Voy a hablar de una solución para la definición de las políticas de contraseñas, algo que más de un quebradero de cabeza ha causado a los Administradores de Sistemas. Lo más normal en el día a día de una empresa es que se les pida crear y aplicar diferentes políticas para diferentes usuarios o grupos de usuarios en las que se definan diferentes propiedades o características dependiendo de si perteneces a uno u otro grupo, o de si eres un determinado usuario que necesitas una política diferente al resto.

Antes de Windows Server 2008 únicamente nos habíamos tenido que pelear con la GPO “Default Domain Policy” que era en la que se fijaban las restricciones de la política de contraseñas para todos los usuarios. Por lo tanto, solo era posible fijar una política de contraseñas.

Imagen1

Sin embargo, con la aparición de Windows Server 2008 se nos presenta el objeto de configuración de contraseñas Password Settings Object (PSO), también llamado Fine-Grained Password Policy, que nos permite crear políticas de contraseñas ajustadas a cada usuario o grupo de usuarios y aplicársela a ellos únicamente.

En esta versión de Windows Server únicamente nos permitía crear estas políticas mediante comandos de Powershell. Y fue a partir de la versión de Windows Server 2012 cuando Microsoft nos presenta el nuevo Centro de Administración de Active Directory (ADAC), el cual nos permite crear estas PSO mediante interfaz gráfica GUI.

Imagen2

Se pueden crear una o más PSO dentro de nuestro dominio. Cada PSO contiene un conjunto completo de configuraciones de contraseña y política de bloqueo. Una PSO se aplica al vincular la PSO a uno o más grupos de usuarios o usuarios de seguridad global. Por ejemplo, para configurar una política de contraseña para cuentas administrativas, creamos un grupo de seguridad, agregamos las cuentas de usuario del servicio como miembros del grupo y después vinculamos una PSO al grupo. Aplicar políticas de contraseña específicas a un grupo de esta manera es más manejable que aplicar las políticas a cada cuenta de usuario individualmente.

Nos podemos encontrar con que una PSO puede estar vinculad a más de un usuario o grupo de usuarios, también que un usuario o grupo de usuarios tenga aplicada más de una PSO, e incluso que un usuario pertenezca a diferentes grupos que tengan a su vez diferentes PSO aplicadas. En este caso únicamente hay una PSO que es la que determina la configuración, denominada “PSO resultante”. En cada PSO nos encontramos con un atributo que determina la precedencia o prioridad de la PSO, que rellenamos con un número mayor que 0, donde el 1 nos indica la PSO con precedencia más alta y por lo tanto mayor prioridad. Esa PSO con la precedencia más alta es la que se aplicaría al usuario finalmente.

Imagen3

Las reglas que determinan la precedencia, y por lo tanto el PSO resultante, son las siguientes:

–          Si se aplican varias PSO a grupos a los que pertenece el usuario, se le aplica la PSO con la mayor prioridad.

–          Si una o más PSO están vinculados a un usuario, las PSO vinculadas a grupos se ignorarían, independientemente de su precedencia. El PSO vinculado al usuario con mayor precedencia gana.

–          Por último, si una o más PSO tuvieran el mismo valor de precedencia, Active Directory debe elegir. Elige el PSO con el identificador único global más bajo (GUID).

La PSO es una gran característica que nos permite aplicar diferentes políticas de contraseña en nuestro dominio. Ya no estamos obligados a usar una sola política de contraseña, y si a eso le unimos que con la Consola administrativa de Active Directory (ADAC) su configuración se puede administrar muy fácilmente, no hay excusa para no utilizarlo.

Autor/a: David Rivero Orgaz

Curso: Microsoft MCSA Windows Server 2016 + Azure + AWS

Centro: Tajamar

Año académico: 2019-2020

Linkedin: https://www.linkedin.com/in/david-rivero-orgaz/

Leave a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.