Permitir inicio de sesión a través de Servicios de Escritorio remoto

Se aplica a

  • Windows 11
  • Windows 10

Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las consideraciones de seguridad para la configuración de directiva de seguridad Permitir inicio de sesión a través de Servicios de Escritorio remoto .

Referencia

Esta configuración de directiva determina qué usuarios o grupos pueden acceder a la pantalla de inicio de sesión de un dispositivo remoto a través de una conexión de Servicios de Escritorio remoto. Es posible que un usuario establezca una conexión de Servicios de Escritorio remoto a un servidor determinado, pero no pueda iniciar sesión en la consola de ese mismo servidor.

Constante: SeRemoteInteractiveLogonRight

Posibles valores

  • Lista de cuentas definida por el usuario
  • No definido

Procedimientos recomendados

  • Para controlar quién puede abrir una conexión de Servicios de Escritorio remoto e iniciar sesión en el dispositivo, agregue o quite usuarios del grupo Usuarios de Escritorio remoto.

Ubicación

Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario

Valores predeterminados

De forma predeterminada, los miembros del grupo Administradores tienen este derecho en controladores de dominio, estaciones de trabajo y servidores. El grupo Usuarios de Escritorios remotos también tiene este derecho en estaciones de trabajo y servidores. En la siguiente tabla se enumeran los valores de directiva predeterminados reales y eficaces. Los valores predeterminados también se enumeran en la página de propiedades de la directiva.

Tipo de servidor o GPO Valor predeterminado
Directiva de dominio predeterminada No definido
Directiva de controlador de dominio predeterminada No definido
Directiva de seguridad local del controlador de dominio Administradores
configuración predeterminada del servidor de Stand-Alone Administradores
Usuarios de Escritorio remoto
Configuración predeterminada efectiva del controlador de dominio Administradores
Configuración predeterminada efectiva del servidor miembro Administradores
Usuarios de Escritorio remoto
Configuración predeterminada efectiva del equipo cliente Administradores
Usuarios de Escritorio remoto

Administración de directivas

En esta sección se describen las distintas características y herramientas disponibles para ayudarle a administrar esta directiva.

Directiva de grupo

Para usar servicios de Escritorio remoto para iniciar sesión correctamente en un dispositivo remoto, el usuario o grupo debe ser miembro del grupo Usuarios o administradores de Escritorio remoto y se le concederá el derecho Permitir inicio de sesión a través de Servicios de Escritorio remoto . Es posible que un usuario establezca una sesión de Servicios de Escritorio remoto en un servidor determinado, pero no pueda iniciar sesión en la consola de ese mismo servidor.

Para excluir usuarios o grupos, puede asignar el derecho de usuario Denegar inicio de sesión a través de Servicios de Escritorio remoto a esos usuarios o grupos. Sin embargo, tenga cuidado al usar este método porque podría crear conflictos para usuarios legítimos o grupos a los que se ha permitido el acceso a través del derecho de usuario Permitir inicio de sesión a través de Servicios de Escritorio remoto .

Para obtener más información, vea Denegar el inicio de sesión a través de Servicios de Escritorio remoto.

No es necesario reiniciar el dispositivo para que esta configuración de directiva sea efectiva.

Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el propietario de la cuenta inicie sesión.

directiva de grupo configuración se aplica a través de GPO en el orden siguiente, que sobrescribirá la configuración en el equipo local en la siguiente actualización de directiva de grupo:

  1. Configuración de directiva local
  2. Configuración de directivas de sitio
  3. Configuración de la directiva de dominio
  4. Configuración de la directiva de unidad organizativa

Consideraciones de seguridad

En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.

Vulnerabilidad

Cualquier cuenta con el derecho de usuario Permitir inicio de sesión a través de Servicios de Escritorio remoto puede iniciar sesión en la consola remota del dispositivo. Si no restringe este derecho de usuario a los usuarios legítimos que deben iniciar sesión en la consola del equipo, los usuarios no autorizados podrían descargar y ejecutar software malintencionado para elevar sus privilegios.

Contramedida

En el caso de los controladores de dominio, asigne el derecho Permitir inicio de sesión a través de Servicios de Escritorio remoto solo al grupo Administradores. Para otros roles de servidor y dispositivos, agregue el grupo Usuarios de Escritorio remoto. En el caso de los servidores que tengan habilitado el servicio de rol Host de sesión de Escritorio remoto (ESCRITORIO remoto) y no se ejecuten en modo servidor de aplicaciones, asegúrese de que solo el personal de TI autorizado que debe administrar los equipos pertenecen de forma remota a estos grupos.

Precaución: En el caso de los servidores host de sesión de Escritorio remoto que se ejecutan en modo servidor de aplicaciones, asegúrese de que solo los usuarios que requieren acceso al servidor tengan cuentas que pertenezcan al grupo Usuarios de Escritorio remoto porque este grupo integrado tiene este derecho de inicio de sesión de forma predeterminada.

Como alternativa, puede asignar el derecho de usuario Denegar inicio de sesión a través de Servicios de Escritorio remoto a grupos como Operadores de cuenta, Operadores de servidor e Invitados. Sin embargo, tenga cuidado al usar este método porque podría bloquear el acceso a los administradores legítimos que también pertenecen a un grupo que tiene el derecho de usuario Denegar inicio de sesión a través de Servicios de Escritorio remoto .

Posible efecto

La eliminación del usuario Permitir inicio de sesión a través de Servicios de Escritorio remoto directamente desde otros grupos (o los cambios de pertenencia en estos grupos predeterminados) podría limitar las capacidades de los usuarios que realizan roles administrativos específicos en su entorno. Debe confirmar que las actividades delegadas no se ven afectadas negativamente.