Una de las novedades que nos trajo la llegada de Windows Server 2008 fue la posibilidad de tener diferentes directivas de contraseñas y poder aplicarlas particularmente a usuarios o grupos de usuarios específicos.

En el vídeo mudo que adjunto arriba podréis ver los pasos a seguir para crear una de estas políticas y aplicarla, por ejemplo, al grupo “Marketing” de vuestro Directorio Activo.

Los parámetros que usamos para este ejercicio son:

msDS-PasswordSettingsPrecedence

“Prioridad de la configuración de contraseña”,  con un valor de “1”

Se trata de un valor entero que se usa para resolver conflictos en caso de que varios PSO se apliquen a un usuario u objeto de grupo. Su valor puede oscilar entre 0 y 10

msDS-PasswordReversibleEncryptionEnabled

“Estado de cifrado reversible de la contraseña de las cuentas de usuario”, con valor “FALSE”

Almacenar contraseñas con cifrado reversible: mejor que no, no vaya a ser que a alguien se le ocurra darle la vuelta.

msDS-PasswordComplexityEnabled

“Estado de complejidad de la contraseña de las cuentas de usuario”, con valor “TRUE”

La complejidad de contraseña puede ser un quebradero de cabeza para algunos usuarios y por ende, su administrador. A gusto del consumidor.

msDS-MinimumPasswordLength

“Longitud mínima de la contraseña de las cuentas de usuario”, con un valor de “20”

Quizás con “8” había suficiente, ¿no?.

msDS-MinimumPasswordAge

Vigencia mínima de la contraseña de las cuentas de usuario”, con un valor de “2:00:00:00”

Ese valor significa 2 días.

msDS-MaximumPasswordAge

“Vigencia máxima de la contraseña de las cuentas de usuario”, con un valor de “42:00:00:00”

Pasados 42 días hay que cambiar.

msDS-LockoutThreshold

“Umbral de bloqueo para bloquear cuentas de usuario”, con un valor de “50”

Hay que ser muy lerdo para equivocarse 50 veces, ¿no?

msDS-LockoutObservationWindow

“Ventana de observación para bloquear cuentas de usuario”, con un valor de “0:00:30:00”

Ese valor significa 30 minutos. Observamos que nos hacen durante ese tiempo antes de bloquear.

msDS-LockoutDuration

“Duración del bloqueo de cuentas de usuario bloqueadas”, con un valor de “0:00:30:00”

Si alguien se pasa de listo deberá esperarse 30 minutos para poder volver a intentarlo.

msDS-PSOAppliesTo

“Establece vínculos a los objetos a los que se aplica este objeto Configuraciones de contraseña (vínculo de avance)”, con valor “CN=Marketing,OU=Corp,DC=woodgrovebank,DC=com”

Para los del grupo Marketing del banco de siempre, que son unos liantes.

Saludos