Buenas a todos!

Otra de esas ventajas de la utilización de un directorio activo basado en Windows 2008 es el uso de las políticas de password o PSO (Password Settings Object). Este sistema de gestión de password nos permite una gestión granular de las claves de usuario, definiendo según nos interese, por grupos de usuarios o por usuarios, distintos modelos de gestión de password.
Nos puede interesar por ejemplo que los administradores del dominio tengan que cambiar sus password cada 2 semanas y que su clave sea robusta, mientras que a los usuarios de dirección no se les fuerza a cambiarla nunca porque son “jefes” y es mejor no enfadarlos, por último, el resto de usuarios tendrán una contraseña robusta y que cambiarla cada 6 meses. Pues bien, para esto sirve el sistema que vamos a repasar ahora.
Una cosa que hay que tener en cuenta es que Microsoft recomienda no usar más de 10 grupos de password distintos para no aumentar la complejidad de la explotación, pero que en teoría no hay límite para la creación de grupos.
A cada política de password se le va a aplicar un orden de precedencia, este marca en que orden se aplican las PSO. Tendremos en cuenta que pueden existir varias políticas de contraseñas para un mismo usuario pero se aplicará el que tenga un orden de precedencia menor. Además, si tenemos una política de grupo y otra de usuario, prevalece siempre la del usuario, aunque esta no sea la más restrictiva.
Para implantar las PSO deberemos seguir el siguiente orden:
          1º) Identificar los grupos de usuarios.
          2º) Diseñar una política de password para cada uno de los grupos
(pueden crearse menos políticas que grupos y asociar varios grupos a una política).
          3º) Crear grupos para asociar esos usuarios.
          4º) Crear las PSO que cumplan con las políticas del punto “2”.
          5º) Aplicar las PSO a los grupos.
A continuación vamos a ver cómo hacer un proceso de implantación de las PSO paso a paso.
Lo primero que haremos es cargar el “Editor ADSI”. Para ello accedemos a “Inicio > Herramientas Administrativas > Editor ADSI”.
Conectamos contra el servidor que hace las veces de DC. Para ello hacemos clic en el botón derecho en el “Editor ADSI” y seleccionamos “Conectar a…”.

Una vez conectados al dominio desplegamos el árbol hasta llegar al PSC (Password Setting Container) que se encuentra en “DC = XXXXXX > CN = System > Password Setting Container”.

Una vez hecho esto, dentro de la rama hacemos clic en el botón derecho y seleccionamos “Nuevo > Objeto…”.

Seleccionamos la clase de “msDS-PasswordSettings”.

Para crear el objeto le daremos el nombre que prefiramos.

Asignamos el número de precedencia de la política de password. Cuanto más bajo sea este número mayor prioridad tendrá.

En la opción “msDS-PasswordReversibleEncryptionEnabled” seleccionamos el valor “FALSE” por razones obvias de seguridad.
Declaramos el historial de passwords con el que comparará la nueva clave.

Seleccionaremos si queremos que se habilite la complejidad de contraseñas para que le obligue al usuario a ir más allá de la contraseña “patata”.

Marcamos la longitud mínima de la password.

Marcamos la vigencia mínima de la password. Es importante tener en cuenta que las password se gestionan en valores numéricos con el siguiente formato:
                            Días : Horas : Minutos : Segundos
Ejemplo:
Para tener una password con una vigencia de 25 días 4 horas y 7 minutos.
25:04:07:00
A continuación declaramos la duración máxima de la clave. Esta sigue los mismos preceptos que el anterior valor.
Marcamos el número de intentos antes de bloquear la cuenta.

Declaramos el tiempo que se nuestra la ventana de bloqueo de cuenta de usuario.

Damos el tiempo que dura la cuenta bloqueada antes de que el usuario pueda intentarlo de nuevo.

Por último, tenemos la opción de seleccionar más atributos (os dejo a vosotros las pruebas) o dar a “Finalizar” para que se cree el nuevo objeto.  
En este momento ya tendremos el nuevo objeto creado.

Para ver las propiedades avanzadas de los objetos debemos activarlo, para ello accedemos a “Ver” y seleccionamos “Características avanzadas”. 

Si hacemos doble clic sobre el o mostramos las propiedades veremos una ventana en la que podremos ver todos los valores configurados.  

Para asignarla a un grupo, nos posicionamos sobre el valor “AppliesTo” y hacemos clic en “Editar”.

A continuación seleccionamos la opción de agregar una cuenta o también podríamos asignarla a un DN.

Seleccionamos a quien lo queremos aplicar.  

Y con esto ya estaría vinculado al usuario o al grupo de usuarios que tendrían que cumplir con las nuevas directrices.  

Bueno, con esto ya os habréis dado una idea global de cómo se trabaja con las PSO, para tener una visión mucho más profunda os recomiendo que os miréis este enlace:

Un saludo!

Por jioller

Un comentario en «Gestionando contraseñas de manera granular en W 2008»
  1. Buenas tardes,

    Tengo un problema, aqui nunca se pedia cambio de contraseña y cuando aplico la politica como se setio para que pida cambio de contraseña cada 30 dias, los que no la hallan cambiado hace mas de 30 dias se les bloquea el usuario sin que salga ninguna advertencia o pida el cambio de la misma.

    Que puedo hacer en este caso?

    Gracias,

    Miguel B.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *