1.3K
La configuración de seguridad local en Windows le permite permitir o denegar el inicio de sesión local (interactivo) para los usuarios en las computadoras. En este artículo, veremos cómo administrar los permisos de inicio de sesión locales en Windows 10 y Windows Server 2019.
De forma predeterminada, Windows 10 y Windows Server 2019 permiten iniciar sesión localmente a los usuarios que son miembros de los siguientes grupos locales de Active Directory:
- administradores;
- Operadores de respaldo;
- Usuarios.
Si el servidor se promueve a un controlador de dominio de Active Directory, la lista de grupos con permisos de inicio de sesión locales cambia. El usuario no puede iniciar sesión en la consola del controlador de dominio de AD:
- Operadores de cuenta;
- administradores;
- Operadores de respaldo;
- Operadores de impresión;
- Operadores de servidores.
Puede ver la lista actual de grupos con permisos de inicio de sesión locales a través de la Política de grupo local.
- Ejecute el Editor de políticas de grupo local (gpedit.msc);
- Vaya a la siguiente sección de GPO Configuracion de Computadora > Configuración de Windows > Configuraciones de seguridad > Políticas locales > Asignación de derechos de usuario;
- Encuentra el Permitir iniciar sesión localmente parámetro y abra su configuración;
Con esta política, puede agregar o eliminar grupos de usuarios (o cuentas de usuario personales) que pueden iniciar sesión localmente. Por ejemplo, si elimina el grupo de usuarios locales de esta política, sus usuarios no podrán iniciar sesión de forma interactiva en este dispositivo.
Pista. Sin embargo, los usuarios aún pueden iniciar sesión de forma remota a través de Servicios de escritorio remoto si este grupo se agrega a la política local. Permitir el inicio de sesión a través de Servicios de escritorio remoto en la misma sección de GPO.
Después de cambiar la configuración de la política, no es necesario reiniciar la computadora. Los cambios en la asignación de derechos de usuario de las cuentas se aplicarán cuando el usuario inicie sesión en Windows.
En la misma sección de la GPO, hay otra Denegar inicio de sesión localmente política, que le permite denegar por la fuerza los inicios de sesión interactivos a los usuarios. Está vacío por defecto. Puede agregar manualmente usuarios o grupos a esta política que no pueden iniciar sesión en esta computadora de forma interactiva. Tenga en cuenta que la directiva Denegar inicio de sesión local tiene mayor prioridad que la directiva Permitir inicio de sesión local.
Si el usuario no tiene los permisos para iniciar sesión localmente, cuando inicie sesión en la computadora después de ingresar la contraseña, aparecerá el siguiente mensaje:
El método de inicio de sesión que intenta utilizar no está permitido. Para obtener más información, comuníquese con su administrador de red.
Intente siempre configurar las políticas de inicio de sesión para que solo los usuarios legítimos puedan iniciar sesión en la consola del dispositivo. Por razones de seguridad, evite que las cuentas de servicio inicien sesión en las computadoras de su organización localmente.