none
Pregunta de Account Lockout Policy

    Pregunta

  • Hola, tengo una duda acerca de esta politica de grupo para bloquear las cuentas en varios intentos y eso.

    He visto que se puede hacer a travez del comando gpedit.msc en el servidor y en cad uno de los clientes.

    Pero tambien se puede hacer directamente en el active directory, en las politicas de grupo.

    ¿cual es la diferencia?????

    si quiero que se bloqueen las cuentas de dominio en varios intentos por donde se tiene que hacer? por el Gpedit.ms del servidor? o a travez de la politica de grupo???

    Gracias de antemano... saludos!!!

    viernes, 01 de junio de 2012 20:05

Respuestas

  • Hola,

    Como te comentaba Guillermo, la diferencia está básicamente en el ámbito.

    Modificando estos settings desde la default domain policy (raiz del dominio) aplicas este setting a todos los usuarios de la organización. La gpo local sólo se tiene que tener en consideración para entornos sin dominio, por lo que comentas no es el caso.

    Descárgate la Consola 3.0 de edición de GPO desde donde podrás realizar estos cambios de una manera más ágil (W2003):

    http://www.microsoft.com/en-us/download/details.aspx?id=21895

    En 2008, ya la tienes como feature, para añadirla:

    http://technet.microsoft.com/en-us/library/cc725932.aspx

    Recuerda que sólo puede haber una política de contraseñas por dominio, cualquier setting de accounts que definas a nivel inferior del dominio se omitirá.

    Saludos.

    Julio Rosua

    • Marcado como respuesta Ciberdanny lunes, 04 de junio de 2012 14:51
    sábado, 02 de junio de 2012 20:38

Todas las respuestas

  • Todo lo que sea políticas de cuentas de dominio lo debes hacer *únicamente* en la Default Domain Policy

    Esto incluye contraseñas y bloqueo. No cambies los valores de Kerberos si realmente no justifica

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    sábado, 02 de junio de 2012 10:29
    Moderador
  • Hola,

    Como te comentaba Guillermo, la diferencia está básicamente en el ámbito.

    Modificando estos settings desde la default domain policy (raiz del dominio) aplicas este setting a todos los usuarios de la organización. La gpo local sólo se tiene que tener en consideración para entornos sin dominio, por lo que comentas no es el caso.

    Descárgate la Consola 3.0 de edición de GPO desde donde podrás realizar estos cambios de una manera más ágil (W2003):

    http://www.microsoft.com/en-us/download/details.aspx?id=21895

    En 2008, ya la tienes como feature, para añadirla:

    http://technet.microsoft.com/en-us/library/cc725932.aspx

    Recuerda que sólo puede haber una política de contraseñas por dominio, cualquier setting de accounts que definas a nivel inferior del dominio se omitirá.

    Saludos.

    Julio Rosua

    • Marcado como respuesta Ciberdanny lunes, 04 de junio de 2012 14:51
    sábado, 02 de junio de 2012 20:38
  • hola, ok. muchas gracias por las respuestas, ha quedado mas claro; probare la aplicacion que comentas...

    gracias de nuevo!!

    lunes, 04 de junio de 2012 14:51