none
No se aplica la politica de contraseñas RRS feed

  • Pregunta

  • Hola.

    Tengo un par de problemas con las politicas de contraseñas.

    El primero es que muchas veces se caduca la contraseña de los usuarios (les puse cambiarla cada mes), sin que les avise que esta a punto de caducar y que la cambien. Unas veces avisa y otras no.

    El segundo es que teoricamente no deberia dejarles poner una contraseña en blanco, y sin embargo le deja. Si les hago un gpupdate /force, entonces funciona y no les deja poner una contraseña en blanco, pero al siguiente cambio de contraseña en ese mismo equipo, vuelve a permitir poner la contraseña en blanco.

    No se porque pasa esto, ya que una vez aplicada la politica con gpupdate /force, yo pensaba que quedaba aplicada ya siempre, y que no tenia que hacerlo cada vez.

    No se si algo no va bien en la comunicacion de los equipos con el dominio, o se trata de que por alguna razon hay un conflicto entre varias politicas, o cual puede ser la razon.

    Los DC son Server 2008 R2 y los clientes son Win7 Pro o Win 10 Pro, ambos x64.

    Gracias.

    martes, 23 de julio de 2019 15:17

Todas las respuestas

  • Veamos primero lo más básico :)

    - La política de contraseña ¿en qué GPO la has puesto? porque el único lugar para que surta efecto a todos los usuarios del Dominio es en la "Default Domain Policy", en ninguna otra tiene efecto

    - ¿A cual/es servidores DNS están apuntando las máquinas? ¿sólo al Controlador de Dominio? ¿hay puestos DNSs alternativos?

    - Si desde un CMD "Ejecutado como administrador" ¿está aplicando la "Default Domain Policy"?

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 23 de julio de 2019 19:17
    Moderador
  • Hola Guillermo, lo primero gracias por contestar.

    La politica efectivamente se esta aplicando a Default Domain Policy

    Hay dos DC que a su vez son servidores DNS. Todos los puestos de trabajo apuntan en DNS a estos dos servidores.

    Tengo un segundo domino (para los informaticos) con sus dos DC que tambien son DNS, pero cada equipo apunta en DNS a los DC/DNS correspondientes a su dominio.

    La ultima aclaracion no la he probado, solo se que desde un cmd normal, no como administrador, si ejecuto gpupdate /force, la politica funciona y si intentas cambiar la clave inmediatamente despues de este comando, ya no te deja que pongas una en blanco.

    El problema es que despues de un tiempo, cuando vuelve a caducar y hay que cambiarla, si que deja ponerla en blanco.

    Gracias por tu ayuda :-)

    miércoles, 24 de julio de 2019 8:37
  • Hola, una sutil pero importante diferencia, no es lo mismo "La politica efectivamente se esta aplicando a Default Domain Policy" que "esté configurada EN la Default Domain Policy ¿cómo está?

    ¿El problema se produce en ambos Dominios o en uno únicamente?

    Ejecuta desde un CMD "Ejecutado como administrador", esto es que aunque estés con sesión de administrador, el CMD se ejecute marcando la opción de ejecuta como administrador, el comando GPRESULT /R y verifica qué GPOs se están aplicando. Esto es así porque la configuración es por máquina

    Por otra parte, revisa los visores de eventos tanto de los DCs y en el cliente a ver si hay algún error relacionado, sobre todo si hay problemas de replicación entre los DCs

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 24 de julio de 2019 10:30
    Moderador
  • Hola Guillermo.

    La directiva de contraseñas la he modificado o lo que es lo mismo, esta configurada en la Default Domain Policy.

    Yo lo he detectado en el dominio principal de usuarios. En el otro dominio de los informaticos, estamos solo 5 personas, y siempre hemos sido lo suficientemente responsables como para no intentar poner una contraseña en blanco, por lo que no lo se, nunca hemos probado en nuestro dominio a ponerlo en blanco.

    En el dominio de los usuarios he ejecutado como administrador el comando GPRESULT /R y me dice que la politica que se esta aplicando es la Default Domain Policy y pone que no se aplico por etar filtrada Directiva de grupo local, tanto en la parte configuracion de equipo, como en la de usuario, aunque pone luego Filtrar: no aplicado (vacio), lo comento por si tiene algo que ver.

    El visor de sucesos de los servidores los reviso a diario com rutina, y no he visto ningun error. La replicacion parece que es correcta.

    martes, 30 de julio de 2019 15:54
  • Trata por favor de aclararme algunos temas, porque no entiendo qué sucede y el motivo

    - Dices "dos Dominios" ¿están en el mismo Bosque o Arbol?

    - ¿Haces la configuación en ambos Dominios o en el que llamas "principal"

    - Prueba en el Dominio de los informáticos, aunque sea por unos momentos, si te deja poner contraseña en blanco

    - ¿Qué longitud mínima de contraseñan tienen configurada en la "Default Domain policy"?

    Si figura como aplicacada la "default domain policy" está bien. La "directiva local" es normal que indique que está vacía

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 30 de julio de 2019 18:05
    Moderador
  • Hola Guillermo.

    Disculpa que no te haya explicado bien. Tengo dos dominios totalmente independientes, uno (el primero que creamos) fue el de los informaticos, llamado informatica.local. Se creo antes de crear el dominio real de la empresa, llamado empresa.es, para poder hacer pruebas, etc... antes de montar el dominio real, pero luego mantuvimos ambos. Esto fue hace muchos años. Ambos dominio son independientes como he dicho, con su propio bosque. Despues añadí cada dominio en el otro como de confianza, y cree en los DNS zonas secundarias que sincronizaban con el DNS del dominio contrario. Esa es la fotografía.

    La policy Default Domain Policy del dominio empresa.es, dentro de Configuración del equipo, Directivas, Configuracion de Windows, Configuracion de seguridad, Directivas de cuenta, y por fin Directiva de contraseña, tiene los siguientes valores:

    Almacenar contraseñas con cifrado reversible: Deshabilitada.

    Exigir historial de contraseñas: 1 contraseña recordadas.

    La contraseña debe cumplir los requisitos de complejidad: Deshabilitada.

    Longitud minima de la contraseña: 6 caracteres.

    Vigencia maxima de la contraseña: 42 dias.

    Vigencia minima de la contraseña: o dias.

    En el dominio informatica,local esta configurada de la misma forma, y no deja ponerla en blanco, ahí si funciona y es por lo que he pedido ayuda, porque estoy un poco perdido porque no veo donde esta el problema.

    De todos modos, si he observado una cosa. En un equipo que estuve haciendo pruebas, me fije que al arrancar el equipo, en el visor de sucesos si se generaba un error diciendo que no se podía aplicar el GPO porque no se había podido resolver el nombre del equipo o algo parecido (he formateado el equipo y no tengo forma de consultar ahora mismo el texto exacto), pero después si ejecutaba gpupdate force y miraba el visor de sucesos, ya salia que se había aplicado bien el GPO. Es como si tardase en tener la red lista o algo así, y cuando lo intenta al arranque aun no puede acceder al DC o dominio, y luego si. No se si esto puede ser o estoy diciendo una tontería.

    Pero el usuario y el equipo si parecen estar bien añadidos en el dominio, ya que respecta cuando le doy o le quito permisos para acceder a algún recurso compartido, o si le reseteo la clave en el dominio, si que tiene que meter la nueva, etc....

    martes, 6 de agosto de 2019 7:26
  • Hola, repasemos para que no queden dudas :)

    - Dos Dominios en Bosques separados, pero con relación de confianza

    - En ambos, está configurada la "Default Domain Policy" con los mismos valores

    - En un Dominio aplica correctamente, pero en el otro permite poner contraseña en blanco, cuando no debería

    - Cada máquina tiene configurado para usar como DNS únicamente a los Controladores de Dominio de su propio Dominio

    - En cada DNS hay zonas secundarias correspondientes al otro Dominio. Pero acá hay algo importante. Para poder inciar sesión las máquinas requieren acceso a dos zonas, que normalmente están separadas:

    1- "dominio.sufijo" para resolver nombres a IPs

    2- "_msdcs.dominio.sufijo" para encontrar a los Controladores de Dominio

    ¿Están ambas zonas secundarias de cada Dominio en cada Bosque? Recuerda que al ser zonas secundarias debes autorizar la transferencia de zona

    Al haber relación de confianza entre los Dominios, los usuarios de uno de ellos pueden inciar sesión en máquinas del otro Dominio ¿has probado ambas posibilidades? a ver si persiste el problema o no

    Por último ese mensaje de que no encuentra al Controlador de Dominio al iniciar la máquina es un indicio de por dónde puede venir el problema, porque no debería suceder si los Controladores de Dominio no se apagan nunca o si fueron levantados ya hace varios minutos

    A ver si con la información anterior podemos ver por dónde viene el problema, porque es raro, supongo que tiene que ser algo sencillo :)

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 6 de agosto de 2019 11:32
    Moderador