{{tag>políticas contraseñas granulares PSO}}
===== Políticas de contraseñas granulares =====
Las políticas de contraseña granualares (Fine-grained password policies) nos van a permitir aplicar una política de contraseña distinta de la del dominio, a un usuario o grupo de ellos.

Los requisitos necesarios son que el nivel funcional del dominio sea como mínimo Windows Server 2008

<note> Las políticas granulares de contraseñas sólo se pueden aplicar a objetos usuarios o grupos de seguridad globales </note>

Por ejemplo, podríamos definir una politica distinta para un grupo de usuarios donde ampliamos el tamaño mínimo requerido para la contraseña, la complejidad, etc

==== Creación de una nueva PSO (Password Settings Object) ====

Se puede realiazar de dos formas:

  * Con el editor ADSI (Adsiedit.msc )
  * Con el programa Fine Password Policy Tool (http://blogs.chrisse.se/downloads/fine-grain-password-policy/)

<note> en windows server 2012 ya incluye la herramienta Centro de administración de Active Directory para aplicar PSO</note>


<note> Para saber cuando le caduca la password a un usuario,  con un **net user %USERNAME% /domain** NO muestra la información correcta. Para ver la PSO efectiva iniciar el powershell y ejecutar el siguiente comando <code powershell>get-aduser “USERNAME” -Properties samaccountname,PasswordLastSet,"msDS-UserPasswordExpiryTimeComputed" | Select-Object samaccountname,PasswordLastSet,@{Name="ExpiryDate";Expression={[datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed")}}</code> donde **USERNAME** es el nombre del usuario a comprobar</note>

===== Referencias =====
  * http://www.brandonlawson.com/active-directory/creating-fine-grained-password-policies/
  * https://technet.microsoft.com/es-es/library/cc770842%28v=ws.10%29.aspx
  * http://geeks.ms/juansa/2013/01/24/mltiples-directivas-de-contrasea-por-dominio/
  * http://www.windowsecurity.com/articles-tutorials/windows_os_security/Configuring-Granular-Password-Settings-Windows-Server-2008-Part-1.html