Guía de tecnologías

Ver quién está conectado en Windows Server

7 min read Administración Actualizado 26 Sep 2025
Ver quién está conectado en Windows Server
Ver quién está conectado en Windows Server

Panel de inicio de sesión en Windows Server mostrando sesiones activas

Saber quién está conectado a un Windows Server no es solo curiosidad: es esencial para administración, auditoría y seguridad. A continuación verás métodos confiables integrados en el sistema, herramientas gratuitas y buenas prácticas para identificar, verificar y responder ante sesiones activas.

Índice

  • Cómo comprobar quién está conectado en Windows Server
      1. Ver sesiones remotas con PowerShell (net session)
      1. Listar inicios de sesión locales con PsLoggedOn
      1. Usar Administrador de tareas (para RDS o acceso directo)
    • Comandos alternativos: quser, qwinsta, query user
    • Revisar Event Viewer para auditoría (eventos 4624/4634)
  • Por qué comprobar usuarios conectados
  • Mini‑metodología rápida
  • Lista de verificación por rol
  • Playbook de incidente: acceso no autorizado
  • Criterios de aceptación
  • Glosario rápido
  • Resumen
  • Preguntas frecuentes (FAQ)

Cómo comprobar quién está conectado en Windows Server

A continuación se describen métodos prácticos y cuándo usar cada uno.

1. Ver sesiones remotas con PowerShell (net session)

  1. Abre PowerShell como administrador (clic derecho sobre PowerShell > Ejecutar como administrador).
  2. Escribe el siguiente comando y presiona Enter:

net session

Qué muestra y limitaciones:

  • net session lista conexiones SMB/compartidas y muestra el nombre de usuario y la dirección IP del cliente.
  • No lista sesiones RDP ni procesos que tengan abiertos archivos en el equipo local si no usan recursos compartidos.
  • Es rápido y útil para detectar quién está accediendo a archivos o carpetas compartidas.

Nota importante: necesitas privilegios administrativos para ejecutar net session.

2. Listar inicios de sesión locales con PsLoggedOn

PsLoggedOn (parte de PsTools de Sysinternals) muestra quién está conectado localmente y qué usuarios acceden a recursos sin una sesión interactiva completa.

Pasos:

  1. Descarga PsTools de la web oficial de Sysinternals y extrae el ZIP.
  2. Copia psloggedon.exe a una carpeta, por ejemplo: C:\pstools.
  3. Abre el Símbolo del sistema como administrador.
  4. Ve a la carpeta de PsTools:

cd C:\pstools

  1. Ejecuta:

psloggedon

Opciones útiles:

  • Comprobar un servidor remoto:

psloggedon \\NombreDelServidor

  • Buscar un usuario específico en la red:

psloggedon nombredeusuario

Notas:

  • PsLoggedOn requiere permisos adecuados; en entornos con políticas estrictas puede necesitar credenciales de administrador en el equipo remoto.
  • Muestra cuentas locales y usuarios que han abierto recursos compartidos.

3. Usar Administrador de tareas (para RDS o acceso directo)

  1. En el servidor con acceso directo o en una sesión RDP, pulsa Ctrl + Shift + Esc para abrir el Administrador de tareas.
  2. Ve a la pestaña “Usuarios”.
  3. Allí verás cuentas conectadas, estado de la sesión (Activa/Desconectada) y consumo de recursos por sesión.

Esto resulta especialmente útil en servidores con Remote Desktop Services (RDS) para identificar sesiones activas, desconectadas o bloqueadas.

Comandos alternativos: quser, qwinsta, query user

  • quser o query user muestra sesiones de usuario en la máquina local o remota (ejemplo: quser /server:NombreDelServidor).
  • qwinsta (query session) muestra lista de sesiones RDP, ID de sesión y estado.

Estos comandos son rápidos y no requieren herramientas externas; funcionan bien para administración remota a través de CMD o PowerShell.

Revisar Event Viewer para auditoría (eventos 4624/4634)

Para un registro histórico y auditoría:

  1. Abre Visor de eventos (Event Viewer) > Registros de Windows > Seguridad.
  2. Busca eventos de inicio de sesión: ID 4624 (logon) y cierre de sesión: ID 4634.
  3. Los eventos contienen información sobre la cuenta, el tipo de inicio de sesión y el origen (dirección IP o nombre de equipo).

Nota: la auditoría de inicio de sesión debe estar habilitada en las directivas de seguridad para registrar todos los eventos relevantes.

Por qué podrías necesitar comprobar usuarios conectados

  • Detectar accesos no autorizados y sesiones sospechosas.
  • Solucionar bloqueos de archivos y problemas de acceso a recursos compartidos.
  • Identificar sesiones ociosas o “fantasmas” que consumen licencias RDS.
  • Reunir evidencia para auditoría o cumplimiento normativo.

Mini‑metodología rápida

  1. Identificar: usa net session, quser/ qwinsta y PsLoggedOn.
  2. Corroborar: revisa Event Viewer para eventos de inicio de sesión y origen.
  3. Contener: desconecta la sesión sospechosa (Administrar sesiones RDS o taskkill si aplica).
  4. Registrar: toma capturas de pantalla, exporta logs y anota marcas de tiempo.
  5. Remediar: cambia contraseñas, revoca sesiones, aplica bloqueo de IP si procede.

Lista de verificación por rol

Administrador de sistema:

  • Ejecutar net session y quser.
  • Revisar Event Viewer para eventos 4624/4634.
  • Forzar cierre de sesiones sospechosas y recopilar logs.

Soporte/Helpdesk:

  • Usar PsLoggedOn y Administrador de tareas para confirmar sesiones del usuario.
  • Solicitar detalles al usuario (hora, equipo) y escalar si hay discrepancias.

Auditoría/Seguridad:

  • Correlacionar eventos de seguridad con registros de red.
  • Verificar políticas de auditoría y retención de logs.

Playbook de incidente: acceso no autorizado

  1. Confirmación: identificar la cuenta y la sesión (net session, quser, PsLoggedOn).
  2. Contención inmediata: desconectar sesión o bloquear cuenta.
  3. Recolección de pruebas: exportar eventos de seguridad, capturas y registros de red.
  4. Análisis: determinar vector de acceso y alcance.
  5. Remediación: cambiar credenciales, aplicar parches, ajustar firewall y reglas de acceso.
  6. Comunicación: notificar equipos relevantes y, si aplica, cumplir requisitos legales/regulatorios.

Importante: evita reiniciar el servidor antes de recopilar evidencias si se trata de un incidente de seguridad.

Criterios de aceptación

  • Los comandos listan usuarios con ID de sesión o dirección IP cuando corresponde.
  • Event Viewer muestra eventos de inicio de sesión correlacionables con la sesión identificada.
  • Si se desconecta una sesión, el Administrador de tareas o quser ya no muestran esa sesión.

Glosario rápido

  • RDS: Remote Desktop Services, servicio para múltiples sesiones remotas.
  • SMB: Protocolo de compartición de archivos usado por Windows para recursos compartidos.
  • Event ID 4624: Evento de inicio de sesión exitoso en el registro de seguridad.

Buenas prácticas y privacidad

  • Mantén la auditoría de seguridad activada para trazabilidad.
  • Limita quién puede ejecutar herramientas administrativas (principio de privilegios mínimos).
  • Registra y protege los logs por si son necesarios en investigaciones o cumplimiento legal.
  • Al tratar datos personales, sigue la normativa aplicable (por ejemplo, GDPR) sobre acceso y retención de registros.

Resumen

Consultar quién está conectado en Windows Server puede resolverse con comandos nativos (net session, quser, qwinsta), herramientas Sysinternals como PsLoggedOn y revisando Event Viewer para auditoría. Usa la mini‑metodología para validar hallazgos y sigue el playbook si detectas accesos no autorizados.

Preguntas frecuentes

¿Cómo ver quién está conectado de forma remota? Ejecuta net session en PowerShell elevado para ver conexiones SMB y la IP de origen. Para sesiones RDP, usa quser o la pestaña Usuarios del Administrador de tareas.

¿Qué herramienta muestra inicios de sesión locales? PsLoggedOn de Sysinternals muestra usuarios locales y usuarios que han abierto recursos compartidos en el servidor.

¿Puedo usar el Administrador de tareas para comprobar inicios de sesión? Sí. Abre Administrador de tareas y revisa la pestaña Usuarios para ver sesiones activas y desconectadas.

¿Registra Windows Server todos los intentos de inicio de sesión? Sí, si la auditoría está habilitada. Revisa Visor de eventos > Seguridad para eventos como 4624 (inicio) y 4634 (cierre).

¿Es seguro usar PsLoggedOn? Sí. PsLoggedOn es una utilidad oficial de Sysinternals (Microsoft) y es ampliamente utilizada por administradores de sistemas.

Resumen final: para identificar quién está conectado combina herramientas: net session para SMB, PsLoggedOn para inicios locales, quser/qwinsta para sesiones RDP y Event Viewer para auditoría. Implementa el playbook si encuentras accesos indeseados y protege tus registros y procesos administrativos.

Compartir: X/Twitter Facebook LinkedIn Telegram
Autor
Edición

Materiales similares

Recuperar fotos eliminadas de iCloud — guía rápida
Recuperación de datos

Recuperar fotos eliminadas de iCloud — guía rápida

Kickstart para CentOS/Fedora — instalación automatizada
Linux

Kickstart para CentOS/Fedora — instalación automatizada

Ocultar puntuación en Snapchat — guía rápida
Redes sociales

Ocultar puntuación en Snapchat — guía rápida

Cómo compartir pantalla en Microsoft Teams
Productividad

Cómo compartir pantalla en Microsoft Teams

Ver quién está conectado en Windows Server
Administración

Ver quién está conectado en Windows Server

Instalar APK en Android: guía segura
Android

Instalar APK en Android: guía segura