none
Habilitar cambio de contraseña Dominio RRS feed

  • Pregunta

  • Buen dia.

    Espero alguien pueda ayudarme.

    Actualmente todos nuestros usuarios del Dominio tienen habilitadas las opciones : El usuario no pueda cambiar su contraseña y que su password nunca expire.

    Por razones de seguridad solicitan habilitar el cambio de contraseña periódicamente a los usuarios,  si a nivel dominio cambio las políticas de contraseñas me afectaría a todos los usuarios del dominio incluyendo los administradores de dominio tal cambio? no importando si tengo habilitadas las opciones antes mencionadas para todos los usuarios?

    Por su atención gracias.

    lunes, 14 de mayo de 2018 14:54

Todas las respuestas

  • Hola MiguelBR79, primero convengamos que tener contraseñas que nunca expiran no es una buena práctica de seguridad, y aún más si le impides que cada uno la cambie ya que piensa que otros la conocen no tiene forma de solucionarlo

    Todo lo relativo a políticas de cuenta se hace únicamente desde la "Default Domain Policy", desde ninguna otra causará efecto y será válida para absolutamente todas las cuentas del Dominio

    Existe una opción para que las cuentas de determinados grupos tengan configuraciones diferentes y que se usa normalmente para que los administradores cuiden mejor la seguridad, pero esto no se hace desde GPO, sino que una configuración que se llama "Fine grained passwords and Lockout"

    Windows Server 2012 – Fine-grained Passwords and Account Lockout Policy | WindowServer
    https://windowserver.wordpress.com/2012/06/08/windows-server-2012-fine-grained-passwords-and-lockout/

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 14 de mayo de 2018 15:06
    Moderador
  • Gracias Por tu respuesta Guillermo, es correcto lo que comentas, y por tal razón vamos a habilitar la expiración de contraseñas desde "Default Domain Policy" para que el usuario sea quien tenga el control de su password.

    Mi preocupación es que al momento de habilitar el cambio de contraseñas para que esta política funcione tengo que quitar a cada usuario las opciones "Usuario no puede cambiar su password" y "El password nunca expira" si no lo hago supongo que no tendrá ningún efecto. ¿Estoy en lo correcto? Perdón por la pregunta pero No tengo muncho conocimiento en AD, y si necesito hacer esto supongo que tendré que crear un Script para que lo deshabilite a todos los usuarios de las OU que quiero se habilite el cambio de contraseñas.

    Gracias por tu respuesta.

    martes, 15 de mayo de 2018 22:44
  • Es correcto lo que comentas: la configuración en las propiedades del usuario prevalece por sobre las que recibe del Dominio

    Para quitar esa opción prueba si en lugar de hacerlo usuario por usuario, puedes hacerlo de una sola vez seleccionando varios (Click + May-Click o Click + CTRL-Click)

    Otra opción sería mediante un script de PowerShell, pero en este caso mejor pregunta en el foro de PowerShell

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 16 de mayo de 2018 11:10
    Moderador