none
Cambio de password miembro del Dominio RRS feed

  • Pregunta

  • Buenas señores, como estan? Espero que muy bien.

    Estaria necesitando de su OPINION a ver que les parece la gpo que cree para hacer que los usuarios del dominio cambien sus contraseñas en un periodo de 180 dias.

    Quisiera saber si me faltaria agregar alguna definicion mas


    miércoles, 20 de diciembre de 2017 21:52

Respuestas

  • Hola Diego, primero que nada aclarar que no hay una "receta universal" porque todo depende del ambiente, de la seguridad requerida por la organización, etc. etc. resumiendo muchos factores que dependen de esta y cómo se administra

    En general, cambiar los parámetros por omisión implica que alguien sabe por qué lo está haciendo y no si 180 días es poco o es mucho

    Lo mismo que cambiar el valor por omisión de las contraseñas de la cuenta de máquina, que no tiene relación con cuentas de usuario

    Lo que sí creo que no estás teniendo en cuenta es que todo lo que sea Directivas de cuenta se aplican únicamente en la "Default Domain Policy", en ninguna otra surtirá efecto, y además es válido para absolutamente todos los usuarios

    A partir de W2012 se pueden hacer que diferentes grupos de usuarios tengan distintas directivas de cuenta, pero requiere un procedimiento específico

    Windows Server 2012 – Fine-grained Passwords and Account Lockout Policy | WindowServer
    https://windowserver.wordpress.com/2012/06/08/windows-server-2012-fine-grained-passwords-and-lockout/

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta Diego Ruggi jueves, 21 de diciembre de 2017 15:46
    miércoles, 20 de diciembre de 2017 23:06
    Moderador
  • No es en la "Default Domain Controllers Policy"

    Tiene que ser en la "Default Domain Policy" para las políticas de cuentas de usuario

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Pablo RubioModerator viernes, 22 de diciembre de 2017 15:40
    • Marcado como respuesta Diego Ruggi martes, 26 de diciembre de 2017 15:50
    jueves, 21 de diciembre de 2017 19:55
    Moderador
  • Si no aparece la "Default Domain Policy" no sólo "han tocado", "han tocado mal mal" :)

    Hay un comando llamado DCGPOFIX que puedes ejecutar desde una línea de comandos ejecutada como administrador, que puede volver al estado inicial ambas GPOs creadas por omisión. Prueba primero con DCGPOFIX /? a ver qué modificadores te conviene, porque cambian de acuerdo a la versión del sistema operativo

    Otra opción, es crear en un ambiente de prueba un Dominio, y luego en forma manual, volver a recrear la "Default Domain Policy" copiando las configuraciones

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 26 de diciembre de 2017 20:45
    Moderador

Todas las respuestas

  • Hola Diego, primero que nada aclarar que no hay una "receta universal" porque todo depende del ambiente, de la seguridad requerida por la organización, etc. etc. resumiendo muchos factores que dependen de esta y cómo se administra

    En general, cambiar los parámetros por omisión implica que alguien sabe por qué lo está haciendo y no si 180 días es poco o es mucho

    Lo mismo que cambiar el valor por omisión de las contraseñas de la cuenta de máquina, que no tiene relación con cuentas de usuario

    Lo que sí creo que no estás teniendo en cuenta es que todo lo que sea Directivas de cuenta se aplican únicamente en la "Default Domain Policy", en ninguna otra surtirá efecto, y además es válido para absolutamente todos los usuarios

    A partir de W2012 se pueden hacer que diferentes grupos de usuarios tengan distintas directivas de cuenta, pero requiere un procedimiento específico

    Windows Server 2012 – Fine-grained Passwords and Account Lockout Policy | WindowServer
    https://windowserver.wordpress.com/2012/06/08/windows-server-2012-fine-grained-passwords-and-lockout/

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta Diego Ruggi jueves, 21 de diciembre de 2017 15:46
    miércoles, 20 de diciembre de 2017 23:06
    Moderador
  • Excelente aclaracion Guillermo, muchas gracias.

    Lo que queria saber es si me faltaba algun campo mas primordial para que se cumpla que a los 180 dias se cambien las contraseñas, y tal cual como decis no hay receta universal como otras GPO's.

    "Lo que sí creo que no estás teniendo en cuenta es que todo lo que sea Directivas de cuenta se aplican únicamente en la "Default Domain Policy", en ninguna otra surtirá efecto, y además es válido para absolutamente todos los usuarios"

    Tenes razon en este comentario jajaja. no iba aplicarse nunca, tengo w2008 y lo deberia cambiar la gpo por default "Default Domain  Controller Policy" como me explicas ( se me escapo ).

    Gracias por el articulo del windows 2012!!

    jueves, 21 de diciembre de 2017 15:46
  • Pongo en duda algo, ya que tengo que cambiar en la GPO que me indicas.

    Yo en mi busque tengo lo siguiente y en la carpeta "Domain Controllers", aun efectuando los nuevos cambios de contraseñas, se aplicaran? Disculpen por la ignorancia.

    jueves, 21 de diciembre de 2017 19:45
  • No es en la "Default Domain Controllers Policy"

    Tiene que ser en la "Default Domain Policy" para las políticas de cuentas de usuario

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Pablo RubioModerator viernes, 22 de diciembre de 2017 15:40
    • Marcado como respuesta Diego Ruggi martes, 26 de diciembre de 2017 15:50
    jueves, 21 de diciembre de 2017 19:55
    Moderador
  • Buenas Guillermo, feliz navidad y espero que la hayas pasado bien.

    La verdad no me aparece el "Default Domain Policy", solo tengo el "Default Domain Controllers Policy", tengo miedo que hayan tocado algo como cambiar el nombre o borrado.

    Me fijare.

    martes, 26 de diciembre de 2017 16:24
  • Si no aparece la "Default Domain Policy" no sólo "han tocado", "han tocado mal mal" :)

    Hay un comando llamado DCGPOFIX que puedes ejecutar desde una línea de comandos ejecutada como administrador, que puede volver al estado inicial ambas GPOs creadas por omisión. Prueba primero con DCGPOFIX /? a ver qué modificadores te conviene, porque cambian de acuerdo a la versión del sistema operativo

    Otra opción, es crear en un ambiente de prueba un Dominio, y luego en forma manual, volver a recrear la "Default Domain Policy" copiando las configuraciones

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 26 de diciembre de 2017 20:45
    Moderador
  • Gracias Guillermo, siempre al pie del cañon jajaja.

    Voy hacer eso que me indicas.

    Muchas gracias por toda la ayuda!

    Saludos!

    miércoles, 27 de diciembre de 2017 17:35