none
GPO de contraseñas en Windows Server 2008 RRS feed

  • Pregunta

  • Hola a todos:

    Mi nombre es Miguerus, y mi preguntas es la siguiente:

    Tengo que implementar un GPO para manejo de contraseñas, mi duda es, las GPO en Windows Server 2008 funcionan a nivel OU o funcionan a nivel dominio??, si tengo la Default Domain Policy activada con alguna politica de password y genero una GPO a nivel de dominio, siempre tendra prioridad la Default o puedo hacer que la GPO tenga prioridad??.

    El tema es que estuve probando a nivel OU y las politicas no se aplican, pero cuando las aplico a nivel dominio tampoco se aplican. He preguntado por ahi y me han dicho que puede ser por un problema de conflicto con la DNS, pero la verdad no tengo idea en que pueda afectar esto.

     

    Desde ya muchas gracias.

    Saludos.

    lunes, 25 de julio de 2011 18:14

Respuestas

  • Hola:

    A efectos prácticos, no hay diferencia alguna si las configuras en la Default Domain Policy o en otra GPO a nivel de dominio.

    Lo que ocurre es que hay quien prefiere no tocar la Default Domain Policy, ya que es una GPO predeterminada del sistema. También hay otros que han exportado previamente la configuración de una GPO con las directivas de cuenta deseadas y las importan en los nuevos dominios que van creando.

    Por ejemplo, en mi caso, cada vez que configuro un entorno virtual para hacer pruebas y creo un nuevo domino, importo la GPO, que previamente he configurado en otro dominio, con las configuraciones deseadas. Esto lo hago en una nueva GPO, sin tocar la Default.

    Respecto a tu última pregunta, se seguiría aplicando a todos los usuarios del dominio, ya que si especificas Usuarios autentificados y tu grupo, se sumaría, y seguirías igual. Hazte a la idea que si aplicas la configuración global por GPO, siempre será para todos los usuarios del dominio, y una forma de evitarlo es a través de las Fine Grained Passwords.

    Saludos 


    Agustín Morales H. / Blog Agustín Morales H. Formación
    MCT Microsoft Certified Trainer
    MCITP Enterprise Administrator Windows Server 2008
    MCITP Server Administrator Windows Server 2008
    MCSE Windows Server 2003 / 2000 / NT 4.0
    MCSA Windows Server 2003 / 2000
    • Marcado como respuesta Miguerus martes, 26 de julio de 2011 17:52
    martes, 26 de julio de 2011 14:56

Todas las respuestas

  • Hola:

    Para establecer una directiva de cuentas (contraseñas y bloqueos de cuentas) para las cuentas de tu dominio, tienes que hacerlo a nivel de dominio (en la raíz).
    Tal como comentas, puedes hacerlo en la Default Domain Policy, o bien, en una GPO creada por ti, también a nivel de raíz de dominio, pero que esté por encima de la Default Domain Policy (para que así prevalezca).

    Si creas una GPO con directivas de cuentas a nivel de una OU, afectará solamente a las cuentas locales de las máquinas contenidas en esa OU y sub OUs.

    Para crear directivas de cuentas diferentes en tu dominio, debes utilizar las Fine Grained Password (válido solamente para Windows Server 2008 y nivel funcional de dominio Windows Server 2008). Para ello, lee el siguiente link:

    http://technet.microsoft.com/en-us/library/cc770842(WS.10).aspx

    Saludos


    Agustín Morales H. / Blog Agustín Morales H. Formación
    MCT Microsoft Certified Trainer
    MCITP Enterprise Administrator Windows Server 2008
    MCITP Server Administrator Windows Server 2008
    MCSE Windows Server 2003 / 2000 / NT 4.0
    MCSA Windows Server 2003 / 2000
    lunes, 25 de julio de 2011 18:45
  • Es que precisamente el problema es ese, yo aplico las GPO a nivel global pero no se como lograr aplicarlas por encima de las Default Domain Policy, o sea, aplique una gpo al dominio pero todavia me aplica las opciones Default Domain Policy y no se que estoy haciendo mal.

    Tambien he utilizado las Fine Grained Password pero tampoco me las aplica. Las configuro para determinados usuarios pero no me aplica las politicas de passwords. Las configure usando, como dice el manual de Microsoft, el editor ADSI, pero tampoco se aplican.

    La verdad que estoy muy perdido por cual puede ser el problema por el cual no puedo aplicar estas politicas, a ver si pueden orientarme un poco.

    Tiene que ver que tenga un servidor replicado??.

     

    Desde ya muchas gracias

    Miguerus

     

    lunes, 25 de julio de 2011 21:01
  • Hola:

    Por favor, realiza las siguientes comprobaciones:

    - En el controlador de dominio, vete a la herramienta administrativa Administración de directivas de grupo.

    - En el árbol izquierdo, sitúate en la raíz de tu dominio (donde aparece el nombre de tu dominio).

    - En el panel central, que por defecto estará en la pestaña "Objetos de directiva de grupo vinculados", observa la lista de GPOs. ¿Está la Default Domain Policy en primer lugar? Si es así, selecciónala y utiliza la flecha "Bajar vínculo" que está justo a la izquierda. Resumiendo, tiene que estar tu propia GPO en primer lugar, y la Default Domain Policy en segundo lugar.

    - Vete al símbolo del sistema y ejecuta un GPUPDATE /FORCE.

    Con esto debería funcionar lo de que se aplique las directivas de cuenta de tu GPO y no la de Default Domain Policy.

    Por otro lado, en relación a las Fine grained Password, por favor, mira lo siguiente:

    - Desde la misma herramienta administrativa, haz click con el botón secundario del ratón sobre el nombre de tu dominio (en el árbol izquierdo) y selecciona Propiedades.

    - Dime qué nivel funcional de dominio tienes.

    Esta es una primera comprobación. Según lo que me digas sobre este último paso, iremos viendo más configuraciones.

    Saludos

     


    Agustín Morales H. / Blog Agustín Morales H. Formación
    MCT Microsoft Certified Trainer
    MCITP Enterprise Administrator Windows Server 2008
    MCITP Server Administrator Windows Server 2008
    MCSE Windows Server 2003 / 2000 / NT 4.0
    MCSA Windows Server 2003 / 2000
    lunes, 25 de julio de 2011 21:32
  • Hola Agustin:

    Estoy probando lo de las GPO, segui todos los pasos que tu me indicaste y ahora voy a ver si funcionan o no. Con respecto a las Fine grained Password, segui los pasos y lo que me figura en el servidor y me dice lo siguiente:

     

    Nivel Funcional del Dominio:

    Windows Server 2003

    Nivel Funcional del Bosque:

    Windows Server 2003

    Eso es lo que figura. Lo que me gustaria que me explicaras es, si tengo que aplicar una politica de passwords, por ejemplo:

    aplicar que todas las passwords se cambien cada 30 dias, tengan nivel de complejidad activado y tenga minimo 8 caracteres.

    Debo aplicar GPO o Fine Grained Password??, cual es la diferencia entre ambas??.

     

    Desde ya gracias por tu ayuda.

    Miguerus

     

     

    martes, 26 de julio de 2011 12:20
  • Para aplicar el Fine Grained Passwords, necesitas que el nivel funcional del dominio sea 2008.

    De otro modo, sólo serán válidas las GPOs a nivel de domain, normalmente en Default Domain Policy


    Saludos,

    Marc
    MCSA/MCSE 2003
    MCITP: Enterprise Administrator (Windows Server 2008)
    MCITP: Enterprise Messaging Administrator (Microsoft Exchange 2007 & Exchange 2010)
    MCC: Microsoft Community Contributor 2011
    Citrix CCA

    martes, 26 de julio de 2011 13:06
    Moderador
  • Hola:

    Respecto a lo de las Fine Grained Password, no te va a funcionar con la configuración actual, ya que es necesario el nivel funcional de dominio a Windows Server 2008, y tú lo tienes a nivel de Windows Server 2003. Elevar el nivel funcional te da más funcionalidades, pero depende del sistema operativo de tus controladores. Por ejemplo, si tienes un controlador en 2008 y otro en 2003, el nivel funcional debe estar como máximo a Windows Server 2003; si lo elevas a 2008 dejarás tirado el controlador 2003 y aquí viene la mala noticia: una vez hayas elevado el nivel funcional, no podrás volver atrás, así que, hasta que no tengas claro si realmente necesitas las Fine Grained Passwords no lo hagas.

    Bien, ahora veamos la diferencia entre una configuración global (GPO a nivel de dominio) y una Fine Grained Password.

    Si creas una nueva GPO (por ejemplo "GPO Passwords"), la configuras con las directivas de cuentas que me comentas, y la ubicas a nivel de dominio (por encima de la Default Domain Policy, tal como vimos en el post anterior) estarás aplicando la configuración de passwords a todos los usuarios del dominio.

    Ahora imagínate que en tu empresa tienes unos determinados departamentos: recursos humanos, ventas, dirección, etc, y quieres que cada uno de ellos tenga una directiva de cuentas distinta; por ejemplo, quieres que las passwords de los usuarios de recursos humanos tengan una longitud mínima de 3 caracteres, mientras que los de ventas sea de 5 caracteres. ¿Cómo lo haremos? Con una GPO a nivel de dominio (configuración global) no puede ser, ya que esa configuración es para todos los usuarios del dominio, y tampoco lo podemos hacer a nivel de OU, ya que esa configuración es para las cuentas locales de los equipos de las OUs. Es aquí donde entra en juego las Fine Grained Passwords, ya que te permite especificar directivas de cuenta diferentes a diferentes grupos.

    Resumiendo, en la GPO pondremos la configuración de directivas que deseamos por defecto, y en las Fine Grained Passwords pondremos directivas más específicas, ya que éstas prevalecen sobre la GPO.

    Si sólo quieres aplicar la configuración que me comentas para todos los usuarios del dominio, no necesitarás las Fine Grained Password.

    Saludos


    Agustín Morales H. / Blog Agustín Morales H. Formación
    MCT Microsoft Certified Trainer
    MCITP Enterprise Administrator Windows Server 2008
    MCITP Server Administrator Windows Server 2008
    MCSE Windows Server 2003 / 2000 / NT 4.0
    MCSA Windows Server 2003 / 2000
    martes, 26 de julio de 2011 13:12
  • Hola Agustin:

    Gracias por la explicacion, la verdad que me has despejado las dudas que tenia. Con respecto a los GPO. ya he configurado uno llamado Contraseñas, aplique la GPO a nivel dominio, y en el apartado que dice "La configuracion de este GPO Solo se aplica a los grupos, usuarios y equipos siguientes:" y ahi agregue un grupo de seguridad - global llamado contraseñas que tengo creado con un usuario de test. Al configurar todo esto aplique como me dijiste  GPUPDATE /FORCE, pero hasta ahora no se aplico la configuarciones de la GPO. Yo tengo la Default Domain Policys en ultimo lugar en la lista, y estas mismas politicas estan con una configuracion de "exigir historial de contraseña de 5 dias, Longitud minima de 8 caracteres, Vigencia maxima 90 dias, y vigencia minima de 30", esta configuracion por Default no podra estar afectando a la GPO que yo cree??, aunque este en la lista de Objetos de Directiva de Grupos Vinculados en tercera posicion la que detallo:

    1. GPO Contraseñas

    2. Deploy Certificados

    3. Default Domain Policys

     

    Desde ya muchas gracias.

    Miguerus

     

    martes, 26 de julio de 2011 13:52
  • Hola:

    La GPO Contraseñas debes aplicarla a "Usuarios autententificados", es decir, como viene por defecto. ¿Quitaste ese grupo y pusiste otro grupo? De ser así, sería la razón por la que no te funciona.

    Si te fijas, las directivas de cuenta están a nivel de equipo, y no de usuario, luego si sólo la aplicas a un grupo que contiene usuarios, nunca funcionará.

    Para aplicar una directiva de cuentas a un grupo tienes que hacerlo por Fine Grained Passwords. En la GPO siempre será para todos los usuarios del dominio.

    Saludos

     


    Agustín Morales H. / Blog Agustín Morales H. Formación
    MCT Microsoft Certified Trainer
    MCITP Enterprise Administrator Windows Server 2008
    MCITP Server Administrator Windows Server 2008
    MCSE Windows Server 2003 / 2000 / NT 4.0
    MCSA Windows Server 2003 / 2000
    martes, 26 de julio de 2011 14:02
  • Hola:

    Si, saque el grupo de "usuarios autenticados", y agregue un grupo "Contraseñas". Por ese motivo puede ser que no este funcionando. La pregunta del millon es, entonces que diferencia tengo en aplicar las politicas a nivel GPO que a nivel Default Domain Policys??. Es lo que no logro entender, en que me beneficia el poder utilizar una GPO en vez de corregir el Default Domain Policys??. Y una ultima pregunta, si dejo la opcion de "usuarios autenticados" y por ejemplo en ese apartado ademas agrego un determinado grupo "contraseñas" por ejemplo, ahi me aplicaria o seguiria aplicando a nivel global??.

    Mil gracias nuevamente

    Miguerus

     


    martes, 26 de julio de 2011 14:25
  • Si aplicas una GPO de passwords fuera de la Default Domain, en ésta debes "eliminar" los Settings que haya establecidos a fin de no sobreescribir valores entre una GPO y la otra.

    Es más, no basta con dejar en "Not defined" los valores, sino que debes dejarlos en "Disabled" antes.


    Saludos,

    Marc
    MCSA/MCSE 2003
    MCITP: Enterprise Administrator (Windows Server 2008)
    MCITP: Enterprise Messaging Administrator (Microsoft Exchange 2007 & Exchange 2010)
    MCC: Microsoft Community Contributor 2011
    Citrix CCA
    martes, 26 de julio de 2011 14:39
    Moderador
  • Hola:

    A efectos prácticos, no hay diferencia alguna si las configuras en la Default Domain Policy o en otra GPO a nivel de dominio.

    Lo que ocurre es que hay quien prefiere no tocar la Default Domain Policy, ya que es una GPO predeterminada del sistema. También hay otros que han exportado previamente la configuración de una GPO con las directivas de cuenta deseadas y las importan en los nuevos dominios que van creando.

    Por ejemplo, en mi caso, cada vez que configuro un entorno virtual para hacer pruebas y creo un nuevo domino, importo la GPO, que previamente he configurado en otro dominio, con las configuraciones deseadas. Esto lo hago en una nueva GPO, sin tocar la Default.

    Respecto a tu última pregunta, se seguiría aplicando a todos los usuarios del dominio, ya que si especificas Usuarios autentificados y tu grupo, se sumaría, y seguirías igual. Hazte a la idea que si aplicas la configuración global por GPO, siempre será para todos los usuarios del dominio, y una forma de evitarlo es a través de las Fine Grained Passwords.

    Saludos 


    Agustín Morales H. / Blog Agustín Morales H. Formación
    MCT Microsoft Certified Trainer
    MCITP Enterprise Administrator Windows Server 2008
    MCITP Server Administrator Windows Server 2008
    MCSE Windows Server 2003 / 2000 / NT 4.0
    MCSA Windows Server 2003 / 2000
    • Marcado como respuesta Miguerus martes, 26 de julio de 2011 17:52
    martes, 26 de julio de 2011 14:56