al intentar indicar el propietario
donde dice que si quieres darle permisos, pues "/D S" lo nico que hacen en este caso es
contestar "Si" automaticamente a esa pregunta, para no tener que hacerlo manualmente.
icacls

"%SYSTEMDRIVE%\*"

/grant

Administradores:(D,WDAC)

/T

%SYSTEMDRIVE% > Como ya dijimos anteriormente, "C:\" (En este caso).

* > (smbolo asterisco) Todos los archivos de esa carpeta (Archivos, no carpetas, pero
combinado con /T es igual a: Todos los archivos de todas las carpetas del disco duro).
/T > Realiza el cambio de permisos en los subdirectorios (En este caso sera en todo el
disco
duro).
/grant > Es la opcin para indicar que se le quieren conceder permisos a un usuario. (Lo
que quiero decir, es que en vez de /Grant se podria usar /Deny para denegar permisos
por
ejemplo.)
Administradores > El grupo de usuarios (en este caso), (Administrador).
(D,WDAC) > Los permisos a conceder. (en este caso "D" y "WDAC").
Aqui
D
WDAC

algunos
>

permisos
acceso

>

de
escribir

importantes:
eliminacin
DAC

F
M
RX

>
>
>

acceso

acceso
de
lectura

acceso
de

total
modificacin
ejecucin

Para ms informacin de las propiedades de estos dos comandos consultar la ayuda de

los mismos. Escribir en una consola CMD:
Takeown
/?
Icacls /?

6) UAC (User Account Control "Control

de cuentas de usuario").
Por si alguno se pregunta si el UAC (User Account Control "Control de cuentas de
usuario"),
influye
en
todo
esto.
Mi
respuesta
es:
En
parte.
No tiene que ver con privilegios o permisos ni tipos de cuentas. La relacin est, en que
si eres administrador, el sistema ya no te sobresaltar tanto con las tpicas vetanas de
Windows. Me refiero, aquellas que en el momento de instalar alguna aplicacin o
relaizar alguna otra operacin en el sistema, aparecen unas ventanas de advertencia, del
estilo:
Estas seguro que quieres ejecutar xxx? Se requieren permisos de Administrador...
(Aceptar
o
Cancelar).
Pues con el UAC deshabilitado del todo (en su nivel ms bajo de seguridad) lo que se
consigue es que siendo un usuario normal sin apenas privilegios en el sistema, dichas
ventanas no sobresalten. Pero como ya dije esto no tiene que ver con permisos
(escritura,
lectura,
ejecucin,
modificacin,
etc.).
Debemos
entonces
deshabilitar
el
UAC?
Si somos administradores no tendramos necesidad ya que no nos saltaran dichas
ventanas (tener en cuenta de que Windows incluy esta tecnologa es su sistema por
razones de seguridad). Eso ya es a gusto de cada uno y de la seguridad que quiera tener
en su sistema. Personalmente lo aconsejo al 100% en su mximo nivel ya que es una de
las cosas que Windows Vista/7 incorpora de manera nativa y la mejor tecnologa para
poder elevar privilegios de forma cmoda a la vez que aadimos un punto fuerte de
seguridad.
El UAC bsicamente es una tecnologa que lo que hace es avisarnos con advertencias de
permisos (mediante pequeas ventanas) sobre la ejecucin de aplicaciones o acciones
que se realicen en nuestro sistema Windows. Aunque lo podremos configurar el UAC
mediante niveles de seguridad. Para decirle como se tiene que comportar ante ciertas
advertencias
informativas.
Lo

podremos

encontrar

para

su

configuracin

en:

Inicio > Panel de Control > Cuentas de Usuario > Cambiar configuracin de Control
de
cuentas
de
usuario
Y por ltimo. Recomiendo este hilo del foro oficial de soporte de Microsoft
(social.technet.microsoft.com), en el que Jose Manuel Tella Llop da respuesta a algunos
problemas
de
los
usuarios:
http://social.technet.microsoft.com/Forums/es-ES/wcvistaes/thread/95da492a-13bd405d-a782-e2daffa4b893