Crear y aplicar una PSO a un grupo de usuarios (PowerShell)
En este Post, te contaremos cómo crear una PSO y cómo aplicarla a un grupo de usuarios mediante PowerShell.
Lo primero, vamos a difinir qué es una PSO:
PSO son las siglas de (Password Setting Object) y son unas políticas que se aplican a las contraseñas de grupos de usuarios. Estas políticas aparecieron por primera vez en Windows Server 2008 y son un elemento fundamental en el control de contraseñas a usuarios críticos.
Para configurar una PSO, debes hacerlo mediante el «Administrative Center» o mediante PowerShell, si lo tuyo es la administración por comandos o quieres automatizar la tarea, estás en el post adecuado.
Para poder crear la política de contraseñas, tienes que utilizar el siguiente comando:
- New-ADFineGrainedPasswordPolicy: Comando principal para crear la PSO.
- -Name: Nombre de la PSO.
- -Precedence: Cuanto más bajo sea el número, mayor prioridad tendrá.
- -ComplexityEnabled: Es un campo buleano el cual sólo acepta los valores $false o $true. En este caso, habilitamos la complejidad porque queremos que la contraseña que le pongamos nosotros o que ponga el usuario compla con la política de complejidad de Microsoft.
- -MinPasswordLength: Longitud mínima de la contraseña.
Ahora vamos a aplicar la política que hemos creado, a un grupo determinado.
- Add-FineGrainedPasswordPolicySubject : Comando principal para añadir la nueva PSO al grupo.
- –Subjects: Nombre del grupo,del usuario o usuarios.
- –Identity: Nombre que le hemos dado anteriormente a la PSO.
Para ver si la política se ha aplicado, podemos hacerlo de diversas maneras. Si queremos ver las políticas de contraseñas que hay en el dominio, ejecutamos el siguiente comando:
Si queremos ver qué políticas hay aplicadas en un grupo concreto, ejecutamos este otro comando:
También hay que tener en cuenta que las Password Setting Object tienen prioridad sobre las políticas por defecto del dominio que están configuradas en la política de grupo de: «Default Domain Policies».
Para poder hacer uso de estas políticas tenemos que tener en cuenta lo siguiente:
- Nivel Funcional: Mínimo Windows Server 2008.
- Permisos: Sólo los administradores pueden crear y aplicar PSO’s.
- Usabilidad: Las PSO sólo se pueden aplicar a grupos y usuarios, no permite más objetos.
- Precedencia: Las directivas de contraseña PSO se configuran con un valor de prioridad, en el caso que coincidan dos o más PSO’s para un mismo grupo o usuario, tendrán prioridad las que le hayamos asignado un valor inferior. Si tenemos dos PSO’s que se aplican a un mismo usuario, una con preferencia 7 y otra con preferencia 10, se le aplicará la de preferencia 7.
¿Cuándo usar las PSO?
Las Password Setting Object son muy útiles cuando a un usuario o grupo concreto, les queremos aplicar una política diferente a la que viene por defecto en el dominio. A día de hoy donde todavía se siguen utilizando contraseñas como: 123456, p@ssw0rd o similares, es crucial poder tener una buena política de contraseñas que reforce la seguridad del usuario y de la empresa. Por ello, utilizar estas políticas debe de ser un «must» en tu empresa, ya que añaden un nivel más de seguridad.
Autor/a: David Saldaña Castaño
Curso: Microsoft MCSA Windows Server 2016 + Azure + AWS
Centro: Tajamar
Año académico: 2019-2020
LinkedIN: https://www.linkedin.com/in/david–saldana/