none
Problemas con directiva de contraseñas RRS feed

 > 

  • Pregunta

  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar

    Buenos días,

    Me encuentro hace unos meses administrando un AD con nivel de 2008r2

    En el se ha creado una OU que aloja a usuarios servidores y equipos en subcontenedores separados.

    Para el tema de contraseñas estaban definidas la "default domain policy" la "default domain controllers policy" y cada subcontenedor tenía una gpo asociada con configuración para usuarios equipos y servidores.

    El tema de las contraseñas me he podido enterar que nunca ha funcionado muy bien y el administrador anterior simplemente le había marcado a los usuarios el "passwords never expires".

    Ahora necesito que la política le haga caducar la contraseña a todos los usuarios cada 6 meses, que exija minimo 7 caracteres y sin complejidad.

    He hecho estos cambios en la GPO de la OU de los usuarios y me sigue pidiendo la complejidad. Ahora he hecho lo mismo en todas las gpo, hasta en las default y me sigue exigiendo la complejidad, no puedo poner una contraseña 12345678 ni al cambiar la de mi usuario ni al crear uno nuevo.

    Alguna idea de lo que puede estar pasando???

    jueves, 7 de noviembre de 2013 8:19
    |

Respuestas

  • Question
    Inicie sesión para votar
    1
    Inicie sesión para votar

    Hola tedlwer,

    Si no te he entendido mal has definido la política de contraseñas en dos GPOs diferentes. A rasgos generales en lo que a políticas se refiere lo que has hecho "estaría bien", tener políticas diferentes en GPOs asociadas a OUs distintas. Sin embargo estamos tratando con las políticas de contraseñas que son harina de otro costal. Solo se puede definir una política de contraseñas única por dominio, que es básicamente lo que te está fallando. Has definido una política en la "default domain policy" y otra en la "default domain controllers policy". Yo eliminaría la política de la GPO "default domain controllers policy" (OJO, la política de contraseñas NO LA GPO!!).

    Como comentas que tienes Windows Server 2008 R2 te puede interesar saber que a partir de 2008 se introdujo la posibilidad de definir políticas de contraseñas diferentes para grupos de usuarios diferentes. Te paso un par de enlaces que quizás te puedan ayudar un poco más (me temo que están en inglés):

    Un saludo y espero que te sirva

    Twitter 

    • Marcado como respuesta tedlwer lunes, 11 de noviembre de 2013 11:15
    jueves, 7 de noviembre de 2013 8:43
    |

Todas las respuestas

  • Question
    Inicie sesión para votar
    1
    Inicie sesión para votar

    Hola tedlwer,

    Si no te he entendido mal has definido la política de contraseñas en dos GPOs diferentes. A rasgos generales en lo que a políticas se refiere lo que has hecho "estaría bien", tener políticas diferentes en GPOs asociadas a OUs distintas. Sin embargo estamos tratando con las políticas de contraseñas que son harina de otro costal. Solo se puede definir una política de contraseñas única por dominio, que es básicamente lo que te está fallando. Has definido una política en la "default domain policy" y otra en la "default domain controllers policy". Yo eliminaría la política de la GPO "default domain controllers policy" (OJO, la política de contraseñas NO LA GPO!!).

    Como comentas que tienes Windows Server 2008 R2 te puede interesar saber que a partir de 2008 se introdujo la posibilidad de definir políticas de contraseñas diferentes para grupos de usuarios diferentes. Te paso un par de enlaces que quizás te puedan ayudar un poco más (me temo que están en inglés):

    Un saludo y espero que te sirva

    Twitter 

    • Marcado como respuesta tedlwer lunes, 11 de noviembre de 2013 11:15
    jueves, 7 de noviembre de 2013 8:43
    |
  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar

    Hola,

    Entendido, lo que haré entonces es eliminar la política de contraseña de todas las GPO y definirla solo en la "default domain policy" es correcto?

    Una duda, para borrar la directiva de contraseñas de una GPO entiendo que hay que editarla y dentro de directiva de contraseñas quitarle la marca "definir esta configuración de directiva" a cada uno de los elemento. Es correcto?

    Un saludo y gracias.

    jueves, 7 de noviembre de 2013 9:25
    |
  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar
    Correcto en ambos casos ;)

    Twitter 

    jueves, 7 de noviembre de 2013 9:26
    |
  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar

    Hola Santi,

    He estado haciendo pruebas y nada.

    Mi AD está distribuido de la siguiente forma:

    Dominio.local

                        OU xxx

                                      Usuarios

                                      Equipos

                                      Servers

    Tengo una política para usuarios, una para equipos y una para servers, cada una de ellas vinculada al contenedor que le toca. He hecho los cambios que me habías comentado y ahora solo hay política de contraseñas en la default domain policy.

    Con esta configuración no me permite contraseñas sin complejidad.

    Luego he visto que la default domain policy no estaba vinculada a nada, y a he vinculado a dominio.local por probar y tampoco nada.

    No se si es algún problema de vínculos con el dominio o la OU o que puede estar pasando.

    Aver si a ti se te ocurre algo....

    Un saludo y gracias.

       

    viernes, 8 de noviembre de 2013 8:26
    |
  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar
    Has hecho un RSOP (gpresult) para ver que GPO es la que prevalece? Otra cosa que puedes hacer es usar la consola MMC "Resultant Set of Policy" y buscas diractamente la política en cuestión que te dirá cual es la GPO prevalente.

    Twitter 

    viernes, 8 de noviembre de 2013 13:38
    |
  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar

    Hola Santi,

    Ya esta resuelto, las políticas se aplicaban bien, pero en la default policy en la parte de complejidad lo había puesto como no configurado en lugar de ponerlo como deshabilitado. Ya funciona gracias.

    He estado buscando por aquí si existe alguna forma de deshabilitar usuarios de AD luego de x meses de no utilizar la cuenta y no he encontrado nada, tienes idea de si se puede hacer?

    Un saludo.

    Ted

    lunes, 11 de noviembre de 2013 11:15
    |
  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar

    Me temo que la única forma que hay, sin acudir a herramientas de terceros, es programando un script que se ejecute de forma periódica, busque esos usuarios con el criterio que definas y los deshabilite. Otra forma, aunque muchísimo más artesanal, es que te hagas una búsqueda personalizada en la consola Usuarios y equipos de Active Directory para que te devuelva el listado de esos usuarios y luego los deshabilites tu a mano.

    De todas formas si puedes iniciar otro hilo con esta pregunta, mejor que mejor, así la podrá ver más gente y darte otras respuestas (tu sabe, uno no tiene el conocimiento universal ;))

    Twitter 

    lunes, 11 de noviembre de 2013 11:28
    |