Permitir iniciar sesión localmente: configuración de directiva de seguridadAllow log on locally - security policy setting

Se aplica a:Applies to

  • Windows 10Windows 10

Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las consideraciones de seguridad para permitir el inicio de sesión en la configuración de directiva de seguridad local.Describes the best practices, location, values, policy management, and security considerations for the Allow log on locally security policy setting.

ReferenciaReference

Esta configuración de directiva determina qué usuarios pueden iniciar una sesión interactiva en el dispositivo.This policy setting determines which users can start an interactive session on the device. Los usuarios deben tener este derecho de usuario para iniciar sesión en una sesión de Servicios de Escritorio remoto que se ejecuta en un dispositivo miembro o controlador de dominio basado en Windows.Users must have this user right to log on over a Remote Desktop Services session that is running on a Windows-based member device or domain controller.

Nota: Los usuarios que no tienen este derecho aún pueden iniciar una sesión interactiva remota en el dispositivo si tienen el derecho Permitir inicio de sesión a través de servicios de Escritorio remoto.Note: Users who do not have this right are still able to start a remote interactive session on the device if they have the Allow logon through Remote Desktop Services right.

Constante: SeInteractiveLogonRightConstant: SeInteractiveLogonRight

Valores posiblesPossible values

  • Lista definida por el usuario de cuentasUser-defined list of accounts
  • No definidoNot Defined

De forma predeterminada, los miembros de los siguientes grupos tienen este derecho en estaciones de trabajo y servidores:By default, the members of the following groups have this right on workstations and servers:

  • AdministradoresAdministrators
  • Operadores de copia de seguridadBackup Operators
  • UsuariosUsers

De forma predeterminada, los miembros de los siguientes grupos tienen este derecho en los controladores de dominio:By default, the members of the following groups have this right on domain controllers:

  • Operadores de cuentasAccount Operators
  • AdministradoresAdministrators
  • Operadores de copia de seguridadBackup Operators
  • Operadores de impresiónPrint Operators
  • Operadores de servidorServer Operators

Procedimientos recomendadosBest practices

  1. Restrinja este derecho de usuario a usuarios legítimos que deberán iniciar sesión en la consola del dispositivo.Restrict this user right to legitimate users who must log on to the console of the device.
  2. Si quita grupos predeterminados de forma selectiva, puede limitar las capacidades de los usuarios asignados a roles administrativos específicos de su organización.If you selectively remove default groups, you can limit the abilities of users who are assigned to specific administrative roles in your organization.

UbicaciónLocation

Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuarioComputer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment

Valores predeterminadosDefault values

En la tabla siguiente se enumeran los valores de directiva predeterminados reales y efectivos para las versiones admitidas más recientes de Windows.The following table lists the actual and effective default policy values for the most recent supported versions of Windows. Los valores predeterminados también se enumeran en la página de propiedades de la directiva.Default values are also listed on the policy’s property page.

Tipo de servidor o GPOServer type or GPO Valor predeterminadoDefault value
Directiva de dominio predeterminadaDefault Domain Policy No definidoNot Defined
Directiva de controlador de dominio predeterminadaDefault Domain Controller Policy Operadores de cuentasAccount Operators
AdministradoresAdministrators
Operadores de copia de seguridadBackup Operators
Operadores de impresiónPrint Operators
Operadores de servidorServer Operators
Stand-Alone configuración predeterminada del servidorStand-Alone Server Default Settings AdministradoresAdministrators
Operadores de copia de seguridadBackup Operators
UsuariosUsers
Configuración predeterminada efectiva del controlador de dominioDomain Controller Effective Default Settings Operadores de cuentasAccount Operators
AdministradoresAdministrators
Operadores de copia de seguridadBackup Operators
Operadores de impresiónPrint Operators
Operadores de servidorServer Operators
Configuración predeterminada efectiva del servidor miembroMember Server Effective Default Settings AdministradoresAdministrators
Operadores de copia de seguridadBackup Operators
UsuariosUsers
Configuración predeterminada efectiva del equipo clienteClient Computer Effective Default Settings AdministradoresAdministrators
Operadores de copia de seguridadBackup Operators
UsuariosUsers

Administración de directivasPolicy management

No es necesario reiniciar el dispositivo para implementar este cambio.Restarting the device is not required to implement this change.

Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo la próxima vez que el propietario de la cuenta inicia sesión.Any change to the user rights assignment for an account becomes effective the next time the owner of the account logs on.

La modificación de esta configuración puede afectar a la compatibilidad con clientes, servicios y aplicaciones.Modifying this setting might affect compatibility with clients, services, and applications. Tenga cuidado al quitar las cuentas de servicio que usan los componentes y los programas de los dispositivos miembros y los controladores de dominio del dominio de la directiva predeterminada del controlador de dominio.Use caution when removing service accounts that are used by components and by programs on member devices and on domain controllers in the domain from the default domain controller's policy. También debe tener cuidado al quitar usuarios o grupos de seguridad que inician sesión en la consola de dispositivos miembros del dominio o quitar cuentas de servicio definidas en la base de datos del Administrador de cuentas de seguridad (SAM) local de dispositivos miembros o de dispositivos de grupo de trabajo.Also use caution when removing users or security groups that log on to the console of member devices in the domain, or removing service accounts that are defined in the local Security Accounts Manager (SAM) database of member devices or of workgroup devices. Si desea conceder a una cuenta de usuario la capacidad de iniciar sesión localmente en un controlador de dominio, debe hacer que ese usuario sea miembro de un grupo que ya tenga el derecho de inicio de sesión permitido localmente o conceder el derecho a esa cuenta de usuario.If you want to grant a user account the ability to log on locally to a domain controller, you must make that user a member of a group that already has the Allowed logon locally system right or grant the right to that user account. Los controladores de dominio del dominio comparten el objeto de directiva de grupo (GPO) de controladores de dominio predeterminados.The domain controllers in the domain share the Default Domain Controllers Group Policy Object (GPO). Cuando concede a una cuenta el derecho Permitir inicio de sesión localmente, está permitiendo que esa cuenta inicie sesión localmente en todos los controladores de dominio del dominio.When you grant an account the Allow logon locally right, you are allowing that account to log on locally to all domain controllers in the domain. Si el grupo Usuarios aparece en la configuración Permitir inicio de sesión local para un GPO, todos los usuarios del dominio pueden iniciar sesión localmente.If the Users group is listed in the Allow log on locally setting for a GPO, all domain users can log on locally. El grupo integrado Usuarios contiene usuarios de dominio como miembro.The Users built-in group contains Domain Users as a member.

Directiva de grupoGroup Policy

La configuración de directiva de grupo se aplica a través de GPO en el siguiente orden, que sobrescribirá la configuración en el equipo local en la próxima actualización de directiva de grupo:Group Policy settings are applied through GPOs in the following order, which will overwrite settings on the local computer at the next Group Policy update:

  1. Configuración de directiva localLocal policy settings
  2. Configuración de directiva de sitioSite policy settings
  3. Configuración de directiva de dominioDomain policy settings
  4. Configuración de directiva de unidad organizativaOU policy settings

Consideraciones de seguridadSecurity considerations

En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

VulnerabilidadVulnerability

Cualquier cuenta con el derecho permitir el inicio de sesión local del usuario puede iniciar sesión en la consola del dispositivo.Any account with the Allow log on locally user right can log on to the console of the device. Si no restringe este derecho de usuario a usuarios legítimos que deben iniciar sesión en la consola del equipo, los usuarios no autorizados podrían descargar y ejecutar software malintencionado para elevar sus privilegios.If you do not restrict this user right to legitimate users who must log on to the console of the computer, unauthorized users could download and run malicious software to elevate their privileges.

ContramedidaCountermeasure

En el caso de los controladores de dominio, asigne el derecho Permitir inicio de sesión de usuario local solo al grupo Administradores.For domain controllers, assign the Allow log on locally user right only to the Administrators group. Para otros roles de servidor, puede elegir agregar operadores de copia de seguridad además de administradores.For other server roles, you may choose to add Backup Operators in addition to Administrators. Para los equipos de usuario final, también debe asignar este derecho al grupo Usuarios.For end-user computers, you should also assign this right to the Users group. Como alternativa, puede asignar grupos como Operadores de cuentas, Operadores de servidor e Invitados al registro denegar en el derecho de usuario local.Alternatively, you can assign groups such as Account Operators, Server Operators, and Guests to the Deny log on locally user right.

Impacto potencialPotential impact

Si quita estos grupos predeterminados, podría limitar las capacidades de los usuarios asignados a roles administrativos específicos en su entorno.If you remove these default groups, you could limit the abilities of users who are assigned to specific administrative roles in your environment. Si ha instalado componentes opcionales como ASP.NET o IIS, es posible que tenga que asignar el derecho Permitir inicio de sesión de usuario localmente a cuentas adicionales necesarias para esos componentes.If you have installed optional components such as ASP.NET or IIS, you may need to assign the Allow log on locally user right to additional accounts that are required by those components. IIS requiere que este derecho de usuario esté asignado a la cuenta IUSR_* < > NombreDeEquipo.*IIS requires that this user right be assigned to the IUSR_<ComputerName> account. Debe confirmar que las actividades delegadas no se ven afectadas negativamente por los cambios realizados en permitir el inicio de sesión en asignaciones de derechos de usuario local.You should confirm that delegated activities are not adversely affected by any changes that you make to the Allow log on locally user rights assignments.

Temas relacionadosRelated topics