Cómo habilitar el acceso RDP para usuarios no administradores en Windows Server

Obtener acceso remoto a servidores Windows o controladores de dominio puede ser un dolor de cabeza si no se está en los grupos o la configuración correctos. De forma predeterminada, Windows prefiere mantener todo bajo control: los grupos de administradores o administradores de dominio suelen tener las claves maestras de RDP. Si intenta conectarse como un usuario normal, no funcionará a menos que ajuste algunas configuraciones. Esta guía le ayudará a otorgar acceso RDP a usuarios no administradores sin convertirlos en administradores.¿El objetivo? Permitir que un usuario se conecte sin problemas y asegurarse de que todo sea legítimo en cuanto a políticas de seguridad. Es un poco complicado porque en los controladores de dominio, los grupos locales no se administran de la misma manera; se administran centralmente a través de Active Directory, lo que puede ser molesto si no se sabe dónde buscar. También aprenderá a gestionar errores como «Se deniega el acceso a la sesión solicitada», que ocurren cuando los permisos no están alineados.

Cómo solucionar problemas de acceso RDP y establecer los permisos adecuados

Permitir que usuarios no administradores inicien sesión de forma remota en Windows Server

Esto es bastante obvio, pero si el usuario no está en el grupo correcto, aparecen errores como «No tiene permiso para iniciar sesión remotamente».En las configuraciones de Windows Server, solo los miembros del grupo Administradores o aquellos agregados específicamente a Usuarios de Escritorio Remoto pueden iniciar sesión remotamente. Normalmente, si se produce un error durante la conexión, agregar al usuario al grupo Usuarios de Escritorio Remoto lo soluciona. Dado que Windows aplica estas políticas, esto es lo que debe hacer:

  • Abra lusrmgr.msc (Usuarios y grupos locales): Sí, no encontrará esto en el complemento normal de un controlador de dominio, por lo que es mejor hacerlo desde un servidor donde tenga acceso local o desde una estación de trabajo de administración con herramientas RSAT instaladas.
  • Busque el grupo Usuarios de Escritorio remoto y haga doble clic en él.
  • Haga clic en Agregar y luego escriba el nombre del usuario, por ejemplo domain\username.
  • Ahora podrán conectarse a través de RDP, suponiendo que la configuración RDP del servidor esté habilitada.

Si prefieres la línea de comandos o scripting, aquí tienes la información detallada:

net localgroup "Remote Desktop Users" /add domain\username 

Y para los fanáticos de PowerShell:

Add-LocalGroupMember -Group "Remote Desktop Users" -Member "domain\username"

Úselo Get-LocalGroupMember -Group 'Remote Desktop Users'para comprobar quién está allí.

Recuerde que, en los controladores de dominio, este grupo está integrado en Active Directory; la mejor manera de administrarlo es desde ADUC o mediante PowerShell. Sin embargo, tenga cuidado: agregar usuarios a ese grupo de dominio implica otorgar acceso RDP a *todos* los controladores de dominio, a menos que lo especifique.

Otorgar permisos en controladores de dominio para usuarios no administradores

Si necesita que un usuario no administrador acceda mediante RDP a un controlador de dominio, la situación se complica. No es posible modificar los grupos locales, ya que en un controlador de dominio, las herramientas de administración local no funcionan igual: muestran un error que indica «Este complemento no se puede usar en un controlador de dominio».En su lugar, los permisos se administran mediante la directiva de grupo o Active Directory.

Para otorgarle a un usuario acceso RDP, debe hacer dos cosas:

  • Agregue el usuario o un grupo de seguridad (como AllowDCLogin ) a la política Permitir inicio de sesión a través de Servicios de Escritorio remoto, que se modifica a través de gpmc.msc (Consola de administración de políticas de grupo).
  • Aplique la política a sus controladores de dominio, idealmente mediante la Política de controladores de dominio predeterminada. No olvide ejecutarla gpupdate /forcedespués para que los cambios surtan efecto.

Esto es mucho más seguro que agregar a todos al grupo de dominio Usuarios de Escritorio Remoto, que otorga acceso RDP a *todos* los controladores de dominio; probablemente más de lo que desea, a menos que realmente lo desee. En su lugar, cree un grupo de seguridad dedicado en Active Directory, asigne el usuario allí y luego vincule ese grupo a la GPO.

Manejar errores de «Acceso denegado a la sesión solicitada»

Este es un problema de permisos bastante común. Surge cuando alguien intenta acceder a RDP y se bloquea, a menudo debido a políticas o permisos de cuenta. Suele ocurrir si un usuario no administrador intenta conectarse a un servidor en modos especiales (como usar mstsc /admin) o si se habilitan ciertas restricciones, como Windows Defender Remote Credential Guard o el modo de administrador restringido.

Verifique los permisos del usuario y asegúrese de lo siguiente:

  • El usuario es parte del grupo correcto (como Usuarios de Escritorio Remoto en AD).
  • La política Permitir iniciar sesión a través de Servicios de Escritorio remoto incluye el grupo del usuario.
  • No existen restricciones conflictivas como políticas de denegación o configuraciones de seguridad que bloqueen el acceso.

A veces, reiniciar gpupdate /forceel servidor es suficiente para solucionar estos problemas, pero depende de cómo estén configurados los permisos.¿Otra pequeña peculiaridad? Si has habilitado el modo de administrador restringido, los usuarios normales no podrán conectarse a menos que se configure explícitamente.

No estoy seguro de por qué es tan complicado, pero a Windows parece gustarle hacer que el acceso remoto sea lo más seguro posible, a veces hasta el punto de ser excesivo.