Otro de lo añadido al AD DS de Windows Server 2008 es la capacidad de implementación granular de directivas a través de un sólo dominio. Anteriormente sólo era una opción de utilidades de terceros instaladas en los DC’s del bosque. Desde Windows Server 2008, R2 y ahora 2012, los administradores pueden definir cuales usuarios tienen directivas de contrasenya más complejas y cuales serán capaces de usar directivas más permisivas.
Cabe decir que es bueno entender algunos de los puntos clave de esta tecnología antes de implementarla, como:
- El nivel del dominio debe ser 2008, 2008 R2 o 2012.
- Las directivas de contraseñas más precisas ganan frente a la directiva de contraseñas del dominio.
- Las directivas de contraseña pueden aplicarse a grupos, pero estos deben ser globales de seguridad.
- Las directivas granulares de contraseña aplicadas a un usuario siempre ganan a la configuración aplicada a un grupo.
- Los objetos de configuración de contraseña (PSOs) son almacenados en el contenedor de Configuración de contraseñas del AD (qué es: CN=Password Settings Container,CN=System,DC=DOMINIO,DC=LOQUESEA).
- Sólo un conjunto de directivas de contraseña se le puede aplicar a un usuario. Si hay múltiples directivas a aplicar, la de precedencia más baja se aplicará.
Si queremos crear una directiva de contraseña personalizada para un usuario específico, hemos de crear un PSO mediante el ADAC (Anteriormente era necesario ADSIEdit).
- Abrimos ADAC
- Vamos al dominio raíz –> Sistema –> Contenedor de Configuraciones de contraseña.
- Debajo de tareas, seleccionamos Nueva –> Configuración Contraseña.
- Introducimos la información en el cuadro de diálogo. (Ver Tabla)
- Clic Aceptar y se creará el PSO.
Atributo |
Descripción |
Ejemplo |
Nombre | Nombre único de la directiva | Directivapersonal |
Precedencia | Prioridad de la directiva. Cuanto más bajo el número más precedencia. | 20 |
Exigir longitud mínima contraseña | Obliga a una longitud mínima de carácteres a la contraseña. | 8 |
Exigir Historial de contraseñas: Número de contraseñas recordadas | Número de contraseñas que recuerda el sistema. | 30 |
Les contraseñas deben cumplir los requerimientos de complejidad | La directiva que establece la complejidad de contraseña está habilitada. (Obliga a los usuarios a introducir una combinación de números, minúsculas, mayúsculas y caracteres especiales) | Casilla verificación marcada. |
Exigir vigencia mínima de contraseña: El usuario no puede cambiarla antes de (días) | Días mínimos que hay que esperar para poder cambiar la contraseña. | 1 |
Exigir vigencia máxima de contraseña: El usuario debe cambiarla dentro de (días) | Días máximos en qué una contraseña es válida. | 60 |
Exigir directiva de bloqueo de cuenta: número de intentos inválidos de inicio de sesión permitidos. | Número de intentos de contraseña inválida antes de bloquearse la cuenta. | 5 |
Exigir directiva de bloqueo de cuenta: Reinicia la cuenta de intentos inválidos de inicio de sesión después de (minutos) | Tiempo (minutos) que pasarán para reiniciar la cuenta de intentos inválidos de contraseña. | 60 |
La cuenta se bloqueará | Tiempo (minutos) durante el cual la cuenta permanecerá bloqueada. | 30 |
Directamente se aplica | Usuario o grupo de usuarios a los cuales se les aplica el PSO. | Seleccionado desde el AD. |