locked
Cambio de contraseña imposible RRS feed

  • Pregunta

  • Hola,

    Realmente no sé si esta pregunta debería ir en el foro de directorio activo, porque es algo que me está pasando en un directorio activo de Windows 2008 creado expresamente para tener una infraestructura de Exchange 2007.

    El problema que me ocurre es extrañísimo, y ha comenzado a pasar de un día para otro. En el directorio activo, hay una serie de usuarios con su correspondiente buzón. Ningún problema hasta hace un par de días, que entró una nueva persona y hubo que crearle el usuario y el buzón. Al hacerlo, se le generó una contraseña estándar, que luego, como cualquier otro usuario antes, debía cambiar desde el OWA (aunque al crear el usuario no se marcaba la casilla de cambiar la contraseña en el siguiente inicio de sesión). Este usuario, nos llamó diciendo que no le dejaba cambiar la contraseña.

    Tratando de averiguar el problema, le dimos acceso por escritorio remoto a uno de los servidores exchange, para hacer inicio de sesión con su nombre de usuario e intentar cambiar la contraseña no desde el OWA sino desde la sesión iniciada en una máquina. Al intentar hacerlo, invariablemente obtenemos el mensaje de error informando que la contraseña nueva no cumple los requisitos de complejidad o el historial de contraseñas. Desde entonces, ningún usuario puede cambiar su contraseña.

    Para intentar resolverlo, he deshabilitado dos cosas en la GPO del dominio: la complejidad de contraseña, y que guarde historial: el mismo resultado. Error por no cumplir las características de complejidad. ¿Qué complejidad, si está deshabilitada?

    Me han comentado (a mí este problema me ha llegado de rebote hoy, yo estaba hasta ayer en otro departamento) que recientemente se han aplicado actualizaciones de WSUS a los dos controladores del dominio de este dominio de active directory. Me aseguran que en Diciembre, no había ningún problema para cambiar la contraseña por parte de los usuarios: desde que ocurre esto, nadie puede. Sin embargo, desde la mmc de usuarios y equipos de active directory sí permite que se le cambie.

    Los usuarios, con razón, quieren poder ser los únicos conocedores de sus contraseñas, y para ello, es necesario que puedan cambiarla. Por supuesto, la casilla 'el usuario no puede cambiar su contraseña' está desmarcada.

    ¿Alguien sabe a qué puede deberse esto?

    Saludos

    miércoles, 19 de enero de 2011 12:24

Respuestas

  • Hola Paco Gaspar,

    Puedes realizar las siguientes pruebas:

    1.- Revisa que no exista ninguna politica heredada y que en la politica GPO en donde debes de tener configurados estos parametros tenga la siguiente configuracion

    Enforce password history = 0
    Maximum password age = 42
    Minimum password age = 0
    Minimum password length = 0
    Password must meet complexity requirements = Disabled
    Store passwords using reversible encryption = Disabled

    2.- Prueba con algun equipo de tu dominio de preferencia alguno para realizar pruebas, abre una consola de cmd, ejecuta gpupdate /force realizar pruebas y de ser necesario una ves realizados los cambios antes mencionados, saca de dominio el equipo y despues agregalo nuevamente a dominio y vuelve a realizar pruebas

    3.- Tambien puedes provar deshabilitando la actual GPO y crear una nueva con los parametros antes mencionados y realizar las pruebas del paso 2 nuevamente

    4.- si tienes diversas OU prueba deshabilitando o bloqueando la herencia de politicas "Block Inheritance" y has prueba con los clientes que se encuentren dentro de esa OU donde deshabilitaste la herencia de politicas, realizar las pruebas del paso 2 nuevamente

    Este problema que presentas sin dunda es referente a alguna politica, ahi que revisar muy bien las existentes y su herencia

    De seguir con el problema yo te recomendaria que nos comentaras y publicaras tu pregunta en el foro correspondiente, donde mas compañeros te podremos ayudar con este tema

    Directivas de grupo

    http://social.technet.microsoft.com/Forums/es-ES/wsgpes/threads

    En espera de tus comentarios

     

    Saludos.


    Ruben Rosales Matamoros MCSE + M / MCTS
    • Marcado como respuesta Paco Gaspar jueves, 10 de febrero de 2011 10:25
    jueves, 20 de enero de 2011 2:30

Todas las respuestas

  • Hola Paco Gaspar,

    Puedes realizar las siguientes pruebas:

    1.- Revisa que no exista ninguna politica heredada y que en la politica GPO en donde debes de tener configurados estos parametros tenga la siguiente configuracion

    Enforce password history = 0
    Maximum password age = 42
    Minimum password age = 0
    Minimum password length = 0
    Password must meet complexity requirements = Disabled
    Store passwords using reversible encryption = Disabled

    2.- Prueba con algun equipo de tu dominio de preferencia alguno para realizar pruebas, abre una consola de cmd, ejecuta gpupdate /force realizar pruebas y de ser necesario una ves realizados los cambios antes mencionados, saca de dominio el equipo y despues agregalo nuevamente a dominio y vuelve a realizar pruebas

    3.- Tambien puedes provar deshabilitando la actual GPO y crear una nueva con los parametros antes mencionados y realizar las pruebas del paso 2 nuevamente

    4.- si tienes diversas OU prueba deshabilitando o bloqueando la herencia de politicas "Block Inheritance" y has prueba con los clientes que se encuentren dentro de esa OU donde deshabilitaste la herencia de politicas, realizar las pruebas del paso 2 nuevamente

    Este problema que presentas sin dunda es referente a alguna politica, ahi que revisar muy bien las existentes y su herencia

    De seguir con el problema yo te recomendaria que nos comentaras y publicaras tu pregunta en el foro correspondiente, donde mas compañeros te podremos ayudar con este tema

    Directivas de grupo

    http://social.technet.microsoft.com/Forums/es-ES/wsgpes/threads

    En espera de tus comentarios

     

    Saludos.


    Ruben Rosales Matamoros MCSE + M / MCTS
    • Marcado como respuesta Paco Gaspar jueves, 10 de febrero de 2011 10:25
    jueves, 20 de enero de 2011 2:30
  • Perdón por no haber contestado antes. El problema era el minimun password age, que estaba en 1. Lo pusimos a 0 y problema resuelto.

     

    Gracias

     

    jueves, 10 de febrero de 2011 10:26