¿Cómo cambiar la política de bloqueo de cuenta en AD? – informaticamadridmayor

La política de bloqueo de cuenta en el dominio de Active Directory le permite bloquear automáticamente la cuenta de usuario si se ha intentado forzar la contraseña de un usuario. Un administrador de dominio de AD puede configurar políticas de bloqueo de cuentas mediante la Política de grupo (GPO).

De forma predeterminada, solo puede crear una contraseña y una política de bloqueo en el dominio de AD. Ejecute la consola de administración de directivas de grupo (gpmc.msc), expanda su dominio y busque el GPO llamado Política de dominio predeterminada. Haga clic derecho en el objeto y seleccione Editar.

En el Editor de directivas de grupo, vaya a la sección Configuración del equipo > Configuración de Windows > Configuración de seguridad > Política de cuenta > Política de bloqueo de cuenta.

Hay tres opciones de política de bloqueo de cuenta disponibles:

• Restablecer contador de bloqueo de cuenta después – este parámetro establece el tiempo después del cual se reinicia el contador de intentos de autorización fallidos (en minutos de 1 a 99999). Usamos un valor 10 minutos aquí;
• Umbral de bloqueo de cuenta – el número de intentos de contraseña incorrecta, después de lo cual se bloqueará la cuenta de Windows (de 0 a 999). Si establece este valor en 0, la cuenta nunca se bloqueará. Usamos el valor: 10 intentos de inicio de sesión no válidos;
• Duración del bloqueo de la cuenta – Tiempo de bloqueo de la cuenta de usuario de Active Directory (de 0 a 99999 minutos). Si especifica 0, la cuenta se bloqueará hasta que el administrador la abra manualmente. desbloquea desde la consola Usuarios y equipos de Active Directory o mediante el cmdlet Unlock-ADAccount.

Después de realizar cambios en la Política de dominio predeterminada, debe esperar hasta 2 horas para aplicar la política en el dominio, o puede actualizar la política en los DC manualmente con el gpupdate mando.

Después de bloquear la cuenta en AD, el usuario verá el siguiente mensaje en la computadora al ingresar la contraseña correcta:

La cuenta a la que se hace referencia actualmente está bloqueada y no se puede iniciar sesión.

Si abre el complemento ADUC (dsa.msc), busque la cuenta de usuario, luego en el Cuenta pestaña verá el título:

Desbloquear cuenta. Esta cuenta actualmente está bloqueada en este controlador de dominio de Active Directory.

En Windows Server 2008 y posteriores, puede crear una contraseña adicional y políticas de bloqueo para cuentas o grupos individuales. Esta tecnología se llama Política de contraseñas detallada. Esta característica elimina la limitación de las versiones anteriores de Windows, ya que antes era posible configurar solo una política de contraseñas en cada dominio.

Estas políticas de FGGP se configuran en el Centro de administración de Active Directory utilizando los objetos de configuración de contraseña especiales en el contenedor. Sistema > Contenedor de configuración de contraseña.

Puede crear un PSO y asignar una política de bloqueo diferente a un grupo específico de usuarios de PowerShell:

New-ADFineGrainedPasswordPolicy -Name “Sales_PSO” -Precedence 2 -Description “Account Lockout policy for Sales dept” -DisplayName “Sales_PSO“ - LockoutDuration "8:00" -LockoutObservationWindow "8:00" - LockoutThreshold 20

Después de eso, puede asignar una política a un grupo de seguridad:

Add-ADFineGrainedPasswordPolicySubject -Identity "Sales_PSO" -Subjects "Sales Dept"

Para verificar qué política de contraseñas se aplica al usuario, use el siguiente comando dsquery y dsget en el controlador de dominio:

dsquery user -samid username | dsget user -effectivepso