Tabla de Contenidos

, , ,

Políticas de contraseñas granulares

Las políticas de contraseña granualares (Fine-grained password policies) nos van a permitir aplicar una política de contraseña distinta de la del dominio, a un usuario o grupo de ellos.

Los requisitos necesarios son que el nivel funcional del dominio sea como mínimo Windows Server 2008

Las políticas granulares de contraseñas sólo se pueden aplicar a objetos usuarios o grupos de seguridad globales

Por ejemplo, podríamos definir una politica distinta para un grupo de usuarios donde ampliamos el tamaño mínimo requerido para la contraseña, la complejidad, etc

Creación de una nueva PSO (Password Settings Object)

Se puede realiazar de dos formas:

en windows server 2012 ya incluye la herramienta Centro de administración de Active Directory para aplicar PSO
Para saber cuando le caduca la password a un usuario, con un net user %USERNAME% /domain NO muestra la información correcta. Para ver la PSO efectiva iniciar el powershell y ejecutar el siguiente comando
get-aduser “USERNAME” -Properties samaccountname,PasswordLastSet,"msDS-UserPasswordExpiryTimeComputed" | Select-Object samaccountname,PasswordLastSet,@{Name="ExpiryDate";Expression={[datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed")}}

donde USERNAME es el nombre del usuario a comprobar

Referencias