none
GPO para contraseñas no se aplica en los Usuarios RRS feed

  • Pregunta

  • Buenos Días,

    Estoy creando una GPO para que cada Usuario cambie su clave cada 90 Días pero aunque aparentemente dando un gpupdate /force se aplican las Directivas de Equipo normalemente no sucede eso en la practica, es decir no le aparece a los Usuarios la opcion cambiar de Clave.

    He intentado de 3 formas crear esta regla, primero por la consola de Administracion de Active Directory, luego por la administracion de Directivas de Grupo editando la Default Domain Policy y finalmente agregando una nueva gpo al dominio pero nada.

    Por favor agradecer su ayuda.


    Daniel Diaz.

    miércoles, 3 de febrero de 2016 14:23

Respuestas

  • Podrías, por ejemplo, seleccionar grupos de usuarios (no lo grupos de AD) a la vez en Usuarios y Equipos de AD, botón derecho, Propiedades, ficha Cuenta, y marcarle la opción (dos checks) de que deben cambiar la contraseña el próximo inicio

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta DanielDiazD viernes, 5 de febrero de 2016 17:17
    jueves, 4 de febrero de 2016 15:18
    Moderador

Todas las respuestas

  • Hola DanielDiazD, en el único lugar donde se aplica es modificándolo en la "Default Domain Policy". Por las dudas, que suele ser una confusión, controla que no lo hayas hecho en la "Default Domain Controllers Policy"

    En general, las configuraciones de GPO, sobre las cuentas se aplican recién a partir que el usuario cambia la contraseña. Controla cambiando la contraseña de un usuario

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 3 de febrero de 2016 15:53
    Moderador
  • Hola Guillermo,

    A que te refieres que controle cambiando la contraseña de un Usuario?? Debo cambiar manualmente la contraseña de todos los Usuarios para que recien se aplique la regla???


    Daniel Diaz.

    miércoles, 3 de febrero de 2016 20:35
  • A los usuarios no le va a aparecer que deben cambiar la contraseña hasta el plazo determinado (les avisa 14 días antes si no haz cambiado el valor por omisión)

    Lo que puse en la respuesta anterior, es que pruebes si a partir del cambio de contraseña de un usuario cualquier, puede ser el tuyo perfectamente, el próximo cambio es al período que quieres configurar

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 3 de febrero de 2016 21:22
    Moderador
  • Ok yo lo configure asi:

    Es decir para que la regla se comienze a aplicar primero debo configurarla con vigencia máxima de 1 dia?


    Daniel Diaz.

    miércoles, 3 de febrero de 2016 21:49
  • Hola "DanielDiazD" como estas,

    Recomiendo primero saber que es un cambio de password y como trabaja,

    Password Policy
    https://technet.microsoft.com/en-us/library/hh994572.aspx

    Best Practices for Enforcing Password Policies
    https://technet.microsoft.com/en-us/magazine/ff741764.aspx
    https://technet.microsoft.com/en-us/magazine/2007.12.securitywatch.aspx

    PS,
    Find out when your Password Expires
    http://blogs.msdn.com/b/adpowershell/archive/2010/02/26/find-out-when-your-password-expires.aspx
    Get-Aduser -Filter * -Properties * | select name,SamAccountName,PasswordExpired,PasswordLastSet,Enabled,AccountExpirationDate|export-csv C:\output.csv

    Command line,
    net user pepe /domain

    Desde un cliente ejecuta "rsop.msc" y verifica si existe el setting de cambio de password a 90 dias.

    Verifica,
    How to change the password expiry notice default
    https://technet.microsoft.com/en-us/library/ee829687(v=ws.10).aspx

    Puedes ver el log que se crea en event viewer tanto del DC y del cliente,
    https://support.microsoft.com/en-us/kb/977519

    Espero sea de ayuda. Saludos.
    miércoles, 3 de febrero de 2016 23:32
  • Si cambias la GPO, afectarás a todos los usuarios

    Lo que yo sugería, es que con un usuario, hagas el cambio, y veas si a ese se lo está aplicando. No dije que modifiques la GPO

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 4 de febrero de 2016 10:16
    Moderador
  • Buenos Días,

    Aplique el comando que me indicas rsop.msc y el Usuario efectivamente tiene el cambio de password a 90 días, en todo caso como tendría que hacer para que los Usuarios tengas esa opcion de personalizar su clave de manera inmediata y que recién a partir de eso corran 90 días para el próximo cambio.


    Daniel Diaz.

    jueves, 4 de febrero de 2016 14:41
  • Podrías, por ejemplo, seleccionar grupos de usuarios (no lo grupos de AD) a la vez en Usuarios y Equipos de AD, botón derecho, Propiedades, ficha Cuenta, y marcarle la opción (dos checks) de que deben cambiar la contraseña el próximo inicio

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta DanielDiazD viernes, 5 de febrero de 2016 17:17
    jueves, 4 de febrero de 2016 15:18
    Moderador
  • Gracias Guillermo force que al siguiente inicio de Sesión requiera cambiar la clave y funciono correctamente, volví a verificar el Default Domain Policy y esta configurada la regla para que solicite cambio de clave en 90 días.

     

    Daniel Diaz.

    viernes, 5 de febrero de 2016 17:19