Problema para cambiar contraseña de windows

Todas las respuestas

• 

  

  0

  Inicie sesión para votar

  No se puede actualizar la contraseña, el valor proporcionado para la nueva contraseña no cumple los requisitos de longitud, complejidad o historial del dominio.

   

  Ese es el mensaje que sale todo el tiempo.

  Saludos

   

  lunes, 8 de agosto de 2011 18:52

  Responder

  |

  Citar
• 

  

  0

  Inicie sesión para votar

  Hola:

  ¿En dónde estás aplicando las directivas de cuentas?

  Para establecer directivas de cuentas para todos los usuarios del dominio, has de configurarlas en la Default Domain Policy (la GPO predeterminada que se aplica en la raíz del dominio), o en su defecto, en otra GPO en la raíz del dominio que esté por encima de la Default Domain Policy. Además, la GPO debe aplicarse a Usuarios autentificados (como viene por defecto).

  Configurar una GPO con directivas de cuentas a nivel de OU se aplicaría, solamente, a las cuentas de usuario locales de las máquinas contenidas en la OU.

  Además, no te vale con desactivar una directiva determinada de las directivas de cuenta. Por ejemplo, para que la complejidad no se aplique, tendrás que habilitar la directiva "La contraseña debe cumplir los requisitos de complejidad" y establecer su valor a "Deshabilitada".

  Por otro lado y como apunte adicional, comentarte que, para establecer directivas de cuentas para grupos diferentes de tu Active Directory, has de utilizar las Fine Grained Passwords. Mira el siguiente link:

  http://technet.microsoft.com/en-us/library/cc770842(WS.10).aspx

  Saludos

  ---

  Agustín Morales H. / Blog Agustín Morales H. Formación
  MCT Microsoft Certified Trainer
  MCITP Enterprise Administrator Windows Server 2008
  MCITP Server Administrator Windows Server 2008
  MCSE Windows Server 2003 / 2000 / NT 4.0
  MCSA Windows Server 2003 / 2000
  

  lunes, 8 de agosto de 2011 19:19

  Responder

  |

  Citar
• 

  

  0

  Inicie sesión para votar

  Hola agustin, te comento lo siguiente De acuerdo a lo que mencionas de que las politicas deben estar en la Default Domain Policy, en efecto esa politica no la moví porque precisamente lo que hice fue colocar en la raiz del dominio varias politicas con roles (una para establecer un papel tapiz corporativo, una para quitar el panel de control a los usuarios, entre otras). En una de ellas, se me ocurrio crear la de password seguro, sin embargo tuve el problema con algunos de los usuarios como lo comentaba. Y ahora que ya hice una nueva, y la aplique en la raiz ya no me deja cambiarla en todos los usuarios, creo que esto que hice lo empeoro mas. La deshabilite haciendola tal y como me lo comentas pero no me deja cambiar la contraseña todavía. Ojala y puedan auxiliarme. Gracias por tu comentario.

  martes, 9 de agosto de 2011 21:53

  Responder

  |

  Citar
• 

  

  0

  Inicie sesión para votar

  Hola:

  Por favor, necesito que compruebes lo siguiente (es para saber en qué posición está tu GPO con las directivas de cuentas):

  - En el controlador de dominio, vete a la herramienta administrativa Administración de directivas de grupo.
  - En el árbol izquierdo, sitúate en la raíz de tu dominio (donde aparece el nombre de tu dominio).
  - En el panel central, que por defecto estará en la pestaña "Objetos de directiva de grupo vinculados", observa la lista de GPOs. ¿Está tu GPO con directivas de cuentas en primer lugar? Si no es así, selecciónala y utiliza la flecha "Subir vínculo" que está justo a la izquierda. Resumiendo, tiene que estar en primer lugar.

  Además, es necesario que  me digas los valores que tienes configurados en dicha GPO. Edítala y pásame, por favor, lo siguientes valores de Directivas de contraseña:

  Exigir historial de contraseñas: ?
  La contraseña debe cumplir los requisitos de complejidad: ?
  Longitud mínima de la contraseña: ?
  Vigencia máxima de la contraseña: ?
  Vigencia mínima de la contraseña: ?

  Muy importante: recuerda que estas directivas deben estar habilitadas y con un valor, porque de lo contrario se tomará el valor de otra GPO (probablemente de la Default Domain Policy).

  Saludos

  ---

  Agustín Morales H. / Blog Agustín Morales H. Formación
  MCT Microsoft Certified Trainer
  MCITP Enterprise Administrator Windows Server 2008
  MCITP Server Administrator Windows Server 2008
  MCSE Windows Server 2003 / 2000 / NT 4.0
  MCSA Windows Server 2003 / 2000
  

  martes, 9 de agosto de 2011 22:19

  Responder

  |

  Citar
• 

  

  0

  Inicie sesión para votar

  

   

  Que tal, anexo imagen de la estructura, evidentemente no se encuentra en la raiz donde se tiene la Default Policy. Pero ha estado funcionando bien hasta que hice esta de "Password Seguro".

   

  Espero esta referencia te pueda servir mas.

   

  viernes, 12 de agosto de 2011 22:35

  Responder

  |

  Citar
• 

  

  0

  Inicie sesión para votar

  Pedon, te anexo los datos de la politica:

  Almacenar contraseña usuando cifrado: Deshabilitada

  Forzar el historial de contraseñas: 1 contraseña recordada

  Las contraseñas deben cumplir con los requerimientos: Deshabilitada

  Longitud minima: 6 Caracteres

  Vigencia maxima de contraseña: 61 días

  Vigencia minima de contraseña: 50 días

  Eso es lo que tengo configurado en esa politica, ya revise las demás y no se tienen configuradas esas opciones en ninguna otra.

   

  Saludos

   

   

  viernes, 12 de agosto de 2011 22:40

  Responder

  |

  Citar
• 

  

  0

  Inicie sesión para votar

  Cualquier configuración de cuentas para usuarios de dominio, debe hacerse sólo en la Default Domain Policy (Contraseña, bloqueo de cuentas y Kerberos)

   

  ---

  Guillermo Delprato - Buenos Aires, Argentina
  Visite Notas Windows Server
  MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
  Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

  viernes, 12 de agosto de 2011 22:51

  Responder

  |

  Citar

  Moderador
• 

  

  0

  Inicie sesión para votar

  Hola:

  Una aclaración a lo que comenta Guillermo: las directivas de cuentas sí se pueden configurar en otra GPO que no sea la Default Domain Policy, siempre que esté vinculada en la raíz del dominio y por encima de la Default Domain Policy.

  La solución pasa por desvincular la GPO Password seguro de la OU actual y vincularla a la raíz de tu domino, pero ponla por encima de la Default Domain Policy (tal como te expliqué en el post anterior, utilizando las flechas). Después, haz un GPUPDATE / FORCE en el controlador y prueba a modificar la contraseña de un usuario.

  Por otro lado, si tienes dudas de por dónde te está viniendo la configuración de directivas de cuentas, puedes realizar un modelado de directivas de grupo para comprobarlo.

  Saludos

  ---

  Agustín Morales H. / Blog Agustín Morales H. Formación
  MCT Microsoft Certified Trainer
  MCITP Enterprise Administrator Windows Server 2008
  MCITP Server Administrator Windows Server 2008
  MCSE Windows Server 2003 / 2000 / NT 4.0
  MCSA Windows Server 2003 / 2000
  

  viernes, 12 de agosto de 2011 23:44

  Responder

  |

  Citar
• 

  

  0

  Inicie sesión para votar

  Te adjunto la imagen de cómo tienes que dejarlo (ésta corresponde a las GPOs vinculadas en la raíz del dominio):

  

  Observa la columna "Orden de vínculos".

  Saludos

   

  ---

  Agustín Morales H. / Blog Agustín Morales H. Formación
  MCT Microsoft Certified Trainer
  MCITP Enterprise Administrator Windows Server 2008
  MCITP Server Administrator Windows Server 2008
  MCSE Windows Server 2003 / 2000 / NT 4.0
  MCSA Windows Server 2003 / 2000
  

  sábado, 13 de agosto de 2011 0:02

  Responder

  |

  Citar
• 

  

  0

  Inicie sesión para votar

  Agunstín, si, es como dices, pero la pregunta es ¿cuál es el motivo de tener dos GPOs que hacen lo mismo pero con valores contradictorios?

  La consecuencia de eso es que se apliquen más GPOs y baje la performance

   

  ---

  Guillermo Delprato - Buenos Aires, Argentina
  Visite Notas Windows Server
  MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
  Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

  sábado, 13 de agosto de 2011 12:51

  Responder

  |

  Citar

  Moderador
• 

  

  0

  Inicie sesión para votar

  Hola Guillermo:

  Estoy de acuerdo que crear una GPO por cada directiva que se quiera aplicar, en general, no es recomendable (y más aún, si los valores se contradicen tal como comentas), a no ser que necesitemos filtrarlas por grupos. Sin embargo, no creo que por una sola GPO adicional vaya a disminuir drásticamente el rendimiento (si fuesen varias, sí podría verse afectado). De hecho, en las empresas donde lo he configurado de esta manera, he probado ambas opciones y, sinceramente, no he percibido pérdida de rendimiento alguna.

  Yo suelo crear una nueva GPO para directivas de cuentas, pero también especifico en ella más directivas que quiero que se apliquen a todo el dominio. Prefiero ponerlas todas en la misma GPO, ya que me facilita la exportación / importación de la misma.

  Otro motivo es el referido en el artículo http://technet.microsoft.com/en-us/library/cc875814.aspx, donde explican:

  Note: Microsoft recommends that you create a new Group Policy object rather than editing the built-in one called Default Domain Policy because doing so makes it much easier to recover from serious problems with security settings. If the new security settings create problems, you can temporarily disable the new Group Policy object until you isolate the settings that caused the problems.

  Y otra referencia más: http://technet.microsoft.com/en-us/library/cc779159(WS.10).aspx

  Do not modify the default domain policy or default domain controller policy unless necessary. Instead, create a new GPO at the domain level and set it to override the default settings in the default policies.

  Los artículos hacen referencia a Windows Server 2003 y Windows Server 2003 R2, aunque entiendo que su contenido es aplicable a Windows Server 2008.

  Saludos

  ---

  Agustín Morales H. / Blog Agustín Morales H. Formación
  MCT Microsoft Certified Trainer
  MCITP Enterprise Administrator Windows Server 2008
  MCITP Server Administrator Windows Server 2008
  MCSE Windows Server 2003 / 2000 / NT 4.0
  MCSA Windows Server 2003 / 2000
  

  sábado, 13 de agosto de 2011 17:05

  Responder

  |

  Citar
• 

  

  0

  Inicie sesión para votar

  Hola Agustín, yo no he dicho que una GPO adicional "disminuya drásticamente el rendimiento". Lo que sí creo es que si aplicas el mismo criterio para "muchos" casos, se degrada la performance sin sentido.

  Respecto a las notas de Technet, y mi experiencia personal, entiendo que no es bueno modificar las GPOs por omisión, en el sentido de agregarle configuraciones adicionales a las que tiene ya que eso sí podría traer problemas de rollback, pero no creo que sean buenas las GPOs contradictorias, aunque por supuesto que funcionan.

  Son criterios

   

  ---

  Guillermo Delprato - Buenos Aires, Argentina
  Visite Notas Windows Server
  MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
  Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

  lunes, 15 de agosto de 2011 17:07

  Responder

  |

  Citar

  Moderador
• 

  

  0

  Inicie sesión para votar

  Hola Guillermo:

  Totalmente de acuerdo, son criterios. Por ese motivo me pareció correcto aclarar que la solución no pasa únicamente por modificar la Default, sino que también es factible hacerlo con una GPO adicional. Lo bueno de todo esto es que casi siempre podemos elegir.

  Y para finalizar este intercambio de criterios, por favor, no me malinterpretes, no he dicho en ningún momento que tú hubieras mencionado que "disminuía el rendimiento drásticamente"; lo he dicho yo, es solamente mi opinión personal; por eso he empezado la frase con "No creo...".

  El intercambio de opiniones siempre resulta constructivo.

  Saludos

  ---

  Agustín Morales H. / Blog Agustín Morales H. Formación
  MCT Microsoft Certified Trainer
  MCITP Enterprise Administrator Windows Server 2008
  MCITP Server Administrator Windows Server 2008
  MCSE Windows Server 2003 / 2000 / NT 4.0
  MCSA Windows Server 2003 / 2000
  

  lunes, 15 de agosto de 2011 17:54

  Responder

  |

  Citar
• 

  

  0

  Inicie sesión para votar

  Al final el problema persiste, perdon por no haberme conectado antes, pero es que sali de viaje y este problema lo tuve que dejar de lado, puse en otro post que ya hice pruebas creando otra OU quitando la herencia y colocando una politica nueva de contraseñas (borre la que habia hecho poruqe nomas no jalaba esta situacion), para verificar que si esta entrando la politica le cambie el papel tapiz y si lo cambia pero la contraseña sigue sin poderse cambiar.

  Que puede ser?

   

  miércoles, 4 de enero de 2012 19:13

  Responder

  |

  Citar
• 

  

  0

  Inicie sesión para votar

  Hola,

  Desde una de las máquinas cliente desde donde no te permite cambiar la clave podrías ejecutar RSoP y revisar el apartado de política de contraseñas?

  Cómo instalar y usar RSoP en Windows Server 2003
  http://technet.microsoft.com/en-us/library/cc875814.aspx

  Suerte

   

  ---

  Check my qualifications here.
  Check my blog here.

  domingo, 22 de enero de 2012 16:45

  Responder

  |

  Citar
• 

  

  2

  Inicie sesión para votar

  Hola Inge

  No sé si continúes con tu problema, yo tuve algo similar, pero aquí lo que ocurrió es que la política de vigencia mínima de la contraseña es la que me estaba afectando, tuve que disminuir el tiempo de vigencia mínima o esperar a que transcurriera el tiempo de vigencia mínima para que permitiera cambiar la contraseña.

  Por las fechas que veo del post, a estas alturas ya debió haber permitido el cambio.

  Saludos

  ---

  Doc MX

  martes, 10 de junio de 2014 13:30

  Responder

  |

  Citar