¿El botón “Agregar usuario o grupo” aparece deshabilitado cuando quieres conceder el derecho Allow log on through Remote Desktop Services en un servidor miembro o controlador de dominio? No te preocupes: el bloqueo se debe casi siempre a que una Directiva de Grupo (GPO) a nivel de dominio está sobrescribiendo la configuración local. En esta guía aprenderás por qué ocurre, cómo detectarlo y cómo solucionarlo de forma definitiva, sin atajos inseguros ni cambios manuales que se pierdan tras el próximo reinicio.
Por qué el botón se muestra atenuado
En Windows Server, los objetos de directiva de grupo se procesan en el siguiente orden: Local GPO ➜ Site GPOs ➜ Domain GPOs ➜ GPOs de Unidad Organizativa (OU). Por defecto, la configuración aplicada más tarde (más cercana a la cuenta de equipo) prevalece sobre las anteriores. Si ves el botón inhabilitado, significa que una directiva con mayor precedencia ya definió la lista de cuentas con permiso de inicio de sesión RDS, haciendo que el valor local sea de solo lectura.
Entendiendo el derecho “Allow log on through Remote Desktop Services”
Este privilegio controla quién puede abrir una sesión interactiva mediante el protocolo RDP (puerto 3389) en el equipo. No basta con ser miembro de Remote Desktop Users ni con pertenecer a Administrators si otra GPO retira expresamente el derecho o, peor aún, lo deniega en Deny log on through Remote Desktop Services. Por motivos de seguridad, Microsoft recomienda delegar el acceso RDS con la máxima granularidad posible y evitar otorgarlo a grupos demasiado amplios como Domain Users.
Solución paso a paso
Editar la GPO que realmente manda
- Conéctate a un Controlador de Dominio con una cuenta que sea miembro de Domain Admins o tenga derechos de edición de GPO.
- Abre la consola
gpmc.msc. - Identifica la GPO vinculada al dominio o a la OU del equipo afectado. Suele ser la Default Domain Policy o una GPO de seguridad corporativa.
- Navega a:
Equipo → Configuración → Configuración de Windows → Configuración de seguridad → Directivas locales → Asignación de derechos de usuario → Allow log on through Remote Desktop Services - Clic en Agregar usuario o grupo… y añade la cuenta o grupo de seguridad correcto (por ejemplo, un grupo global llamado RDS Access Servers).
- Guarda la GPO.
Incluir al usuario en “Remote Desktop Users”
Aunque el derecho RDS puede otorgarse directamente, lo habitual es:
- Colocar la cuenta de usuario en Remote Desktop Users en el equipo destino (o en Active Directory si gestionas grupos locales mediante GPO).
- Agregar dicho grupo a la lista Allow log on through Remote Desktop Services en la GPO editada. De este modo, cualquier añadido futuro al grupo obtiene acceso sin modificar la directiva nuevamente.
Verificar qué GPO se aplica realmente
gpresult /h C:\gpo.html
start C:\gpo.html
En el informe HTML, busca Computer Details › User Rights Assignment. Aquí aparecerá la directiva causante y la lista efectiva de cuentas con permiso o denegación. Si descubres que otra GPO de mayor precedencia sigue retirando el derecho, tendrás que editarla o modificar el orden de vinculación (Link Order).
Forzar la actualización de directivas
gpupdate /force
Alternativamente, reinicia el servidor. Recuerda que los cambios en derechos de usuario requieren cierre de sesión para hacerse efectivos.
Tabla de síntesis de causas y soluciones
| Síntoma | Causa probable | Acción recomendada |
|---|---|---|
| Botón “Agregar usuario o grupo” deshabilitado | GPO de dominio sobrescribe la configuración | Editar la GPO adecuada en GPMC |
| Usuario pertenece a Administrators pero recibe error RDS | GPO quitó el derecho a Administrators | Añadir grupo Administrators o usuario específico al derecho RDS |
| Error “To sign in remotely, you need the right…” persiste | Cuenta listada en “Deny log on through Remote Desktop Services” | Eliminar cuenta/grupo de la lista de denegación |
| Conexión RDP rechazada tras credenciales | NLA activado y certificados inválidos | Revisar TLS/NLA y certificados de la máquina |
Diagnóstico avanzado con RSOP y Event Viewer
Para un análisis más profundo, ejecuta rsop.msc en el equipo. La consola Resultant Set of Policy muestra la jerarquía exacta de políticas y la que prevalece. Además, el visor de eventos (Event Viewer) registra bajo Application and Services Logs › Microsoft › Windows › GroupPolicy › Operational detalles sobre cada ciclo de actualización, incluidos avisos si una directiva falla al aplicarse.
Buenas prácticas de seguridad y mantenimiento
- Principio de mínimo privilegio: Crea grupos dedicados (RDS Finance, RDS Developers) y asígnalos solo a los servidores que necesiten.
- Evita editar la GPO “Default Domain Controller Policy” para este fin; mantiene separados los derechos RDS de los DC y de los servidores miembro.
- Auditoría: Activa la categoría Logon/Logoff para registrar intentos de inicio RDS e intrusiones.
- Revisión periódica: Usa scripts PowerShell (
Get-GPResultantSetOfPolicy) o informes en Microsoft Intune/Defender para detectar cuentas con privilegios innecesarios.
Preguntas frecuentes (FAQ)
¿Puedo otorgar el acceso RDS a través de la carta de propiedades del usuario en AD?
No, ese cuadro solo administra la pertenencia a grupos como Remote Desktop Users. El derecho RDS se controla con GPO.
¿Qué ocurre si concedo el derecho a “Domain Users” para agilizar?
Significa que cualquier cuenta del dominio podrá iniciar sesión en cualquier servidor que aplique esa GPO. Es una mala práctica que amplifica la superficie de ataque.
¿Necesito reiniciar cada vez que cambio la GPO?
No, pero sí ejecutar gpupdate /force. Sin embargo, los usuarios deberán cerrar sesión y volver a entrar para que su token capture los nuevos privilegios.
¿Qué prioridad tienen las políticas de Seguridad de Controladores de Dominio?
Las GPO vinculadas a la OU Domain Controllers se aplican después de las GPO de dominio, por lo que prevalecen sobre estas.
Referencia rápida de comandos útiles
# Listar directivas de usuario aplicadas
whoami /priv
Obtener todas las GPO que afectan al equipo
gpresult /R
Ver GPOs enlazadas y su orden
Get-GPInheritance -Target "OU=Servidores,DC=contoso,DC=com"
Añadir usuario a grupo local de forma remota
Add-LocalGroupMember -Group "Remote Desktop Users" -Member "CONTOSO\jjurado" -ComputerName SRV-FILE01 Conclusión
Cuando el botón “Agregar usuario o grupo” está deshabilitado en Allow log on through Remote Desktop Services, el problema no es un fallo de Windows sino una política bien aplicada que protege tu infraestructura. Editar la GPO correcta desde Group Policy Management, asignar los grupos de seguridad adecuados, verificar la aplicación con gpresult y mantener un modelo de mínimo privilegio garantizan un acceso RDS controlado y seguro. Siguiendo los pasos de esta guía, el mensaje de error desaparecerá y tus administradores —o usuarios delegados— podrán conectarse sin comprometer la seguridad del dominio.