PASSWORD SETTINGS OBJECTS (PSO) EN WINDOWS SERVER 2012 R2.

By Miguel Angel Porras Rodriguez. Microsoft MCSA/MCSE Private Cloud.  Tajamar 2016/2017.

 

Conceptos básicos

Una PSO ( Password Settings Object ) es una política de contraseñas ( también llamadas políticas de grano fino ) que nos valen para asignar a usuarios o grupos diferentes requisitos en la configuración de sus contraseñas.

En las PSOs podemos modificar los parámetros de los siguientes campos:

  • Longitud mínima de caracteres.
  • Numero de contraseñas que recuerda el sistema, y que no podremos repetir.
  • Activar/Desactivar requerimientos de complejidad ( May., Min., números, caracteres especiales ).
  • Activar/Desactivar uso de claves encriptadas ( Microsoft recomienda no activar esta opción ).
  • Protección contra el borrado accidental.
  • Podemos forzar al usuario a que no cambie la contraseña hasta pasado el valor introducido de días.
  • Forzar al usuario a que cambie la contraseña como máximo el valor introducido de días.
  • Forzar al sistema a que deje la cuenta bloqueada con los diferentes valores seleccionables ( número de intentos, tiempo de bloqueo para volver a introducir contraseña y si es necesario que un administrador sea el que desbloquee la cuenta manualmente ).

 

Requisitos principales

–        Nivel funcional del dominio: El nivel funcional del dominio debe ser Windows Server 2008 o superior.

–       Permisos: De forma predeterminada, solo los miembros del grupo de “Administradores del Dominio” pueden crear PSOs.

–        Aplicación de PSOs: Las directivas de contraseña PSO solo se aplican a objetos de usuario y grupos de Seguridad Global. No se puede aplicar a otros objetos del sistema.

–        Prioridad: Las directivas de contraseña PSO se configuran con un valor de prioridad, que en el caso que coincidan dos o más PSOs para un mismo Usuario o Grupo, tendrán prioridad las que le hayamos asignado un valor más bajo. Es decir, si tenemos dos PSOs que se aplican a un mismo usuario, una con preferencia 5 y otra con preferencia 10, será de aplicación la de preferencia 5.

–        Excepciones PSOs: Si queremos que un cierto miembro del grupo pueda cumplir con una política diferente a la política que se le aplica a todo el grupo, podemos asignar una PSO excepcionalmente a ese usuario en particular. Las PSOs creadas a objetos de Usuario tienen prioridad sobre las PSOs creadas sobre objetos Grupo. En el caso que coincidan dos o más PSOs tanto de Usuario como de Grupo se aplicaran las que le hayamos dado el valor más bajo.

 

Configuración por Defecto

La configuración por defecto para la directiva de contraseñas para los usuarios del dominio viene definida en la “Default Domain Policy” y por defecto vienen estos valores configurados:

  • Longitud mínima de caracteres: 7 caracteres.
  • Numero de contraseñas que recuerda el sistema: 24 anteriores.
  • Requerimientos de complejidad: Activado
  • Uso de claves encriptadas: Desactivado.
  • Protección contra el borrado accidental: Activado.
  • Prevenir que el usuario no cambie la contraseña: Hasta pasado 1 día.
  • Forzar al usuario a que cambie la contraseña: Como máximo a los 42 días.
  • Forzar al sistema a que deje la cuenta bloqueada: Durante 30 minutos.

 

Utilidades

Como habéis podido ver las PSO ( Password Settings Objects ) son muy útiles para que dentro de una misma empresa, incluso dentro del mismo departamento, poder realizar múltiples combinaciones de configuración de los requisitos de las contraseñas de los usuarios.

Siempre se nos darán casos de usuarios que o bien por uso, por seguridad, u otros motivos tengan que tener diferentes requisitos. El caso más común es los usuarios del departamento de Sistemas, ya que por uso ( entran en múltiples maquinas con sus credenciales ), y por rotación/seguridad ( Cuando una persona deja el departamento, o alguien ha descifrado la contraseña de alguno de los usuarios ). Las PSO son la solución perfecta para estos problemas.

 

Espero os hayáis hecho una idea general de lo que son las PSOs, os haya quedado claro como crearlas y configurarlas, y que os haya sido útil este post.

 

Autor/a: Miguel Angel Porras Rodríguez

Curso: Microsoft MCSA/MCSE Private Cloud

Centro: Tajamar

Año académico: 2016-2017

Twitter: @MAPorras_Tech