¿Qué es una PSO?

Password Settings object es una directiva aplicada directamente a un usuario o un grupo de usuarios (grupo de seguridad global) para sobreponerse sobre default Domain Password Policy lo que quiere decir es que si una política de contraseñas en esta GPO es aplicada y se crea una PSO para cierto grupo o usuario se le aplicaría la PSO.

Creación de PSO

Para poder crear PSO tiene que tener instalado el rol Active Directory Domain Services y viene con ello AD ADministrative Center que es con lo que se gestiona, además hay que promocionar a controlador de dominio.

Atributos en una PSO (Datos de interés)

Precedencia de PSO

Se puede tener varios PSOs aplicándose sobre un objeto y si ese objeto esta en varios grupos que también tienen aplicadas sobre ellos PSOs se puede poner una precedencia mas bajo para que se le aplique, si dos PSOs tienen el mismo valor de precedencia tiene prioridad la que tenga un ObjectGUID (Identificador único para un objeto) más bajo.

Enforce Minimum password Length

En este apartado forzamos al usuario con una contraseña con un mínimo de caracteres.

Enforce Password History

Es el número de contraseñas introducidas guardadas en el historial para poder volver a introducir la primera contraseña por ejemplo ponemos 20 en el valor tendrían que pasar 20 cambios de contraseña para poder volver a poner la primera.

Enforce Minimum Password Age

El usuario no puede cambiar la contraseña más de una vez dentro del margen de tiempo señalado

Enforce Máximum Password Age

Es el número de días que tienen que pasar para volver a cambiar la contraseña.

Información de la PSO aplicado a un objeto

Para obtener información sobre una PSO en entorno grafico y ver que PSO se le está aplicando:

Active Directory Users and Computer necesitamos la vista avanzada que se encuentra en la pestaña VIEW -> Advanced Features para ver todas las opciones avanzadas dentro del objeto, usuario botón derecho propiedades. Seleccionamos la pestaña Attribute Editor para ver los atributos, filtramos la búsqueda seleccionando Constructed y está bajo el nombre de msDS-ResultantPSO.

Utilidad de una PSO

En empresas por ejemplo se necesita flexibilidad con las políticas que se le aplican a las contraseñas a usuarios VIP por lo que necesitan facilidades a la hora de introducir contraseñas ya que pueden bloquear su cuenta por numero de intentos fallidos o contraseñas complejas. Una buena solución seria una PSO para que no se les aplique la política general de la empresa.

Leave a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.