none
Configurar la expiración de contraseña de usuarios del dominio RRS feed

  • Pregunta

  • Hola.

    En la empresa tenemos un DC sobre server 2008 Standar, se quiere aplicar la expiración de contraseña para los usuarios. Ya tengo configurada la GPO donde se indica el periodo de vigencia, características y demás. En el objeto usuario esta deshabilitada la opción de la contraseña nunca expira.

    El problema es que al usuario nunca le llega a pedir el cambio de contraseña.

    Al realizar un "net user %USERNAME% /dominio" en el equipo del usuario, el valor del campo "La contraseña expira" es Nunca. No sé dónde está cogiendo ese valor ni como modificarlo

    Saludos.

    miércoles, 3 de mayo de 2017 12:05

Respuestas

  • Hola Javier_66 trato de pasar en limpio el tema

    - Normalmente todo lo que sea configuración de cuentas se hace en la "Default Domain Policy", no confundir con la "Default Domain Controllers Policy". En esta GPO revisa la configuración de las duraciones mínima y máxima de las contraseñas, por omisión son 0 y 42 respectivamente

    - Específicamente si en una cuenta se marca/desmarca que la contraseña expire, esto prevalece sobre la configuración anterior

    - Para que avise o no, y con cuánta antelación, hay en las GPO que se deben vincular a la Unidad Organizativa donde esté la cuenta de máquina en el siguiente lugar "Computer Configuration / Policies / Windows Settings / Security Settings / Local Policies / Security Options / Interactive logon: Prompt user to change password before expiration"

    - Si fuera para un usuario o grupo en particular hay que usar, como mencioné antes "Fine-grained Passwords and account lockout policy"

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M jueves, 4 de mayo de 2017 18:18
    • Marcado como respuesta Moderador M viernes, 12 de mayo de 2017 14:13
    jueves, 4 de mayo de 2017 12:32
    Moderador

Todas las respuestas

  • Todo lo que sea directivas de cuentas, hay un único lugar donde se puede configurar y valdrá para todos los usuarios y es en la "Default Domain Policy"

    Si quieres tener diferentes directivas de cuentas, la única opción es usando "Fine-grained Passwords"

    Windows Server 2012 – Fine-grained Passwords and Account Lockout Policy | WindowServer:
    https://windowserver.wordpress.com/2012/06/08/windows-server-2012-fine-grained-passwords-and-lockout/

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M miércoles, 3 de mayo de 2017 16:06
    miércoles, 3 de mayo de 2017 15:07
    Moderador
  • Buenos días,

    Gracias por contestar, discúlpeme pero no termino de comprender su respuesta. Actualmente la GPO de cambio de contraseña se está aplicando a modo de piloto en una OU aislada y con la herencia rota para evitar posibles directivas heredadas. Entiendo que el problema es que al usuario no se le pide el cambio de contraseña porque de algún modo tiene habilitado "La contraseña nunca expira" pese a estar deshabilitado.

    "net user %USERNAME% /domain"

      Nombre completo                            prueba
      Comentario
      Comentario del usuario
      Código de país                             000 (Predeterminado
      Cuenta activa                              Sí
      La cuenta expira                           Nunca

      Ultimo cambio de contraseña                04/05/2017 9:26:52
      La contraseña expira                       Nunca
      Cambio de contraseña                       04/05/2017 9:26:52
      Contraseña requerida                       Sí
      El usuario puede cambiar la contraseña     Sí

    Saludos.





    • Editado Javier_66 jueves, 4 de mayo de 2017 13:51
    jueves, 4 de mayo de 2017 7:49
  • Hola csoporte, lamentablemente si haz puesto capturas de pantalla, las mismas no son visibles

    Pero de todas formas, y para tratar de aclarar el tema: las cuentas de usuarios de un Dominio, se manejan sólo a nivel de Dominio, y no por Unidad Organizativa

    Enlazar una GPO que tenga configuraciones de cuenta a una Unidad Organizativa, donde estén las cuentas de máquina afectará únicamente a las cuentas locale de dichas máquinas

    Todo lo que sea configuración de cuentas en un ambiente de Dominio tienen un único lugar para configurar, la "Default Domain Policy", independientemente que filtres esa GPO

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 4 de mayo de 2017 10:45
    Moderador
  • Hola,

    La Unidad Organizativa donde estoy probando la configuración solo contiene una cuenta de usuario y una cuenta de equipo que son con los que estoy realizando pruebas.

    Tal vez el planteamiento que describo no es el correcto. Creo que el problema no esta vinculado a ninguna directiva, sino al objeto en sí. El hecho de que estando desactivada la opción de "La contraseña nunca expira" en la pestaña cuenta de las propiedades el usuario y realizar la consulta con el comando "net user prueba /domain" me indique lo contrario.

      Nombre completo                            prueba
      Cuenta activa                              Sí
      La cuenta expira                           Nunca
      Ultimo cambio de contraseña                04/05/2017 9:26:52
      La contraseña expira                       Nunca
      Cambio de contraseña                       04/05/2017 9:26:52
      Contraseña requerida                       Sí
      El usuario puede cambiar la contraseña     Sí

    Saludos.


    • Editado Javier_66 jueves, 4 de mayo de 2017 11:15
    jueves, 4 de mayo de 2017 11:12
  • Hola Javier_66 trato de pasar en limpio el tema

    - Normalmente todo lo que sea configuración de cuentas se hace en la "Default Domain Policy", no confundir con la "Default Domain Controllers Policy". En esta GPO revisa la configuración de las duraciones mínima y máxima de las contraseñas, por omisión son 0 y 42 respectivamente

    - Específicamente si en una cuenta se marca/desmarca que la contraseña expire, esto prevalece sobre la configuración anterior

    - Para que avise o no, y con cuánta antelación, hay en las GPO que se deben vincular a la Unidad Organizativa donde esté la cuenta de máquina en el siguiente lugar "Computer Configuration / Policies / Windows Settings / Security Settings / Local Policies / Security Options / Interactive logon: Prompt user to change password before expiration"

    - Si fuera para un usuario o grupo en particular hay que usar, como mencioné antes "Fine-grained Passwords and account lockout policy"

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M jueves, 4 de mayo de 2017 18:18
    • Marcado como respuesta Moderador M viernes, 12 de mayo de 2017 14:13
    jueves, 4 de mayo de 2017 12:32
    Moderador