Key and Lock

Claude Desktop como Administrador en Windows

Claude Desktop como Administrador en Windows: Por Qué, Cómo y Qué Riesgos Implica

Categorías: Claude Desktop, MCP, Windows, Power BI, SSAS

El problema que nadie documenta

Instalaste Claude Desktop. Configuraste un servidor MCP (Model Context Protocol) que se conecta a una instancia local de SQL Server Analysis Services (SSAS). Todo parece estar en orden: el puerto está abierto, tu usuario aparece en la lista de administradores del servidor, el servicio responde.

Y aun así, Claude falla al conectarse.

El mensaje de error es escueto: «Access is denied». Sin contexto. Sin pista sobre qué permisos faltan o cómo resolverlo.

Nos ha pasado a todos los que trabajamos con herramientas de BI local y empezamos a integrar MCP en nuestro flujo. Este post documenta la causa raíz, la solución que funciona, y los riesgos que debes considerar antes de aplicarla.

La causa raíz: UAC y los tokens restringidos de Windows

Windows 10 y 11 incluyen una capa de seguridad llamada UAC (User Account Control), que controla cómo las aplicaciones obtienen permisos elevados. Cuando inicias sesión como administrador local, Windows no te otorga todos tus privilegios de inmediato. En cambio, genera dos tokens:

  • Un token estándar para el trabajo cotidiano
  • Un token elevado que se activa solo cuando ejecutas algo explícitamente como administrador

El punto crítico: cuando Claude Desktop arranca de forma normal, hereda el token estándar. Sus servidores MCP hacen lo mismo.

SSAS usa exclusivamente Windows Authentication (autenticación de Windows). Cuando el MCP de Power BI Modeling intenta conectarse a localhost:2383, SSAS recibe el token del proceso que hace la solicitud. Si ese token es estándar, SSAS lo rechaza para operaciones administrativas, incluso si tu usuario está explícitamente en la lista de administradores del servidor.

El resultado: tu usuario DOMINIO\usuario tiene permisos en SSAS en papel, pero el proceso no puede ejercerlos porque lleva las credenciales incorrectas.

Claude Desktop (token estándar)
    └── MCP de Power BI → localhost:2383
            └── SSAS: "Access is denied"

Versus:

Claude Desktop (token elevado)
    └── MCP de Power BI → localhost:2383
            └── SSAS: conexión exitosa

Por qué no hay un fix «limpio»

Antes de llegar a la solución, vale la pena entender por qué las alternativas aparentes no funcionan.

Agregar el usuario explícitamente en SSAS Security no resuelve el problema si ya estás agregado. El issue no es de permisos en SSAS, es del token que presenta el proceso.

Desinstalar e instalar Claude Desktop manualmente tampoco ayuda. Desde febrero de 2026, el instalador oficial de Anthropic empaqueta Claude Desktop como MSIX (formato de Windows Store). Sin importar si usas el instalador .exe descargado desde claude.ai, Windows lo instala en C:\Program Files\WindowsApps\, una carpeta protegida donde no puedes modificar propiedades de compatibilidad ni crear shortcuts con elevación automática.

Pasar parámetros al instalador no aplica: el instalador usa el framework Squirrel internamente, pero el resultado final es un paquete MSIX sin opciones de ruta de instalación personalizable.

La solución: Task Scheduler (Programador de Tareas) con privilegios elevados

Puedes correr Claude Desktop usando click derecho y Run as Administrator (Correr como Administrador), pero si quieres que quede configurado en un shortcut entonces puedes usar un hack que permite correr una aplicación MSIX con privilegios elevados sin requerir confirmación de UAC en cada inicio es a través del Task Scheduler (Programador de Tareas) de Windows.

El procedimiento tiene dos partes.

Parte 1 — Crear la tarea elevada

  1. Presiona Win, escribe Task Scheduler (Programador de Tareas) y ábrelo.
  2. En el panel derecho, haz clic en Create Task… (Crear Tarea), no en «Create Basic Task».
  3. En la pestaña General:
    • Name (Nombre): ClaudeAdmin
    • Activa la casilla: Run with highest privileges (Ejecutar con los privilegios más altos)
    • Configure for (Configurar para): Windows 11
  4. Ve a la pestaña Actions (Acciones):
    • Haz clic en New… (Nuevo)
    • Action (Acción): Start a program (Iniciar un programa)
    • Program/script (Programa/script): la ruta completa al ejecutable de Claude Desktop

Para encontrar esa ruta, abre PowerShell mientras Claude Desktop está corriendo y ejecuta:

Get-Process -Name "Claude" | Select-Object Path

Copia la ruta que aparece. Será algo similar a:

C:\Program Files\WindowsApps\Claude_1.1.XXXX.0_x64__pzs8sxrjxfjjc\app\Claude.exe
  1. Haz clic en OK para guardar la acción y luego OK para guardar la tarea.

Parte 2 — Crear el acceso directo en el escritorio

  1. Haz clic derecho en el escritorio → New → Shortcut (Nuevo → Acceso directo)
  2. En el campo de ubicación, escribe exactamente:
schtasks /run /tn "ClaudeAdmin"
  1. Asigna el nombre: Claude (Admin)
  2. Haz clic en Finish (Finalizar)

Desde ahora, cada vez que hagas doble clic en ese acceso directo, Claude Desktop arrancará con privilegios elevados, sin prompt de UAC, y los servidores MCP podrán conectarse a SSAS sin problemas.

Riesgos que debes considerar

Ejecutar cualquier aplicación con privilegios elevados tiene implicaciones de seguridad. No son razones para no hacerlo, pero sí razones para hacerlo con criterio.

RiesgoDescripciónMitigación
Superficie de ataque ampliadaSi Claude Desktop o un servidor MCP tiene una vulnerabilidad, un atacante podría explotarla con más privilegiosMantén Claude Desktop actualizado
Servidores MCP de tercerosLos MCP que no son de Anthropic o Microsoft corren con el mismo token elevadoUsa solo MCP de fuentes confiables
Prompt injection via MCPContenido malicioso en páginas web o documentos podría intentar usar los privilegios del procesoNo uses MCP con datos no confiables en modo admin
Errores con más impactoUn comando accidental con permisos elevados puede tener consecuencias más gravesUsa el shortcut con admin solo cuando trabajas con SSAS local

Para un ambiente de trabajo individual en tu propia máquina, estos riesgos son manejables. Para un equipo o ambiente corporativo, evalúa si hay alternativas de arquitectura, como conectar a un SSAS remoto con credenciales dedicadas en lugar de una instancia local.

Cuándo aplicar esta solución

Esta solución es adecuada cuando:

  • Trabajas con SSAS Tabular local en tu máquina de desarrollo
  • Usas el MCP de Power BI Modeling para auditoría o edición de modelos semánticos
  • Eres el único usuario de la máquina o controlas el ambiente

No es adecuada cuando:

  • Múltiples usuarios comparten la misma máquina
  • El ambiente tiene políticas de seguridad corporativas que restringen UAC
  • Los servidores MCP conectan a sistemas de producción

Resumen del diagnóstico

Si tu MCP falla al conectarse a SSAS local con «Access is denied», antes de cambiar permisos en SSAS, verifica este flujo:

  1. ¿El puerto está abierto?Test-NetConnection -ComputerName localhost -Port 2383
  2. ¿Tu usuario está en SSAS Security? → SSMS → Properties del servidor → Security
  3. ¿Claude Desktop corre elevado? → Si no, este es el problema

Si los primeros dos son true y el tercero es false, la solución es exactamente lo que describimos aquí.

Este procedimiento fue validado en Windows 11 con Claude Desktop versión 1.1.5368 (instalación MSIX) y el MCP de Power BI Modeling versión 0.1.9.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *