none
GPO de bloqueo de cuenta para administradores. RRS feed

  • Pregunta

  • Hola, tengo una duda.

    En la empresa donde trabajo tenemos una GPO (Default Domain Policy) en la que tenemos configuradas los bloqueos de cuenta para todos los usuarios del dominio y he probado a crear una GPO y ponerla por encima de la Default Domain Policy en la que les digo que a los usuarios administradores no se les active el bloqueo de cuenta.

    Pensaba que esto funcionaria ya que por ejemplo tengo creada una para que determinados equipos no se auto bloqueen pasados x minutos y si que fnciona, pero esta del bloqueo de cuentas no funciona y las cuentas de administrador se me bloquean igualmente.

    Todo esto es porque me gustaria evitar que las cuentas de administrador puedan bloquearse sin tener que definir que las Default Domain Policy afecten solo a los usuarios normales del dominio.

    Alguna idea?

    Muchas gracias.

    lunes, 26 de septiembre de 2016 15:09

Todas las respuestas

  • Puedes lograrlo de varias formas:

    1. Agrupar los usuarios en alguna OU y bloquear la herencia
    2. Editar la seguridad de la GPO y denegar la lectura al grupo que contenga los usuarios deseados.

    Ahora bien, yo no te recomendaría por motivos de seguridad que elimines el bloqueo de cuentas con privilegios elevados, porque estarías vulnerable a  un ataque de fuerza bruta.

    lunes, 26 de septiembre de 2016 15:32
    Moderador
  • Hola Manuel, podrías usar este procedimiento: (está en español, sólo el título en inglés)

    Windows Server 2012 – Fine-grained Passwords and Account Lockout Policy | WindowServer:
    https://windowserver.wordpress.com/2012/06/08/windows-server-2012-fine-grained-passwords-and-lockout/

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M martes, 27 de septiembre de 2016 14:28
    • Votado como útil Moderador M martes, 4 de octubre de 2016 21:36
    lunes, 26 de septiembre de 2016 15:33
    Moderador
  • Puedes lograrlo de varias formas:

    1. Agrupar los usuarios en alguna OU y bloquear la herencia
    2. Editar la seguridad de la GPO y denegar la lectura al grupo que contenga los usuarios deseados.

    Ahora bien, yo no te recomendaría por motivos de seguridad que elimines el bloqueo de cuentas con privilegios elevados, porque estarías vulnerable a  un ataque de fuerza bruta.

    Hola, si me puedes dar algunos pasos para hacer alguna de las dos opciones te lo agradeceria.

    En cuanto a que no me lo recomiendas, justamente tenemos este debate en el equipo de I.T. Mi teoria es que si sufrimos jutamente un ataque de fuerza bruta con la configuracion actual, nos bloquearian todas las cuentas, dejandonos sin poder acceder a ningun sitio de la red de la empresa.

    Un ataque de fuerza bruta si la contraseña es fuerte tarda muchisimo en dar buen resultado y aqui los pass los cambiamos una vez al mes.

    Ahora mirare los enlaces que me han pasados los otros dos usuarios a ver si veo algo mas.

    Gracias

    martes, 27 de septiembre de 2016 6:56