none
¿Está aplicando correctamente la FGPP (Fine Grained Password Policy)?, ¿Error en OWA? RRS feed

  • Pregunta

  • Apliqué un PSO (Password Settings Object) con ciertos requerimientos, entre ellos que durara la contraseña 60 días.

    Ya lleva aplicada la política 17 días, pero resulta que cuando entro al OWA, me sale el aviso que mi contraseña caduca en 13 días.

    Estoy desconcertado porque a mi contraseña le restan 43 días para caducar, no 13.

    No tengo otras PSOs aplicadas en mi dominio.

    Ya revisé el valor msDS-ResultantPSO y sí corresponde con la PSO que yo creé.

    Otra pista, es que cuando inicio sesión, no me sale el aviso de 'quedan X días, ¿quiére cambiar su contraseña?', este comportamiento lo verifique con otro par de usuarios a los cuales se les aplica el mismo PSO y los comportamientos se repiten.

    ¿Será un error del OWA? Tengo Exchange 2007 SP3.

    martes, 7 de septiembre de 2010 13:20

Respuestas

  • Socio, con clientes Windows XP está documentado que salta aún así un aviso que no se correspondo con la política de PSO; igualmente MS dice de ignorar el mensaje y en teoría funciona correctamente.

    En OWA no sé si sucederá lo mismo, pero es posible que el mensaje lo muestre tomando como referencia la GPO de dominio, y pasado el tiempo, aunque salte el aviso, sea la PSO la que se quede efectiva y pueda ser obviado.

    Tal vez si tienes un laboratorio de prueba puedas configurar una GPO de contraseñas por deominio para que caduqen en 1 día, y una PSO como ahora para 15 y ver si sucede así o por el contrario el Exchange no consulte este atributo y por tanto tenga el fallo :-(

     


    -------- Salu2!! Javier Inglés https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0 MS MVP, Windows Server-Directory Services. Microsoft Active Professional 2010
    martes, 7 de septiembre de 2010 16:12

Todas las respuestas

  • Socio, con clientes Windows XP está documentado que salta aún así un aviso que no se correspondo con la política de PSO; igualmente MS dice de ignorar el mensaje y en teoría funciona correctamente.

    En OWA no sé si sucederá lo mismo, pero es posible que el mensaje lo muestre tomando como referencia la GPO de dominio, y pasado el tiempo, aunque salte el aviso, sea la PSO la que se quede efectiva y pueda ser obviado.

    Tal vez si tienes un laboratorio de prueba puedas configurar una GPO de contraseñas por deominio para que caduqen en 1 día, y una PSO como ahora para 15 y ver si sucede así o por el contrario el Exchange no consulte este atributo y por tanto tenga el fallo :-(

     


    -------- Salu2!! Javier Inglés https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0 MS MVP, Windows Server-Directory Services. Microsoft Active Professional 2010
    martes, 7 de septiembre de 2010 16:12
  • Javier:

    Sucedió que a un usuario desde el jueves pasado en el OWA le mostraba 'Su contraseña caduca hoy', y todavía hasta el día de hoy le mostraba el mismo mensaje. Pero el usuario podía entrar a su OWA normalmente y a su equipo también.

    El problema, es que queremos implementar las PSOs para ir implementando poco a poco una política de contraseñas más complejas, pero el OWA, al no avisar bien cuando caduca la contraseña, los usuarios externos no sabrán cuando exactamente cambiar su contraseñas. Entonces van a ser más llamadas a soporte cuando caduquen, en vez de que ellos mismos la cambien antes de que expiren. :S

    Tal vez haya un hotfix, desconozco.

    lunes, 13 de septiembre de 2010 14:57
  • No,de momento parece que no, desconozo ahora mismo si con Exchange 2010 SP1 sucede igual :-(

    Mira posi acaso también el RU1 para Exchange 2007 SP1

    http://www.microsoft.com/downloads/details.aspx?FamilyID=AE45D06E-DCB7-43D8-B1FF-D3953836425B&displaylang=de&displaylang=en


    -------- Salu2!! Javier Inglés https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0 MS MVP, Windows Server-Directory Services. Microsoft Active Professional 2010
    martes, 14 de septiembre de 2010 6:49
  • Lo instalaré a ver si se corrige el problema.

    Gracias.

    martes, 14 de septiembre de 2010 16:38
  • Ahora tengo problemas para instalar el RU1 para SP3 :(

    Me sale este mensaje:

    "El instalador no tiene suficientes privilegios para modificar el archivo: "C:\Program Files\Microsoft\Exchange Server\RelNotes.htm"

    ¿Debo de hacer otro post con este problema?

    Nota: Estoy usando cuenta de administrador de dominio, además revisé los permisos efectivos sobre ese archivo y tengo control total. Eso sí, no soy propietario de ese archivo, y bueno en toda la carpeta de Exchange Server\ el propietario es SYSTEM, ¿debería de cambiar de propietario a mi cuenta de administrador de dominio (O la de equipo\administradores) sobre la carpeta Exchange Server\ y todo su contenido?

    miércoles, 22 de septiembre de 2010 13:52
  • Elige el instalador del RollUp, y botón derecho sobre él-->Ejecutar como administrador


    -------- Salu2!! Javier Inglés https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0 MS MVP, Windows Server-Directory Services. Microsoft Active Professional 2010
    miércoles, 22 de septiembre de 2010 14:49
  • Si, ya había intentado eso, lo curioso es que no me aparece esa opción (ejecutar como administrador), ni con click derecho, ni con shift + click derecho.
    miércoles, 22 de septiembre de 2010 16:38
  • Y has tocado o modificado algo para que el UAC no esté activo? o si es un 2008 (no 2008 R2), puedes usar el comando RunAs
    -------- Salu2!! Javier Inglés https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0 MS MVP, Windows Server-Directory Services. Microsoft Active Professional 2010
    jueves, 23 de septiembre de 2010 6:37
  • No, no he modicado algo de la UAC, tiene la configuración default. Si es 2008 (SP2), pero, ¿con qué parámetros corro el runas?

    Ejecuté: runas /env /noprofile /user:dominio\user Exchange2007-KB2279665-x64-ES.msp

    Y me sale:

    ERROR RUNAS: no se puede ejecutar - Exchange2007-KB2279665-x64-ES.msp
    193: Exchange2007-KB2279665-x64-ES.msp no es una aplicación Win32 válida.

    jueves, 23 de septiembre de 2010 16:15
  • Lo volví a descargar por si estuviera dañado el RU.

    Pero sale lo mismo de que "no es una aplicación Win32 válida."

    Vi la liga de lo que corrige el RU1, pero no dice nada sobre las FGPPs:

    http://support.microsoft.com/kb/2279665/en-us

    jueves, 23 de septiembre de 2010 16:36
  • ¿Nadie? :(
    viernes, 8 de octubre de 2010 17:41