Active Directory: password policy – pso (Español)
Introducción
en este tutorial, veremos cómo definir directivas de contraseñas en un Active Directory para cuentas de usuario.
de forma predeterminada, la directiva de contraseñas se define en la directiva de dominio predeterminada del GPO que se aplica a todos los equipos del dominio, lo que hace que la directiva sea la misma para todos los usuarios.,
dependiendo de los usuarios, es posible que desee aplicar una política de contraseñas más compleja por razones de seguridad, por ejemplo, los miembros del grupo Administradores de dominio.
para esto usaremos el objeto de configuración de contraseña (pso), que es un objeto de Active Directory que contiene una estrategia de contraseña que se puede aplicar a uno o más grupos de usuarios.
Las directivas de contraseñas se configuran mediante la consola de ADAC.,
cada Política de contraseñas tiene una prioridad, si un usuario tiene varias políticas de contraseñas que se aplican, se aplicará la política con la prioridad MÁS BAJA.
para ilustrar este tutorial, crearemos dos estrategias, la primera se aplicará al grupo de usuarios de dominio con una prioridad de 99 y la segunda se aplicará al grupo Grp_Users_IT que tendrá una prioridad de 98.,
Las políticas (PSO) se almacenan en el contenedor de configuración de contraseña 1 (PSC) que es: dominio / sistema
las políticas de contraseñas también administran el bloqueo de cuentas en caso de contraseña incorrecta.
cree una política de contraseña
desde el contenedor PSC, haga clic en Nuevo 1 y luego en Configuración de contraseña 2.,
Configurar la contraseña de la configuración de la directiva de llenar los campos marcados con un *.
| Champ | Commentaire |
|---|---|
| Nombre | Contraseña nombre de directiva |
| Prioridad | Peso para la aplicación de la estrategia, la más baja prioridad., |
| la contraseña debe cumplir los requisitos de complejidad | la contraseña debe contener 3 tipos de caracteres de los 4 disponibles – minúscula – mayúscula – Número – caracteres especiales |
| aplicar la edad mínima de la contraseña | duración mínima de la contraseña en el(Los) día(s) antes de que se pueda cambiar de nuevo |
| aplicar la edad máxima de la contraseña | máximo duración de la contraseña en el (Los) día (S) antes de la expiración y el cambio es forzado |
| aplicar Política de bloqueo de cuenta | configuración del número de intentos fallidos de conexión y el tiempo de bloqueo., |
Ahora configurar a quien el guión será aplicado, haga clic en Agregar 1.
Escoja el grupo de usuario (s) 1 y haga clic en ACEPTAR 2.
se agrega El grupo 1, haga clic en ACEPTAR 2 para crear la estrategia.
La 1 de la política se agrega al recipiente.,
Crear una segunda estrategia
Esta parte es opcional, ilustra el uso de varias estrategias de contraseñas.
seguir el mismo proceso que la primera estrategia, la segunda estrategia tendrá una prioridad menor (98), una longitud de 10 y se aplica al grupo Grp_Users_IT.,
En esta configuración, si un usuario es parte de la Grp_Users_IT grupo, la contraseña debe ser de 10 caracteres de largo y para otros usuarios, la contraseña debe ser de 7 caracteres.
identificar la estrategia de contraseña que se aplica
hay varias maneras de identificar qué política se aplica a un usuario o grupo.,
identifique la política de contraseñas de un usuario
desde la consola de ADAC, haga clic con el botón derecho en el usuario 1 y haga clic en Mostrar la configuración de contraseña resultante 2.
La directiva de contraseña se abre:
Identificar un grupo de directiva de contraseña
haga clic Derecho en el grupo 1 y haga clic en Propiedades 2.,
Si se aplican una o más directivas de contraseñas al grupo, se muestra en la sección Configuración de contraseñas directamente asociada.
asignar una política de contraseña existente a un grupo
desde las propiedades de un grupo, vaya a la sección Parámetros de contraseña directamente asociados 1 y haga clic en el botón Asignar 2.,
Seleccione el PSO 1 objeto de asignar y haga clic en ACEPTAR 2.
La política se agrega al grupo, haga clic en ACEPTAR 1 para guardar la configuración.
Prueba de la aplicación de la directiva de contraseña
la comprobación De la aplicación de la política de contraseñas, es posible crear un usuario en el Directorio Activo que no respete las condiciones de las PSO.,
como recordatorio, la política predeterminada definida por el GPO es de 7 caracteres y se creó una política de PSO que se aplica a todos los usuarios (usuarios de dominio) con un requisito de 8 caracteres.
a continuación, un nuevo usuario con una contraseña que tiene 7 caracteres:
al validar la creación del Usuario, se muestra un mensaje de error que indica que la contraseña no coincide con los criterios.,
políticas de contraseñas de PSO con PowerShell
Las PSO pueden ser administradas con Cmdlets de PowerShell.
El comando New-ADFineGrainedPasswordPolicy permite la creación de una estrategia.
El comando Add-ADFineGrainedPasswordPolicySubject permite vincular la estrategia a un grupo o a un usuario.
Add-ADFineGrainedPasswordPolicySubject AdminsDuDomaine -Subjects "Admins du domaine"