La configuración de seguridad local en Windows le permite permitir o denegar el inicio de sesión local (interactivo) para los usuarios en las computadoras. En este artículo, veremos cómo administrar los permisos de inicio de sesión locales en Windows 10 y Windows Server 2019.
De forma predeterminada, Windows 10 y Windows Server 2019 permiten iniciar sesión localmente a los usuarios que son miembros de los siguientes grupos de seguridad locales:
- Administradores;
- Operadores de respaldo;
- Usuarios.
Si el servidor se promueve a un controlador de dominio de Active Directory, se cambia la lista de grupos con permisos de inicio de sesión local. El usuario no puede iniciar sesión en la consola del controlador de dominio de AD:
- Operadores de cuentas;
- Administradores;
- Operadores de respaldo;
- Operadores de impresión;
- Operadores de servidor.
Puede ver la lista actual de grupos con permisos de inicio de sesión local a través de la Política de grupo local.
- Ejecute el Editor de políticas de grupo local (gpedit.msc);
- Vaya a la siguiente sección de GPO Configuracion de Computadora > Configuración de Windows > Configuraciones de seguridad > Políticas locales > Asignación de derechos de usuario;
- Encuentra el Permitir iniciar sesión localmente parámetro y abra su configuración;
Con esta política, puede agregar o eliminar grupos de usuarios (o cuentas de usuarios personales) que pueden iniciar sesión localmente. Por ejemplo, si elimina el grupo de Usuarios locales de esta política, sus usuarios no podrán iniciar sesión de forma interactiva en este dispositivo.
Insinuación. Sin embargo, los usuarios aún pueden iniciar sesión de forma remota a través de los Servicios de escritorio remoto si este grupo se agrega a la política local. Permitir el inicio de sesión a través de Servicios de escritorio remoto en la misma sección de GPO.
Después de cambiar la configuración de la política, no es necesario reiniciar la computadora. Los cambios en la asignación de derechos de usuario de cuentas se aplicarán a los registros de usuario en Windows.
En la misma sección del GPO, hay otro Denegar el inicio de sesión localmente política, que le permite denegar por la fuerza los inicios de sesión interactivos a los usuarios. Está vacío por defecto. Puede agregar manualmente usuarios o grupos a esta política a los que no se les permite iniciar sesión en esta computadora de forma interactiva. Tenga en cuenta que la política Denegar inicio de sesión local tiene una prioridad más alta que la política Permitir inicio de sesión local.
Si el usuario no tiene los permisos para iniciar sesión localmente, cuando inicie sesión en la computadora después de ingresar la contraseña, aparecerá el siguiente mensaje:
El método de inicio de sesión que está intentando utilizar no está permitido. Para obtener más información, comuníquese con su administrador de red.
Intente siempre configurar las políticas de inicio de sesión para que solo los usuarios legítimos puedan iniciar sesión en la consola del dispositivo. Por motivos de seguridad, evite que las cuentas de servicio inicien sesión en los equipos de su organización de forma local.