Configurar directivas de contraseñas múltiples en un solo dominio en Servidor 2012

Configurar directivas de contraseñas múltiples en un solo dominio en Servidor 2012

07.11.2013

invitado

En Tips & Asesoramiento,Carga…

Configurar objetos de configuración de contraseñas para crear varias directivas de contraseñas detalladas en un solo dominio

¿Alguna vez ha tenido problemas al intentar aplicar diferentes directivas de contraseñas a usuarios o grupos en el mismo dominio? Si es así, sigue leyendo.

Server 2012 ahora tiene una versión basada en GUI de Active Directory (AD), así como la versión más convencional a la que todos estamos acostumbrados. En la nueva versión puedes hacer todo lo que podías hacer en la antigua, pero de maneras ligeramente diferentes. Aunque esto puede llevar un poco de tiempo acostumbrarse, quédese con él, ya que no me sorprendería en absoluto si la próxima versión de Windows Server solo tiene la versión GUI (aunque esta es mi opinión personal, tendremos que esperar y ver si Microsoft anuncia algo).

Cuando crea un servidor y lo configura para que actúe como su nuevo controlador de dominio, a menudo desea crear varias directivas, como mapas de unidades, asignaciones de impresoras y restricciones de recursos, y asignarlas a un grupo de usuarios o equipos. Todo esto es una práctica estándar y funciona bien.

Sin embargo, aquellos de ustedes que han intentado establecer varias directivas de contraseñas para diferentes usuarios o grupos habrán encontrado que se necesita mucha configuración en Active Directory para lograrlo. El problema se produce porque solo puede haber una directiva de dominio predeterminada y es necesario configurar la configuración de contraseña dentro de esta directiva. Esto se aplica a todo el dominio, lo que significa que debe crear un bosque separado para cada conjunto de usuarios y configurar la nueva directiva de dominio predeterminada para cada bosque.

Todo esto hace que su trabajo de administrar el servidor sea mucho más complicado y, en última instancia, podría ser un gran dolor de cabeza.

En Server 2008R2, Microsoft introdujo una nueva característica llamada Objetos de configuración de contraseña (PSO) que puede anular la directiva de contraseñas a nivel de dominio. Sin embargo, esto tenía que hacerse con ADSIedit o Powershell y no era muy fácil de usar.

No te preocupes, tengo buenas noticias para ti. Con el Centro de Administración de Active Directory (ADAC) de Server 2012, ahora puede configurar y administrar las PSO fácilmente en una interfaz gráfica de usuario muy fácil de usar.

Le explicaré cómo configurar varias PSO y asignarlas a diferentes grupos de seguridad. A continuación, explicaré cómo priorizar qué PSO se asignará a una cuenta de usuario que sea miembro de varios grupos de seguridad con un PSO asignado a ellos.

Una vez que haya configurado su servidor 2012 y lo haya promovido a un controlador de dominio, verá que hay un nuevo icono en la pantalla de inicio para ADAC.

Icono de ADAC

Abra esto y navegue hasta la siguiente carpeta:

Contenedor de Su dominio (local)\Sistema\Configuración de contraseña

Desde aquí, puede hacer clic en el botón «nuevo» en la esquina superior derecha y se le presentará la pantalla de nuevo objeto de configuración de contraseña (PSO).

Nueva política de contraseñas

Cree la política requerida, nómbrela y establezca la prioridad en 1. Haga esto para todas sus directivas y, a continuación, asigne cada directiva al grupo de seguridad requerido. He creado tres grupos de seguridad, y una política para cada uno de estos grupos. Aquí está la política de usuarios de mi servicio de asistencia:

Política de asistencia

He creado un usuario de prueba y lo he añadido a los tres grupos de seguridad: Servicio de asistencia, Administración y Administración.

Usuario de prueba

Ahora desea probar qué política se le asignará a mi cuenta de usuario de prueba.

Para hacer esto, en ADAC, vaya al contenedor donde creó el usuario de prueba, seleccione este usuario y, a continuación, en el lado derecho, podrá seleccionar «ver configuración de contraseña resultante».

Al hacer clic en esto, aparecerá la directiva de contraseñas que se ha asignado al usuario.

*CONSEJO: Si ha nombrado las políticas de forma significativa, sabrá instantáneamente a qué política está mirando y para qué grupo está destinada. Sugiero que se nombre a cada política después del grupo de seguridad al que la asignará, o al menos que se indique el propósito de la política en la descripción.

Ahora puede encontrar que los usuarios que son miembros de varios grupos de seguridad con PSO asignados a ellos están recogiendo la política de contraseñas incorrecta. Esto se debe a que todas las políticas tienen el mismo nivel de precedencia, y se aplicará la política que se considere más segura.

Esto puede causar problemas cuando tiene un usuario que forma parte de un grupo de seguridad que tiene acceso a datos seguros, y debe tener una determinada política aplicada, pero como este usuario también es miembro de otro grupo de seguridad con una PSO aplicada, es posible que a la cuenta se le asigne una política de contraseña incorrecta, lo que compromete su seguridad.

Para combatir esto, necesitamos establecer la precedencia de las políticas de contraseñas para que, independientemente de cuántos grupos pertenezca un usuario, la cuenta de usuario siempre use la política con la precedencia más alta.

Por ejemplo, un usuario es miembro de los grupos de seguridad del servicio de asistencia y del administrador, ya que trabaja en ambos departamentos. Debido a esto, debe asegurarse de que la política aplicada a este usuario sea segura para cumplir con los requisitos de su empresa.

Por lo tanto, establecemos las directivas en orden de prioridad para que la directiva de administrador tenga una prioridad más alta que la directiva del servicio de asistencia, lo que obliga a la cuenta de usuario a recoger la directiva de contraseñas de administrador.

Niveles de precedencia

De esta manera, podemos estar seguros de que no hay forma de que la cuenta de usuario de un administrador o director pueda recoger una política de contraseñas insegura, y obligarlos a usar una contraseña segura y tal vez cambiarla semanalmente, según la configuración de la política que creó anteriormente.

Como regla general básica, si una cuenta de usuario tiene varias políticas de contraseñas aplicadas a través de su pertenencia a grupos de seguridad, siempre utilizará la política con la puntuación de precedencia más alta (¡cuanto menor sea el valor numérico, mayor será la precedencia!)

Esta configuración es útil en todo tipo de organizaciones, ya sea en un negocio o, por ejemplo, en un entorno escolar. En este caso, el personal administrativo podría tener acceso a archivos confidenciales y, por lo tanto, tener una política de contraseñas mucho más estricta que la de los estudiantes y otros miembros del personal.

Esto funciona muy bien y con suerte será un beneficio para usted en su entorno.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.