Habilitar Escritorio remoto en múltiples equipos se ha convertido en un requisito habitual en muchos lugares de trabajo. Ir de un escritorio a otro para activarlo puede estar bien para unas pocas máquinas, pero cuando gestionas decenas, o incluso cientos, deja de ser práctico. Ahí es donde entra en juego la Directiva de grupo. Integrada en Windows Server, ofrece a los administradores una forma centralizada de activar el Escritorio remoto y mantener la coherencia de la configuración en toda la red. En este artículo, explicaré cómo funciona y por qué suele ser la forma más eficiente de administrar el acceso remoto.

Aquí tienes un resumen rápido:

Abre Administración de directivas de grupo
Crea y edita un nuevo GPO
Habilita Escritorio remoto en Conexiones
Abre la regla del firewall
Aplica y prueba

Ahora desglosémoslo en detalle.

Tabla de contenidos

Antes de comenzar, asegúrate de marcar estas casillas:

Active Directory implementado: La Directiva de Grupo solo funciona en un entorno de AD, por lo que tus PC deben estar unidas al dominio.
Permisos de administrador: Necesitarás privilegios administrativos para crear o editar Objetos de Directiva de Grupo (GPOs).
Reglas de firewall: Escritorio remoto requiere que el firewall permita el tráfico RDP , no te preocupes, más adelante veremos cómo aplicar esto.

Una vez que tengas todo eso resuelto, estarás listo para configurar.

Paso 1: Abra la Administración de directivas de grupo

En su controlador de dominio (el servidor que administra las directivas de red):

Presione Win + R, escriba gpmc.msc y presione Enter.
Si eso no funciona, agregue la característica Administración de directivas de grupo en Administrador del servidor → Agregar roles y características.

Expanda el árbol de su dominio en el panel izquierdo.

Consejo de experto: Prueba primero. No lo despliegues en todo tu dominio hasta que lo hayas probado en una Unidad Organizativa (OU) de prueba con solo un par de PCs. Solucionar problemas en un entorno de pruebas es mucho más fácil que arreglar decenas de equipos.

Paso 2: Crear o editar un GPO

Decide dónde deseas que se aplique esta directiva:

Haga clic con el botón derecho en el dominio o en la OU.
Seleccione Crear un GPO en este dominio y vincularlo aquí…
Dale un nombre claro, como Habilitar Escritorio remoto.
Una vez que aparezca, haz clic con el botón derecho sobre él y elige Editar.

Paso 3: Activar el Escritorio remoto

Dentro del Editor de directivas de grupo, vaya a:
Configuración del equipo → Plantillas administrativas → Componentes de Windows → Servicios de Escritorio remoto → Host de sesión de Escritorio remoto → Conexiones
Haga doble clic en Permitir a los usuarios conectarse de forma remota mediante los Servicios de Escritorio remoto.
Configúrelo en Habilitado y haga clic en Aceptar.

Este es el interruptor que realmente permite las conexiones RDP.

Paso 4: Asegúrate de que el cortafuegos lo permita

El Escritorio remoto no funcionará si el firewall lo bloquea. En el mismo editor de GPO, vaya a:
Configuración del equipo → Configuración de Windows → Configuración de seguridad → Firewall de Windows Defender con seguridad avanzada
En Reglas de entrada, busque Escritorio remoto – Modo de usuario (TCP-In) y configúrela como Habilitada.
Es posible que también vea una regla UDP-In para Escritorio remoto, al activarla también obtendrá el mejor rendimiento.

Paso 5: Aplicar la directiva

La Directiva de grupo se actualiza automáticamente en los equipos cliente (aproximadamente cada 90 minutos con un desfase aleatorio). Pero si la quiere de inmediato:

En el PC cliente, abra el Símbolo del sistema y ejecute:

gpupdate /force

Si todo está configurado correctamente, RDP debería estar ahora activo y listo para usarse.

Incluso cuando sigues los pasos a la perfección, algunas cosas aún pueden hacerte tropezar. Esto es con lo que me he encontrado en la práctica:

Errores de “Remote Desktop can’t connect” → Nueve de cada diez veces, es el firewall o un problema de enrutamiento de red. Verifica que se haya aplicado la regla del firewall.
Los usuarios no pueden iniciar sesión → De forma predeterminada, solo los administradores pueden iniciar sesión mediante RDP. Si quieres que los usuarios normales se conecten, añádelos al grupo Remote Desktop Users en la máquina de destino.
La GPO no se está aplicando → Ejecuta gpresult /r desde un PC cliente. Si tu GPO no aparece, comprueba si el PC está en la OU correcta y si la GPO está vinculada correctamente.

RDP es práctico, pero también es un objetivo favorito para los atacantes. He visto entornos sufrir intentos de fuerza bruta simplemente porque RDP estaba totalmente expuesto. Esto es lo que siempre recomiendo:

Habilitar la Autenticación a Nivel de Red (NLA). Obliga a autenticarse antes de que se establezca una sesión completa.
Limitar el acceso a RDP a rangos de IP de confianza si es posible.
Requerir contraseñas fuertes (e idealmente autenticación multifactor si su configuración lo admite).
Supervisar los registros de eventos en busca de intentos fallidos de inicio de sesión.

Y si los usuarios se conectan desde fuera de la oficina, considere seriamente colocar RDP detrás de una VPN. Es una capa adicional, pero compensa enormemente en términos de seguridad.

Habilitar el Escritorio remoto con la Directiva de grupo es una de esas tareas que al principio intimidan, pero que rápidamente se vuelven algo natural. Una vez que lo has hecho, nunca volverás a hacer clic manualmente en Propiedades del sistema en cada equipo.

Haz esto una vez y tendrás RDP desplegado de forma coherente en toda tu red. Nada de adivinar qué equipo está bien configurado, nada de conexiones a medias. Solo acceso limpio y fiable dondequiera que lo necesites.

Cómo habilitar el Escritorio remoto con la Directiva de grupo

Requisitos previos (Antes de comenzar)

Habilitar Escritorio remoto mediante Directiva de grupo: guía paso a paso

Consejos de solución de problemas

Mejores prácticas de seguridad (no te saltes esta parte)

Para concluir