El compte d'administrador ocult de Windows 11 és un d'aquests “secrets” del sistema que molta gent desconeix però que et pot treure de més problemes. No és el compte d'administrador que uses normalment, sinó un perfil intern, ocult per defecte, amb permisos màxims per fer qualsevol canvi a l'equip, fins i tot els més delicats. Precisament per això Microsoft la manté deshabilitada: mal usada, pot deixar el sistema de cap per avall.
Si estàs muntant equips, necessites reparar un Windows que s'ha quedat sense administradors, o simplement vols tenir a mà un compte “d'emergència”, convé saber com habilitar-lo, protegir-lo i tornar-lo a desactivar després. Al llarg d'aquesta guia veurem, pas a pas i amb diferents mètodes, com activar, utilitzar i desactivar el compte d'administrador ocult al Windows 11, quins riscos teniu, i també què podeu fer si ja no teniu cap compte amb privilegis d'administrador.
Què és el compte d'administrador integrat al Windows 11?
Al Windows 11 hi ha dos tipus de comptes amb privilegis elevats: els comptes d'usuari que pertanyen al grup Administradors i la compte d'administrador integrat (built-in Administrator). Aquesta darrera ve creada des del propi sistema, està oculta i deshabilitada per motius de seguretat.
Mentre que un compte d'usuari administrador “normal” està sotmès al Control de comptes d'usuari (UAC), el compte integrat funciona de manera diferent: no mostra els avisos d'UAC en fer tasques administratives. Qualsevol programa que executis sota aquesta sessió, incloses possibles amenaces com malware, processos ocults i rootkits, correrà amb permisos totals sense preguntar-te res.
Per aquest motiu, Microsoft recomana que el compte d'administrador integrat s'utilitzi de manera puntual, per exemple per diagnosticar problemes, preparar equips abans de lliurar-los o fer tasques d'auditoria, i que es desactivi de nou un cop acabada la intervenció. No està pensada per fer-la servir com a compte de treball diari.
Per què es fa servir el compte d'administrador integrat
Els escenaris més habituals en què té sentit activar aquest compte són força concrets, i s'allunyen de l'ús domèstic normal. Entre els casos més típics es troben situacions com la fabricació o la preparació d'equips, la resolució d'incidències greus o l'administració avançada de sistemes Windows.
Els fabricants d'equips originals (OEM), serveis tècnics i administradors de sistemes solen recórrer al compte integrat quan volen executar scripts, instal·lar aplicacions o realitzar proves abans que l'usuari final creï el vostre compte durant l'experiència inicial (OOBE). També és freqüent fer-la servir en entorns d'auditoria, on cal entrar i sortir del sistema diverses vegades amb privilegis elevats sense passar per l'assistent de benvinguda.
A més, aquest compte serveix com a darrer recurs si el sistema té problemes de permisos: per exemple, en equips on l'únic compte que queda ha perdut privilegis d'administrador o hi ha conflictes amb inici de sessió. Tot i això, si ja no queda cap compte amb drets administratius i la integrada segueix deshabilitada, les opcions es redueixen dràsticament i, com veurem més endavant, sol tocar reinstal·lar.
Mètode avançat: habilitar el compte integrat amb un fitxer de resposta (Unattended)
En entorns professionals, una de les formes més potents de treballar amb el compte d'administrador integrat és fer servir un fitxer de resposta d'instal·lació desatesa (unattend.xml). Aquest enfocament està pensat per als que despleguen moltes màquines i volen automatitzar el procés de configuració, inclosa lactivació del compte integrat.
Per crear aquest fitxer es fa servir l'eina Windows System Image Manager (Windows SIM), inclosa al Kit d'avaluació i implementació (ADK) de Windows. Amb aquesta utilitat es genera un XML on es defineixen els paràmetres d'instal·lació: comptes d'usuari, contrasenya d'administrador, inici de sessió automàtic, etc.
El truc és configurar el component Microsoft-Windows-Shell-Configuració i, dins seu, la secció AutoLogon perquè el sistema iniciï directament amb el compte Administrator durant les fases de preparació. S'estableix el nom d'usuari com a Administrator, es marca l'atribut d'habilitat i s'indiquen el nombre de vegades que s'iniciarà la sessió automàticament.
En aquest mateix bloc de l'XML s'afegeix la secció UserAccounts i, dins, l'entrada AdministratorPassword, on es defineix una contrasenya per al compte integrat. Al fitxer s'especifica el valor de la contrasenya a l'etiqueta <Value> i s'indica si el contingut està en text pla (<PlainText>true</PlainText>) o xifrat.
Una configuració típica del component Shell-Setup inclouria una mica de l'estil: usuari Administrador, contrasenya segura repetida tant a AutoLogon com a AdministratorPassword, L'opció <Enabled>true</Enabled> i un LogonCount que marca quantes vegades s'iniciarà sessió automàticament amb aquest compte durant la preparació del sistema.
Per assegurar que, una vegada completada l'experiència inicial (OOBE), no cal tornar a introduir la contrasenya del compte integrat, el valor de AdministratorPassword s'ha de definir a la fase de configuració oobeSystem. En aquest pas del fitxer de resposta, el bloc <UserAccounts><AdministratorPassword>... s'encarrega de mantenir la contrasenya que heu definit per al compte ocult.
Accedir al compte d'administrador integrat des del mode auditoria
Windows disposa d'una manera d'arrencada especial anomenada mode d'auditoria, pensat precisament per a la preparació i revisió d'equips abans del lliurament a l'usuari final. Si la màquina encara no ha passat per l'experiència Out-Of-Box (OOBE), podeu arrencar en aquest mode i accedir directament al compte d'administrador integrat.
En utilitzar el mode d'auditoria, el sistema inicia sessió automàticament amb el compte integrat, permetent instal·lar aplicacions, aplicar scripts i usar eines com PsList o ajustar configuracions sense crear encara comptes dusuari normals. És el context on més sentit té que el compte integrat estigui actiu, ja que l'equip encara no està en mans de l'usuari final.
Un cop acabades les tasques de configuració, se sol executar l'eina Sysprep amb les opcions adequades (per exemple sysprep /generalize) per preparar el sistema i tornar-lo a un estat llest perquè el client passi per OOBE i creï el seu propi compte. Com veurem en una altra secció, aquest procés també influeix a l'estat del compte integrat.
Habilitar i deshabilitar el compte integrat des d'usuaris i grups locals (Server i edicions compatibles)
En algunes edicions de Windows (principalment versions de servidor o Pro/Enterprise en determinats escenaris) és possible administrar fàcilment el compte d'administrador integrat des de la consola d'Usuaris i grups locals (MMC). Aquesta opció no està disponible en totes les variants domèstiques, però és una via molt clara quan sí que es pot fer servir.
Per accedir-hi, s'obre la consola MMC corresponent (per exemple, executant lusrmgr.msc des de la finestra Executar) i se selecciona Usuaris i grups locals. Al panell esquerre s'entra a la carpeta Usuaris, on apareix el compte anomenat normalment “Administrador” o “Administrator”.
En fer clic amb el botó dret sobre aquest compte i triar l'opció Propietats, s'obre la finestra de propietats generals. A la pestanya General apareix una casella anomenada “El compte està deshabilitat” (o “Compte deshabilitat”) Si la casella està marcada, el compte no es pot utilitzar, només cal desmarcar-lo per habilitar-lo i que torneu a estar operatiu.
Després d'aplicar els canvis i tancar la consola, el sistema ja té el compte integrat activat. A partir d'aquest moment es pot assignar contrasenya, iniciar-hi sessió des de la pantalla de benvinguda o utilitzar-la en operacions que requereixin permisos administratius sense intervenció de l'UAC.
Activar el compte d'administrador ocult amb el Símbol del sistema (cmd)
Probablement el mètode més ràpid i còmode per a un usuari avançat és habilitar el compte integrat usant el Símbol del sistema amb privilegis d'administrador. Aquest procediment funciona tant en equips domèstics com a professionals, sempre que ja tinguis un compte amb drets administratius actius.
Per començar, es prem la tecla Windows, s'escriu cmd al menú d'inici i, quan aparegui “Símbol del sistema”, se selecciona l'opció “Executar com a administrador” (Run as administrator). El control de comptes dusuari mostrarà un avís; cal acceptar amb “Sí” perquè la consola s'obri amb permisos elevats.
Amb la finestra de cmd oberta com a administrador, s'executa la següent ordre per habilitar el compte integrat de Windows 11:
Ordre per habilitar: net user administrator /active:yes
Ordre en espanyol: net user administrador /active:yes
Després de prémer Intro, la consola ha de mostrar el missatge típic de “S'ha completat l'ordre correctament”. Això significa que el compte integrat ha passat a estar actiu i que, al proper inici de sessió, hauria d'aparèixer a la pantalla de benvinguda com un compte més disponible per iniciar sessió.
Establir una contrasenya segura per al compte integrat
Un cop activa, el següent i absolutament imprescindible és posar una contrasenya robusta al compte integrat. Deixar-la sense contrasenya, especialment en equips que es connecten a les xarxes, és un risc de seguretat molt seriós.
Ordre per canviar clau: net user administrador *
Comandament equivalent: net user administrator *
El sistema demanarà que escriviu la contrasenya nova i que es confirmi una segona vegada. No veuràs els caràcters a la pantalla mentre escrius, és un comportament normal per seguretat. Després de confirmar-la, el sistema tornarà a mostrar “S'ha completat l'ordre correctament” si tot ha anat bé.
Hi ha una altra variant que permet activar el compte i establir directament una contrasenya en un sol pas. Aquesta alternativa és útil per automatitzar. Per exemple:
Exemple ràpid: net user administrador TuContraseñaSegura /active:yes
En aquest cas, se substitueix La tevaContrasenyaSegura per la clau que vulguis fer servir. És un mètode ràpid, encara que menys recomanable en entorns on es puguin registrar les ordres, ja que la contrasenya queda visible a l'historial de la consola o en scripts.
Comprovar estat: net user administrador
A la informació que es mostra, han d'aparèixer camps com “Compte actiu Sí” y “Contrasenya requerida Sí”. Si algun indica “No”, convé revisar-lo i corregir-lo, ja que un compte d'aquest tipus sense contrasenya és un autèntic colador.
Inicia sessió al Windows 11 amb el compte d'administrador integrat
Després d'activar el compte integrat i assignar-li una contrasenya, ja pots iniciar sessió amb ella des de la pantalla inicial de Windows 11. Normalment, a la part inferior esquerra (o segons el disseny de la pantalla de bloqueig) apareixeran els diferents comptes disponibles, inclosa l'entrada “Administrador” o “Administrator”.
Si no la veieu, reinicieu l'equip i el compte nou s'hauria de mostrar entre les opcions. Un cop visible, només cal seleccionar-la, escriure la contrasenya que hagis configurat i prémer Intro.
La primera vegada que entreu amb aquest compte, Windows crearà el vostre perfil d'usuari, cosa que pot trigar una mica més del normal. A partir d'aquell moment tindràs un escriptori complet i podràs fer canvis al sistema sense que apareguin els avisos de UAC, una cosa molt còmode, però també potencialment perillós si no controles bé quin programari estàs executant.
Si habiliteu el compte integrat per ajudar un altre compte d'usuari que no tenia permisos, aprofita aquesta sessió per crear un nou usuari administrador estàndard o corregir els permisos dels comptes existents. Un cop solucionat el problema, és aconsellable tancar sessió i desactivar de nou el compte integrat per reduir riscos.
Habilitar el compte integrat des de directives de seguretat (secpol.msc)
A Windows 11 Pro i edicions empresarials, una altra manera de controlar l'estat del compte ocult és a través de les Directives de seguretat locals. Per accedir-hi, es prem la tecla Windows, s'escriu secpol.msc i s'executa com a administrador.
Dins de la consola, al panell esquerre, es navega per Directives locals > Opcions de seguretat. Al panell dret es mostra un llistat de polítiques relacionades amb la seguretat de comptes i del sistema. Entre elles hi ha la política anomenada “Comptes: estat del compte d'administrador”.
En fer doble clic sobre aquesta directiva (o clic dret > Propietats), apareix una finestra on es pot triar entre “habilitada" o "Deshabilitada". Si es marca l'opció Habilitada i s'aplica, el compte d'administrador integrat passa a estar activa. Si es marca Deshabilitada, queda inoperativa.
Aquesta via és especialment útil quan se'n vol seguir una política de seguretat corporativa clara, on l'activació del compte integrat queda controlada des de les directives en lloc de mitjançant ordres soltes. Tot i així, convé que sempre vagi acompanyada d'una contrasenya forta i d'un pla per desactivar-la quan ja no sigui necessària.
Comprovar l'estat del compte integrat des del Tauler de control
Encara que els mètodes anteriors són més directes, també pots fer servir el clàssic Panell de control per verificar l'existència i estat bàsic del compte d'administrador integrat, sobretot en equips domèstics.
Des del menú Inici s'obre el Panell de control i s'entra a l'apartat de Comptes d'usuari. En triar l'opció “Canviar el tipus de compte”, es llisten els comptes locals disponibles a l'ordinador. En aquest llistat, si el compte integrat està visible, apareixerà com a “Administrador” i, quan se li ha posat contrasenya, marcat amb l'etiqueta de “Protegida per contrasenya".
Aquesta comprovació és limitada, tingueu en compte que aquesta interfície no sempre mostra el compte integrat quan està deshabilitat o ocult mitjançant altres tècniques. Tot i així, serveix com a comprovació senzilla per veure si l'usuari Administració integrat s'ha activat correctament i té protecció bàsica.
Deshabilitar el compte d'administrador integrat i comportament en instal·lacions noves i actualitzacions
Microsoft recomana que, un cop acabat l'ús puntual del compte integrat, es torni a deshabilitar, sobretot en equips que es lliuraran a clients o que formaran part d'una xarxa corporativa. De fet, en instal·lacions noves de Windows 11, quan l'usuari final crea el primer compte durant OOBE, el mateix sistema sol desactivar de nou el compte integrat.
En instal·lacions d'actualització (per exemple, en passar d'una versió anterior del Windows), el comportament pot variar. Normalment, el compte d'administrador integrat es manté habilitat només si no hi ha cap altre administrador local actiu i lequip no està unit a un domini. Això permet que hi continuï havent un “salvavides” per no deixar el sistema sense administradors.
Si la voleu desactivar manualment després d'usar-la, disposeu de diverses vies. Pots tornar a recórrer a l'ordre net user, però aquesta vegada indicant que es desactivi:
Desactivar amb: net user administrador /active:no
Desactivar (anglès): net user administrator /active:no
De nou, si l'operació acaba amb el missatge de “S'ha completat l'ordre correctament”, el compte haurà tornat a quedar inactiu. És una fórmula molt habitual a fabricants d'equips i assembladors, que activen el compte en la fase de preparació, el fan servir per instal·lar programari i, just abans de lliurar el PC al client, executen aquest comandament per deixar-lo fora de joc.
Ús de Sysprep i reseteig de la contrasenya del compte integrat
l'eina Sysprep és clau en entorns de desplegament de Windows. En executar-la amb el modificador /generalize, prepara el sistema per ser clonat o lliurat a un usuari final, netejant molta informació específica de l'equip o de l'usuari.
Entre les accions que realitza, Sysprep restableix la contrasenya del compte d'administrador integrat. En edicions de servidor de Windows, aquesta eina pot arribar a esborrar la contrasenya del compte integrat, de manera que, en l'arrencada següent, el programa d'instal·lació sol·liciti establir una nova clau per a aquest compte.
En canvi, en edicions client (les típiques descriptori), el comportament no és exactament el mateix, i la contrasenya del compte integrat no sempre es neteja de la mateixa manera. Tot i així, és important tenir-ho en compte si treballes amb imatges personalitzades: després d'un Sysprep /generalize, convé revisar l'estat del compte integrat i assegureu-vos que no es queda activa i sense contrasenya.
Crear un compte d'administrador “ocult” per a UAC i elevació de privilegis
Més enllà del compte integrat, hi ha qui en vol tenir una compte d'administrador local que no aparegui a la pantalla inicial de sessió, però que segueixi sent usable per introduir credencials als quadres d'UAC quan es necessiten permisos elevats. La idea és disposar d'un compte de servei que només es faci servir per aprovar operacions del sistema, sense que sigui visible per iniciar sessió normalment.
Alguns usuaris intenten aconseguir-ho creant una entrada de registre a HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList. Si s'hi afegeix el nom del compte i se li assigna el valor adequat, el compte es pot deixar de mostrar a la pantalla de benvinguda. Aquest truc, però, té un efecte secundari important: aquest compte també deixa d'aparèixer com a opció als avisos d'UAC, per la qual cosa no es pot utilitzar la contrasenya per a l'elevació de privilegis.
Una altra possibilitat que alguns tasten és obrir l'editor de directives locals de seguretat (secpol.msc) i denegar al compte el dret d'iniciar sessió localment. El problema d'aquest enfocament és similar: si s'impedeix que l'usuari pugui iniciar sessió de manera interactiva, en intentar utilitzar aquest compte al quadre d'UAC també es rep una denegació, i per tant deixa de ser útil per al que es pretenia.
A la pràctica, Windows no ofereix una forma neta i suportada de tenir un compte que estigui completament ocult a l'inici de sessió i que, alhora, es pugui utilitzar sense limitacions als quadres d'elevació UAC. Si necessites un “compte de servei” per a tasques administratives, el més recomanable és crear un usuari administrador normal, protegir-lo amb una contrasenya forta i simplement no fer-lo servir per al treball diari.
Què fer si ja no tens cap compte administrador al Windows 11?
Un dels escenaris més delicats és quan el sistema es queda amb només comptes estàndard sense privilegis d'administrador. Pot passar, per exemple, si en crear diversos comptes es desconfigura el compte principal, o si es desactiva l'únic compte amb drets elevats per error.
En aquesta situació, la persona que utilitza l'equip es troba que, en intentar instal·lar un programa o fer qualsevol canvi important, Windows mostra el típic avís d'UAC demanant credencials d'administrador, però no apareix cap caixa de text on escriure usuari i contrasenya. Senzillament només s'ofereix l'opció de prémer “No” i no es permet continuar.
Des de l'aplicació Configuració > Comptes tampoc no es pot fer gran cosa, perquè el compte actual no té permís per canviar el tipus d'altres comptes ni per crear nous administradors. Comandes com net user o utilitats similars tampoc no serveixen, perquè necessiten precisament els privilegis d'administrador que ja no es tenen.
Per molt temptador que sigui refiar-se de certes “solucions màgiques” que es veuen per Internet, el cert és que, en aquest punt, el sistema està en una mena de carreró sense sortida. Sense almenys un compte amb permisos elevats, no es pot activar el compte integrat mitjançant ordres, ni modificar directives, ni tocar el registre de manera efectiva.
La recomanació més honesta en aquest cas és fer una còpia de seguretat dels fitxers personals (documents, fotos, etc.) i preparar-ne una instal·lació neta de Windows 11. Per això, cal descarregar des del web de Microsoft l'eina de creació de mitjans, generar un USB d'arrencada (mínim 8 GB) i després iniciar l'ordinador des d'aquest pendrive per reinstal·lar el sistema.
Durant la instal·lació neta, Windows tornarà a crear un compte d'administrador inicial, ia partir d'aquí es podran restaurar els fitxers de còpia de seguretat i reconfigurar l'ordinador. És una solució dràstica, però quan no queda cap administrador actiu i el compte integrat està inhabilitat, no hi ha una forma suportada i fiable de recuperar el control sense reinstal·lar.
Dominar el compte d'administrador integrat i les diferents formes d'habilitar-la o deshabilitar-la, ja sigui mitjançant fitxers de resposta, mode auditoria, ordres net user, consoles com lusrmgr.msc o directives de seguretat, us dóna un control molt fi sobre Windows 11 i sobre com preparar o rescatar sistemes; la clau és utilitzar-la només com a eina puntual d'emergència, sempre protegida amb contrasenya i desactivant-la tan bon punt hagis acabat, evitant convertir-la en el teu compte diari per no exposar el teu equip a riscos innecessaris. Comparteix aquesta informació perquè més persones coneguin del tema.