Crear y aplicar una PSO a un grupo de usuarios con PowerShell en Windows Server 22
Una PSO “Password Setting Object” contiene la misma configuración de contraseña que existe en todos los demás GPO.
Para aplicar diferentes configuraciones a conjuntos de usuarios, los administradores deben crear un nuevo PSO y configurarlas según el requisito.
Cuando se aplica una PSO a un grupo de usuarios, el usuario ya no usa la política de contraseña implementada por la Política de grupo. En su lugar, utilizan la configuración de PSO especificada.
También hay que tener en cuenta que las Password Setting Object tienen prioridad sobre las políticas por defecto del dominio que están configuradas en la política de grupo de: «Default Domain Policies».
Para configurar una PSO, se puede hacer desde la “GUI” en el <<Administrative Center>> o mediante línea de comandos <<PowerShell>>, en este caso, se va a crear aplicar y comprobar una PSO a través de la línea de comandos.
Para poder hacer uso de estas políticas tenemos que tener en cuenta los siguientes requisitos:
- Nivel Funcional: Mínimo Windows Server 2008.
- Permisos: Sólo los administradores pueden crear y aplicar PSO’s.
- Usabilidad: Las PSO sólo se pueden aplicar a grupos y usuarios, no permite más objetos.
- Precedencia: Las directivas de contraseña PSO se configuran con un valor de prioridad, en el caso que coincidan dos o más PSO’s para un mismo grupo o usuario, tendrán prioridad las que le hayamos asignado un valor inferior.
Para poder crear la política de contraseñas, tienes que utilizar el siguiente comando:
- New-ADFineGrainedPasswordPolicy: Comando principal para crear la PSO.
- Name: Nombre de la PSO.
- Precedence: Cuanto más bajo sea el número, mayor prioridad tendrá.
- ComplexityEnabled: En este caso, habilitamos la complejidad porque queremos que la contraseña que le pongamos nosotros o que ponga el usuario compla con la política de complejidad de Microsoft.
- MinPasswordLength: Longitud mínima de la contraseña.
Para poder aplicar la política de contraseñas, tienes que utilizar el siguiente comando:
- -Add-FineGrainedPasswordPolicySubject : Comando principal para añadir la nueva PSO al grupo.
- –Subjects: Nombre del grupo,del usuario o usuarios.
- –Identity: Nombre que le hemos dado anteriormente a la PSO.
Utilidades
Como habéis podido ver las PSO ( Password Settings Objects ) son muy útiles para que dentro de una misma empresa, incluso dentro del mismo departamento, poder realizar múltiples combinaciones de configuración de los requisitos de las contraseñas de los usuarios.
Siempre se nos darán casos de usuarios que o bien por uso, por seguridad, u otros motivos tengan que tener diferentes requisitos. El caso más común es los usuarios del departamento de Sistemas, ya que por uso (entran en múltiples maquinas con sus credenciales), y por rotación/seguridad (Cuando una persona deja el departamento, o alguien ha descifrado la contraseña de alguno de los usuarios). Las PSO son la solución perfecta para estos problemas.
Espero os hayáis hecho una idea general de lo que son las PSOs, os haya quedado claro cómo crearlas,configurarlas, aplicarlas y comprobarlas a través de “Powershell”.
- Autor/a: Víctor González Fernández
- Curso: Administración de Sistemas MultiCloud Azure y AWS
- Centro: Tajamar
- Año académico: 2021-2022