Crear y aplicar una PSO a un grupo de usuarios (PowerShell)

En este Post, te contaremos cómo crear una PSO y cómo aplicarla a un grupo de usuarios mediante PowerShell.

Lo primero, vamos a difinir qué es una PSO:

PSO son las siglas de (Password Setting Object) y son unas políticas que se aplican a las contraseñas de grupos de usuarios. Estas políticas aparecieron por primera vez en Windows Server 2008 y son un elemento fundamental en el control de contraseñas a usuarios críticos.

Para configurar una PSO, debes hacerlo mediante el «Administrative Center» o mediante PowerShell, si lo tuyo es la administración por comandos o quieres automatizar la tarea, estás en el post adecuado.

Para poder crear la política de contraseñas, tienes que utilizar el siguiente comando:

  • New-ADFineGrainedPasswordPolicy: Comando principal para crear la PSO.
  • -Name: Nombre de la PSO.
  • -Precedence: Cuanto más bajo sea el número, mayor prioridad tendrá.
  • -ComplexityEnabled: Es un campo buleano el cual sólo acepta los valores $false o $true. En este caso, habilitamos la complejidad porque queremos que la contraseña que le pongamos nosotros o que ponga el usuario compla con la política de complejidad de Microsoft.
  • -MinPasswordLength: Longitud mínima de la contraseña.

Ahora vamos a aplicar la política que hemos creado, a un grupo determinado.

  • Add-FineGrainedPasswordPolicySubject : Comando principal para añadir la nueva PSO al grupo.
  • Subjects: Nombre del grupo,del usuario o usuarios.
  • Identity: Nombre que le hemos dado anteriormente a la PSO.

Para ver si la política se ha aplicado, podemos hacerlo de diversas maneras. Si queremos ver las políticas de contraseñas que hay en el dominio, ejecutamos el siguiente comando:

Si queremos ver qué políticas hay aplicadas en un grupo concreto, ejecutamos este otro comando:


También hay que tener en cuenta que las Password Setting Object tienen prioridad sobre las políticas por defecto del dominio que están configuradas en la política de grupo de: «Default Domain Policies».

Para poder hacer uso de estas políticas tenemos que tener en cuenta lo siguiente:

  • Nivel Funcional: Mínimo Windows Server 2008.
  • Permisos: Sólo los administradores pueden crear y aplicar PSO’s.
  • Usabilidad: Las PSO sólo se pueden aplicar a grupos y usuarios, no permite más objetos.
  • Precedencia: Las directivas de contraseña PSO se configuran con un valor de prioridad, en el caso que coincidan dos o más PSO’s para un mismo grupo o usuario, tendrán prioridad las que le hayamos asignado un valor inferior. Si tenemos dos PSO’s que se aplican a un mismo usuario, una con preferencia 7 y otra con preferencia 10, se le aplicará la de preferencia 7.

¿Cuándo usar las PSO?

Las Password Setting Object son muy útiles cuando a un usuario o grupo concreto, les queremos aplicar una política diferente a la que viene por defecto en el dominio. A día de hoy donde todavía se siguen utilizando contraseñas como: 123456, p@ssw0rd o similares, es crucial poder tener una buena política de contraseñas que reforce la seguridad del usuario y de la empresa. Por ello, utilizar estas políticas debe de ser un «must» en tu empresa, ya que añaden un nivel más de seguridad.

Autor/a: David Saldaña Castaño
Curso: Microsoft MCSA Windows Server 2016 + Azure + AWS
Centro: Tajamar
Año académico: 2019-2020
LinkedIN: https://www.linkedin.com/in/david–saldana/

Leave a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.