Buenas, en este post voy a tratar de explicar lo que es una PSO, su creación y configuración.

Una PSO es una política de contraseñas o política de grano fino, esto se debe a que modifica la configuración de las contraseñas para grupos o usuarios específicos independientemente de las GPOs que se apliquen en este caso.

El uso que nosotros le vamos a dar a la PSO es la de configurar una política de contraseña para 2 grupos que hemos creado (para realizar las pruebas posteriormente). Disponemos de 2 equipos, 1 de ellos es el DC de mi dominio, y el otro es un equipo cliente.

Por defecto al crear un dominio la política de contraseñas viene determinada por una GPO y esta se aplica a todos los usuarios y grupos de dicho dominio.

Para ver esta GPO entramos en las herramientas del Server Manager, en este caso la consola de administración de políticas de grupo, donde encontraremos la GPO linkada al dominio con las especificaciones de contraseña para todos los usuarios y grupos.

Para ver la configuración que tiene, pulsamos en la GPO llamada “Default Domain Policy” y en la pestaña de “Settings” desplegamos la configuración. En la primera parte, donde indica las políticas de contraseña de las cuentas del dominio, vemos que la configuración indica que la contraseña debe tener mínimo 7 caracteres, que va a caducar a los 42 días, que recuerda las ultimas 24 contraseñas utilizadas y habilitada la complejidad de contraseña (números, caracteres especiales…)

Lo que vamos a conseguir con la PSO que vamos a crear es que el usuario o grupo que nosotros elijamos tenga otra configuración.

Para eso entramos en el centro administrativo del directorio activo.

Pulsamos en “local>System>PasswordSettingContainer”.

Botón derecho y nueva password setting.

En esta ventana que aparece vamos a especificar la configuración que queremos para el grupo TestPSO1 y TestPSO2.

Configuracion grupo TestPSO1:

Configuración para el grupo TestPSO2:

Después de esto simplemente queda hacer las pruebas con los usuarios de los grupos que hemos creado anteriormente para comprobar que la PSO se ejecuta correctamente y tiene prioridad sobre la GPO default del dominio.

Esto nos puede venir muy bien para todos aquellos usuarios/grupos que por necesidades especiales deban tener cierta flexibilidad a la hora de cambiar las contraseñas ya sea porque no estén siempre conectados en la red del dominio o por restricciones de la propia empresa sobre un grupo o departamento específico.

Marcos Fernández

Alumno Microsoft MCSE 2015-2016 de Tajamar