durante los últimos 14 años, he estado en todo el mundo ayudando a administradores, auditores y profesionales de la seguridad a comprender cómo funciona la directiva de contraseñas de dominio en Active Directory. El comportamiento predeterminado no ha cambiado en esos 14 años, así que puedes imaginar a cuántas personas he ayudado, sin mencionar cuántas veces he hablado de ello.
Entonces, ¿por qué mencionarlo?, Bueno, todavía encuentro que los administradores y auditores no entienden cómo funciona la política de contraseñas de dominio, así que déjame explicarlo a continuación.
de forma predeterminada en cada instalación de Active Directory, la directiva de dominio predeterminada establece la directiva de contraseña de dominio (es decir, para todos los usuarios configurados y almacenados en Active Directory). La figura 1 ilustra cómo se ven esas configuraciones y dónde se pueden encontrar en la directiva de dominio predeterminada.
Figura 1. Directiva de contraseña de dominio predeterminada.,
la forma en que funciona la directiva de contraseñas es que este GPO y la configuración contenida en este GPO configuran los controladores de dominio (DCs) y las bases de datos de Active Directory ubicadas en ellos. Es responsabilidad del DCs y las bases de datos ubicadas en ellos filtrar todas y cada una de las contraseñas que se intenta escribir en la base de datos, para garantizar que la contraseña cumpla con la configuración de la política de contraseñas.
Nota: al usar la directiva de grupo, solo puede haber una directiva de contraseñas para los usuarios del dominio., Vincular y configurar un GPO a una unidad organizativa no configurará la directiva de contraseñas de manera diferente para los usuarios de esa unidad organizativa. La configuración de la directiva de contraseñas afecta a los equipos (consulte la Figura 1) ¡no a las cuentas de usuario!
lo que puede hacer es crear un nuevo GPO, vincularlo al nivel de dominio y darle mayor prioridad que la directiva de dominio predeterminada. La configuración de este nuevo GPO (por ejemplo, si establece la longitud mínima de la contraseña) anulará la configuración de la directiva de dominio predeterminada debido a la mayor prioridad. Se establece precedencia en la herramienta de administración de directivas de grupo, que se puede ver en la Figura 2.
Figura 2., Cada GPO vinculado al dominio tiene prioridad, en comparación con los otros GPO.
si desea tener varias directivas de contraseñas en el mismo dominio, debe comprar un producto de terceros o puede usar las directivas de contraseñas detalladas. Las directivas de contraseñas detalladas son una tecnología de Microsoft para controlar las directivas de contraseñas, pero no utilizan la directiva de grupo como mecanismo de implementación.,
para auditar la directiva de contraseñas de dominio efectiva, obviamente no puede simplemente mirar la directiva de dominio predeterminada porque otro GPO vinculado al dominio puede tener diferentes configuraciones de directiva de contraseñas contenidas en ella que anularán la directiva de dominio predeterminada. Entonces, ¿cómo verifica correctamente la política de contraseñas efectiva para los usuarios de su dominio almacenados en controladores de dominio?
La respuesta es simple y una herramienta incorporada! La herramienta es secpol.msc y puede ejecutar esto en cualquier controlador de dominio desde el símbolo del sistema o el botón de inicio | Buscar programas y archivos cuadro., La figura 3 ilustra cómo se vería el resultado.
Figura 3. Secpol.msc muestra la configuración real del equipo.
utilizando la secpol.msc tool, puede verificar con 100% de confianza cuáles son las configuraciones actuales de la directiva de contraseñas para los usuarios de su dominio.
Gestionar y obtener informes sobre Active Directory objetos de directiva de grupo.
descarga gratuita
aplique políticas de contraseñas granulares basadas en grupos / OU para los usuarios de AD.
Gratis Descargar
Seguimiento de los cambios efectuados AD objetos de directiva de grupo en tiempo real.,
descarga gratuita