Cómo habilitar la cuenta de administrador oculta en Windows 11

Windows 11 incluye una cuenta de administrador integrada y oculta que, por motivos de seguridad, viene deshabilitada por defecto. Esta cuenta especial tiene más privilegios incluso que las cuentas de usuario que pertenecen al grupo de administradores, y se utiliza sobre todo para tareas de mantenimiento, reparación del sistema o preparación de equipos antes de entregarlos a un usuario final.

El problema aparece cuando nos quedamos sin acceso a una cuenta con privilegios de administrador, bien porque se ha desconfigurado, se ha olvidado la contraseña o se han cometido errores al crear las cuentas. En ese escenario, muchas opciones de Windows se bloquean: no se pueden instalar programas, el UAC no permite escribir usuario y contraseña y, desde Configuración, no podemos cambiar el tipo de cuenta. Por eso es tan útil conocer todas las formas posibles de habilitar la cuenta de administrador oculta en Windows 11 y las limitaciones reales que tiene cada método.

Qué es la cuenta de administrador oculta en Windows 11 y para qué sirve

En todas las instalaciones modernas de Windows existe una cuenta integrada llamada normalmente “Administrador” o “Administrator”. No se trata de una cuenta de usuario normal, sino de una cuenta interna del sistema con privilegios elevados, pensada para:

• Realizar cambios profundos en el sistema operativo sin que intervenga el Control de cuentas de usuario (UAC).
• Preparar equipos nuevos por parte de fabricantes (OEM) o integradores antes de crear las cuentas del usuario final.
• Resolver problemas graves de Windows cuando otras cuentas administrativas no funcionan correctamente.

En versiones antiguas de Windows (anteriores a Vista) esta cuenta estaba visible y operativa por defecto, y bastaba con conocer su contraseña para iniciar sesión. Desde Windows Vista en adelante, Microsoft decidió deshabilitarla de forma predeterminada para reducir riesgos de seguridad, de manera que:

Durante la instalación de Windows 11 se crea una cuenta de usuario que entra en el grupo “Administradores”, y esta es la que usamos para el día a día. Es una cuenta con derechos elevados, pero sometida al UAC, que nos lanza avisos cuando un programa o acción puede cambiar configuraciones importantes.

La cuenta de administrador integrada, en cambio, funciona sin las restricciones habituales del UAC. Casi cualquier operación se ejecuta sin avisos ni confirmaciones. Esto es muy cómodo para tareas de administración intensiva, pero también tremendamente peligroso si se utiliza como cuenta habitual o si cae en manos equivocadas.

Por ese motivo, la recomendación es activarla solo cuando sea estrictamente necesario, establecerle una contraseña fuerte, usarla el tiempo indispensable y volver a deshabilitarla en cuanto terminemos las tareas de mantenimiento o recuperación.

Casos típicos de problema: cuando no tienes ningún administrador operativo

Una situación bastante angustiosa es quedarse solo con una cuenta estándar sin privilegios de administrador. Por ejemplo, en una portátil con Windows 11 donde:

• Se crearon dos cuentas, una estándar y otra administradora.
• La cuenta administradora ha quedado inaccesible (error al crearla, contraseña olvidada, perfil dañado, etc.).
• Al intentar instalar un programa o hacer cambios, el sistema pide credenciales de administrador, pero no aparece el cuadro para escribir usuario y contraseña, solo la opción de pulsar “No”.

En Configuración > Cuentas únicamente aparece la cuenta estándar, sin posibilidad de cambiar el tipo de cuenta ni crear nuevas cuentas con derechos elevados, precisamente porque para hacer esos cambios ya se necesitan permisos de administrador.

En esta circunstancia, muchos usuarios buscan soluciones en Internet basadas en comandos como “net user” ejecutados en CMD, herramientas gráficas, cambios en el registro o en la directiva de seguridad. El gran problema es que la mayoría de esos métodos requieren ya privilegios de administrador para funcionar, por lo que se entra en un círculo vicioso del que es muy difícil salir.

Expertos de soporte de Microsoft lo dejan claro: Windows 11 no debería permitir que el sistema quede sin ningún administrador activo, pero si sucede y la única cuenta restante es estándar, lo más habitual es que no haya salida sencilla. Las “triquiñuelas” que podamos ver por ahí en muchos casos no funcionarán porque:

• No se puede abrir un símbolo del sistema elevado (CMD como administrador).
• No se pueden lanzar herramientas administrativas como lusrmgr.msc o secpol.msc con privilegios.
• El propio UAC impide introducir credenciales de otra cuenta porque la interfaz de credenciales no se llega a mostrar.

Si el sistema ya ha sido arrancado normalmente y no hay ningún administrador disponible, la única vía realmente fiable suele ser hacer copia de seguridad de los archivos personales y proceder a una instalación limpia de Windows 11, iniciando desde un USB de instalación creado con la herramienta oficial de Microsoft (Media Creation Tool).

En cambio, si aún podemos acceder a un administrador o arrancar en modos especiales (WinRE, modo auditoría, etc.), sí podremos aprovechar los métodos que veremos a continuación para habilitar la cuenta de administrador oculta y recuperar el control completo del sistema.

Activar la cuenta de administrador con el comando net user

El método más directo y conocido para activar la cuenta de administrador integrada en Windows 11 consiste en usar la herramienta de línea de comandos net user desde un símbolo del sistema con privilegios elevados.

El primer paso es abrir el Símbolo del sistema como administrador. Para ello:

• Pulsa la tecla de Windows y escribe cmd en el buscador del menú Inicio.
• Haz clic con el botón derecho sobre “Símbolo del sistema” y elige la opción “Ejecutar como administrador” (Run as administrator).
• Acepta el aviso del UAC pulsando en Sí.

Si este paso no se puede completar (porque tu usuario es estándar y no tienes forma de introducir credenciales de administrador), entonces este método ya queda descartado en ese equipo tal como está. Necesitarás otro administrador o recurrir a la reinstalación del sistema.

Con la consola CMD ya abierta con derechos de administrador, para habilitar la cuenta de administrador integrada en Windows 11 puedes usar dos enfoques:

1. Activar la cuenta sin establecer todavía contraseña (típico en sistemas en inglés, con el nombre “Administrator”):

Comando: net user administrator /active:yes

En sistemas en español, el nombre de la cuenta suele ser “Administrador”, así que el comando sería, por ejemplo:

Comando (ES): net user administrador /active:yes

Si el comando se ejecuta bien, Windows mostrará un mensaje del tipo “Se ha completado el comando correctamente”. A partir de ese momento, la cuenta integrada aparecerá como activa y podrá iniciarse sesión con ella desde la pantalla de inicio de sesión.

2. Activar la cuenta y asignarle contraseña en un solo paso, lo que es más seguro porque evitamos que la cuenta quede sin protección:

Con contraseña: net user administrador TuContraseñaSegura /active:yes

Cambiando “TuContraseñaSegura” por la contraseña que quieras establecer. Además, también se puede definir o cambiar la contraseña por separado con:

Establecer contraseña: net user administrador *

En este último caso, la consola te pedirá que escribas la nueva contraseña y la confirmes. No verás caracteres en pantalla mientras tecleas (es normal por seguridad). Si todo va bien, de nuevo obtendrás el mensaje de que el comando ha terminado correctamente.

Si en algún momento quieres desactivar de nuevo la cuenta de administrador oculta, basta con ejecutar:

Desactivar: net user administrador /active:no

También puedes comprobar el estado de la cuenta con:

Comprobar: net user administrador

En la salida del comando verás información relevante, como por ejemplo:

• Cuenta activa: Sí / No, que indica si está habilitada o deshabilitada.
• Contraseña requerida: Sí / No, que indica si la cuenta tiene contraseña asignada.

Una vez activada la cuenta integrada, en la pantalla de login de Windows 11 debería aparecer una nueva entrada con el nombre “Administrador”. Podrás seleccionarla, escribir la contraseña que hayas establecido (o dejarla en blanco si no has configurado ninguna, algo nada recomendable) y entrar por primera vez con esta cuenta de superadministrador.

Después del primer inicio de sesión es muy buena idea cambiar o establecer la contraseña desde la propia cuenta de administrador, pulsando Ctrl + Alt + Supr y eligiendo Cambiar una contraseña (Change a password).

Activar la cuenta de administrador con herramientas gráficas avanzadas

Si prefieres no usar comandos, Windows 11 ofrece varias herramientas gráficas para trabajar con cuentas de usuario y directivas de seguridad. Eso sí, en casi todos los casos también necesitas ejecutarlas con permisos de administrador.

Usuarios y grupos locales (lusrmgr.msc)

La consola “Usuarios y grupos locales” (lusrmgr.msc) es una herramienta muy potente para gestionar cuentas y grupos en equipos que no forman parte de un dominio (y en versiones Pro/Enterprise, principalmente).

Para abrirla, puedes usar el cuadro Ejecutar (Windows + R) y escribir:

Abrir: lusrmgr.msc

Se abrirá una ventana dividida en tres paneles donde, a la izquierda, verás las carpetas Usuarios y Grupos. Al seleccionar Usuarios, se muestran en el panel central todas las cuentas locales, incluida la de Administrador.

Cuando la cuenta de administrador integrada está deshabilitada, aparece con un pequeño icono con una flecha blanca en la esquina inferior derecha. Para modificar sus propiedades:

• Haz clic derecho sobre la cuenta Administrador y elige Propiedades.
• En la pestaña General, desmarca la casilla “La cuenta está deshabilitada”.
• Pulsa en Aceptar.

Al volver a la lista, la flecha negra del icono habrá desaparecido, lo que indica que la cuenta ya está activa. Para añadirle una contraseña:

• Haz de nuevo clic derecho sobre Administrador y escoge “Establecer contraseña…”.
• Aparecerá un aviso indicando que el cambio de contraseña puede hacer que el usuario pierda el acceso a datos cifrados con la contraseña anterior.

En el caso de la cuenta integrada que nunca se ha usado, no hay riesgo real de pérdida de datos, así que puedes continuar con tranquilidad, escribir la nueva contraseña dos veces y finalizar el asistente.

Tras esto, la cuenta integrada estará activada y protegida con contraseña, lista para ser usada desde la pantalla de inicio de sesión o para trabajar con UAC sin bloqueos.

Directiva de seguridad local (secpol.msc)

Otra forma de controlar el estado de la cuenta de administrador es usar la Directiva de seguridad local, accesible mediante:

Ejecutar: secpol.msc

Después de abrirla (también con derechos de administrador), en el panel izquierdo tendrás que navegar hasta:

• Directivas locales > Opciones de seguridad.

En el panel derecho, busca la directiva llamada “Cuentas: estado de la cuenta de administrador”. Haciendo clic derecho sobre ella y eligiendo Propiedades, verás dos opciones básicas:

• Habilitada
• Deshabilitada

Seleccionando “Habilitada” y guardando los cambios, la cuenta de administrador integrada pasará a estar activa sin necesidad de recurrir al comando net user. Esta opción es especialmente útil en entornos donde se gestionan muchas directivas de seguridad centralizadas.

En cualquier caso, aunque uses secpol.msc para activarla, sigue siendo imprescindible asignar una contraseña robusta a la cuenta, bien desde lusrmgr.msc, bien desde un CMD elevado con net user administrador *, o directamente tras iniciar sesión con ella.

Habilitar la cuenta de administrador durante instalaciones desatendidas (archivo de respuesta)

En escenarios más avanzados, especialmente en empresas o para fabricantes de equipos, es habitual usar instalaciones desatendidas de Windows 11 mediante archivos de respuesta (unattend.xml). En estos casos, se puede habilitar la cuenta de administrador integrada automáticamente.

Para ello se utiliza, entre otros componentes, “Microsoft-Windows-Shell-Setup” dentro del archivo de respuesta. Usando herramientas como Windows System Image Manager (Windows SIM), parte del Kit de evaluación y desarrollo (ADK), es posible definir parámetros de:

• AutoLogon, para que el sistema inicie sesión automáticamente con la cuenta de administrador integrada durante un número determinado de arranques.
• UserAccounts\AdministratorPassword, para establecer la contraseña del administrador integrado.

Un fragmento típico de configuración para habilitar y usar esta cuenta durante la fase de configuración puede incluir elementos como:

• Username = Administrator dentro de AutoLogon.
• Enabled = true para permitir el inicio de sesión automático.
• LogonCount para determinar cuántas veces se hará auto logon.
• Value y PlainText dentro de AdministratorPassword para definir la clave de acceso.

De este modo, al desplegar una imagen de Windows 11, la cuenta integrada se habilita y se accede a ella automáticamente durante el modo auditoría o en fases concretas de la instalación, incluso si todavía no se ha establecido una contraseña de administrador ensamblada de forma manual.

Si no queremos que, tras la experiencia inicial (OOBE), se vuelva a pedir una contraseña de administrador integrada sin haberla definido, es importante establecer el valor de UserAccounts\AdministratorPassword en el paso de configuración oobeSystem. Así garantizamos que la cuenta tiene una clave conocida, aunque más adelante acabe deshabilitada antes de entregar el equipo al usuario final.

Uso de la cuenta de administrador en modo auditoría y sistemas de servidor

Cuando todavía no se ha completado la experiencia OOBE (Out-Of-Box Experience), Windows permite arrancar en modo auditoría. Este modo está pensado sobre todo para OEM y administradores que preparan imágenes personalizadas, drivers, aplicaciones preinstaladas, etc.

Si el equipo no ha pasado por OOBE, se puede volver a entrar en modo auditoría y acceder a la cuenta de administrador integrada desde ahí. Es un entorno perfecto para ejecutar scripts, instalar software base o aplicar configuraciones sin la interferencia de cuentas de usuario normales.

En servidores Windows, además, la gestión de la cuenta de administrador integrada se hace muchas veces desde la MMC “Usuarios y grupos locales”, de manera similar a lo ya descrito en lusrmgr.msc. En estos sistemas:

• Se abre la consola MMC y se agrega el complemento Usuarios y grupos locales.
• Se accede a la cuenta Administrador, se editan sus propiedades y se desmarca la casilla de Cuenta deshabilitada.
• Se guarda la configuración y se cierra la MMC, con lo que el acceso administrativo integrado queda habilitado.

En estas ediciones de servidor es muy habitual usar la cuenta de administrador integrada en determinadas fases de configuración inicial, aunque la recomendación de seguridad sigue siendo restringir su uso cotidiano y protegerla con contraseñas muy robustas.

Deshabilitar la cuenta de administrador integrada y gestionar su contraseña

Una vez terminado el trabajo de mantenimiento o la preparación del equipo, lo más prudente es volver a deshabilitar la cuenta de administrador integrada, sobre todo en equipos que van a usar usuarios finales no técnicos.

En nuevas instalaciones de Windows 11, tras crear la primera cuenta de usuario en la OOBE, la cuenta integrada queda desactivada por defecto. En actualizaciones desde versiones anteriores, sin embargo, puede darse el caso de que:

• La cuenta de administrador integrada permanezca habilitada si no hay ningún otro administrador local activo.
• El equipo no esté unido a un dominio, lo que refuerza la decisión de mantenerla operativa para no dejar el sistema sin administración.

Para deshabilitarla manualmente en cualquier momento podemos usar comandos o herramientas gráficas. Por ejemplo:

• Con net user administrator /active:no (o “administrador” en sistemas en español).
• Marcando la casilla “La cuenta está deshabilitada” en lusrmgr.msc.
• Poniendo la directiva “Cuentas: estado de la cuenta de administrador” en Deshabilitada desde secpol.msc.

En entornos de despliegue masivo, otra forma de deshabilitarla es ejecutar el comando “sysprep /generalize”. Cuando se lanza

Sysprep: sysprep /generalize

En ese contexto, al arrancar tras sysprep es posible que el sistema muestre un aviso para configurar de nuevo la contraseña, dependiendo de la edición y de cómo se haya construido el archivo de respuesta usado en el despliegue.

Los fabricantes de equipos (OEM) y ensambladores están obligados a entregar los equipos con la cuenta de administrador integrada deshabilitada. Para ello pueden:

• Usar sysprep /generalize en su proceso de fabricación.
• Ejecutar un “net user administrator /active:no” antes de entregar el dispositivo.

En lo referente a la contraseña, es muy importante comprender que Sysprep puede resetearla y dejarla en blanco en determinadas ediciones. Por eso, siempre se recomienda establecer una contraseña segura después de cualquier proceso que pueda afectar a la cuenta integrada, si esta se va a mantener habilitada, aunque sólo sea temporalmente.

Limitaciones y riesgos de ocultar o bloquear la cuenta de administrador

Hay escenarios muy concretos en los que se quiere que exista una cuenta de administrador local que no se use para iniciar sesión directamente, pero que siga siendo válida para introducir su contraseña cuando lo pide el UAC. Esto es frecuente en empresas que desean:

• Evitar que los usuarios inicien sesión directamente como administradores.
• Permitir que los usuarios estándar ejecuten acciones elevadas introduciendo la contraseña de esa cuenta cuando abre el cuadro de credenciales del UAC.

Un intento típico para ocultar la cuenta administrador del inicio de sesión es usar el registro, en la clave “WinLogon\SpecialAccounts\UserList”, marcando esa cuenta como oculta. El problema es que, tal y como han comprobado muchos administradores, esto también hace que la cuenta desaparezca como opción en las ventanas de UAC, impidiendo usarla para elevación de privilegios y dificultando la detección de procesos ocultos.

Otra aproximación es valerse de la Directiva de seguridad local para denegar el inicio de sesión local a esa cuenta de administrador (por ejemplo desde secpol.msc, añadiéndola a “Denegar inicio de sesión localmente”). Pero:

Al hacerlo, aunque la cuenta siga existiendo y tenga contraseña, cuando se introducen sus credenciales en un aviso de UAC, el sistema acaba rechazando la operación con una denegación de acceso, porque la directiva impide cualquier inicio de sesión local, incluido el asociado a la elevación de privilegios.

Windows no está pensado para que una cuenta de administrador local pueda usarse solo en UAC pero no para iniciar sesión en absoluto. Intentar forzar esta situación suele acarrear comportamientos extraños o bloqueos, por lo que conviene valorar bien el modelo de seguridad que queremos implementar antes de aplicar este tipo de restricciones.

Lo que sí es razonable, y recomendable en muchos entornos, es que la cuenta de administrador integrada permanezca deshabilitada casi siempre, activándola solo cuando se necesita para tareas específicas de mantenimiento y volviéndola a desactivar después, siempre con una buena política de contraseñas y, si es posible, con auditoría de uso.

Conociendo todas estas posibilidades, desde los comandos básicos “net user” hasta los archivos de respuesta, el modo auditoría, lusrmgr.msc, secpol.msc y sysprep, resulta mucho más fácil tomar decisiones inteligentes a la hora de habilitar o deshabilitar la cuenta de administrador oculta en Windows 11, solucionar problemas derivados de la falta de un administrador funcional y, sobre todo, mantener un equilibrio razonable entre comodidad y seguridad en el día a día.