Al conectarse a una computadora de escritorio con Windows o a un servidor de Windows que ejecuta Servicios de escritorio remoto (RDS) a través del RDP, es posible que encuentre un error:
Para iniciar sesión de forma remota, necesita el derecho de iniciar sesión a través de Servicios de escritorio remoto. De forma predeterminada, los miembros del grupo Administradores tienen este derecho o, si se eliminó el derecho del grupo Administradores, debe otorgárselo manualmente.
El mismo error ocurre si la opción de seguridad NLA (Autenticación de nivel de red) está adicionalmente habilitada en la computadora remota para el protocolo RDP, tiene el siguiente aspecto:
Conexión de escritorio remoto
La conexión fue denegada porque la cuenta de usuario no está autorizada para el inicio de sesión remoto.
¿Cómo puede conectarse de forma remota al escritorio de una computadora de este tipo (la captura de pantalla con un error tomada de Windows 10)?
De forma predeterminada, la configuración de seguridad de Windows permite inicios de sesión RDP remotos a través de Servicios de escritorio remoto (TermService) cuando:
- La cuenta de usuario es miembro del grupo local. Usuarios de escritorio remoto o Administradores;
- El grupo de usuarios puede conectarse en el parámetro de directiva de grupo local Permitir el inicio de sesión a través de Servicios de escritorio remoto.
Agregar usuario al grupo de usuarios de escritorio remoto
Como probablemente sepa, el permiso para iniciar sesión de forma remota a través de Remote Desktop está disponible para los miembros del grupo de administradores locales de forma predeterminada. La cuenta bajo la cual se conecta a la computadora debe ser miembro de la cuenta local Administradores grupo. Puedes comprobarlo en el ordenador usando el Usuarios locales y grupos Consola MMC (lusrmgr.msc).
En la consola Usuarios y grupos locales, vaya a la Grupos sección, seleccione la Administradores grupo, y verifique si su cuenta está en esta lista.
Un usuario común (no administrador) también puede conectarse a una computadora a través de RDP si su cuenta se agrega al grupo local Usuarios de escritorio remoto (los miembros de este grupo tienen permisos para iniciar sesión de forma remota).
Utilice el complemento lusrmgr.msc como se describe anteriormente para verificar si su cuenta es miembro del grupo Usuarios de escritorio remoto.
Si tiene privilegios de administrador en esta computadora, puede agregar una cuenta de usuario a este grupo haciendo clic en el botón Agregar. Ingrese el nombre del usuario o grupo de seguridad y haga clic en Aceptar dos veces para guardar los cambios.
Debido a esto, el usuario tendrá permiso para iniciar sesión de forma remota a través de Remote Desktop, pero no tendrá privilegios de administrador local en la computadora.
Puede enumerar los grupos locales de los que el usuario es miembro con el comando:
net user bjackson | find "Local Group Memberships"
En esta captura de pantalla, puede ver que el primer usuario es solo un miembro del local Usuarios grupo, y el segundo se agrega a dos grupos locales: Administradores y Usuarios de escritorio remoto.
Si desea comprobar la pertenencia a un grupo local para una cuenta de dominio, agregue el parámetro /DOMAIN:
net user bjackson /DOMAIN| find "Local Group Memberships"
Puede obtener información de membresía local del grupo desde una computadora remota OfPCN21 usando Invoke-Command PowerShell:
Invoke-Command -ComputerName OfPCN21 -ScriptBlock{usuario de red bjackson /DOMAIN| busque "Membresías de grupos locales"}
Puede agregar un usuario al grupo local:
Después de agregar el usuario al grupo, a la cuenta de usuario se le asignará el SeRemoteInteractiveLogonRight justo al iniciar sesión, y podrá conectarse a través de RDP.
Política de grupo: permitir el inicio de sesión a través de servicios de escritorio remoto
También puede permitir que los usuarios se conecten de forma remota a Servicios de escritorio remoto utilizando el editor de políticas de grupo local:
- Ejecute la consola gpedit.msc y vaya a la sección Configuración de la computadora > Configuración de Windows > Configuración de seguridad > Políticas locales > Asignación de derechos de usuario;
- Encuentre una política llamada Permitir iniciar sesión a través de Servicios de escritorio remoto;
Consejo. Si esta política contiene solo el grupo Administradores, entonces, por alguna razón, su administrador ha denegado el acceso al sistema a través de RDP para el grupo local de Usuarios de escritorio remoto; - Haga clic en el Agregar usuario y grupo y agregue usuarios o grupos a los que desee permitir el inicio de sesión de RDP;
- Guarde los cambios y actualice las políticas de la computadora con el comando gpupdate:
gpupdate /force
Consejo. Con esta política, puede otorgar acceso RDP a los controladores de dominio al personal técnico o a los usuarios sin otorgarles privilegios de administrador de dominio en el dominio de Active Directory. Este truco también funcionará si ha instalado el rol de Servicios de escritorio remoto en el controlador de dominio AD (aunque esto no se recomienda) y desea permitir que los usuarios que no son administradores se conecten a él a través de RDP/RemoteApp.
Además, en la misma sección del editor de GPO, asegúrese de que su cuenta no esté especificada en el Denegar inicio de sesión a través de Servicios de escritorio remoto (esta política también se encuentra en la sección GPO Configuración del equipo > Configuración de Windows > Configuración de seguridad > Política local > Asignaciones de derechos de usuario).
Si se agrega un usuario a ambas políticas a la vez, ya sea directamente o a través de un grupo, no podrá conectarse de forma remota a través de RDP porque el Negar política tiene una prioridad más alta.
Si su computadora está unida al dominio AD, esta configuración puede ser sobrescrita por la configuración de directiva de grupo del dominio. La configuración actual de GPO se puede obtener mediante el complemento rsop.msc o con el comando gpresult.
Si necesita verificar la configuración de GPO aplicada al dominio, abra el símbolo del sistema elevado y ejecute el comando:
GPResult /h c:gp_report.html /f
Abra el gp_report.html usando su navegador favorito y verifique las opciones configuradas en el Permitir y denegar el inicio de sesión a través de políticas de servicios de escritorio remoto.