none
Configuración directivas de cuenta RRS feed

  • Pregunta

  • Entorno: windows 7 cliente  DC: wi2003 SE

    A mi me pasa algo curioso, en una misma OU, los usuarios pueden cambiar la contraseña y otros no. (Al cabo del tiempo de caducidad de contraseña 60 dias)

    Cuando les pone que deben cambiar la contraseña, no la pueden cambiar, y no es por la contraseña no tenga la complejadad.

    Les pone... la contraseña EXPIRO, podría ser por que les ha advertido previamente de que la cambien y no lo han echo...

    Ningun usuario que puede cambiar, es usuario administrador.

    Un par de preguntas faciles

    1º  historial de contraseña con valor 24, es que no deja repetir hasta 24 cambios la contraseña no?

    2º Lo de almacenar contraseñas usando reversible al estar desactivado, no puedo yo ver la contraseña, aunque en la cuenta de usuario lo haya habilitado? ¿Como se vería?

    3º Edad maxima de renovación de tickets...?

    4º Vigencia maxima del vale de servicio/usuario?

    Un saludo. y gracias por vuestro tiempo.



    jueves, 1 de septiembre de 2016 7:00

Respuestas

  • Con permisos me refiero a la ficha "Seguridad" sobre las cuentas de usuario, y además hay que ver de dónde los está heredando (puede ser Unidad Organizativa o aún Dominio). Aunque no recuerdo si  W2003 te permite verlos como en W2012R2, recuerda poner la opción de menú "View / Advanced"

    Cuidado con el cambio de Dominio, será otro diferente aunque se llame igual o diferente, eso implica que además debes volver a poner los permisos correctos sobre todos los recursos compartidos de la red, crear los grupos, etc. etc.

    Todo lo que use "NombreDominio\Usuario" no funcionará porque internamente no usa el nombres sino el SID (ID de seguridad análogo a un número de documento personal)

    En los puestos de trabajo al pasarlo al nuevo Dominio dejan de recibir todas las configuraciones de GPOs del Dominio, para comenzar a recibir las del nuevo. No lo pases directamente, primero a grupo de trabajo y luego al nuevo Dominio

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M lunes, 12 de septiembre de 2016 16:37
    • Marcado como respuesta Moderador M viernes, 16 de septiembre de 2016 17:19
    lunes, 12 de septiembre de 2016 11:08
    Moderador
  • Finalmente ya se lo que era: en fin.. matarme es poco

    La directiva local del dc, tenia puesta que el usuario, no podía cambiar la contraseña mas de un dia.

    Yo se la cambiaba, y ponía, la opción, o no depende de.... que en el próximo inicio cambie la contraseña.

    Con lo cual creaba un bucle, que obligaba al usuario a cambiar contraseña al iniciar con la contraseña que yo le hbia dicho y no iniciaba.

    Si el usuario entraba, si yo no marcaba esa casilla, luego al cabo de 90 días ya podía.

    Sobre todo por que, quite la complejidad... y puse que recordará solo 3.

    Hice un gpupdate /forcé al DC... y parece que ya se va ordenando todo :D

    miércoles, 17 de mayo de 2017 14:32

Todas las respuestas

  • Hola Alfonso Silván, dividí la pregunta porque en realidad y por las preguntas que haces me pareció que es otro tema diferente

    Un usuario puede cambiar su contraseña, pero por supuesto antes que expire y que cumpla los requerimientos de la directiva de cuentas

    Respondo las preguntas con tu numeración

    1° Exactamente eso, no le dejará poner una de las 24 anteriormente usadas

    2° Almacenar la contraseña en formato con cifrado reversible, no tiene relación con si puedes verla o no, nunca la verás. Era un requerimiento de algunos protocolos de autenticación muy antiguos, por ejemplo CHAP (no MS-CHAP)

    3° y 4° Sería muy largo explicarlo acá, pero está relacionado con los "Tickets" de Kerberos. Por cuánto tiempo un "Ticket" para acceder a un servicio es válido, y cuál es el tiempo máximo que puede renovarlo sin exponer la información relacionada a su contraseña

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M jueves, 1 de septiembre de 2016 15:43
    jueves, 1 de septiembre de 2016 10:30
    Moderador
  • 3 y 4 no tocar... jejejejej

    2 lo mismo...

    1 le pondre 3 veces... anda... para que puedan repetir el cumple del niño...

    Dices que el usuario debe cambiar la contraseña antes de que expire, osea que dias antes les ha dicho que lo cambien verdad.... (Ellos me aseguran que no les avisa nunca...) y han echo caso omiso verdad... Puedo prolongar el tiempo en que les advierta... no se.. 10 dias. Y si despues de esos 10 dias no lo cambia que pasa. ?Cumple la complejidad por que voy personalmente yo donde el usuario, y le digo pon  pepe@1793  que es perfectamente complejo y NADA

    de echo se la tengo que cambiar yo.. y poner que no caduque...

    Gracias.

    jueves, 1 de septiembre de 2016 20:11
  • Con cuánto tiempo notifica al usuario que debe cambiar la contraseña es la GPO "Default Domain Controllers Policy", en "Computer configuration / Policies / Windows Settings / Security Settings / Local Policies / Security Options / Intercative logon: Prompt user to change password before expiration" que en W2012R2 es 5 días, y en los sistemas "viejos" era 14

    Si no lo avisa, revisa esa configuración. U otra posibilidad ¿se ha cambiado algo con alguna GPO sobre la pantalla de inicio de sesión?

    Sólo espero que no hayas cambiado los permisos en los objetos de Active Directory, porque ahí va ser más difícil :)

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M viernes, 2 de septiembre de 2016 16:11
    viernes, 2 de septiembre de 2016 10:41
    Moderador
  • Efectivamente esta en los 14 dias por defecto... Les he cambiado a 3 veces el historial de contraseñas repetidas..

    Pero osea que si pasados esos 14 dias el usuario no la cambia... que pasa... que no le deja iniciar sesion?

    Es que creo que es lo que ha pasado... pero luego vamos a poner una contraseña con mayuscualas, minus, numericos y alfanumericos... y nada... Tengo que ir yo y decir que la contraseña no caduca y pornersela.

    AL usuario le pone "la contraseña Expiro"

    viernes, 2 de septiembre de 2016 23:39
  • Hola Alfonso, pasados los 14 días le presenta el cuadro de cambio, y si no la cambia no ingresa

    Entiendo que son cuentas de usuarios de Dominio ¿es así?

    Porque la posibilidad que me da para pensar es que se hayan cambiado los permisos a nivel de AD ¿han estado haciendo cambios por allí? :)

    En Usuarios y Equipos de AD, con la vista avanzada, sobre cada objeto se puede ver la ficha Seguridad, y con el botón Avanzadas puedes ver los permisos del objeto; ahí hay también un botón "Restore Defaults"

    Deberías recordar si han hecho algún cambio de permisos, pero por el problema me da que es en la "Default Domain Controllers Policy" o en la "Default Domain Policy", aunque si les sucede a usuarios que estén en una determinada OU, podría ser también ahí

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 5 de septiembre de 2016 11:01
    Moderador
  • Osea que pasados esos 14 dias, unicamente es que les obliga a cambiar la contraseña verdad? Pero siempre debiera dejarles cambiar la contraseña con Mayusculas, numero etc...

    No contener el nombre de cuenta del usuario o partes del nombre completo del usuario en más de dos caracteres consecutivos
    Tener una longitud mínima de seis caracteres
    Incluir caracteres de tres de las siguientes categorías:
    Mayúsculas (de la A a la Z)
    Minúsculas (de la a a la z)
    Dígitos de base 10 (del 0 al 9)
    Caracteres no alfanuméricos (por ejemplo, !, $, #, %)

    Son cuentas de usuario de dominio, no elevadas de ninguna manera, ni en los Puestos ni en el DC.

    Te adjunto pantallazo, de lo que me comenta de permisos: De esa zona de la captura no he realizado ningún cambio.

    Te adjunto panallaazos de las GPOS default...

    y estas otras:

    Y el orden de las GPOS

    Las tenia marcadas como cuentas que no caduca la contraseña, mientras solucionaba el problema, siempre estuvieron así, y luego fue cuando hace un año, me propuse obligarles a cambiar la contraseña, ya que lo hacian asi para otro servicios ( Que chuulo sería integracion LDAP de las contraseñas de todas las aplicaciones ;)) bueno, pues le acabo de poner a dos usuario que en el proximo inicio de sesíon cambien la contraseña... a ver si les deja, y he quitado lo de que la contraseña no caduca. Si la pueden cambiar, no es tema de permisos...

    Gracias por tu tiempo.


    lunes, 5 de septiembre de 2016 13:23
  • Revisa un detalle, si no me falla la memoria el hecho de exigir contraseñas complejas implica que el mínimo son 7 caracteres. No creo pero que no vaya a ser eso lo que provoca el inconveniente ;)

    Que no caduquen no implica para nada que el propio usuario no la pueda cambiar

    No tengo al alcance ningún W2003 que sea Controlador de Dominio, fueron actualizados apenas se extinguieron los dinosaurios :D

    Pero si comparo los permisos que muestras con los de un W2012R2 son bastante diferentes, inclusive hay uno específico que es "SELF Allow Change Password"

    El problema que vas a tener es que en W2003 creo recordar que no existe la posibilidad de "resetear" los permisos

    Si pudes instala y promueve un DC (virtual o real) con W2003, y sin tocar nada por omisión comparar los permisos

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M lunes, 5 de septiembre de 2016 16:32
    lunes, 5 de septiembre de 2016 16:00
    Moderador
  • Lo primero Gracias por tu tiempo.

    Muy probablemente, cambie YA a win 2012, tengo la tentación de esperar a win 2016, pero nunca me gusta poner el primer server a principios... prefiero que este bien documentado.

    Que pantalla debo comparar??? La primera de esta serie de fotos?

    PD:

    Por cierto: viendo que  el problema es de una mala configuración o que se toco incorrectamente algo, aunque repito algunos pueden cambiar... hoy de echo probé a pedir a un usuario que cambiara la contraseña, por que puse que en el siguiente inicio de sesión, lo hiciera y no podía, y le puse bien compleja Madrid@1980 y nada.

    Podría revisar supongo el visor de evento de la maquina o del DC...

    Viendo que el server puede tener fallos, "invisibles", quizás prepare el nuevo DC w2012, en otra red, prepare bien las GPOS, y las cositas que les quiero poner, Auditoria de W/R sobre files, escritorio sincronizado con cuota de MB y alguna ROLE que vea intersante. Probablemente otro server replicando y asi hacer  DFS de los WORD, y de los escritorios SINCRONIZADOS.

    Para que el día que vaya a ponerlo en producción, solo sea sacar las maquinas de dominio... y meterlo en el nuevo. Las maquinas por sacar de dominio, y meterlo al nuevo con otro nombre, pero mismas IPS DNS y rango etc. No pasara nada raro... son 50 Puestos y en breves tendré becario ;)

    lunes, 5 de septiembre de 2016 19:36
  • Lo que debes comparar y eventualmente corregir son los permisos, yo comenzaría por un usuario normal, y luego ir subiendo, pero prestando mucha atención a qué permisos son heredados y a qué tipo de objetos se aplican, no va a ser fácil

    Si, por supuesto siempre hay que mirar el visor de sucesos, no lo nombré porque es siempre lo primero a revisar. Tanto en el Controlador de Dominio como en el client

    Cuidado con ese proceso de cambio de Dominio, que no es tan fácil todo

    El Dominio será otro, aunque se llame igual, los usuarios serán otros aunque se llamen igual, entre otras cosas perderán sus perfiles, repetir direcciones IPs es casi seguro que te traiga problemas tanto porque no pueden convivir como por la información "cacheada" o en archivos HOSTS y LMHOSTS, y más todavía

    Si vas a hacer eso te recomiendo primero hagas una prueba en ambiente separado, quizás en virtual te resulte más fácil

    Recuerda que además hay herramientas para hacer migración entre Dominios como por ejemplo ADMT ("Active Directory Migration Toll"), y de terceros

    Nunca es fácil cambiar el Dominio ...

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M martes, 6 de septiembre de 2016 14:37
    • Marcado como respuesta Moderador M viernes, 9 de septiembre de 2016 15:34
    • Desmarcado como respuesta Moderador M lunes, 12 de septiembre de 2016 16:37
    lunes, 5 de septiembre de 2016 21:07
    Moderador
  • Corregir los permisos de donde. ¿?¿ De la segunda captura?? donde esta victor muñiz?De todas las capturas que pase, cuales son las de permisos. Ya tengo un usuario que puede cambiar la contraseña sin problema cada x tiempo.

    Sobre lo de migrar, no me refiero a mantener el nombre... realmente en los puestos quiero mantener las máquinas, sacarlas de dominio por la noche. Encender el nuevo server ya super comprobado en otra red fisica distinta, que se cumple todo lo que quiero del DC NUEVO.

    Mantendria la misma ip del DC, DNS (el mismo DC), Lo unico si entiendo que en la carpeta perfiles de cada puesto. Se generaria en cada puesto, un nuevo perfil   pedro.sachez@ohnsr.local pasaria a pedro.sanchez@ ohnsrw2012.local... algo asi. Los puestos tienen, word sencellito, webmail roundcube, adobe y favoritos no me preocupa. Las impresoras las instalo siempre con admin local, aunque puede que esta vez lo haga por windows server, si veo ventajas.

    Y meter las máquinas en dominio que son 5 min por puesto. Mi problema es si en los puestos que han pertenecido a un dominio win 2003, dejarían algo.


    domingo, 11 de septiembre de 2016 16:36
  • Con permisos me refiero a la ficha "Seguridad" sobre las cuentas de usuario, y además hay que ver de dónde los está heredando (puede ser Unidad Organizativa o aún Dominio). Aunque no recuerdo si  W2003 te permite verlos como en W2012R2, recuerda poner la opción de menú "View / Advanced"

    Cuidado con el cambio de Dominio, será otro diferente aunque se llame igual o diferente, eso implica que además debes volver a poner los permisos correctos sobre todos los recursos compartidos de la red, crear los grupos, etc. etc.

    Todo lo que use "NombreDominio\Usuario" no funcionará porque internamente no usa el nombres sino el SID (ID de seguridad análogo a un número de documento personal)

    En los puestos de trabajo al pasarlo al nuevo Dominio dejan de recibir todas las configuraciones de GPOs del Dominio, para comenzar a recibir las del nuevo. No lo pases directamente, primero a grupo de trabajo y luego al nuevo Dominio

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M lunes, 12 de septiembre de 2016 16:37
    • Marcado como respuesta Moderador M viernes, 16 de septiembre de 2016 17:19
    lunes, 12 de septiembre de 2016 11:08
    Moderador
  • Finalmente ya se lo que era: en fin.. matarme es poco

    La directiva local del dc, tenia puesta que el usuario, no podía cambiar la contraseña mas de un dia.

    Yo se la cambiaba, y ponía, la opción, o no depende de.... que en el próximo inicio cambie la contraseña.

    Con lo cual creaba un bucle, que obligaba al usuario a cambiar contraseña al iniciar con la contraseña que yo le hbia dicho y no iniciaba.

    Si el usuario entraba, si yo no marcaba esa casilla, luego al cabo de 90 días ya podía.

    Sobre todo por que, quite la complejidad... y puse que recordará solo 3.

    Hice un gpupdate /forcé al DC... y parece que ya se va ordenando todo :D

    miércoles, 17 de mayo de 2017 14:32
  • Ja ja ja me alegro solucionaras el tema

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 17 de mayo de 2017 17:04
    Moderador