CREAR Y APLICAR UNA PSO A UN GRUPO DE USUARIO(GUI)

Definición: ¿Qué ES UNA PSO? PSO(Password setting obect) o también conocido como Fined-Grained Password Policies, son objetos del directorio activo(windows server 2008). Este objeto que apareció desde Windows server 2008, es la respuesta a la necesidad de poder realizar distintas políticas de contraseña en un mismo dominio, y a su vez que se pueda aplicar a distintos usuarios y/o grupos. Cabe añadir, la prioridad que tiene estas políticas respecto a las políticas de GPO por defecto.

En la siguiente captura se ve la configuración del “default domain policy”, la política de contraseña aplicada a todo el dominio.

Default

La configuración de las PSO  se pueden realizar por medio de Powershell, con el comando ADSIEDIT.MSC o desde la más reciente, Centro  central de administración(Windows server 2012 y posteriores)

En Windows server 2008  la creación de PSO en entorno gráfico se realizaba mediante “adsiedit.msc”, se trataba de una manera algo más complicado que con ADAC(Active Directory Admin Center).

Para llegar hasta la ruta necesaria, es bastante intuitivo, una vez establecida conexión, desplegando el contenedor de “CN=System” al final nos encontramos con el contendor de Contraseñas “CN=Password setting “.

ADSIEDIT1

No se va a entrar en detalles sobre la configuración de PSO desde esta vía, pero si es importante aclarar uno de los atributos, “precedent”. Este es el valor que prioriza una PSO sobre otra aplicadas a un mismo usuario, cuanto menor sea(entre 1-99) mejor.

Esta administración sobre las políticas de contraseña mejoró con la entrada de Windows server 2008, ya que a partir del nivel funcional de Windows server 2008 se introdujo la posibilidad de realizar diferentes políticas de contraseñas para distintos equipos, o incluso para un mismo usuario perteneciente a distintos grupos(más adelante se comentará respecto a este caso).

Con el nivel funcional W.S 2012 la configuración de las PSO se «mejoró» empleando ADAC

PSO1

La configuración de una PSO, depende del nivel de seguridad que se quiera implementar, de la captura anterior, nos quedamos con dos atributos:

  • Precedence: A menor valor mayor prioridad.
  • Bloquear la cuenta durante un tiempo o hasta que el administrador tome acción.

En la siguiente imagen, se puede ver que PSO se aplica a un usuario que tiene varias PSO

Comandos interesantes desde PS:

Crear PSO:

  • New-ADFineGrainePasswordPolicy -name “Nombre-PSO” -precedence  8 -ComplexityEnabled $true -MinPasswordLenght 10

Indicar grupo sobre el cual aplicar:

  • Add-AdFineGrainedPasswordPolicy subject  -subjects “NOMRE-GRUPO” -identity “Nombre-PSO”

Comprobar aplicación sobre un grupo:

  • Get-ADGroup -Identity “NOMBRE-GRUPO” -properties msDS-PSOapplied

De igual manera se ha de hacer con los usuarios.

PSO2

Autor/a: Ortiz Bouba Chayo

Curso: Microsoft MCSA Windows Server 2016 + Microsoft MCSE Cloud Platform & Infrastructure 

Centro: Tajamar 

Año académico: 2018-2019 


Leave a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.