Compartir a través de

Solución de problemas de acceso denegado y de usuario no autorizado en Escritorio remoto de Microsoft Services

Este artículo le ayuda a solucionar los errores de "Acceso denegado" y "El usuario no está autorizado" que se producen al intentar conectarse a un equipo remoto.

Se aplica a: Windows Server 2012 y versiones posteriores

Síntomas

Al intentar conectarse a un equipo Windows o a una máquina virtual mediante el Protocolo de escritorio remoto (RDP), recibirá un mensaje similar a uno de los siguientes mensajes:

Se denegó el acceso.

El usuario no está autorizado.

Causas

Los mensajes de "acceso denegado" más comunes y las causas o circunstancias más probables de cada uno son los siguientes:

  • Se denegó el acceso. Este error suele indicar que el usuario que intenta conectarse no tiene el permiso necesario para acceder al servidor remoto.
  • Se denegó la conexión porque la cuenta de usuario no está autorizada para el inicio de sesión remoto. Este error sugiere que la cuenta del usuario no tiene los derechos de acceso de usuario correctos para establecer una conexión RDP al servidor de destino.
  • Para iniciar sesión de forma remota, necesita el derecho a iniciar sesión a través de Servicios de Escritorio remoto. Este error suele estar relacionado con servicios de Escritorio remoto (conexión a una granja de RDS), no una conexión RDP independiente.
  • Se deniega el acceso de sesión solicitado o la restricción de cuenta impide que este usuario inicie sesión. Este error suele significar que las restricciones como Credential Guard impiden el acceso.

Lista de comprobación de solución de problemas

Hay muchos posibles problemas que pueden provocar problemas de "acceso denegado" para los usuarios de RDP. Para restringir la lista de posibles causas y proporcionar un punto de partida para una solución de problemas adicional, tenga en cuenta lo siguiente:

  1. ¿El problema afecta a un usuario o a más de un usuario? Un problema que afecta a un usuario indica que existe un problema en la configuración o los permisos de ese usuario. Para obtener más información, consulte Problemas comunes.

  2. ¿El problema afecta tanto a los usuarios administrativos como a los usuarios normales? Este comportamiento podría indicar un problema relacionado con la configuración del grupo de seguridad. Para obtener más información, consulte Problemas comunes.

  3. ¿Tiene el usuario los permisos correctos para acceder al equipo remoto en un contexto que no sea RDP (por ejemplo, puede el usuario iniciar sesión en el equipo localmente)? En este caso, el usuario podría tener un problema de acceso general en lugar de un problema de RDP. Es posible que tenga que ponerse en contacto con el administrador de Active Directory para obtener ayuda.

  4. ¿Es accesible el equipo remoto?

    • Si el usuario se conecta normalmente mediante un cliente que no es de Microsoft, ¿puede el usuario conectarse mediante un método de conexión alternativo, como la aplicación web de Escritorio remoto (Web de Escritorio remoto) o la aplicación conexión a Escritorio remoto (Mstsc.exe)? Si el problema implica una aplicación que no es de Microsoft, es posible que tenga que ponerse en contacto con el proveedor de aplicaciones para obtener ayuda.
    • ¿Puede iniciar una conexión RDP administrativa? Para ello, abra una ventana del símbolo del sistema de Windows y escriba mstsc /admin.
    • ¿Puede un usuario o administrador conectarse al equipo de destino? Por ejemplo, ¿un administrador se puede conectar correctamente mediante los ping comandos o nslookup ? Si estos comandos no funcionan, puede haber un problema de red, puerto o DNS en lugar de un problema de RDP.

  5. ¿Es el equipo remoto un controlador de dominio? Solo los miembros del grupo Administradores de dominio pueden usar RDP para conectarse a un controlador de dominio.

Problemas comunes

En las secciones siguientes se proporciona información de solución de problemas más específica:

Solución de problemas de permisos

Para comprobar los permisos en el nivel de bosque, siga estos pasos:

  1. Abra el complemento MMC de Usuarios y equipos de Active Directory (disponible en el menú Herramientas de Administrador del servidor).
  2. En el nodo de dominio, seleccione Integrado, haga clic con el botón derecho en Usuarios de Escritorio remoto y, a continuación, seleccione Propiedades.
  3. Asegúrese de que el usuario es miembro del grupo.

Si el equipo remoto no es miembro de dominio, compruebe los permisos en el nivel de equipo remoto. Siga estos pasos:

  1. En el equipo remoto, abra la herramienta Usuarios y grupos locales (Lusermgr.msc).
  2. Seleccione Grupos>Usuarios de Escritorio remoto y asegúrese de que el usuario es miembro del grupo.

Solución de problemas de permisos para colecciones y aplicaciones de sesión

Si usa colecciones para administrar las ofertas de RDS, tiene capas adicionales de autorización con las que trabajar. Para comprobar que el usuario tiene acceso a la colección, siga estos pasos:

  1. En el host de sesión de Escritorio remoto, en Administrador del servidor, seleccione Recopilación de colecciones de Servicios>de Escritorio remotoNombre de> colección.><

    Nota

    En esta secuencia, <CollectionName> representa el nombre de la colección que desea administrar.

  2. Compruebe el elemento Grupo de usuarios en la lista Propiedades de la colección. Realice una de las siguientes acciones:
    • Agregue el usuario a un grupo que ya aparece (por ejemplo, mediante usuarios y equipos de Active Directory).
    • Para agregar un grupo a la colección, busque el área situada encima de la lista Propiedades, seleccione Tareas>Editar grupos de usuarios de propiedades>y, a continuación, seleccione Agregar.
  3. Para comprobar los permisos de una aplicación determinada de la colección, busque la aplicación en la lista Programas de RemoteApp, haga clic con el botón derecho en la aplicación y, a continuación, seleccione Editar asignación de usuario de propiedades>. Para realizar cambios, siga las instrucciones de la página Asignación de usuarios.

Solución de problemas de derechos de acceso de usuario

Asegúrese de que la cuenta de usuario pertenece a un grupo que tiene derecho a iniciar sesión de forma remota en el equipo remoto. Use los procedimientos siguientes, en función de cómo administre los derechos de acceso de usuario en el equipo remoto. Recuerde que la configuración de directiva de grupo invalida la configuración de directiva de seguridad local.

Si usa la directiva de grupo en el nivel de dominio, siga estos pasos:

  1. En el menú herramientas de Administrador del servidor, abra la Consola de administración de directivas de grupo (GPMC), haga clic con el botón derecho en el objeto de directiva de grupo (GPO) que controla el equipo remoto y seleccione Editar para abrir el Editor de directivas de grupo.
  2. Seleccione Directivas de configuración del>>equipo Configuración de Windows Configuración de>>seguridad Directivas locales>Asignación de derechos de usuario.
  3. Seleccione Permitir inicio de sesión a través de Servicios de Escritorio remoto. Si la directiva está habilitada, haga clic con el botón derecho en Permitir inicio de sesión a través de Servicios de Escritorio remoto y, a continuación, seleccione Propiedades. Si la directiva no está definida, consulte el procedimiento siguiente para comprobar la directiva de seguridad local.
  4. Compruebe los grupos a los que se ha asignado este derecho. Si el usuario no pertenece a un grupo que tiene este derecho, agregue el grupo a la directiva o agregue el usuario a uno de los grupos que ya está configurado.

Si usa la directiva de seguridad local, siga estos pasos:

  1. En el equipo remoto, abra Directiva de seguridad local.
  2. Seleccione Configuración de seguridad>Directiva local>Asignación de derechos de usuario.
  3. Seleccione Permitir inicio de sesión a través de Servicios de Escritorio remoto y compruebe la lista de grupos en Configuración de seguridad. Si el usuario no pertenece a un grupo que tiene este derecho, agregue el grupo a la directiva o agregue el usuario a uno de los grupos que ya está configurado.
  4. Para agregar un grupo a la directiva, haga clic con el botón derecho en la directiva y, a continuación, seleccione Propiedades. Seleccione Agregar usuario o grupo y, a continuación, seleccione un grupo.

Solución de problemas de "Restricción de cuenta impide que este usuario inicie sesión".

El mensaje "La restricción de la cuenta impide que este usuario inicie sesión", normalmente significa que Credential Guard restringe el acceso de los usuarios.

Credential Guard solo afecta a las conexiones directas a equipos remotos. No se admite para las conexiones que usan el Agente de conexión a Escritorio remoto o la puerta de enlace de Escritorio remoto. Para obtener más información sobre cómo usar Credential Guard, consulte User can't authenticate or must authenticate dos veces.

Solución de problemas de restricción de acceso de SAM

Si los clientes Restrict pueden realizar llamadas remotas a la directiva SAM está habilitada, podría impedir que los usuarios se conecten a equipos remotos. Esta directiva controla qué usuarios pueden enumerar usuarios y grupos en la base de datos local del Administrador de cuentas de seguridad (SAM) y Active Directory. La directiva está presente en Windows Server 2016 y versiones posteriores.

Para comprobar esta directiva, siga estos pasos:

  1. En el Editor de directivas de grupo, seleccione Directivas de configuración del>>equipo Configuración de Windows Opciones>>de seguridad Directivas locales>Opciones de seguridad.
  2. Compruebe el estado del acceso a la red: restrinja los clientes permitidos para realizar llamadas remotas a la directiva SAM .
  3. Si esta directiva está habilitada, revise Acceso a la red: restringir los clientes que pueden realizar llamadas remotas a SAM.

    Importante

    Esta directiva es una configuración de seguridad que no se puede agregar ni quitar mediante la configuración de directiva de grupo predefinida. Sin embargo, tiene un modo de solo auditoría. En el artículo vinculado se proporciona información sobre cómo configurar el modo de solo auditoría y cómo usar el modo de solo auditoría en un entorno de prueba.

Solución de problemas de servicio de Servicios de Escritorio remoto

Puede usar el complemento MMC de servicios (Services.msc, también disponible en el menú Herramientas de Administrador del servidor) para administrar los servicios de forma local o remota. También puedes usar PowerShell para administrar los servicios de forma local o remota (si el equipo remoto está configurado para aceptar cmdlets de PowerShell remotos).

Si el problema implica una conexión RDP directa al equipo remoto, compruebe el estado del servicio en el equipo remoto. Si el servicio no se está ejecutando, inícielo.

Si usa una implementación a mayor escala de los servidores host de sesión de Escritorio remoto, compruebe el estado del servicio en los servidores host de sesión de Escritorio remoto. Si el servicio no se está ejecutando, inícielo.

Si ejecuta versiones de Windows Server anteriores a Windows Server 2016, es posible que encuentre un problema en el que el equipo remoto o el servidor host de sesión de Escritorio remoto no puedan consultar el controlador de dominio correctamente para obtener información del usuario. Si sospecha que tiene este problema, consulte Inmovilizaciones del servidor o el inicio de sesión de usuario es lento al conectarse a Windows Server 2012 R2 mediante RDP.