none
Windows Server 2012 R2 - Aplicar directivas de bloqueo de cuenta a un solo usuario, no al dominio entero RRS feed

  • Pregunta

  • Hola, gracias de antemano por vuestro tiempo

    Me surge una pequeña duda

    Desde W Server 2012 - Administracion del servidor - Herramientas - Administracion de directivas de grupo

    Se pueden administras las default domain policy (boton derecho, opcion de editar)

    Pero esto se aplica a todo el dominio, es posible aplicar esta directiva de seguridad solo a ciertos Grupos o a ciertos usuaruios

    viernes, 25 de enero de 2019 10:26

Respuestas

  • No puedo en este momento hacer pruebas, pero te comento porque no creo que funcione. Si tienes un rato para probarlo confirmamos o no :)

    La "Default Domain Policy" no contiene nada por usuario, en la parte de máquina tiene las directivas de cuenta, y algo más en "network security"

    Por lo cual intuyo que está más relacionado el tema de cuentas, a la aplicación en los Controladores de Dominio, y está donde está para uniformar todo si alguien movier los DCs a otras OUs

    Además, lo que nombro es lo que la teoría dice :)
    Como comentario adicional, si crearas una GPO con configuración de cuentas y la vinculas a una OU, afecta a las cuentas locales, pero no a las cuentas de Dominio

    Si tienes tiempo de probarlo comenta por favor que el tema es interesante

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 25 de enero de 2019 14:45
    Moderador

Todas las respuestas

  • Hola Javier,

    Por poder si se puede, cambiando al grupo al que aplica dicha política, pero es poco recomendable es mejor crear una nueva política al nivel que te interese (dominio, OU, site) y modificar esta nueva y aplicar solo al grupo que te interese.

    Saludos,

    viernes, 25 de enero de 2019 10:33
  • Hola DID JAVIER NAVARRO, se puede pero el procedimiento no es el normal editando la "Default Domain Policy". Esta aplica a todo el Dominio, y acá discrepo con el amigo rBlacksmit, ya que no se puede manejar por permisos según entiendo

    Para que un usuario, o mejor por grupo de usuarios tengan diferentes directivas de contraseña y bloqueo de cuentas el procedimiento es totalmente diferente

    Te dejo un paso a paso

    Windows Server 2012 – Fine-grained Passwords and Account Lockout Policy | WindowServer
    https://windowserver.wordpress.com/2012/06/08/windows-server-2012-fine-grained-passwords-and-lockout/

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 25 de enero de 2019 11:42
    Moderador
  • Hola Guillermo,

    Dejarte cambiar los permisos te deja, al menos el Security Filtering que es donde si quitas el "Authenticated Users" puedes limitar el ámbito a un grupo (en mi ejemplo a los Backup Operator)

    Si es verdad que si sólo quiere gestionar la password de diferentes grupos de usuarios es mejor usar el PSO, como indicas y fuera líos.

    Saludos,

    viernes, 25 de enero de 2019 13:35
  • No puedo en este momento hacer pruebas, pero te comento porque no creo que funcione. Si tienes un rato para probarlo confirmamos o no :)

    La "Default Domain Policy" no contiene nada por usuario, en la parte de máquina tiene las directivas de cuenta, y algo más en "network security"

    Por lo cual intuyo que está más relacionado el tema de cuentas, a la aplicación en los Controladores de Dominio, y está donde está para uniformar todo si alguien movier los DCs a otras OUs

    Además, lo que nombro es lo que la teoría dice :)
    Como comentario adicional, si crearas una GPO con configuración de cuentas y la vinculas a una OU, afecta a las cuentas locales, pero no a las cuentas de Dominio

    Si tienes tiempo de probarlo comenta por favor que el tema es interesante

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 25 de enero de 2019 14:45
    Moderador
  • Ando sin entorno de pruebas, pero si tengo un rato la semana que viene toco un poco producción y te confirmo. 
    viernes, 25 de enero de 2019 17:14