CREAR Y APLICAR UNA PSO A UN GRUPO DE USUARIO(GUI)
Definición: ¿Qué ES UNA PSO? PSO(Password setting obect) o también conocido como Fined-Grained Password Policies, son objetos del directorio activo(windows server 2008). Este objeto que apareció desde Windows server 2008, es la respuesta a la necesidad de poder realizar distintas políticas de contraseña en un mismo dominio, y a su vez que se pueda aplicar a distintos usuarios y/o grupos. Cabe añadir, la prioridad que tiene estas políticas respecto a las políticas de GPO por defecto.
En la siguiente captura se ve la configuración del “default domain policy”, la política de contraseña aplicada a todo el dominio.
La configuración de las PSO se pueden realizar por medio de Powershell, con el comando ADSIEDIT.MSC o desde la más reciente, Centro central de administración(Windows server 2012 y posteriores)
En Windows server 2008 la creación de PSO en entorno gráfico se realizaba mediante “adsiedit.msc”, se trataba de una manera algo más complicado que con ADAC(Active Directory Admin Center).
Para llegar hasta la ruta necesaria, es bastante intuitivo, una vez establecida conexión, desplegando el contenedor de “CN=System” al final nos encontramos con el contendor de Contraseñas “CN=Password setting “.
No se va a entrar en detalles sobre la configuración de PSO desde esta vía, pero si es importante aclarar uno de los atributos, “precedent”. Este es el valor que prioriza una PSO sobre otra aplicadas a un mismo usuario, cuanto menor sea(entre 1-99) mejor.
Esta administración sobre las políticas de contraseña mejoró con la entrada de Windows server 2008, ya que a partir del nivel funcional de Windows server 2008 se introdujo la posibilidad de realizar diferentes políticas de contraseñas para distintos equipos, o incluso para un mismo usuario perteneciente a distintos grupos(más adelante se comentará respecto a este caso).
Con el nivel funcional W.S 2012 la configuración de las PSO se «mejoró» empleando ADAC
La configuración de una PSO, depende del nivel de seguridad que se quiera implementar, de la captura anterior, nos quedamos con dos atributos:
- Precedence: A menor valor mayor prioridad.
- Bloquear la cuenta durante un tiempo o hasta que el administrador tome acción.
En la siguiente imagen, se puede ver que PSO se aplica a un usuario que tiene varias PSO
Comandos interesantes desde PS:
Crear PSO:
- New-ADFineGrainePasswordPolicy -name “Nombre-PSO” -precedence 8 -ComplexityEnabled $true -MinPasswordLenght 10
Indicar grupo sobre el cual aplicar:
- Add-AdFineGrainedPasswordPolicy subject -subjects “NOMRE-GRUPO” -identity “Nombre-PSO”
Comprobar aplicación sobre un grupo:
- Get-ADGroup -Identity “NOMBRE-GRUPO” -properties msDS-PSOapplied
De igual manera se ha de hacer con los usuarios.
Autor/a: Ortiz Bouba Chayo
Curso: Microsoft MCSA Windows Server 2016 + Microsoft MCSE Cloud Platform & Infrastructure
Centro: Tajamar
Año académico: 2018-2019