El servicio de servicios de Terminal Server puede no se puede iniciar en un servidor que ejecuta Windows Server 2008

Síntomas

En un servidor que ejecuta Windows Server 2008, puede no se puede iniciar el servicio de servicios de Terminal Server.

Normalmente, este comportamiento se produce después de actualizar una versión anterior del sistema operativo Windows a Windows Server 2008. Por ejemplo, este comportamiento puede producirse después de actualizar Windows Server 2003 a Windows Server 2008.

Cuando se produce este comportamiento, eventos similares a los siguientes eventos se registran en el registro del sistema:

Causa

Este comportamiento se produce porque la cuenta servicio de red no se concede los siguientes derechos de usuario:
  • Ajustar cuotas de memoria para un proceso (SeIncreaseQuotaPrivilege)
  • Generar auditorías de seguridad (SeAuditPrivilege)
  • Reemplazar un token de nivel de proceso (SeAssignPrimaryTokenPrivilege)
Nota: Cualquier servicio que está configurado para iniciarse con la cuenta servicio de red puede experimentar síntomas similares.

Solución

Para resolver este comportamiento, conceda a la cuenta servicio de red los derechos de usuario que se describen en la sección "Causa".

Nota: Puede utilizar el complemento de Microsoft Management Console (MMC) de Secpol.msc para ver los derechos de usuario que están en vigor en el equipo local.

Si el servidor no es un controlador de dominio, utilice el método 1 o el método 2. Si el servidor es un controlador de dominio, utilice el método 3 o 4 del método.

Método 1: Conceder derechos de usuario en la configuración de directiva de seguridad Local

Para ello, siga estos pasos:
  1. Haga clic en Inicio, haga clic en Ejecutar, escriba Secpol.mscy, a continuación, haga clic en Aceptar.
  2. En la consola Directiva de seguridad Local , expanda Directivas localesy, a continuación, haga clic en Asignación de derechos de usuario.
  3. Haga doble clic en el derecho de usuario Ajustar cuotas de memoria para un proceso .
  4. En el cuadro de diálogo Propiedades , haga clic en Agregar usuario o grupo.
  5. En el cuadro de diálogo Seleccionar usuarios, equipos o grupos , escriba Servicio de red , en Escriba los nombres de objeto que desea seleccionary, a continuación, haga clic en Aceptar.
  6. En el cuadro de diálogo Propiedades , haga clic en Aceptar.
  7. Repita los pasos 3 a 6 para el derecho de usuario Generar auditorías de seguridad y el derecho de usuario Reemplazar un token de nivel de proceso .
  8. Haga clic en Inicio, haga clic en Ejecutar, escriba Gpupdatey, a continuación, haga clic en Aceptar.

Método 2: Conceder derechos de usuario en un objeto de directiva de grupo (GPO) que se aplica a los servidores miembro

Para ello, siga estos pasos:
  1. Haga clic en Inicio, haga clic en Ejecutar, escriba Gpmc.mscy, a continuación, haga clic en Aceptar.
  2. En Group Policy Management console, expanda bosque: nombreDeDominio, expanda dominios, expanda nombreDeDominio, expanda Objetos de directiva de grupo, haga clic en el GPO que se aplica a los servidores miembro y, a continuación, haga clic en Editar.
  3. En la consola Editor de administración de directiva de grupo , expanda Configuración del equipo, expanda directivas, expanda Configuración de Windows, expanda Configuración de seguridad, expanda Directivas localesy, a continuación, haga clic en Asignación de derechos de usuario.
  4. Haga doble clic en el derecho de usuario Ajustar cuotas de memoria para un proceso .
  5. En el cuadro de diálogo Propiedades , haga clic en Agregar usuario o grupo.
  6. En el cuadro de diálogo Agregar usuario o grupo , escriba Servicio de red con nombres de usuario y grupoy, a continuación, haga clic en Aceptar.
  7. En el cuadro de diálogo Propiedades , haga clic en Aceptar.
  8. Repita los pasos 4 a 7 para agregar la cuenta de servicio de red para el derecho de usuario Generar auditorías de seguridad y para el derecho de usuario Reemplazar un token de nivel de proceso .
  9. Haga clic en Inicio, haga clic en Ejecutar, escriba Gpupdatey, a continuación, haga clic en Aceptar.

Método 3: Conceder derechos de usuario en la configuración de directiva de grupo

Para ello, siga estos pasos:
  1. Haga clic en Inicio, haga clic en Ejecutar, escriba Gpmc.mscy, a continuación, haga clic en Aceptar.
  2. En Group Policy Management console, expanda bosque: nombreDeDominio, expanda dominios, expanda nombreDeDominio, expanda Objetos de directiva de grupo, haga clic en Default Domain Controllers Policyy, a continuación, haga clic en Editar.
  3. En la consola Editor de administración de directiva de grupo , expanda Configuración del equipo, expanda directivas, expanda Configuración de Windows, expanda Configuración de seguridad, expanda Directivas localesy, a continuación, haga clic en Asignación de derechos de usuario.
  4. Haga doble clic en el derecho de usuario Ajustar cuotas de memoria para un proceso .
  5. En el cuadro de diálogo Propiedades , haga clic en Agregar usuario o grupo.
  6. En el cuadro de diálogo Agregar usuario o grupo , escriba Servicio de red con nombres de usuario y grupoy, a continuación, haga clic en Aceptar.
  7. En el cuadro de diálogo Propiedades , haga clic en Aceptar.
  8. Repita los pasos 4 a 7 para agregar la cuenta de servicio de red para el derecho de usuario Generar auditorías de seguridad y para el derecho de usuario Reemplazar un token de nivel de proceso .
  9. Haga clic en Inicio, haga clic en Ejecutar, escriba Gpupdatey, a continuación, haga clic en Aceptar.

Método 4: Actualizar el archivo GptTmpl.inf

Para ello, siga estos pasos:
  1. En un editor de texto como el Bloc de notas, abra el archivo GptTmpl.inf.

    Nota: El archivo GptTmpl.inf está en la carpeta siguiente:
    %systemroot%\SYSVOL\domain\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit
  2. Actualizar los derechos de usuario a la siguiente configuración predeterminada:
    SeIncreaseQuotaPrivilege = *S-1-5-19,*S-1-5-20,*S-1-5-32-544
    SeAuditPrivilege = *S-1-5-19,*S-1-5-20
    SeAssignPrimaryTokenPrivilege =*S-1-5-19,*S-1-5-20
  3. Haga clic en Inicio, haga clic en Ejecutar, escriba Gpupdatey, a continuación, haga clic en Aceptar.

Estado

Este comportamiento es por diseño.

Más información

De forma predeterminada en Windows 2000 Server y en Windows Server 2003, el servicio de servicios de Terminal Server se inicia mediante la cuenta Sistema Local. En Windows Server 2008, el servicio de servicios de Terminal Server se inicia mediante la cuenta de servicio de red. Esto es para mejorar la seguridad. Si no concede a la cuenta servicio de red los derechos de usuario que se describen en la sección "Causa", no se puede iniciar el servicio de servicios de Terminal Server.

Si quita estos derechos de usuario de la cuenta NETWORK SERVICE en la directiva predeterminada de controladores de dominio, no se puede iniciar el servicio de servicios de Terminal Server en los controladores de dominio que ejecutan Windows Server 2008. Sin embargo, puede iniciar el servicio de servicios de Terminal Server en los controladores de dominio que ejecutan Windows 2000 Server o Windows Server 2003.

Para obtener más información, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:

245207 cómo determinar los significados y nombres NTRIGHTS

Identificadores de seguridad conocidos 243330 en sistemas operativos Windows

Propiedades

Id. de artículo: 946399 - Última revisión: 14 ene. 2017 - Revisión: 1

Comentarios