Un administrador no puede iniciar sesión localmente en Windows SBS 2003

Síntomas

Cuando intenta utilizar la cuenta de administrador integrada o una cuenta que sea miembro del grupo Administradores para iniciar sesión localmente en un equipo que está ejecutando Microsoft Windows Small Business Server 2003 (Windows SBS), recibirá el siguiente mensaje de error:
Las directivas locales de este sistema no le permiten iniciar una sesión interactiva.
Sin embargo, si intenta iniciar sesión en el equipo de Windows SBS desde una estación de trabajo remota o mediante una sesión de conexión a Escritorio remoto, puede iniciar sesión correctamente.

Solución

Para resolver este problema, quite la cuenta Administrador del grupo de manera remota y desde el grupo Usuarios avanzados de dominio. Asimismo, quite cualquier grupo que contenga la cuenta de administrador desde el grupo de manera remota y el grupo Usuarios avanzados de dominio.


Puede realizar este cambio, realice una de las siguientes acciones:
  • Utilizar una conexión de escritorio remoto para conectar con el equipo de Windows SBS.
  • Instale el paquete de herramientas de administración de Windows Server 2003 (Adminpak.msi) en un equipo que ejecuta Windows XP Professional.

Para obtener más información acerca de Windows Server Administration Tools Pack, consulte cómo utilizar el paquete de herramientas de administración para administrar de forma remota equipos que ejecutan Windows Server 2003, Windows XP o Windows 2000.


Para quitar a miembros del grupo de manera remota y el grupo Usuarios avanzados de dominio, siga estos pasos:
  1. Después de conectarse al equipo que ejecuta Windows SBS mediante una conexión de escritorio remoto o mediante el paquete de herramientas de administración de Windows Server, haga clic en Inicio, seleccione Herramientas administrativasy, a continuación, haga clic en Active Directory Users and Computers.
  2. Expanda el objeto de dominio, expanda miempresay, a continuación, haga clic en Grupos de seguridad.

    Nota: En esta captura de pantalla de ejemplo, el objeto de dominio es "contoso.local." Su objeto de dominio será el dominio.local, donde dominio es el nombre de su dominio.

  3. Haga doble clic en Operadores remotoy, a continuación, haga clic en la ficha miembros .


    Nota: El grupo Usuarios avanzados de dominio siempre aparece en la lista de miembros. Aunque esta captura de pantalla no mostrar a otros miembros, la pantalla puede mostrar otros grupos o cuentas de usuario en la lista. Al quitar los grupos o cuentas de usuario de la lista de miembros, no quite el grupo Usuarios avanzados de dominio.

  4. Haga clic en la cuenta de usuario o el grupo que desea quitar, haga clic en Quitary, a continuación, haga clic en para confirmar la eliminación.
  5. Repita el paso 4 para cada cuenta o grupo que desea quitar y, cuando haya terminado, haga clic en Aceptar.
  6. En la lista de Grupos de seguridad , haga doble clic en Usuarios avanzados de dominio.
  7. Haga clic en la ficha miembros .


    Nota: Sólo la plantilla de usuarios avanzados y cuentas de usuario que se aplica la plantilla de usuarios avanzados deben aparecer en la lista de miembros. No quite la plantilla de usuario avanzado o las cuentas de usuario que tienen la plantilla de usuarios avanzados.

    Importante: Cuando se aplica la plantilla de usuarios avanzados a una cuenta de usuario, esa cuenta de usuario se denegó específicamente el acceso para iniciar sesión en el equipo Windows Small Business Server 2003 desde la consola local. Por lo tanto, no aplicar esta plantilla a una cuenta de administrador. Para obtener más información acerca de cómo aplicar plantillas a cuentas de usuario, vea el tema "Administrar usuarios y grupos" en la Ayuda de Windows Small Business Server y la información.

  8. Haga clic en un grupo o la cuenta que desea quitar, haga clic en Quitary, a continuación, haga clic en para confirmar la eliminación. En particular, asegúrese de que quite la cuenta Administrador o cualquier grupo que pueda contener la cuenta de administrador.

    Nota: A veces, la cuenta de administrador puede convertirse en un miembro del grupo de manera remota o el grupo Usuarios avanzados de dominio medianteanidamiento de grupos. Por ejemplo, la cuenta de administrador integrada es automáticamente un miembro del grupo usuarios móviles. Por lo tanto, si agrega el grupo de usuarios móviles como miembro del grupo Operadores de remoto, la cuenta de administrador se convierte automáticamente en miembro del grupo Operadores de remoto porque el grupo de usuarios móviles está anidada en el grupo de manera remota.

    De forma predeterminada, el Administrador integrado en Windows Small Business Server es un miembro de los grupos siguientes:
    • Administradores
    • Administradores de dominio
    • Usuarios del dominio
    • Administradores de empresa
    • Propietarios del creador de directivas de grupo
    • Usuarios móviles
    • Administradores de esquema
    Para ver qué grupos de una cuenta de administrador es un miembro de, siga estos pasos:
    1. En usuarios de Active Directory y equipos, haga clic en usuarios.

      Nota: Asegúrese de hacer clic en la carpeta de usuarios en el contenedor de dominio y no en el contenedor de miempresa.


    2. Haga doble clic en Administrador.
    3. Haga clic en la ficha Miembro de .


    4. Haga doble clic en los grupos que aparecen en la ficha Miembro de para abrir sus propiedades. Si la configuración de pertenencia a grupo en el servidor es muy diferente de los predeterminados, asegúrese de que los grupos que contienen la cuenta de usuario no están anidados en otros grupos.
  9. Cuando haya terminado de cambiar la pertenencia al grupo, haga clic en Aceptar.

Más información

En Windows Small Business Server 2003, la configuración de directiva "Denegar inicio de sesión localmente" se aplica al grupo de manera remota en el objeto de directiva de predeterminado dominio controladores de grupo. Esta configuración de directiva también se aplica al grupo de usuarios avanzados de dominio porque el grupo Usuarios avanzados de dominio es miembro del grupo de manera remota. Dado que un permiso Denegar reemplaza un permiso permitido, esta configuración de directiva impide que los usuarios inicien sesión en los controladores de dominio en el dominio, incluso si se aplica la directiva "Permitir iniciar sesión localmente" a los mismos usuarios.

Para conceder a un usuario derechos para realizar tareas administrativas a través de una conexión de escritorio remoto en el equipo Windows Small Business Server 2003, aplique la plantilla de usuarios avanzados a esa cuenta de usuario. Puede aplicar esta plantilla al crear la cuenta de usuario o al ejecutar al Asistente para cambiar permisos de usuario.

 

Cuando se produce este problema, un suceso similar al siguiente puede aparecer en el registro de seguridad en el evento Visor:
Propiedades

Id. de artículo: 841188 - Última revisión: 17 ene. 2017 - Revisión: 1

Comentarios