meta data de esta página
Políticas de contraseñas granulares
Las políticas de contraseña granualares (Fine-grained password policies) nos van a permitir aplicar una política de contraseña distinta de la del dominio, a un usuario o grupo de ellos.
Los requisitos necesarios son que el nivel funcional del dominio sea como mínimo Windows Server 2008
Las políticas granulares de contraseñas sólo se pueden aplicar a objetos usuarios o grupos de seguridad globales
Por ejemplo, podríamos definir una politica distinta para un grupo de usuarios donde ampliamos el tamaño mínimo requerido para la contraseña, la complejidad, etc
Creación de una nueva PSO (Password Settings Object)
Se puede realiazar de dos formas:
- Con el editor ADSI (Adsiedit.msc )
- Con el programa Fine Password Policy Tool (http://blogs.chrisse.se/downloads/fine-grain-password-policy/)
en windows server 2012 ya incluye la herramienta Centro de administración de Active Directory para aplicar PSO
Para saber cuando le caduca la password a un usuario, con un net user %USERNAME% /domain NO muestra la información correcta. Para ver la PSO efectiva iniciar el powershell y ejecutar el siguiente comando
get-aduser “USERNAME” -Properties samaccountname,PasswordLastSet,"msDS-UserPasswordExpiryTimeComputed" | Select-Object samaccountname,PasswordLastSet,@{Name="ExpiryDate";Expression={[datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed")}}
donde USERNAME es el nombre del usuario a comprobar