1.2K
Al conectarse a una computadora de escritorio con Windows o a un servidor de Windows que ejecuta Servicios de escritorio remoto (RDS) a través del RDP, es posible que encuentre un error:
Para iniciar sesión de forma remota, necesita el derecho de iniciar sesión a través de Servicios de escritorio remoto. De manera predeterminada, los miembros del grupo Administradores tienen este derecho, o si el derecho se eliminó del grupo Administradores, debe otorgárselo manualmente.
Si la opción de seguridad NLA (Autenticación de nivel de red) está habilitada en la computadora remota para el protocolo RDP, el error se ve de la siguiente manera:
Remote Desktop Connection
La conexión fue denegada porque la cuenta de usuario no está autorizada para el inicio de sesión remoto.
Está enfrentando estos mensajes de error porque la cuenta de usuario que está usando para conectarse a la computadora no tiene el permiso correcto para usar Escritorio remoto.
¿Cómo puede conectarse de forma remota al escritorio de una computadora de este tipo (la captura de pantalla con un error tomada de Windows 10)?
De forma predeterminada, la configuración de seguridad de Windows permite inicios de sesión RDP remotos a través de Servicios de escritorio remoto (TermService) cuando:
- La cuenta de usuario es miembro de uno de los grupos locales. Usuarios de escritorio remoto o Administradores;
- El grupo de usuarios puede iniciar sesión de forma remota a través del parámetro de directiva de grupo local Permitir el inicio de sesión a través de Servicios de escritorio remoto.
¿Cómo agregar un usuario al grupo de usuarios de escritorio remoto en Windows?
Por defecto, los miembros del local Administradores El grupo puede iniciar sesión de forma remota en computadoras con Windows a través de Escritorio remoto (debe habilitar RDP con PowerShell en la configuración de la computadora). Con la consola MMC de usuarios y grupos locales (lusrmgr.msc), puede enumerar los usuarios en el grupo de administradores locales en una computadora. Ampliar la Usuarios locales y grupos > Grupos sección, haga doble clic en el Administradores grupo, y verifique si su cuenta está en esta lista.
Un no administrador también puede conectarse a una computadora a través de RDP si su cuenta se agrega al local Usuarios de escritorio remoto grupo (los miembros de este grupo tienen permisos para iniciar sesión de forma remota).
Utilice el complemento lusrmgr.msc como se describe anteriormente para verificar si su cuenta es miembro del grupo Usuarios de escritorio remoto.
Si tiene privilegios de administrador en esta computadora, puede agregar una cuenta de usuario a este grupo haciendo clic en el Agregar botón. Ingrese el nombre del usuario o grupo de Active Directory y haga clic en Aceptar dos veces para guardar los cambios. Esto permitirá al usuario conectarse de forma remota a Windows Remote Desktop sin otorgar privilegios de administrador local en la computadora.
Use el siguiente comando para enumerar los grupos locales de los que el usuario es miembro:
net user bjackson | find "Local Group Memberships"
Esta captura de pantalla muestra que el primer usuario es miembro del grupo Usuarios local únicamente, y el segundo se agrega a dos grupos locales: Administradores y Usuarios de escritorio remoto.I
Si desea comprobar la pertenencia a un grupo local para una cuenta de dominio, agregue el parámetro /DOMAIN:
net user bjackson /DOMAIN| find "Local Group Memberships"
Puede obtener información de membresía local del grupo desde una computadora remota OfPCN21 usando Invoke-Command PowerShell:
Invoke-Command -ComputerName OfPCN21 -ScriptBlock{net user bjackson /DOMAIN| find “Local Group Memberships”}
Puede agregar un usuario al grupo local:
- Usando PowerShell:
Add-LocalGroupMember -Group "Remote Desktop Users" -Member bjackson
- Usando el comando net localgroup:
net localgroup "Remote Desktop Users" /add corpbjackson
- O puede agregar un usuario de dominio a un grupo de escritorio remoto mediante el GPO.
Después de agregar el usuario al grupo, a la cuenta de usuario se le asignará el SeRemoteInteractiveLogonRight justo al iniciar sesión y podrá conectarse a través de RDP.
Intente conectarse a una computadora con Windows usando un cliente RDP. Si aún no puede conectarse, debe verificar la configuración de la Política de grupo en la computadora de destino.
¿Cómo permitir el inicio de sesión a través de servicios de escritorio remoto usando GPO?
También puede permitir que los usuarios se conecten de forma remota a Servicios de escritorio remoto mediante el Editor de directivas de grupo local:
- Ejecute la consola gpedit.msc y vaya a la sección Configuración de la computadora > Configuración de Windows > Configuración de seguridad > Políticas locales > Asignación de derechos de usuario;
- Encuentre una política llamada Permitir iniciar sesión a través de Servicios de escritorio remoto. Esta política de seguridad determina qué grupos y usuarios tienen derecho a iniciar sesión a través de RDP;
Consejo. Si esta política contiene solo el grupo Administradores, entonces, por alguna razón, su administrador ha denegado el acceso al sistema a través de RDP para el grupo local de Usuarios de escritorio remoto; - Haga clic en el Agregar usuario y grupo y agregue usuarios o grupos a los que desee permitir el inicio de sesión de RDP;
- Guarde los cambios y actualice las políticas de la computadora con el comando gpupdate:
gpupdate /force
Consejo. Con esta política, puede otorgar acceso RDP a los controladores de dominio al personal técnico o a los usuarios sin otorgarles privilegios de administrador de dominio en el dominio de Active Directory. Este truco también funcionará si ha instalado el rol de Servicios de escritorio remoto en el controlador de dominio AD (aunque esto no se recomienda) y desea permitir que los usuarios que no son administradores se conecten a él a través de RDP/RemoteApp.
Tenga en cuenta que hay otro Denegar inicio de sesión a través de Servicios de escritorio remoto opción en esta sección de GPO. Esta política le permite determinar qué usuarios y grupos tienen prohibido iniciar sesión como cliente de Servicios de Escritorio remoto. Compruebe si su cuenta no figura en la configuración de esta política. Si se agrega un usuario a ambas políticas a la vez, ya sea directamente o a través de un grupo, no podrá conectarse de forma remota a través de RDP porque el Denegar política tiene una prioridad más alta.
Abra la configuración de la política y elimine usuarios y grupos de ella.
Si su computadora está unida al dominio AD, esta configuración puede ser sobrescrita por la configuración de directiva de grupo del dominio. Puede verificar la configuración de GPO resultante en su computadora usando el complemento rsop.msc o con el comando gpresult.
Si necesita verificar la configuración de GPO del dominio aplicado, abra el símbolo del sistema elevado y ejecute el comando:
GPResult /h c:gp_report.html /f
Abra el gp_report.html usando su navegador favorito y verifique las opciones configuradas en el Permitir y Denegar inicio de sesión a través de Servicios de escritorio remoto políticas
Permitir el acceso a escritorio remoto con la colección RDS
Si enfrentó el error «Necesita el derecho para iniciar sesión a través de…» en un servidor de Windows con el rol de Servicios de escritorio remoto (RDS) instalado, debe verificar la configuración de recopilación de sesiones de RDS.
- Abra el Administrador del servidor > Servicios de escritorio remoto > Tareas > Editar propiedades de implementación;
- Abre el Colecciones sección y abra las propiedades de la colección a la que el usuario debe conectarse;
- Ve a la Grupos de Usuarios sección. Esta lista contiene los grupos de seguridad de Active Directory cuyos miembros pueden conectarse a este host a través de RDP.
Nota. Si la lista de acceso en esta sección está vacía, agregue los grupos requeridos (preferidos) o usuarios manualmente. - Abra el complemento Usuarios y equipos de Active Directory (dsa.msc), busque este grupo y agréguele el usuario;
- Después de eso, este usuario podrá conectarse al host RDS de Windows Server a través de RDP.
Puede enumerar las colecciones de RDS disponibles en el host mediante el comando de PowerShell:
Get-RDSessionCollection
Para enumerar los grupos de la colección a los que se les permite el acceso RDP, ejecute el comando:
Get-RDSessionCollectionConfiguration -CollectionName "myRDSCollection1" -UserGroup -ConnectionBroker "rdcb.theitbros.com"
Puede agregar grupos de seguridad adicionales a la lista de acceso a la colección RDS de esta manera:
Set-RDSessionCollectionConfiguration -CollectionName "myRDSCollection1" -UserGroup @("THEITBROSRDS Users","THEITBROSNY_managers","THEITBROSNY_IT_dept")
Deshabilitar el modo de sesión mejorado en Hyper-V
En algunos casos, puede encontrar el mensaje de error «Para iniciar sesión de forma remota, necesita el derecho para iniciar sesión a través de los servicios de escritorio remoto». De forma predeterminada,…” al conectarse a la consola de la máquina virtual en hosts con el rol de Hyper-V.
De forma predeterminada, el modo de sesión mejorado está habilitado en los hosts de Hyper-V. En este modo, se realiza una conexión de pantalla completa a la consola de la máquina virtual a través de Servicios de escritorio remoto en lugar de una conexión nativa a través del bus Hyper-V.
Para conectarse a la consola de la VM sin usar Escritorio remoto, debe deshabilitar el Modo de sesión mejorado.
Puede deshabilitar la sesión mejorada para la conexión de la consola actual solo desactivando el «Modo mejorado» en el menú de conexión de su máquina virtual (Ver > «Sesión mejorada»).
También puede deshabilitar por completo la sesión mejorada para todas las máquinas virtuales en un host a través de la consola de Hyper-V Manager.
O use el comando de PowerShell:
Set-VMHost -EnableEnhancedSessionMode $false -Passthru