none
Directivas de contraseña - windows 2008

    Question

  • Buenas noches.

    Quisiera consultar sobre las directivas de contraseñas para Windows 2008. En primer lugar; es similar Windows 2003 o ha cambiado? ya que en la ayuda de technet library solo encuentro para 2003.

    Ahora si realizo lo sgte:

    Establecezco la vigencia maxima a 30 dias, la vigencia minima a 15 dias. Esto significa que despues de 15 dias el usuario podria cambiar la contraseña, no antes? y a partir de ello se cuenta nuevamente 30 dias para obligarlo?

    Sii habiltamos la complejidad, me dice que la contraseña debe contener caracteres de al menos tres de las cinco clases siguientes:

    Caracteres en mayúsculas del alfabeto inglés (A – Z)

    Caracteres en minúsculas del alfabeto inglés (a – z)

    Dígitos en base 10 (0 – 9)

    Caracteres no alfanuméricos (por ejemplo: !, $, # o %)

    Caracteres Unicode

    Es decir podria ser: Abc123D ??? o tiene que existir caracteres no alfanumericos???

    Y desde que momento se hace efectivo las directivas?? al realizar un gpupdate/force en los equipos?? o despues de 15 o 30 dias??  ya que he aplicado gpupdate/force y hasta reiniciado pero no me pìde cambiar la contraseña.

    Al usuario le va salir algun mensaje de que debe cambiar la contraseña, a los cuantos dias?

    Saludos.

     

     


    OrlandoP
    • Edited by OrlandoP Thursday, February 02, 2012 1:59 AM
    Thursday, February 02, 2012 1:56 AM

Answers

  • Para forzar a que la cambien en el próximo inicio de sesión, seleccionas a todos los usuarios que quieras, y con botón derecho propiedades, ficha Account ...

    Estás preguntando sobre orden de vínculos, y las propiedades de cuentas (Contraseñas, Bloqueo y Kerberos) se manejan *únicamente* en la Default Domain Policy y es válido para *todos* los usuarios salvo que uses "fine-grained passwords"

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    Thursday, February 02, 2012 2:30 PM
    Moderator

All replies

  • Tiene que contener caracteres de por lo menos 3, así que el ejemplo que haz puesto cumple con lo requerido

    Le va a hacer cumplir los nuevos requerimientos, el próximo cambio de contraseña de usuario

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    Thursday, February 02, 2012 11:29 AM
    Moderator
  • Ok, gracias.

    Entonces se cumpliran cuando traten de cambiar la contraseña de aqui en adelante, pero hay alguna forma de forzar que lo cambien ahora o en el proximo inicio de sesión?

    Tiene que ver en algo el orden de los vinculos? y desde cuando cuenta los 30 dias?

    Ya que trate de cambiar la contraseña y pude ponerle 123456, luego trate de cambiarle nuevamente la contraseña y me dice que debe cumplir unos requisitos que no son ninguno de los que puse en la directiva creada, por ello pregunto si tiene que ver el orden de vinculos?

     

    Saludos.


    OrlandoP

    • Edited by OrlandoP Thursday, February 02, 2012 2:23 PM
    Thursday, February 02, 2012 1:51 PM
  • Para forzar a que la cambien en el próximo inicio de sesión, seleccionas a todos los usuarios que quieras, y con botón derecho propiedades, ficha Account ...

    Estás preguntando sobre orden de vínculos, y las propiedades de cuentas (Contraseñas, Bloqueo y Kerberos) se manejan *únicamente* en la Default Domain Policy y es válido para *todos* los usuarios salvo que uses "fine-grained passwords"

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    Thursday, February 02, 2012 2:30 PM
    Moderator
  • OK gracias, ya vi que con esa esa opcion se puede forzar el cambio, supongo que despues tendre que desmarcar esa opcion una vez los usuarios cambien su password ya que sino siempre va pedir cambio de password en cada inicio de sesión o es que solo se desmarca?

    Y sobre el orden de vinculos, te consultaba xq tengo otras gpo asociadas al dominio y tambien xq me recomendaron que me cree otra y no use la Default Domain Policy, no se que piensas de eso o es recomendable usar la Default Domain Policy??

    Otra cosa; en el caso de que a un usuario se le olvide la contraseña y tenga que resetearlo via User and Computers veo que tambien me exige cumplir con las directivas de contraseña, lo mismo sucede al crear un nuevo usuario. Supongo que es correcto, pero normalmente al crear un usuario o resetear un password tenia un password standar que colocaba pero ahora tengo que ir cambiando eso, en tu caso como lo manejas o hay forma que para la creacion de usuario y reseteo de password se omita las directivas?

    Saludos.


    OrlandoP
    Thursday, February 02, 2012 3:20 PM
  • La Default Domain Policy, lo único que contiene y para lo que se usa es justamente para manejar de configuraciones de cuentas.

    No para otra cosa, pero sí para eso :)

    Puedes usar como contraseña standard por ejemplo Passw0rd, C0ntraseña, Lade5iempre :)

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    Thursday, February 02, 2012 4:34 PM
    Moderator
  • Hola Guillermo, no tendras algun script para hacer que se marque la opción de: "cambiar la contraseña en el proximo inicio de sesión" xq para ir seleccionando a todos los usuarios que estan en diferentes OUs se hace engorroso, si tienes algun scipt te agradeceria mucho.

    Saludos.


    OrlandoP

    Tuesday, February 07, 2012 3:49 PM
  • Mira si te sirve: http://www.computerperformance.co.uk/vbscript/vbscript_pwdlastset.htm

    Sólo una cosa, el script del ejemplo, aparte de forzar el cambio de password en el siguiente login, también lo resetea por lo que deberás modificar levemente el script para que no lo haga quitando la línea objUser.SetPassword strPassword


    Saludos,

    Marc
    MCSA/MCSE 2003
    MCITP: Enterprise Administrator (Windows Server 2008)
    MCITP: Enterprise Messaging Administrator (Microsoft Exchange 2007 & Exchange 2010)
    MCITP: Lync Server Administrator 2010
    MCC: Microsoft Community Contributor 2011
    Citrix CCA
    Visita mi blog en ITPro.es
    MCP Virtual Bussines Card


    Tuesday, February 07, 2012 4:48 PM
    Moderator
  • OrlandoP, o bien como dice Marc, o con una búsqueda en AD sin poner nada en el campo nombre tienes el listado de todos los usuarios

    No se necesita script


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    Tuesday, February 07, 2012 8:39 PM
    Moderator
  • Yo también lo había pensado, pero si se hace eso, a parte de los usuarios, también te lista los grupos ;)

    Saludos,

    Marc
    MCSA/MCSE 2003
    MCITP: Enterprise Administrator (Windows Server 2008)
    MCITP: Enterprise Messaging Administrator (Microsoft Exchange 2007 & Exchange 2010)
    MCITP: Lync Server Administrator 2010
    MCC: Microsoft Community Contributor 2011
    Citrix CCA
    Visita mi blog en ITPro.es
    MCP Virtual Bussines Card


    Tuesday, February 07, 2012 9:24 PM
    Moderator
  • Hola.

    Otra consulta, mi nivel funcional es 2003 ya que aun tengo servidores en 2003. Existen algunos usuarios sobretodo gerentes que se reusan a utilizar las politicas por lo que quieren tener otras politicas. Vi que en win2008 existe la opcion de politicas granulares pero necesita nivel funcional 2008 lo cual no poseo.

    Existe otra forma? tal vez creando una OU y ahi colocar los equipos de los gerentes pero habria un conflicto con la GPO defaul domain que tiene otra politica de contraseña, en este caso pienso que por precedencia se aplicaria el de la OU, pero estoy probando pero nada, es correcto? o existe algun problema con ello o existe otra forma de lograr lo que me piden?

    Saludos.


    OrlandoP

    Friday, February 10, 2012 11:24 PM
  • Tienes razón, gracias


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    Saturday, February 11, 2012 12:00 PM
    Moderator
  • No conozco los términos "políticas granulares", pero de todas formas aún desde W2000 se puede filtrar la aplicación de GPOs mediante grupos de seguridad. No se necesita ningún nivel funcional de Dominio o Bosque

    Pero de todas formas, si el tema se trata de configuración de cuentas (contraseña, bloqueo y Kerberos) eso se hace para *todos* los usuarios en la Default Domain Policy.
    Lo que sí existe, pero obligatoriamente debes tener nivel funcional de dominio W2008 por lo menos es "fine-grained passwords" donde puedes hacer que diferentes grupos tengan diferentes directivas de cuenta

    Tendrás que explicarle a los gerentes que provean los medios para poder migrar a W2008-R2 :)


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    Saturday, February 11, 2012 12:04 PM
    Moderator
  • Gracias.

    En uno de los post, mencionaste que la deafult domain policy solo se usaba para las directivas de cuentas, es decir solo sirve para eso? o ahi tambien podria configurar otras politicas? cual es la recomedaciòn?

    Ahora lo q comento es si es posible aplicar diferentes GPO de directivas de contraseñas por OU?

    Para usar fine-grained passwords es necesario nivel funcional 2008 y para ello asumo que todos los DCs deben ser Win2008 pero como no poseo eso entonces; hay forma de hacerlo aplicando diferentes GPOs? Porque segun la teoria dice que el GPO mas cercano al usuario o equipo (las directivas de contraseña se aplica en la configuraciòn del equipo) es la ultima en aplicarse, pero en la practica la default domain policy prevalece sobre todas las demas GPO en lo que respecta a directivas de contraseña? es correcto esto? si es asi en q otra cosa mas prevalece? aun quitando la herencia?

    Saludos.


    OrlandoP

    Saturday, February 11, 2012 4:40 PM
  • La recomendación general es dejar la Default Domain Policy únicamente para las configuraciones de cuentas. Por supuesto que puedes usarla para otras configuraciones, pero no se recomienda, es preferible crear y enlazar otra GPO a nivel de Dominio

    El uso de "fine-grained passwords" requiere que todos los DCs sean por lo menos W2008, y el mismo nivel funcional de Dominio.
    Inclusive, no se puede hacer por OU, sino que es por grupos, aunque siempre puedes hacer un grupo que contenga las cuentas de determinada OU, con lo cual consigues dicho objetivo

    En ambiente W2003, *no hay forma* de tener diferentes directivas de cuenta, y vale solamente en la GPO del Dominio porque se trata de cuentas de Dominio.
    Si enlazas una GPO con directivas de cuenta a una OU, lo único que consigues es que se le aplique a las cuentas *locales* de las máquinas a las que afecte la GPO


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    Saturday, February 11, 2012 5:29 PM
    Moderator
  • Hola.

    Cuando te refieres a cuentas locales; son las del propio equipo, osea no cuentas de dominio?

    Lo que no entiendo es que las directivas de contraseñas se aplican a equipos, por lo tanto si creo una GPO sobre una OU que contiene un equipo llamado gerente01, cuando los usuarios inicien sesiòn en dicho equipo supuestamente deberia solicitar que cumplan con las directivas de contraseñas a dicho usuario, no?

    Porque la GPO default domain policy tambien aplica sobre la configuracion de los equipos no sobre la configuracion de usuarios, o esta GPO es especial respecto a las demàs, en q es diferente??

    Y po ultimo una consulta; cuando se leen las GPOs primero lee la configuracion del equipo y al ultimo la configuracion de usuario?

    Saludos.


    OrlandoP

    Saturday, February 11, 2012 10:25 PM
  • [Guillermo] Respondon entre líneas

    Hola.

    Cuando te refieres a cuentas locales; son las del propio equipo, osea no cuentas de dominio?
    [Guillermo] Exacto. A las cuentas locales de usuario de los equipos

    Lo que no entiendo es que las directivas de contraseñas se aplican a equipos, por lo tanto si creo una GPO sobre una OU que contiene un equipo llamado gerente01, cuando los usuarios inicien sesiòn en dicho equipo supuestamente deberia solicitar que cumplan con las directivas de contraseñas a dicho usuario, no?
    [Guillermo] La configuración de cuentas está en User Configuration, por lo tanto se aplica a las cuentas de usuario. Lo que pasa es que si aplicas la GPO a un equipo, lo aplica a las cuentas de usuario del equipo

    Porque la GPO default domain policy tambien aplica sobre la configuracion de los equipos no sobre la configuracion de usuarios, o esta GPO es especial respecto a las demàs, en q es diferente??
    [Guillermo] La Default Domain Policy aplica sobre usuarios, no sobre equipos. No tiene nada especial, sino que se aplica a todas las cuentas de usuario del Dominio, por eso está enlazada a nivel de Dominio

    Y po ultimo una consulta; cuando se leen las GPOs primero lee la configuracion del equipo y al ultimo la configuracion de usuario?
    [Guillermo] Revisa el mensaje de arriba de todo en este foro que explica el orden de aplicación (http://social.technet.microsoft.com/Forums/es-ES/wsgpes/thread/b1b8f0ed-4b91-4475-b311-79188a2f5853)

    Saludos.


    OrlandoP



    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    Monday, February 13, 2012 10:38 AM
    Moderator