locked
Cambio de contraseña, acceso denegado. RRS feed

  • Pregunta

  • Buenos dias.

    Tengo un servidor independiente, con un windows server 2008.

     

    Tengo 20 usuarios locales en ella.

     

    Bien, el problema viene que cuando creo un usuario y marco la opcion que en el siguiente inicio de sesion.

     

    Cuando se conectan a los recursos compartidos con el tipico \\servidor, les dice que ha caducado al contraseña o que tiene que cambiarla.

    Bien, les da acceso denegado a la hora de cambiar.

     

    Les tengo que crear una contraseña a mano yo, que se validen en el servidor \\servidor , y una vez que estan validados si les deja cambiarlo.

     

    Antiguamente con un 2003 que teniamos no era asi, tu podrias cambiar la password sin necesidad de estar validado.

     

    ¿Hay alguna directiva local que haga que este funcionamiento sea asi?

    jueves, 29 de julio de 2010 7:49

Respuestas

  • No estoy seguro si solucionarás con esto, pero por lo que he leído el problema puede venir porque al no tener contraseña inicialmene, la sesión inicial se hace con NUL

    Modifica en el registro del servidor
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    Value Name: RestrictAnonymous
    Data Type: REG_DWORD
    Value: 0

    Reinicia el servidor y fíjate si se soluciona

    Ten en cuenta que esto no es lo más recomendable desde el punto de vista seguridad. Lo mejor sería que le pongas contraseña inicialmente a los usuarios.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    viernes, 30 de julio de 2010 11:51
    Moderador
  • Yo puedo ayudar, no dar soluciones :-)

    - Volver a W2003
    - Pasar a ambiente de dominio
    - Que le asignes una contraseña manualmente y que luego los usuarios la cambien

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    lunes, 2 de agosto de 2010 21:03
    Moderador

Todas las respuestas

  • Es un servidor que tu levantaste o estas como administrator de un AD ya realizado?
    IT Field Support Analyst. Continual Service Improvement....ADD Value!!!
    jueves, 29 de julio de 2010 18:49
  • Buenas noches, si tienes un Windows 2008 Server, monta el Active Directory, y mete a todos los usuarios en el Dominio, podrás tener centralizado todos los servicios, mapear las unidades de red automáticamente por GPO´s y tener un sistema más manejable.

    Iván Ricardo de Vicente Sánchez


    Iván Ricardo de Vicente Sánchez
    jueves, 29 de julio de 2010 21:58
  • No deseo eso, ya que es un servidor que esta en un lugar que no controlo.

     

    Quiero que sea y siga siendo grupo de trabajo.

     

    Alguna solucion a mi pregunta.

     

    Gracias por vuestra ayuda.

    viernes, 30 de julio de 2010 6:59
  • No estoy seguro si solucionarás con esto, pero por lo que he leído el problema puede venir porque al no tener contraseña inicialmene, la sesión inicial se hace con NUL

    Modifica en el registro del servidor
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    Value Name: RestrictAnonymous
    Data Type: REG_DWORD
    Value: 0

    Reinicia el servidor y fíjate si se soluciona

    Ten en cuenta que esto no es lo más recomendable desde el punto de vista seguridad. Lo mejor sería que le pongas contraseña inicialmente a los usuarios.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    viernes, 30 de julio de 2010 11:51
    Moderador
  • Buenas tardes Guillermo.

    Si tienen contraseña, de hecho el problema ha venido en que cuando le ha caducado la contraseña a alguien, con la contraseña antigua, intenta cambiarla desde control alt supr, cambio de password, etc, y nada le da acceso denegado.

    Me tengo que meter yo como administrador, ponerle una generica, y una vez se las doy a ellos, y se validan contra el servidor tipo, usuario--> alberto password--> prueba , se validan y ahi si que pueden cambiar la password, el problema viene cuando les caduca, que no les deja cambiarlas, ya que les da acceso denegado constantemente, o si no estan validados al server.

     

    gRACIAS.

    domingo, 1 de agosto de 2010 15:07
  • Has podido cambiar el registro mencionado por guillermo ?
    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos
    lunes, 2 de agosto de 2010 10:52
    Moderador
  • Viene exactamente el registro por defecto como guillermo indica en el servidor, por lo cual no he cambiado nada......son correctos los valores que indica guillermo¿?

     

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    Value Name: RestrictAnonymous
    Data Type: REG_DWORD
    Value: 0

    lunes, 2 de agosto de 2010 11:05
  • Cuantos domain controllers tienes? El controlador de dominio donde has verificado la llave es el PDC emulator ?
    Por otro lado leyendo el comentario de Guille , me recorde de la llave de registro de NullSessionPipes , tal cual dice guillermo en ese caso tu llegas primero con credenciales nulas y si el sistema no las permite ( ya que esto es una brecha de seguridad en algun punto ). 

    Entonces , seria posible probar el procedimiento en la siguiente nota de soporte?

    http://support.microsoft.com/kb/555340


    Por otro lado, podrias confirmarnos version de Service Pack y cantidad de Domain controllers ?

     


    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos
    lunes, 2 de agosto de 2010 11:24
    Moderador
  • Esta en un grupo de trabajo, no hay domains controller.....son todo usuarios locales.

     

    Cuando caduca la contraseña, no pueden cambiarla, les da acceso denegado al hacerlo, tengo que cambiarsela a mano, se validan y cuando estan validados al servidor, entonces ya pueden cambiarla, esto en el windows server 2003 anterior, que estaba exactamente igual, un usuario tenia permisos para cambiar la password cuando le caducaba....

    lunes, 2 de agosto de 2010 11:36
  • Estos son dos eventos cuando intento cambiar la password, me sigue diciendo acceso denegado cuando la password esta caducada.

    EVENTO 1

    Se inició sesión correctamente en una cuenta.

    Sujeto:
        Id. de seguridad:        NULL SID
        Nombre de cuenta:        -
        Dominio de cuenta:        -
        Id. de inicio de sesión:        0x0

    Tipo de inicio de sesión:            3

    Nuevo inicio de sesión:
        Id. de seguridad:        ANONYMOUS LOGON
        Nombre de cuenta:        ANONYMOUS LOGON
        Dominio de cuenta:        NT AUTHORITY
        Id. de inicio de sesión:        0x18b47659
        GUID de inicio de sesión:        {00000000-0000-0000-0000-000000000000}

    Información de proceso:
        Id. de proceso:        0x0
        Nombre de proceso:        -

    Información de red:
        Nombre de estación de trabajo:    PORSIS205PRY
        Dirección de red de origen:    172.26.0.129
        Puerto de origen:        55482

    Información de autenticación detallada:
        Proceso de inicio de sesión:        NtLmSsp
        Paquete de autenticación:    NTLM
        Servicios transitados:    -
        Nombre de paquete (sólo NTLM):    NTLM V1
        Longitud de clave:        128

    Este evento se genera cuando se crea un inicio de sesión. Lo genera el equipo al que se tuvo acceso.

    Los campos de sujeto indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe.

    El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red).

    Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión.

    Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos.

    Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica.
        - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC.
        - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión.
        - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM.
        - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión.

     

    EVENTO 2

     

    Se cerró sesión en una cuenta.

    Sujeto:
        Id. de seguridad:        ANONYMOUS LOGON
        Nombre de cuenta:        ANONYMOUS LOGON
        Dominio de cuenta:        NT AUTHORITY
        Id. de inicio de sesión:        0x18b47659

    Tipo de inicio de sesión:            3

    Este evento se genera cuando se destruye un inicio de sesión. Puede estar correlacionado de manera positiva con un evento de inicio de sesión mediante el valor Id. de inicio de sesión. Los id. de inicio de sesión sólo son únicos entre reinicios en el mismo equipo.

     

     

     

    lunes, 2 de agosto de 2010 11:56
  • Por cierto es un windows server 2008 Standard SP 2 X64, se me paso.
    lunes, 2 de agosto de 2010 12:02
  • Con CTRL+ALT+SUPR lo que se trata de cambiar es la contaseña *local*. No es la del servidor.

    Si está en grupo de trabajo, entonces hay dos usuarios diferentes, aunque se llamen igual y tengan la misma contraseña.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    lunes, 2 de agosto de 2010 19:07
    Moderador
  • Gracias por contestar Guillermo.

    Con CTRL+ALT+SUPR cambiar contraseña, los usuarios lo intentan hacer desde su equipo cliente.

    Visto esto que posible solucion me das¿? ya que de los 20 usuarios, cuando caduca la contraseña ninguno la puede cambiar, y eso con el anterior servidor windows server 2003, no teniamos ningun problema para que el usuario cambiara la password, ahora son constantes acceso denegado.

    lunes, 2 de agosto de 2010 20:46
  • Yo puedo ayudar, no dar soluciones :-)

    - Volver a W2003
    - Pasar a ambiente de dominio
    - Que le asignes una contraseña manualmente y que luego los usuarios la cambien

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    lunes, 2 de agosto de 2010 21:03
    Moderador
  • Por supuesto, bastante ya que me estais intentando ayudar entre todos, pero parece algo comun de los 2008 porque he probado varios, y los usuarios locales cuando caduca la password, no deja cambiarla.

     

    Era por si teniais reportado algun error con 2008 de este tipo.

    martes, 3 de agosto de 2010 7:11
  • No tengo conocimiento del cambio, supongo que es por la "nueva seguridad" en W2008.

    Por eso las alternativas que propuse antes.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    martes, 3 de agosto de 2010 17:17
    Moderador