Gestión de contraseñas
Este artículo unicamente quiere servir como manual sobre el uso especial de la política de contraseñas en entornos de Active Directory y como llevar a un siguiente estadio la GPO tradicional con una aplicación mejor definida. Esto es especialmente útil en cuentas sensibles que requieren otro tipo de tratamiento, como las cuentas administrativas.
Optimización de política
En un post anterior ya hablamos de como crear nuestra política de seguridad de contraseñas en el dominio mediante GPOs.
¡Quiero verlo!En esta ocasión vamos a comentar un caso particular que no puede darse mediante estas GPOs.
Si nos hemos fijado, la GPO está definida para su aplicación por equipo. ¿Que quiere decir esto? Que estamos aplicando la política a todos los equipos del dominio y no a los propios usuarios. Como los usuarios utilizan equipos, aplica. Cosas de Windows…..
Aun así, pueden existir casos donde queremos excluir a un determinado grupo de usuarios para aplicar otro tipo de política. Esta exclusión de usuarios no se puede hacer por GPO. Por ello, los señores de Microsoft se dieron cuenta de esto y sacaron lo que se llaman Fine-Grained Password Policy o FGPP.
Esto son unas políticas de mayor prioridad que las GPO que se pueden filtrar por usuario (algo que no sería necesario si lo hubieran pensado mejor desde el principio…).
Aviso! El mínimo nivel funcional del dominio tiene que ser 2008!
Su acceso se realiza desde el Admin Center de Active Directory y para localizarlo nos dirigimos a,
DominioX (local) > OU = System > OU = Password Setting Container
En este punto creamos una nueva política de seguridad y podremos ver las mismas opciones de contraseñas que veíamos en la GPO (pero con CSS jeje). En la parte media de la ventana se puede encontrar un «filtro», desde donde podemos ver los usuarios o grupos que aplica.
Estas políticas preceden a las GPOs, es decir, lo que se establezcan en este punto va a reemplazar a la política general que haya en la GPO. De igual forma, podemos crear tantas políticas como queramos y, según el orden, aplicarán (igual que un firewall).
Comprobaciones
Por último, quiero hablar de las comprobaciones ya que tiene un poco de «miga» con la aplicación de FGPP. Para comprobar cuando caduca la contraseña de un usuario basta con ejecutar,
net user /domain nombre_usuario
Eso es fácil. El problema viene cuando estamos aplicando FGPP. Me explico. El comando «net user» coge la política de contraseñas que se establece en la GPO y obvia la aplicada en FGPP (si existe). Por mas que ejecutemos el comando, no vamos a obtener la caducidad real de la contraseña.
Para ello, es necesario utilizar algo más «moderno» como es Powershell. Mediante la ejecución del comando,
Get-ADUserResultantPasswordPolicy nombre_usuario
Esto si que nos va a decir la verdad sobre la caducidad. Es mas, el «net user» puede decir que quedan X días para caducar y en realidad ya esté caducada.
Y vosotros, ¿gestionáis las contraseñas mediante GPO? ¿Conocíais esta característica? Cualquier comentario es bien recibido 🙂
🛠 TOP 5 HERRAMIENTAS para ADMINISTRADORES DE SISTEMAS en 2021agosto 27, 2021