Professional Documents
Culture Documents
Se aplica a: Windows SBS 2003, Windows SBS 2008, Windows Server 2000, Windows Server
2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with
SP2, Windows Server 2008, Windows Server 2008 Foundation, Windows Server 2008 R2
Los grupos predeterminados se crean al instalar los sistemas operativos servidor o cliente de
Windows y los dominios de Servicios de dominio de Active Directory (AD DS). Los equipos
miembros de un dominio y los equipos independientes tienen grupos locales predeterminados
que se crean automáticamente en la base de datos local de cuentas de seguridad. Los
controladores de dominio son una excepción: usan la base de datos central de Active Directory
para crear grupos predeterminados. Todos los equipos que pertenecen a un dominio pueden
tener acceso a la base de datos central de Active Directory.
Puede agregar cuentas de usuario locales, cuentas de usuario de dominio, cuentas de equipo y
cuentas de grupo a los grupos locales. Sin embargo, no se pueden agregar cuentas de usuario
locales y cuentas de grupo locales a cuentas de grupo de dominio. Para obtener más
información acerca de cómo agregar miembros a grupos locales, vea el tema Agregar un
1
miembro a un grupo local en http://go.microsoft.com/fwlink/?LinkId=148785 .
Derechos de
Grupo Descripción usuario
predeterminados
Los miembros de este grupo tienen control total del Tener acceso a
servidor y pueden asignar derechos de usuario y este equipo
permisos de control de acceso a los usuarios según desde la red
sea necesario. La cuenta Administrador también es
un miembro predeterminado de este grupo. Cuando Ajustar las
Administradores el servidor se une a un dominio, el grupo Admins. cuotas de la
de dominio se agrega automáticamente al grupo. memoria para
Puesto que este grupo tiene control total del un proceso
servidor, tenga precaución al agregarle usuarios.
Para obtener más información, vea los temas Permitir el inicio
Grupos locales predeterminados, en de sesión local
4
http://go.microsoft.com/fwlink/?LinkId=149101 , y
http://technet.microsoft.com/es-es/library/dd728026(d=printer,v=WS.10).aspx 01/06/2011
Grupos predeterminados locales y de dominio Page 2 of 16
Permitir el inicio
de sesión
mediante
Terminal
Services
Hacer copias de
seguridad de
archivos y
directorios
Omitir
comprobación
de recorrido
Cambiar la hora
del sistema
Crear un
archivo de
paginación
Depurar
programas
Forzar cierre
desde un
sistema remoto
Grupos predeterminados, en
5 Aumentar
http://go.microsoft.com/fwlink/?LinkID=131422 . prioridad de
programación
Cargar y
descargar
controladores
de dispositivo
Administrar
registro de
seguridad y
auditoría
Modificar
valores de
entorno
firmware
Realizar tareas
de
mantenimiento
del volumen
Analizar un solo
proceso
Analizar el
rendimiento del
sistema
http://technet.microsoft.com/es-es/library/dd728026(d=printer,v=WS.10).aspx 01/06/2011
Grupos predeterminados locales y de dominio Page 3 of 16
Quitar equipo
de la estación
de
acoplamiento
Restaurar
archivos y
directorios
Apagar el
sistema
Tomar posesión
de archivos y
otros objetos
Tener acceso a
este equipo
desde la red
Permitir el inicio
de sesión local
Hacer copias de
Los miembros de este grupo pueden hacer copias de
seguridad de
seguridad y restaurar archivos del servidor,
archivos y
independientemente de los permisos que protejan
directorios
Operadores de dichos archivos. Es así porque el derecho a realizar
copia de seguridad una copia de seguridad tiene preferencia sobre
Omitir
todos los permisos de archivo. Los miembros de
comprobación
este grupo no pueden cambiar la configuración de
de recorrido
seguridad.
Restaurar
archivos y
directorios
Apagar el
sistema
http://technet.microsoft.com/es-es/library/dd728026(d=printer,v=WS.10).aspx 01/06/2011
Grupos predeterminados locales y de dominio Page 4 of 16
Tener acceso a
este equipo
desde la red
Los miembros de este grupo pueden crear cuentas
Permitir el inicio
de usuario y, después, modificarlas y eliminarlas.
de sesión local
Pueden crear grupos locales y, a continuación,
agregar usuarios o quitarlos. También pueden
Omitir
agregar o quitar usuarios de los grupos Usuarios
comprobación
avanzados, Usuarios e Invitados. Los miembros
Usuarios avanzados de recorrido
pueden crear recursos compartidos y administrarlos.
No pueden tener la propiedad de los archivos,
Cambiar la hora
realizar copias de seguridad de los directorios o
del sistema
restaurarlos, cargar o descargar controladores de
dispositivo, ni administrar los registros de auditoría
Analizar un solo
y seguridad.
proceso
Quitar equipo
de la estación
de
http://technet.microsoft.com/es-es/library/dd728026(d=printer,v=WS.10).aspx 01/06/2011
Grupos predeterminados locales y de dominio Page 5 of 16
acoplamiento
Apagar el
sistema
No hay derechos de
Los miembros de este grupo pueden administrar las
Opers. de impresión usuario
impresoras y las colas de impresión.
predeterminados.
Tener acceso a
Los miembros del grupo Usuarios pueden realizar
este equipo
las tareas más habituales, como ejecutar
desde la red
aplicaciones, usar impresoras locales y de red, y
bloquear el servidor. Los usuarios no pueden
Permitir el inicio
compartir directorios ni crear impresoras locales.
Usuarios de sesión local
Los grupos Usuarios de dominio, Usuarios
autenticados e Interactivo son miembros de este
Omitir
grupo de forma predeterminada. Por tanto, todas
comprobación
las cuentas de usuario que se crean en el dominio
de recorrido
son miembros de este grupo.
http://technet.microsoft.com/es-es/library/dd728026(d=printer,v=WS.10).aspx 01/06/2011
Grupos predeterminados locales y de dominio Page 6 of 16
Para obtener más información acerca de los grupos predeterminados más habituales, vea el
tema Configuración de seguridad predeterminada para grupos en
7
http://go.microsoft.com/fwlink/?LinkId=149130 .
Cuando se agrega un usuario a un grupo, dicho usuario recibe todos los derechos de usuario
que el grupo tenga asignados, así como la totalidad de los permisos asignados al grupo sobre
cualquier recurso compartido. Para obtener más información sobre los derechos y permisos de
8
usuario, vea el tema Tipos de grupos en http://go.microsoft.com/fwlink/?LinkId=149131 .
Los grupos se pueden administrar por medio del complemento Usuarios y equipos de
Active Directory. Los grupos predeterminados se encuentran en los contenedores Builtin y
Users. El contenedor Builtin incluye los grupos que se han definido con el ámbito local del
dominio. El contenedor Users incluye grupos definidos con el ámbito global y grupos definidos
con el ámbito local de dominio. Los grupos ubicados en estos contenedores se pueden mover a
otros grupos o unidades organizativas (OU) del dominio, pero no se pueden mover a otros
dominios.
Como práctica recomendada de seguridad, se recomienda que los miembros de los grupos
predeterminados con amplio acceso administrativo usen el comando Ejecutar como para
acometer tareas administrativas. Para obtener más información, vea el tema Utilizar Ejecutar
9
como en http://go.microsoft.com/fwlink/?LinkID=149133 . Para obtener información acerca de
los procedimientos recomendados de seguridad, vea el tema Prácticas recomendadas de
Active Directory en http://go.microsoft.com/fwlink/?LinkId=14913510. Para obtener información
acerca de más medidas de seguridad que se pueden usar para proteger Active Directory, vea el
11
tema Proteger Active Directory en http://go.microsoft.com/fwlink/?LinkId=149136 .
Derechos de
Grupo Descripción usuario
predeterminados
http://technet.microsoft.com/es-es/library/dd728026(d=printer,v=WS.10).aspx 01/06/2011
Grupos predeterminados locales y de dominio Page 7 of 16
Tener acceso a
este equipo
desde la red
Ajustar las
cuotas de la
memoria para
un proceso
Hacer copias de
seguridad de
archivos y
directorios
Omitir
comprobación
de recorrido
Cambiar la
Los miembros de este grupo tienen pleno control de hora del
todos los controladores del dominio. De forma sistema
predeterminada, los grupos Admins. del dominio y
Administradores de organización pertenecen al grupo Crear un
Administradores
Administradores. La cuenta Administrador también es archivo de
miembro predeterminado de este grupo. Puesto que paginación
este grupo tiene un control total del dominio, tenga
precaución al agregarle usuarios. Depurar
programas
Habilitar
confianza con
las cuentas de
usuario y de
equipo para
delegación
Forzar cierre
desde un
sistema remoto
Aumentar
prioridad de
programación
Cargar y
descargar
controladores
http://technet.microsoft.com/es-es/library/dd728026(d=printer,v=WS.10).aspx 01/06/2011
Grupos predeterminados locales y de dominio Page 8 of 16
de dispositivo
Permitir el
inicio de sesión
local
Administrar
registro de
seguridad y
auditoría
Modificar
valores de
entorno
firmware
Analizar un
solo proceso
Analizar el
rendimiento del
sistema
Quitar equipo
de la estación
de
acoplamiento
Restaurar
archivos y
directorios
Apagar el
sistema
Tomar posesión
de archivos y
otros objetos
Hacer copias de
seguridad de
archivos y
Los miembros de este grupo pueden hacer copias de
directorios
seguridad de todos los archivos en los controladores
del dominio, así como restaurarlos,
Permitir el
independientemente de los permisos individuales que
inicio de sesión
tengan sobre dichos archivos. Los operadores de copia
Operadores de local
de seguridad también pueden iniciar sesión en los
copia de seguridad
controladores de dominio y apagarlos. Este grupo no
Restaurar
tiene ningún miembro predeterminado. Puesto que
archivos y
este grupo tiene un poder considerable en los
directorios
controladores de dominio, tenga precaución al
agregarle usuarios.
Apagar el
sistema
http://technet.microsoft.com/es-es/library/dd728026(d=printer,v=WS.10).aspx 01/06/2011
Grupos predeterminados locales y de dominio Page 9 of 16
http://technet.microsoft.com/es-es/library/dd728026(d=printer,v=WS.10).aspx 01/06/2011
Grupos predeterminados locales y de dominio Page 10 of 16
Hacer copias de
seguridad de
archivos y
directorios
Cambiar la
hora del
sistema
En los controladores de dominio, los miembros de este
grupo pueden iniciar sesión de manera interactiva,
Forzar cierre
crear y eliminar recursos compartidos, iniciar y
desde un
detener algunos servicios, realizar copias de seguridad
Opers. de sistema remoto
de archivos y restaurarlos, formatear el disco duro y
servidores
apagar el equipo. Este grupo no tiene ningún miembro
Permitir el
predeterminado. Puesto que este grupo tiene un
inicio de sesión
poder considerable en los controladores de dominio,
local
tenga precaución al agregarle usuarios.
Restaurar
archivos y
directorios
Apagar el
sistema
http://technet.microsoft.com/es-es/library/dd728026(d=printer,v=WS.10).aspx 01/06/2011
Grupos predeterminados locales y de dominio Page 11 of 16
Derechos de usuario
Grupo Descripción
predeterminados
DnsAdmins
(instalado con el Los miembros de este grupo tienen acceso No hay derechos de
Sistema de administrativo al servicio del servidor DNS. Este usuario
nombres de dominio grupo no tiene ningún miembro predeterminado. predeterminados.
(DNS))
Tener acceso a
este equipo
desde la red
Ajustar las
cuotas de la
Los miembros de este grupo tienen un control total memoria para un
del dominio. De manera predeterminada, este proceso
grupo es un miembro del grupo Administradores
en todos los controladores de dominio, todas las Hacer copias de
estaciones de trabajo del dominio y todos los seguridad de
Admins. del dominio servidores miembros del dominio en el momento archivos y
en que estos se unieron al dominio. De forma directorios
predeterminada, la cuenta Administrador es
miembro de este grupo. Puesto que este grupo Omitir
tiene un control total del dominio, tenga comprobación de
precaución al agregarle usuarios. recorrido
Cambiar la hora
del sistema
Crear un archivo
de paginación
http://technet.microsoft.com/es-es/library/dd728026(d=printer,v=WS.10).aspx 01/06/2011
Grupos predeterminados locales y de dominio Page 12 of 16
Depurar
programas
Habilitar
confianza con las
cuentas de
usuario y de
equipo para
delegación
Forzar cierre
desde un
sistema remoto
Aumentar
prioridad de
programación
Cargar y
descargar
controladores de
dispositivo
Permitir el inicio
de sesión local
Administrar
registro de
seguridad y
auditoría
Modificar valores
de entorno
firmware
Analizar un solo
proceso
Analizar el
rendimiento del
sistema
Quitar equipo de
la estación de
acoplamiento
Restaurar
archivos y
directorios
Apagar el
sistema
Tomar posesión
de archivos y
otros objetos
http://technet.microsoft.com/es-es/library/dd728026(d=printer,v=WS.10).aspx 01/06/2011
Grupos predeterminados locales y de dominio Page 13 of 16
No hay derechos de
Controladores de Este grupo contiene todos los controladores del
usuario
dominio dominio.
predeterminados.
No hay derechos de
Invitados del Este grupo contiene todos los invitados del
usuario
dominio dominio.
predeterminados.
Tener acceso a
este equipo
desde la red
Ajustar las
cuotas de la
memoria para un
proceso
Hacer copias de
Los miembros de este grupo tienen pleno control seguridad de
Administradores de de todos los dominios del bosque. De forma archivos y
organización predeterminada, este grupo es miembro del grupo directorios
(aparece Administradores en todos los controladores del
únicamente en el bosque. De forma predeterminada, la cuenta Omitir
dominio raíz del Administrador es miembro de este grupo. Puesto comprobación de
bosque) que este grupo tiene control total del bosque, recorrido
tenga precaución al agregarle usuarios.
Cambiar la hora
del sistema
Crear un archivo
de paginación
Depurar
programas
Habilitar
confianza con las
http://technet.microsoft.com/es-es/library/dd728026(d=printer,v=WS.10).aspx 01/06/2011
Grupos predeterminados locales y de dominio Page 14 of 16
cuentas de
usuario y de
equipo para
delegación
Forzar cierre
desde un
sistema remoto
Aumentar
prioridad de
programación
Cargar y
descargar
controladores de
dispositivo
Permitir el inicio
de sesión local
Administrar
registro de
seguridad y
auditoría
Modificar valores
de entorno
firmware
Analizar un solo
proceso
Analizar el
rendimiento del
sistema
Quitar equipo de
la estación de
acoplamiento
Restaurar
archivos y
directorios
Apagar el
sistema
Tomar posesión
de archivos y
otros objetos
Propietarios del Los miembros de este grupo pueden modificar la No hay derechos de
creador de directiva de grupo del dominio. De forma usuario
directivas de grupo predeterminada, la cuenta Administrador es predeterminados.
miembro de este grupo. Puesto que este grupo
http://technet.microsoft.com/es-es/library/dd728026(d=printer,v=WS.10).aspx 01/06/2011
Grupos predeterminados locales y de dominio Page 15 of 16
Consulte también
Conceptos
Otros recursos
18
Utilizar Ejecutar como
19
Crear un acceso directo mediante el comando runas
20
Por qué no debe trabajar en el equipo como administrador
Tabla de vínculos
1
http://go.microsoft.com/fwlink/?LinkId=148785
2
http://go.microsoft.com/fwlink/?LinkId=148787
3
http://go.microsoft.com/fwlink/?LinkId=148788
4
http://go.microsoft.com/fwlink/?LinkId=149101
5
http://go.microsoft.com/fwlink/?LinkID=131422
6
http://go.microsoft.com/fwlink/?LinkID=136310
7
http://go.microsoft.com/fwlink/?LinkId=149130
8
http://go.microsoft.com/fwlink/?LinkId=149131
http://technet.microsoft.com/es-es/library/dd728026(d=printer,v=WS.10).aspx 01/06/2011
Grupos predeterminados locales y de dominio Page 16 of 16
9
http://go.microsoft.com/fwlink/?LinkID=149133
10
http://go.microsoft.com/fwlink/?LinkId=149135
11
http://go.microsoft.com/fwlink/?LinkId=149136
12
http://technet.microsoft.com/es-es/library/cc780182(v=WS.10).aspx
13
http://technet.microsoft.com/es-es/library/cc736516(v=WS.10).aspx
14
http://go.microsoft.com/fwlink/?LinkId=149137
15
http://go.microsoft.com/fwlink/?LinkId=149138
16
http://go.microsoft.com/fwlink/?LinkId=149139
17
http://technet.microsoft.com/es-es/library/cc732200(v=WS.10).aspx
18
http://technet.microsoft.com/es-es/library/cc780931(v=WS.10).aspx
19
http://technet.microsoft.com/es-es/library/cc781769(v=WS.10).aspx
20
http://technet.microsoft.com/es-es/library/cc780702(v=WS.10).aspx
Contenido de la comunidad
http://technet.microsoft.com/es-es/library/dd728026(d=printer,v=WS.10).aspx 01/06/2011