none
obligar cambio contraseña X usuarios RRS feed

  • Pregunta

  • hola

    quisiera poder obligar a X usuarios de mi dominio a cambiar la contraseña cada X tiempo y con X condiciones... cómo lo puedo hacer...

    dispongo de un windows 2003 SBS

    gracias
    saludos
    lunes, 28 de septiembre de 2009 10:56

Respuestas

  • Si pulsas sobre la OU con el boton derecho te da la opcion de deshabilitar la herencia. "Block Inheritance", es la tercera opcion. Al tenerle así ya no se le aplicara la politica por defecto.

    Un saludo
    bep
    • Marcado como respuesta kuno10 martes, 29 de septiembre de 2009 7:34
    martes, 29 de septiembre de 2009 7:21

Todas las respuestas

  • Crea una unidad organizativa para almacenar los usuarios que quieras obligarles a cambiar la password. Despues crea una GPO donde modifiques las politicas de contraseñas con la expiracion y caracteristicas que tu quieras. Posteriormente linka dicha GPO a la unidad organizativa que creaste antes y ya te funcionará.

    Un saludo.
    bep
    • Propuesto como respuesta Alfredo.Gonzalez lunes, 28 de septiembre de 2009 13:39
    lunes, 28 de septiembre de 2009 13:39
  • Gracias Alfredo

    He creado la unidad organizativa... ya me existía una (la creo la persona que estaba anteriormente), pero he creado otra para mover a los usuarios a los que quiero cambiar la contraseña...

    He metido solo un usuario de prueba

    el tema es que creo que no me hace caso... puede ser por la herencia donde no tiene establecido ningunos requerimientos mínimos de contraseña????

    saludos
    lunes, 28 de septiembre de 2009 14:21
  • Existe una relacion de la prioridad de asignacion de las GPO´s. Asegurate que la de restriccion de contraseñas no es sobreescribida por la de por defecto

    Aun asi. Tras linkar la GPO ejecuta en el servidor un gpupdate /force

    Un saludo.
    bep
    lunes, 28 de septiembre de 2009 15:41
  • hola de nuevo

    la nueva gpo está en la posicion 1

    el resto están por debajo...

    he ejecutado la instrucción que me comentas y he obligado a cambiar la contraseña al usuario... sigue sin hacerme caso.... he colocado "hola" y ha aceptado...

    gracias
    saludos
    lunes, 28 de septiembre de 2009 16:21
  • Alfredo... he encontrado en este foro esta respuesta:

    En windows 2003 , la directiva de contraseñas es a nivel de Dominio , debes aplicarla en la DEfault Domain Policy, esto viene cambiado en Windows Server 2008 donde ya se podra vincular distintas politicas de password , segun la OU donde se apliquen por ejemplo.

    Slds
    Sebastian del Rio


    Será cierto y por eso no me funciona???

    Gracias
    saludos
    martes, 29 de septiembre de 2009 6:01
  • Si pulsas sobre la OU con el boton derecho te da la opcion de deshabilitar la herencia. "Block Inheritance", es la tercera opcion. Al tenerle así ya no se le aplicara la politica por defecto.

    Un saludo
    bep
    • Marcado como respuesta kuno10 martes, 29 de septiembre de 2009 7:34
    martes, 29 de septiembre de 2009 7:21
  • se podría decir qué heredar y qué no???
    saludos
    martes, 29 de septiembre de 2009 8:50
  • Exporta a un fichero o copia la GPO por defecto del dominio. Importala en la GPO que quieres aplicar a la OU. Despues modifica en la GPO resultante los parametros de la password y finalmente bloquea la herencia de la de por defecto del dominio. De esta manera tendras la politica por defecto del dominio aplicandose a esos users, exceptuando la configuracion especial de las contraseñas. No se si me explico bien.

    Un saludo.
    bep
    martes, 29 de septiembre de 2009 9:30
  • sé lo que quieres decir, pero no sé llegar a exportar la gpo por defecto del dominio... por ahora no lo he encontrado...

    gracias
    saludos
    martes, 29 de septiembre de 2009 10:10
  • Alfredo, no hay forma en W2003 de tener diferentes "account policies" dentr de un dominio
    Si hay controladores de dominio W2003 existe una única "account policy" (contraseñas, bloqueo y Kerberos)

    Recién con W2008 se pueden hacer lo que buscan

    Guillermo Delprato - MVP-MCT-MCITP-MCTS-MCSE MCITP: Server Administration MCTS:Active Directory/Network Infrastructure Buenos Aires, Argentina
    martes, 29 de septiembre de 2009 10:54
    Moderador
  • Si bloqueas la herencia de la politica por defecto tambien se puede en Win 2003. Te lo aseguro. En la edicion de las GPO en la parte de computer settings puedes tunear las caracteristicas de las passwords. Lo llevo usando años, porque suele ser usual que los "jefes" no les gusta las politicas aplicadas a las password y quieren que no se les aplique. 
    bep
    martes, 29 de septiembre de 2009 11:40
  • Avísale a Microsoft, que esta gente hizo todo un desarrollo nuevo para W2008 y lo promueve como novedad de la versión.

    AD DS: Fine-Grained Password Policies:
    http://technet.microsoft.com/en-us/library/cc770394(WS.10).aspx


    Con "password policies" sobre una OU lo único que consigues es que valga sobre *cuentas locales* pero no de dominio

    Guillermo Delprato - MVP-MCT-MCITP-MCTS-MCSE MCITP: Server Administration MCTS:Active Directory/Network Infrastructure Buenos Aires, Argentina
    martes, 29 de septiembre de 2009 14:21
    Moderador