En Windows Server se pueden definir varias políticas de contraseñas en un dominio utilizando Fine-grained Password Policies, Windows crea un contenedor especifico para las configuraciones de contraseñas en System, este contenedor almacena los Objetos de Configuración de Contraseñas PSOs a los que se puede vincular grupos de seguridad o usuarios.
Fine-grained password policies se aplica a objetos de usuario, objetos InetOrgPerson o grupos de seguridad globales. Al vincular una PSO a un usuario o un grupo modifica un atributo denominado msDS-PSOApplied, que está vacío de forma predeterminada. Este enfoque trata la configuración de bloqueo de contraseña y cuenta no como requisitos de todo el dominio, sino como atributos de un usuario o grupo específico. Solo los administradores de dominio pueden configurar Password Settings objects o PSOs utilizando cmdlets de Windows PowerShell o el Centro Administrativo del Directorio Activo en System.
Password Settings Object PSO se puede crear y asignar desde Windows PowerShell
#Crear PSO
New-ADFineGrainedPasswordPolicy -Name "DomainUsersPSO" -Precedence 500 -ComplexityEnabled $true -Description "The Domain Users Password Policy" -DisplayName "Domain Users PSO" -LockoutDuration "0.12:00:00" -LockoutObservationWindow "0.00:15:00" -LockoutThreshold 10
New-ADFineGrainedPasswordPolicy -Name "DomainUsersPSO" -Precedence 500 -ComplexityEnabled $true -Description "The Domain Users Password Policy" -DisplayName "Domain Users PSO" -LockoutDuration "0.12:00:00" -LockoutObservationWindow "0.00:15:00" -LockoutThreshold 10
#Asocia PSO al grupo IT
Add-ADFineGrainedPasswordPolicySubject DomainUsersPSO -Subjects IT
El valor de precedencia definido en el atributo msDS-PasswordSettingsPrecedence determina el resultado de la aplicación de multiples PSOs sobre el mismo objeto, indicando la preferencia o prioridad el valor más bajo.
Microsoft: Fine-Grained Password Policy step-by-step
Seguridad a lo Jabalí para Todos!!
No hay comentarios:
Publicar un comentario