En el dominio de Active Directory, se puede configurar una política de caducidad de contraseña. Obliga al usuario a cambiar la contraseña cuando su contraseña expira.
¿Qué sucede cuando la contraseña de un usuario caduca en Active Directory? La cuenta de usuario no está bloqueada, pero el usuario debe cambiar su propia contraseña en el próximo inicio de sesión: Su contraseña ha caducado y debe cambiarse.
Hasta que el usuario cambie su contraseña, no podrá acceder a los recursos del dominio ni a las computadoras.
Antigüedad máxima de la contraseña en la política de grupo de dominio predeterminada
Puede configurar las opciones de expiración de la contraseña para los usuarios del dominio mediante la Política de grupo:
- Abra la Consola de administración de políticas de grupo (gpmc.msc);
- Haga clic derecho en el Política de dominio predeterminada y seleccione Editar;
- Vaya a la sección GPO: Configuración del equipo> Configuración de Windows> Configuración de seguridad> Políticas de cuenta> Política de contraseña;
- La antigüedad máxima de la contraseña en días se establece en el parámetro "Antigüedad máxima de la contraseña". Si la contraseña del usuario es anterior a este valor, su contraseña se considera caducada;
- Puede cambiar la antigüedad máxima de la contraseña o establecerla en 0 (en este caso, las contraseñas de usuario en el dominio nunca caducan).
Puede obtener la fecha de vencimiento de la contraseña de usuario con el comando Get-ADUser del módulo RSAT AD PowerShell:
Get-ADUser –Identity username –Properties msDS-UserPasswordExpiryTimeComputed|Select-Object -Property Name, @{Name="ExpiryDate";Expression={[datetime]::FromFileTime($_.msDS-UserPasswordExpiryTimeComputed)}}
Puede notificar a sus usuarios de Active Directory cuando su contraseña está a punto de caducar utilizando una opción especial de GPO:
- Cambie a la consola de GPMC y edite la Política de dominio predeterminada;
- Expanda la siguiente sección de GPO: Configuración del equipo> Políticas> Configuración de Windows> Configuración de seguridad> Políticas locales> Opciones de seguridad;
- Busque la política denominada "Inicio de sesión interactivo: pida al usuario que cambie la contraseña antes de la expiración”;
- Habilite esta política y establezca la cantidad de días (14 días de forma predeterminada) para comenzar a notificar al usuario sobre la próxima expiración de la contraseña.
- Si la contraseña del usuario caduca menos de la cantidad de días especificada, verá el siguiente recordatorio después de iniciar sesión en cualquier computadora del dominio:
Considere cambiar su contraseña
Su contraseña caducará en 4 días. Para cambiar su contraseña, presione CTRL + ALT + SUPR y luego haga clic en "Cambiar una contraseña"
Establezca una política de caducidad de contraseña personalizada solo para usuarios específicos utilizando una política de contraseña detallada
Antes de Windows Server 2008, solo podía configurar una política de contraseña de dominio para todos los usuarios. Sin embargo, en las versiones modernas de Windows Server, puede especificar que las contraseñas no caduquen para usuarios o grupos específicos que utilizan el Política de contraseñas detallada. Por ejemplo, desea establecer la política de contraseña nunca caduca para el grupo de administradores de dominio.
- Ejecutar el Consola del Centro de administración de Active Directory;
- Ve a la Sistema sección, haga clic en Contenedor de configuración de contraseña y seleccione Nuevo > Configuración de contraseña;
- En la configuración de la política, especifique su nombre y desmarque la opción Hacer cumplir la edad máxima de la contraseña;
- Entonces, en el Directo se aplica a sección, debe agregar el grupo en el que se debe aplicar la política (en este ejemplo, el grupo Administrador de dominio).
- Guarde la póliza.
Además, puede configurar Políticas de contraseñas detalladas con configuraciones personalizadas de caducidad de contraseñas y aplicar nuevos PSO (Objetos de configuración de contraseñas) a un grupo de usuarios mediante PowerShell.
Cree un grupo de seguridad de dominio al que desee aplicar el objeto personalizado de PSO:
Import-Module ActiveDirectory New-ADGroup -Path "OU=Groups,OU=Texas,OU=US,DC=theitbros,DC=com" -Name "grp_StrongPasswordExpirationPSO" -GroupScope Global -GroupCategory Security
Agregue usuarios al grupo al que desea aplicar su PSO personalizado:
Add-ADGroupMember grp_StrongPasswordExpirationPSO -Members user1,user2,user3
Digamos que este objetivo es establecer políticas estrictas de contraseñas para algunos usuarios. En la configuración de esta política de contraseñas, especificaremos una antigüedad máxima de la contraseña de 14 días y un mínimo de 1 día:
New-ADFineGrainedPasswordPolicy -Name "StrongPasswordExpirationPSO" -MinPasswordAge 1 -MaxPasswordAge 14 -Precedence 1 -Verbose
Y el último paso. Debe aplicar la nueva política detallada de caducidad de contraseña al grupo de seguridad:
Add-ADFineGrainedPasswordPolicySubject -Identity "StrongPasswordExpirationPSO" -Subjects grp_StrongPasswordExpirationPSO
Puede deshabilitar la caducidad de la contraseña para un usuario específico si establece el "La contraseña nunca expira" opción en las propiedades del usuario en AD. Puede habilitar esta opción a través de la consola ADUC (Buscar usuario> Propiedades> Cuenta pestaña> marque la casilla "La contraseña nunca expira"Opción debajo de opciones de cuenta sección)
Puede habilitar la marca de caducidad de contraseña más reciente para un usuario específico usando PowerShell:
Set-ADUser -Identity M.Becker -PasswordNeverExpires $true –verbose
O puede usar un filtro AD LDAP simple para configurar la contraseña nunca caduca para múltiples cuentas de usuario. En este ejemplo, estamos configurando la opción PasswordNeverExpires para todos los usuarios de EE. UU. Del departamento de DevOps:
Import-Module ActiveDirectory Get-ADUser -LDAPFilter '(Department=*DevOps*)'-SearchBase "OU=US,DC=theitbros,DC=com" | Set-ADUser -PasswordNeverExpires:$True
Puede exportar una lista de usuarios con la contraseña nunca expira opción habilitada en un archivo CSV:
get-aduser -filter * -properties Name, PasswordNeverExpires | where {
$_.passwordNeverExpires -eq "true" } | Select-Object DistinguishedName,Name,Enabled |
Export-csv c:PSpassword_never_expires.csv –NoTypeInformation
La política de caducidad de la contraseña del dominio se aplica solo a los usuarios, pero no a los equipos del dominio.
Existe una política separada para los equipos del dominio que le permite configurar la frecuencia con la que un miembro del dominio debe cambiar la contraseña. La política se llama Miembro de dominio: antigüedad máxima de la contraseña de la cuenta de la máquina. Se encuentra en la sección GPO: Configuración del equipo> Configuración de Windows> Configuración de seguridad> Políticas locales> Opciones de seguridad. El proceso de cambio de contraseña de la computadora es completamente automático y el servicio NETLOGON de la computadora lo realiza de forma predeterminada una vez cada 30 días. Puede utilizar esta política para aumentar o disminuir este intervalo (de 1 a 999 días). Si la contraseña de la computadora que se almacena localmente no coincide con la contraseña en la base de datos de Active Directory, no podrá iniciar sesión en la computadora como un usuario de dominio con un error La relación de confianza entre esta estación de trabajo y el dominio principal fallido.
Si desea deshabilitar por completo los cambios de contraseña para las cuentas de computadora, debe habilitar la Miembro del dominio: deshabilite los cambios de contraseña de la cuenta de la máquina política.
Recomendado para ti
