Cómo Configurar el Grupo de Usuarios de Escritorio Remoto de Windows

Windows Remote Desktop es una de las funciones integradas más potentes que Microsoft ha lanzado. Permite a administradores, equipos de soporte y usuarios autorizados conectarse y controlar completamente una máquina desde cualquier parte del mundo, sin estar físicamente frente a ella. Pero con ese poder viene una responsabilidad crítica: controlar quién obtiene acceso remoto y qué puede hacer una vez conectado.

De forma predeterminada, Windows restringe el acceso remoto únicamente a los Administradores. Es una configuración predeterminada razonable, pero crea un problema real: no siempre se quiere entregar credenciales de administrador solo para permitir que alguien inicie sesión de forma remota. Es exactamente ahí donde entra en juego el Grupo de Usuarios de Escritorio Remoto.

Esta guía te explica todo lo que necesitas saber, desde comprender el propósito del grupo hasta habilitar RDP, agregar y eliminar usuarios, y verificar el acceso, para que puedas gestionar la conectividad remota de forma segura y eficiente.

¿Qué es el Grupo de Usuarios de Escritorio Remoto?

El Grupo de Usuarios de Escritorio Remoto es un grupo de seguridad local integrado en Windows. Su único propósito es otorgar a las cuentas que no son administradores el derecho a establecer una sesión de Remote Desktop Protocol (RDP) con una máquina.

Por qué esto importa en la práctica:

• Sin este grupo, solo los miembros del grupo de Administradores locales pueden conectarse mediante RDP.
• Con este grupo, puedes dar acceso remoto a usuarios estándar específicos sin elevar sus privilegios a administrador completo.
• Esto sigue el principio de mínimo privilegio, un concepto fundamental en la seguridad de sistemas que establece que los usuarios deben tener solo los permisos que realmente necesitan.

Ya sea que estés administrando una sola estación de trabajo o un conjunto de servidores, comprender y configurar correctamente este grupo es una parte innegociable de la administración responsable de sistemas.

> ¿Administras un servidor remoto? Si gestionas un entorno de VPS Hosting, la configuración correcta del grupo de usuarios RDP es especialmente crítica, ya que tu servidor está expuesto a la internet pública.

Requisitos previos

Antes de comenzar, asegúrate de tener lo siguiente:

• Acceso de Administrador local en la máquina que deseas configurar (no puedes modificar grupos locales sin él).
• Los nombres de usuario exactos de las cuentas que deseas agregar al Grupo de Usuarios de Escritorio Remoto.
• Escritorio Remoto habilitado en la máquina de destino (se explica en el Paso 1 a continuación).
• Conectividad de red entre la máquina cliente y el host de destino, con el puerto TCP 3389 abierto en el firewall.

Paso 1: Habilitar Escritorio Remoto en la máquina de destino

Antes de poder gestionar quién se conecta mediante RDP, debes confirmar que Escritorio Remoto esté realmente activado. Aquí te explicamos cómo:

Abrir Propiedades del sistema

1. Haz clic derecho en Este equipo (o Mi PC) en el escritorio o en el Explorador de archivos.
2. Selecciona Propiedades.

Acceder a la configuración remota

1. En el panel izquierdo, haz clic en Configuración remota. Esto abre el cuadro de diálogo Propiedades del sistema directamente en la pestaña Remoto.

Habilitar Escritorio Remoto

1. En la sección Escritorio Remoto, selecciona Permitir las conexiones remotas a este equipo.
2. Puede aparecer un aviso sobre las reglas del firewall; haz clic en Aceptar para permitir que Windows configure automáticamente la excepción del firewall para RDP.

Autenticación a nivel de red (NLA)

1. Verás una casilla de verificación con la etiqueta Permitir conexiones solo desde equipos que ejecuten Escritorio Remoto con Autenticación a nivel de red (recomendado).

• Deja esta casilla marcada en la mayoría de los casos. NLA requiere que los usuarios se autentiquen antes de que se establezca una sesión RDP completa, lo que reduce significativamente la superficie de ataque contra ataques de fuerza bruta y denegación de servicio.
• Desmárcala solo si necesitas admitir clientes heredados que no son compatibles con NLA (Windows XP, clientes ligeros más antiguos, etc.). Esto implica un compromiso de seguridad y debe documentarse.

Aplicar los cambios

1. Haz clic en Aplicar y luego en Aceptar.

Escritorio Remoto ahora está activo en esta máquina.

Paso 2: Agregar usuarios al Grupo de Usuarios de Escritorio Remoto

Con RDP habilitado, ahora puedes agregar al Grupo de Usuarios de Escritorio Remoto las cuentas que necesitan acceso.

Método A: Usar Administración de equipos (recomendado para la mayoría de los administradores)

Abrir Administración de equipos:

1. Haz clic derecho en el botón Inicio y selecciona Administración de equipos.

• Alternativamente, presiona Windows + R, escribe compmgmt.msc y presiona Enter.

Navegar a Usuarios y grupos locales:

1. En el panel izquierdo, expande Usuarios y grupos locales.
2. Haz clic en Grupos.

Abrir el Grupo de Usuarios de Escritorio Remoto:

1. En el panel central, localiza y haz doble clic en Usuarios de escritorio remoto. Esto abre la ventana de Propiedades del grupo.

Agregar usuarios:

1. Haz clic en el botón Agregar.
2. En el cuadro de diálogo Seleccionar usuarios, escribe el nombre de usuario o los nombres de usuario de las cuentas que deseas agregar. Para varios usuarios, separa los nombres con punto y coma (;).
3. Haz clic en Comprobar nombres para validar las entradas en la base de datos de usuarios locales (o Active Directory si está unido a un dominio).
4. Haz clic en Aceptar para confirmar.

Guardar y cerrar:

1. Haz clic en Aceptar nuevamente para cerrar la ventana de Propiedades de Usuarios de escritorio remoto.

Los usuarios seleccionados ahora tienen acceso RDP a esta máquina.

Método B: Usar PowerShell (más rápido para operaciones masivas)

Si administras varias máquinas o deseas automatizar este proceso, PowerShell es mucho más eficiente.

Agregar un solo usuario:

Add-LocalGroupMember -Group "Remote Desktop Users" -Member "username"

Agregar un usuario de dominio:

Add-LocalGroupMember -Group "Remote Desktop Users" -Member "DOMAINusername"

Ver los miembros actuales del grupo:

Get-LocalGroupMember -Group "Remote Desktop Users"

Eliminar un usuario:

Remove-LocalGroupMember -Group "Remote Desktop Users" -Member "username"

Los comandos de PowerShell pueden ejecutarse mediante scripts e implementarse a través de Directiva de grupo o herramientas de administración remota, lo que los hace ideales para entornos empresariales o cuando se administran Servidores Dedicados a gran escala.

Método C: Usar el acceso directo de Propiedades del sistema

Existe una ruta más rápida directamente desde el cuadro de diálogo de Configuración remota:

1. Vuelve a Propiedades del sistema → pestaña Remoto.
2. Haz clic en el botón Seleccionar usuarios… en la parte inferior.
3. Esto abre una versión simplificada del mismo cuadro de diálogo, que te permite agregar o eliminar usuarios del Grupo de Usuarios de Escritorio Remoto sin navegar por Administración de equipos.

Paso 3: Verificar que el acceso de usuario funciona

La configuración sin verificación está incompleta. Después de agregar usuarios al grupo, confirma que el acceso funciona correctamente.

Probar la conexión

1. En la máquina cliente, presiona Windows + R, escribe mstsc y presiona Enter para iniciar Conexión a Escritorio Remoto.
2. Introduce la dirección IP o el nombre de host de la máquina de destino.
3. Haz clic en Conectar.
4. Cuando se te solicite, introduce las credenciales del usuario recién agregado (no una cuenta de administrador).

Qué esperar

• Si todo está configurado correctamente, el usuario se autenticará y accederá a una sesión de escritorio remoto.
• Si la conexión es rechazada, verifica lo siguiente:
• El usuario está realmente en el Grupo de Usuarios de Escritorio Remoto.
• Escritorio Remoto está habilitado en la máquina de destino.
• El Firewall de Windows permite conexiones entrantes en el puerto TCP 3389.
• Ninguna Directiva de grupo está anulando la configuración local de RDP (común en entornos de dominio).

Verificar la regla del Firewall de Windows

Abre Firewall de Windows Defender con seguridad avanzada y confirma que la regla Escritorio remoto – Modo de usuario (TCP de entrada) está habilitada y configurada en Permitir la conexión.

Paso 4: Gestionar y eliminar usuarios

La gestión del acceso es una responsabilidad continua, no una tarea única. Los usuarios abandonan las organizaciones, los roles cambian y el acceso que era apropiado hace seis meses puede ser un riesgo de seguridad hoy.

Eliminar un usuario mediante Administración de equipos

1. Abre Administración de equipos (compmgmt.msc).
2. Navega a Usuarios y grupos locales → Grupos.
3. Haz doble clic en Usuarios de escritorio remoto.
4. Selecciona la cuenta de usuario que deseas eliminar.
5. Haz clic en Quitar.
6. Haz clic en Aceptar para guardar los cambios.

Eliminar un usuario mediante PowerShell

Remove-LocalGroupMember -Group "Remote Desktop Users" -Member "username"

Mejores prácticas para la gestión continua del acceso

Consideraciones avanzadas

Directiva de grupo y entornos de dominio

En un dominio de Active Directory, la configuración de grupos locales puede ser anulada por Objetos de Directiva de grupo (GPOs). La directiva relevante se encuentra en:

Computer Configuration → Windows Settings → Security Settings →
Local Policies → User Rights Assignment → Allow log on through Remote Desktop Services

Si los usuarios no pueden conectarse a pesar de estar en el Grupo de Usuarios de Escritorio Remoto local, verifica si un GPO está restringiendo o anulando este derecho a nivel de dominio.

RDP a través de una conexión segura

Exponer el puerto 3389 directamente a internet es un riesgo de seguridad bien conocido. Los atacantes escanean activamente en busca de puertos RDP abiertos. Considera estas medidas de refuerzo:

• Cambia el puerto RDP predeterminado de 3389 a un puerto no estándar.
• Usa una VPN para tunelizar el tráfico RDP en lugar de exponerlo públicamente.
• Implementa una Puerta de enlace RDP para intermediar y autenticar las conexiones antes de que lleguen a la máquina de destino.
• Habilita Políticas de bloqueo de cuentas para limitar los intentos de fuerza bruta.

> ¿Alojas tu propio servidor? Si ejecutas Windows en un VPS con cPanel o un Servidor Dedicado administrado, la infraestructura de AlexHost incluye protección DDoS y firewall a nivel de red que añade una importante primera línea de defensa alrededor de tus endpoints RDP.

Proteger aún más tu entorno de servidor

La configuración de Escritorio Remoto es solo una capa de una postura de seguridad integral. Si ejecutas servicios críticos para el negocio en tu servidor, considera complementar el refuerzo de RDP con:

• Un Certificado SSL válido para cualquier servicio web en el mismo host.
• Un Registro de dominio adecuado y configuración DNS para que tu servidor sea accesible mediante un nombre de host de confianza en lugar de una IP sin procesar.
• Alojamiento de correo electrónico separado de tu servidor principal para reducir la superficie de ataque.

Solución de problemas comunes de RDP

Conclusión

Configurar el Grupo de Usuarios de Escritorio Remoto de Windows es una habilidad fundamental para cualquier administrador de sistemas. Cuando se hace correctamente, te brinda un control preciso y detallado sobre quién puede acceder a una máquina de forma remota, sin entregar credenciales de administrador innecesariamente.

Para recapitular los pasos clave:

1. Habilitar Escritorio Remoto en Propiedades del sistema y configurar NLA de forma adecuada.
2. Agregar usuarios al Grupo de Usuarios de Escritorio Remoto mediante Administración de equipos, PowerShell o el acceso directo de Propiedades del sistema.
3. Verificar el acceso probando una conexión con la cuenta de usuario recién agregada.
4. Gestionar el acceso de forma continua: elimina a los usuarios que ya no necesitan acceso y audita la membresía del grupo regularmente.

Escritorio Remoto es una herramienta indispensable para la administración remota, el soporte de TI y la administración de servidores. Pero como cualquier herramienta poderosa, requiere una configuración cuidadosa y una supervisión continua para mantenerse segura.

Ya sea que administres una sola estación de trabajo o toda una infraestructura de servidores VPS y máquinas dedicadas, estos principios se aplican de forma universal. Desarrolla buenos hábitos ahora y tu configuración de acceso remoto será productiva y segura a largo plazo.