none
GPO para quitar complejidad contraseñas RRS feed

  • Pregunta

  • Hola,

    Tengo un dominio recién creado y estoy en el mismo DC añadiendo usuarios y grupos. No quiero que se use la característica de contraseñas complejas para éstos usuarios, por ello me he creado una Directiva de grupo que he vinculado a una UO en dónde he metido está metido (dentro de otra UO interior) el propio equipo que hace de DC (el equipo dónde estoy), pero aún así cuando creo un usuario nuevo sigue diciéndome que la contraseña debe cumplir los requisitos de complejidad. Está incluso con el "exigido" a sí. Y me he dado cuenta que al principio el Equipo no estaba en la parte esa de Filtrado de seguridad en el ámbito de la directiva y lo he puesto y nada...

    He probado a cambiar la directiva y vincularla más arriba (en el propio dominio) y no se aplica.

    ¿Qué puedo estar haciendo mal u obviando? 

    Gracias

    jueves, 27 de diciembre de 2018 20:37

Respuestas

  • Pero se nota que hay cosas que no te han explicado :D

    Si no lo estás haciendo en un ambiente de prueba, nunca en el productivo y menos si hay un único Controlador de Dominio, debes saber que hay configuraciones, especialmente de seguridad y de las plantillas administrativas que quedarán aunque deje de aplicarle la GPO

    La única forma es luego aplicarle otra GPO que revierta el cambio, porque al dejar en "no configurado" no vuelve

    Te deseo suerte :) pero ten cuidado :)

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Pedro Alfaro viernes, 28 de diciembre de 2018 18:59
    • Marcado como respuesta Pedro Alfaro jueves, 17 de enero de 2019 18:46
    viernes, 28 de diciembre de 2018 12:50
    Moderador

Todas las respuestas

  • Hola Erik

    Siempre te va a aplicar la política más restrictiva, en este caso la que tiene la password compleja. Has probado a denegar esa política al grupo de usuarios que quieres dejar sin complejidad, eso debería bastarte para que no aplique esa y se aplique la nueva.

    Saludos,

    viernes, 28 de diciembre de 2018 7:48
  • Pero no se aplica siempre por orden de herencia y la última prevalece sobre las anteriores? Desconocía eso de que se aplica la más restrictiva, gracias.
    Pero es que se trata de la Default Domain Policy la que aplica lo de la complejidad de las contraseñas y no me gustaría tocar (modificar) esa política, por eso cree otra para sustituir con el cambio que quiero...
    Y qué sería que no se aplique toda esa política?
    viernes, 28 de diciembre de 2018 9:00
  • Hola,

    Correcto lo del orden, pero también tiene que tener en cuenta lo de restrcitivo.

    Yo suelo dejar la Default Domain Policiy en blanco y creo una a ese mismo nivel como política de contraseñas. De todas formas te dejo este link, para que veas como denegar una política a un grupo de usuarios, sin tener que modificar nada más que los permisos.

    Saludos,

    viernes, 28 de diciembre de 2018 9:09
  • Vale,

    Aunque prefiero no tocar el Default Dom Policy, he hecho lo de que no se herede, es decir que las UOs por abajo no aplican esta GPO. El equipo DC está dentro de una de esas OUs aún así no me deja crear un usuario poniendo una contraseña no compleja... :S

    Cómo se cambia eso? de la forma más profesional y correcta posible??

    viernes, 28 de diciembre de 2018 9:32
  • Hola,

    Por defecto, en los domain controller (donde das de alta los usuarios) te aplica la complejidad de contraseña. Si quieres dar de alta usuarios sin complejidad, tienes que hacer una política para que en los DCs esté Disable (no te vale dejar sin definir)

    Saludos,

    viernes, 28 de diciembre de 2018 10:14
  • Hola erik-121 y rBlacksmith, perdón que me entrometa :)

    Todo lo que sean directivas de cuenta hay un único lugar donde se puede modificar: "Default Domain Policy". No va tener efecto con ninguna GPO enlazada a una Unidad Organizativa

    Lo anterior es una consecuencia de la compatibilidad, ya que hasta W2003 era la única forma, y no había posibilidad que diferentes usuarios tuvieran diferente configuración

    Esto se puede cambiar a partir de W2008, que existan diferentes configuraciones de contraseña y bloqueo de cuentas, sólo que se hace de una forma totalmente diferente

    Un ejemplo con un paso a paso:

    Windows Server 2012 – Fine-grained Passwords and Account Lockout Policy | WindowServer
    https://windowserver.wordpress.com/2012/06/08/windows-server-2012-fine-grained-passwords-and-lockout/

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 28 de diciembre de 2018 10:49
    Moderador
  • Gracias,

    Aunque creo que ya lo tengo resuelto.

    En mi caso yo estaba creando los usuarios desde el propio DC que está ubicado en una UO=equipos dentro de otra UO=oficina2, por ejemplo.

    Lo que he hecho es crear una nueva Directiva de Grupo con la configuración de contraseñas complejas deshabilitadas y vincularla a la raíz del dominio. La cosa está en el orden de aplicación, si se sube la nueva GPO arriba se aplicará bien...

    viernes, 28 de diciembre de 2018 11:49
  • En mi experiencia no es bueno, ni mover los DCs a otra OU, ni modificar las dos "Default Policies"

    Si esto último fuera imposible, dejarlo documentado ya que es un cambio "importante"

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 28 de diciembre de 2018 12:27
    Moderador
  • En mi experiencia no es bueno, ni mover los DCs a otra OU, ni modificar las dos "Default Policies"

    Si esto último fuera imposible, dejarlo documentado ya que es un cambio "importante"

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.


    Yaa claro, a mi también me han enseñado remarcando que es preferible no modificar eso (Default Policies), pero en mi caso prefiero tener el DC como un equipo más y probar otras GPOs... después lo vuelvo a Domain Controllers
    viernes, 28 de diciembre de 2018 12:36
  • Pero se nota que hay cosas que no te han explicado :D

    Si no lo estás haciendo en un ambiente de prueba, nunca en el productivo y menos si hay un único Controlador de Dominio, debes saber que hay configuraciones, especialmente de seguridad y de las plantillas administrativas que quedarán aunque deje de aplicarle la GPO

    La única forma es luego aplicarle otra GPO que revierta el cambio, porque al dejar en "no configurado" no vuelve

    Te deseo suerte :) pero ten cuidado :)

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Pedro Alfaro viernes, 28 de diciembre de 2018 18:59
    • Marcado como respuesta Pedro Alfaro jueves, 17 de enero de 2019 18:46
    viernes, 28 de diciembre de 2018 12:50
    Moderador