Observe que la casilla "Denegar estos permisos de usuario para iniciar sesión en un servidor host de sesión de Escritorio remoto" se comporta de forma diferente en Windows Server 2003 y Windows Server 2008.

En este artículo se proporciona ayuda para resolver un problema por el que denegar los permisos de este usuario para iniciar sesión en una característica del servidor host de sesión de Escritorio remoto se comporta de forma diferente en distintas versiones de Windows Server.

Número de KB original: 2258492

Síntomas

Es posible que observe que el comportamiento de denegar estos permisos de usuario para iniciar sesión en un servidor host de sesión de Escritorio remoto es diferente entre Windows Server 2003 y Windows Server 2008. En Windows Server 2003, esta configuración se denomina Denegar este permiso de usuario para iniciar sesión en cualquier terminal Server.

Fíjese en la configuración siguiente:

1. Servidor miembro de Windows 2008 Server.

2. Servidor miembro de Windows Server 2003.

3. En Usuarios y equipos de Active Directory complemento, elija un usuario y acceda a la pestaña Perfil de Servicios de Escritorio remoto. Si el controlador de dominio ejecuta Windows Server 2003, se llamará Perfil de Terminal Services. Aquí, establezca la opción "Denegar este permiso de usuario para iniciar sesión en un servidor host de sesión de Escritorio remoto". De nuevo, en Windows Server 2003, esto se denomina "Denegar este permiso de usuario para iniciar sesión en cualquier terminal Server".

4. Establezca este usuario como miembro del grupo "Usuarios de Escritorio remoto" o del grupo local "Administradores" en los servidores de Windows Server 2003 y Windows Server 2008.

Ahora, use las credenciales de este usuario para iniciar sesión en el servidor miembro de Windows 2003 a través de RDP, observará que este usuario se bloqueará. Sin embargo, este usuario podrá iniciar sesión en el servidor de Windows Server 2008.

Causa

Este comportamiento se debe al diseño. En Windows Server 2003, esta configuración se comprueba independientemente de si el servidor está en modo de Terminal Server de administración remota o en modo de Terminal Server de aplicación. Sin embargo, en Windows Server 2008, esta configuración está activada en una máquina que solo tiene Servicios de Escritorio remoto en modo de aplicación. El modo de administración remota no comprobará este parámetro. Si cambia el servidor de Windows Server 2008 al modo de aplicación de Servicios de Escritorio remoto instalando el rol, este usuario no se denegará el inicio de sesión a través de RDP.

Solución

Para denegar un usuario o un inicio de sesión de grupo a través de RDP, establezca explícitamente el privilegio "Denegar inicio de sesión a través de Servicios de Escritorio remoto". Para ello, acceda a un editor de directivas de grupo (ya sea local al servidor o desde una unidad organizativa) y establezca este privilegio:

1. Inicio | Ejecutar | Gpedit.msc si edita la directiva local o elige la directiva adecuada y la edita.

2. Configuración del equipo | Configuración de Windows | Configuración de seguridad | Directivas locales | Asignación de derechos de usuario.

3. Busque y haga doble clic en "Denegar inicio de sesión a través de Servicios de Escritorio remoto".

4. Agregue el usuario o el grupo que desea denegar el acceso.

5. Seleccione Aceptar.

6. gpupdate /force /target:computer Ejecute o espere a que se aplique la siguiente actualización de directiva para que esta configuración surta efecto.