none
Politica Bloque de cuenta

    Question

  •  

    Saludos.

     

    Resumesn

    Se necesita aplicar la siguiente politica a la OU servidores:

    Nombre de la Politica Certifica Servidores  

    Computer Configuration   /  Windows Settings  / Accoun Policies

               Account lockout duration                      30 minutes

               Account lockout trheshold                    3   invalid logon attempts

               Reset account lockout counter after      30 minutes

     

    La ¨politica  Default Domain Policy por default  aplica de la siguiente forma

    Computer Configuration   /  Windows Settings  / Accoun Policies

               Account lockout duration                      Not Defined

               Account lockout trheshold                    0   invalid logon attempts

               Reset account lockout counter after       Not Definet

     

    Por lo que al aplicar  la politica Defautl Doamin Policy a la OU Servidores es de mayor prioridad que la Politica Certifica Servidores, esto ocasiona que no alique la politica Certifica Servidores

     

    A la politca Certifica Servidores le he aplicado la parte de Enforced para que ignore la herencia de la politica Default Domain Policy pero esta aun se sigue aplicando como prioritaria.

     

    La solucion que he aplicado es editando la politica de Defaul Domain Policy, esta quedo de la siguiente forma:

    Computer Configuration   /  Windows Settings  / Accoun Policies

               Account lockout duration                      Not Defined

               Account lockout trheshold                    Not Defined

               Reset account lockout counter after       Not Defined

    Por lo que al no estar definida la politica de bloqueo de cuenta la politica de Certifica Servidores ya aplico.

     

     

    La pregunta es, este cambio no afecta a los demas equipos en el dominio, es decir si cambie el valor de

    Account lockout trheshold      0   invalid logon attempts    a      NOT DEFINED   

     

    que puede pasar en los demas equipos al no estar definida esta politca en Defaul Domain Policy.

     

     

    De antemano gracias por su apoyo.

     

     

     

     

     

     

     

     

     

     

     

    Monday, December 22, 2008 5:07 PM

Answers

  • Las politicas de Password son solo para uso a nivel de dominio . No es posible tener dos politicas de password diferentes  . Recien en Windows 2008 se permite una politica de password granular pudiendo tener mas de una en el dominio.

     

    La otra solucion es hacer dos dominios distintos y hacer relaciones de confianza entre ambos si es que necesitas distintas politicas de password.

     

    AD DS: Fine-Grained Password Policies

    http://technet.microsoft.com/en-us/library/cc770394.aspx

     

     

    Slds
    Sebastian del Rio

    Monday, December 22, 2008 6:22 PM

All replies

  • Las politicas de Password son solo para uso a nivel de dominio . No es posible tener dos politicas de password diferentes  . Recien en Windows 2008 se permite una politica de password granular pudiendo tener mas de una en el dominio.

     

    La otra solucion es hacer dos dominios distintos y hacer relaciones de confianza entre ambos si es que necesitas distintas politicas de password.

     

    AD DS: Fine-Grained Password Policies

    http://technet.microsoft.com/en-us/library/cc770394.aspx

     

     

    Slds
    Sebastian del Rio

    Monday, December 22, 2008 6:22 PM
  • Muchas Gracias Sebastian por tu respuesta.

     

    Estare aplicando la segunda opcion ya que aun no tenemos definido cuando migrar a Windows 2008 .

     

    Por otro lado por el momento deje deshabilitada la parte de Bloqueo de cuenta desde nivel Default Domain Policy, para tener protegidos los servidores.

    Computer Configuration   /  Windows Settings  / Accoun Policies

               Account lockout duration                      Not Defined

               Account lockout trheshold                    Not Defined

               Reset account lockout counter after       Not Defined

     

    Revise varios equipos (PCs de Mortales) del dominio y por default traen la configuracion anterior de Default Domain Policy

    Computer Configuration   /  Windows Settings  / Accoun Policies a un cuando esta ya no esta definida, aplica la local con lo siguiente

               Account lockout duration                      Not Defined

               Account lockout trheshold                    0   invalid logon attempts

               Reset account lockout counter after       Not Definet

     

    Es decir la politica que viene por default en el Dominio  es la misma por default en los equipos aun antes de meterlos a dominio, por lo que aplica como si estuviera aplicada a nivel dominio.

     

    Computer Configuration   /  Windows Settings  / Accoun Policies

               Account lockout duration                      Not Defined

               Account lockout trheshold                    0   invalid logon attempts

               Reset account lockout counter after       Not Definet

     

    Se podria decir que el unico inconveniente en este caso es que el usuario tiene la pobilida de cambiar localmente la configuracion de esta politica, pero si la cambia a un asi incrementaria su nivel de seguridad y en el peor de los casos quedaria como si le estuviera aplicando a nivel Dominio.

     

     

    Gracias por tu apoyo Sebastian.

     

     

     

     

     

     

     

     

    Monday, December 22, 2008 11:27 PM