Crear y aplicar una PSO a un grupo de usuarios desde PowerShell

Desde PowerShell, la creación de una PSO (Password Setting Object) y su aplicación a un grupo de usuarios.

No tiene demasiada complicación, conociendo los comandos necesarios se tarda más bien poco en efectuarse todo el proceso.

No es posible aplicar una PSO a una OU. La única opción es aplicarla de forma indirecta mediante lo que se llama un “Shadow group”. El “Shadow group” lo creamos y gestionamos manualmente para que siempre contenga a todos los usuarios y grupos que estén en la OU.

Tienen prioridad frente a las directivas de cuenta de “Default Domain Policy” y nos permiten asignar diferentes políticas de cuentas usuarios y grupos (no equipos ni OU).

También se denominan “Fine Grained Password Policies”.

Si ya tenemos creado el grupo al que queremos aplicar la PSO, vamos a proceder a crearla.

Comandos:

PS C:\> New-ADFineGrainedPasswordPolicy -Name “SistemasPSO” -Precedence 10 -ComplexityEnabled $true -Description “Politica de Contraseñas para grupo Sistemas” -MinPasswordLength 9

Así le indicamos que el nombre para la PSO será “SistemasPSO”, la Precedencia es por decirlo de una forma simple, la importancia para que se aplique la PSO antes que otras, siendo el número más bajo de mayor importancia que las demás. Con ComplexityEnabled le indicamos si para las contraseñas vamos a requerir complejidad, indicamos una descripción si queremos y por último el tamaño de la contraseña.

PS C:\> Add-ADFineGrainedPasswordPolicySubject -Subject Sistemas -Identity “SistemasPSO”

Aquí le decimos que queremos añadir el grupo de Sistemas, que es el Subject a la PSO llamada SistemasPSO

PS C:\> Get-ADGroup -Identity Sistemas -Properties msDS-PSOApplied

Con este comando estamos obteniendo información del grupo de Sistemas, y visualizamos la propiedad msDS-PSOApplied para ver todas las PSO que estamos enlazando al grupo. Ésta propiedad también la podemos ver en usuarios.

PS C:\> Get-ADUserResultantPasswordPolicy -Identity sistemas2

Por último, podemos ver que PSO se le está aplicando a un usuario, de todas las que tiene por encima, cuál es la que le hace efecto, ya que, si tenemos grupos anidados con varias precedencias en las PSOs, podemos averiguarlo así de forma sencilla.

​Álvaro Manzanas​
Formación Tajamar
MCSA/MCSE 2015-1016
Twitter: @AmanzanasC