windows server

Configuraciones de seguridad iniciales: Manejo de usuarios en Windows Server 2025

Cómo crear un usuario administrativo, habilitar RDP de forma segura y desactivar la cuenta Administrator en Windows Server 2025 — pasos prácticos desde PowerShell.

Mauro Mejia V

3 min read
Seguridad inicial Windows Server
Photo by Salah Ait Mokhtar / Unsplash

Continuando con la serie sobre mi homelab, quiero compartir un procedimiento que realizo siempre al desplegar un servidor: definir correctamente las cuentas administrativas y controlar el acceso remoto. Aunque muchos usuarios se enfocan en configuraciones avanzadas, para mí la disciplina en lo básico —quién administra y cómo accede— marca la diferencia en seguridad operativa.

En esta entrada veremos cómo crear una cuenta administrativa nueva desde PowerShell, habilitarle acceso RDP y, opcionalmente, deshabilitar o bloquear el acceso por RDP de la cuenta Administrator. El enfoque es técnico y directo; asumo que el lector está cómodo con PowerShell y con conceptos básicos de administración de Windows Server.

Requisitos previos

  • Ejecutar PowerShell como administrador.
  • Conocer el nombre de la cuenta que vas a crear y tener una contraseña segura preparada.
  • Tener acceso local al servidor (o una sesión administrativa previa) para realizar cambios en las políticas locales si es necesario.

Crear un nuevo usuario con permisos administrativos

Crear un usuario dedicado para tareas administrativas evita depender de la cuenta Administrator y facilita el seguimiento y la auditoría.

1. Crear el usuario

New-LocalUser -Name "NuevoAdmin" -Password (Read-Host -AsSecureString "Ingresa la contraseña") -FullName "Administrador Nuevo" -Description "Cuenta administrativa segura"

Nota: Read-Host -AsSecureString solicita la contraseña de forma interactiva como SecureString. Si automatizas este paso en un script, considera mecanismos seguros para la gestión de credenciales.

2. Agregar al grupo de administradores

Add-LocalGroupMember -Group "Administrators" -Member "NuevoAdmin"

3. Verificar la creación y membresía

# Confirmar que el usuario fue creado
Get-LocalUser -Name "NuevoAdmin"

# Comprobar que pertenece al grupo Administrators
Get-LocalGroupMember -Group "Administrators" | Where-Object { $_.Name -eq "NuevoAdmin" }

Habilitar acceso RDP para el nuevo administrador

Si vas a administrar el servidor de forma remota, asigna al usuario el permiso para iniciar sesión por RDP.

1. Agregar al grupo "Remote Desktop Users"

Add-LocalGroupMember -Group "Remote Desktop Users" -Member "NuevoAdmin"

Esto permite que NuevoAdmin intente iniciar sesión a través de Remote Desktop.

2. Verificar derechos de inicio de sesión remoto (paso manual recomendado)

La pertenencia al grupo Remote Desktop Users suele ser suficiente, pero revisa la política local de derechos de acceso para asegurarte:

  • Abre secpol.msc.
  • Navega a Local Policies > User Rights Assignment.
  • Revisa Allow log on through Remote Desktop Services y confirma que Remote Desktop Users y/o NuevoAdmin estén listados.

Consejo: en entornos estrictos podrías restringir la política para permitir únicamente usuarios específicos en lugar del grupo genérico.

Bloquear acceso RDP al usuario Administrator

Para reducir superficie de ataque, evita que la cuenta integrada Administrator pueda iniciar sesión por RDP.

Pasos (interfaz gráfica / política local)

  1. Abre secpol.msc.
  2. Ve a Local Policies > User Rights Assignment.
  3. Abre Allow log on through Remote Desktop Services.
  4. Si Administrator aparece listado explícitamente, elimínalo. Asegúrate de que tu nueva cuenta administrativa esté presente antes de aplicar cambios.

Importante: si eliminas el acceso del grupo Administrators por error, podrías bloquearte. Asegúrate siempre de tener al menos una cuenta con acceso remoto funcional.

(Opcional) Deshabilitar completamente la cuenta Administrator

Si prefieres minimizar riesgos y no necesitas la cuenta integrada, puedes deshabilitarla temporalmente.

Disable-LocalUser -Name "Administrator"

Para volver a habilitarla:

Enable-LocalUser -Name "Administrator"

Verificar estado:

Get-LocalUser -Name "Administrator"

Comprobaciones y buenas prácticas rápidas

  • Asegúrate de contar con al menos una cuenta administrativa activa y con acceso funcional antes de deshabilitar Administrator.
  • Utiliza contraseñas complejas o, preferible, habilita Autenticación multifactor (MFA) en el punto de acceso remoto (si tu infraestructura lo soporta).
  • Registra cambios importantes en un log de cambios de tu homelab (qué usuario creaste, cuándo, qué modificaciones a políticas realizaste).
  • Evita añadir cuentas innecesarias al grupo Administrators. Prefiere el principio de menor privilegio.

Reflexión final

En varias instalaciones iniciales he visto que la seguridad falla por detalles simples: dejar la cuenta integrada en uso, conceder acceso genérico al RDP o no verificar qué usuarios tienen derechos. Crear un usuario administrativo específico y controlar su acceso remoto es un pequeño esfuerzo inicial que aporta mucha seguridad operativa.

En mi homelab, estos pasos forman parte del checklist de post-instalación: sirven para ordenar la administración, reducir riesgos y —quizá lo más valioso— enseñarme a mantener disciplina. Si gestionas servidores con frecuencia, hazte este hábito: te ahorrará problemas y te dará mayor confianza para avanzar con configuraciones más complejas.