Mejoras de Active Directory en Windows Server 2008: Política de contraseña granular

  

Windows Server 2008 proporciona una manera para que las organizaciones definan diferentes políticas de bloqueo de cuentas y contraseñas para diferentes conjuntos de usuarios en un dominio. En el dominio de Active Directory de Windows 2000 y Windows Server 2003, solo se puede aplicar una contraseña y una política de bloqueo de cuenta a todos los usuarios del dominio. Estas políticas se definen en la política de dominio predeterminada. Por lo tanto, es deseable tener diferentes contraseñas y bloqueos de cuentas para diferentes conjuntos de usuarios. Las organizaciones tienen que establecer filtros de políticas de contraseñas o implementar múltiples dominios. Estas opciones pueden ser costosas por diferentes razones.

¿Qué puede hacer una estrategia de contraseña granular?

Puede usar una política de contraseña granular para especificar una variedad de políticas de contraseña dentro del mismo dominio. Puede usar políticas de contraseña granular para aplicar diferentes restricciones de contraseña y política de bloqueo de cuenta a diferentes conjuntos de usuarios dentro del mismo dominio.

Por ejemplo, puede usar configuraciones estrictas para cuentas privilegiadas y configuraciones menos restrictivas para otros usuarios. En otros escenarios, como si desea aplicar una política especial a una cuenta cuya contraseña se sincroniza con otras fuentes de datos.

¿Existen otras consideraciones especiales?

Los valores de la política de contraseña granular se aplican a objetos de usuario (u objetos inetOrgPerson que se utilizan para reemplazar objetos de usuario) y grupos de seguridad global. De forma predeterminada, solo los miembros del grupo Admins. Del dominio pueden establecer esta política. Sin embargo, también puede delegar a otros usuarios para establecer esta política. Pero el nivel funcional del dominio debe ser Windows Server 2008.

Una política de contraseña granulada no se puede aplicar directamente a una OU. Pero para lograr esto, puedes usar grupos de sombra.

Un grupo sombra es esencialmente un grupo de seguridad global que se asigna de forma lógica a una OU para aplicar políticas de contraseña granulares. Agregar un usuario a una OU es como agregar un miembro a un grupo sombra y luego aplicar una política de contraseña granular al grupo sombra. Puede crear incluso grupos de sombra para otras OU según sus necesidades. Si mueve usuarios de una OU a otra, debe actualizar las propiedades del miembro del grupo de cuentas al grupo sombra correspondiente.

Las políticas de contraseña granulares no se ven afectadas por los filtros de política de contraseña personalizados que debe aplicar en el mismo dominio. La implementación de filtros de políticas de contraseñas personalizadas en organizaciones que usan Windows 2000 o Windows Server 2003 como controlador de dominio puede continuar usando estos filtros para imponer restricciones de contraseña adicionales.

¿Qué nuevas características ofrece esta característica?

Almacenamiento de políticas de contraseña granular

Para almacenar políticas de contraseña granular, Windows Server 2008 incluye dos nuevas clases de objetos en el esquema de AD DS:

Contenedor de configuración de contraseña (Contenedor de configuración de contraseña)

Configuración de contraseña

El contenedor de configuración de contraseña se crea de forma predeterminada debajo del contenedor del sistema del dominio. Puede verlo utilizando Usuarios de Active Directory con cálculos y habilitando funciones avanzadas. Almacena objetos de configuración de contraseña (PSO) para el dominio.

No puede cambiar el nombre, mover o eliminar este contenedor. Aunque puede crear contenedores de configuración de contraseña personalizados adicionales, no se cuentan por el conjunto de resultados de la Política de grupo calculado para un objeto. Por lo tanto, no se recomienda crear un contenedor de configuración de contraseña personalizado adicional.

El objeto de configuración de contraseña contiene todas las configuraciones de propiedades que se pueden definir en la política de dominio predeterminada (excepto la configuración de Kerberos). Estas configuraciones incluyen las siguientes propiedades de configuración de contraseña:

Forzar el historial de contraseña
Edad máxima de contraseña
Edad mínima de contraseña
Longitud mínima de contraseña
La contraseña debe cumplir con los requisitos de complejidad < BR> Guardar contraseñas con cifrado recuperable

Estas configuraciones también incluyen las siguientes configuraciones de bloqueo de cuenta

Tiempo de bloqueo de cuenta
Umbral de bloqueo de cuenta
Restablecer contador de bloqueo de cuenta < Br>

Además, PSO también contiene las siguientes dos nuevas propiedades:

Enlace de PSO: este es un atributo de múltiples valores vinculado a un usuario o un objeto de grupo.

Prioridad: es un uso Para resolver el problema, se aplican múltiples PSO a un solo usuario o objeto de grupo para generar valores enteros conflictivos

Estos nueve valores de atributo deben estar definidos e indispensables. Las configuraciones de múltiples PSO no pueden ser combinadas.

Definir el alcance de una política de contraseña granular

Un PSO se puede vincular a un usuario (o inetOrgPerson) u objeto de grupo en el mismo dominio que el PSO.

El PSO contiene valores de atributos que describen el enlace directo de PSO, msDS-PSOApplies. msDS-PSOApplies es un atributo de múltiples valores. Así que puedes vincular un PSO a múltiples usuarios o grupos.

Se agregó un nuevo valor de atributo llamado msDS-PSOApplied a los objetos de usuario y grupo en 2008. Esta propiedad contiene los vínculos de retroceso de la PSO. Debido a que el atributo msDS-PSOApplied tiene un enlace de retroceso, múltiples PSO pueden aplicar un usuario o grupo. Puede vincular el PSO a otros tipos de grupos que no sean el grupo de seguridad global.

Creando un PSO usando la interfaz gráfica (adsiedit.msc)

1. Haga clic en el botón Inicio, haga clic en Ejecutar, escriba adsiedit.msc, haga clic en Aceptar
* Si se encuentra en DC Ejecute adsidedit.msc por primera vez, continúe viendo el segundo paso, si no, pase al cuarto paso.
2. En la interfaz ADSI EDIT, haga clic con el botón derecho en ADSI Edit, luego haga clic en Conectar con
3. En el campo Nombre, ingrese el nombre de dominio completo (FQDN) del dominio para el que desea crear un PSO y luego haga clic en OK
4. Haga doble clic en el dominio
5. Haga doble clic en DC = < Nombre de dominio >
6. Haga doble clic en CN = Sistema
7. Haga doble clic en Configuración de contraseña
8. Haga clic derecho en CN = Contenedor de configuración de contraseña Haga clic en Nuevo, luego haga clic en Objeto
9. En el cuadro de diálogo Crear objeto, seleccione msDS-PasswordSettings, haga clic en Siguiente
10. Ingrese el nombre del PSO y haga clic en Siguiente
11. Asistente, ingrese los atributos obligatorios

msDS-PasswordReversibleEncryptionEnabled
Atributo nombre descripción valor de ejemplo
msDS-PasswordSettingsPrecedence Prioridad de configuración de contraseña
msDS-PasswordReversibleEncryptionEnabled Use la contraseña para restaurar la contraseña para almacenar FALSE < BR> msDS-PasswordHistoryLength Historial Longitud de la contraseña 24
msDS-PasswordComplexityEnabled User Secret Complejidad VERDADERO

msDS-MinimumPasswordLength Longitud de la contraseña del usuario como mínimo 8
msDS-MinimumPasswordAge Contraseña período de uso mínimo
(solo se permiten valores negativos, el método de cálculo se encuentra al final del texto)
-864000000000 (1 día )
msDS-MaximumPasswordAge Duración máxima de la contraseña
(solo se permiten valores negativos, el método de cálculo se encuentra al final del texto)
-17280000000000 (20 días)
msDS-LockoutThreshold Umbral de bloqueo de la cuenta 0
msDS- LockoutObservationWindow Restablecer el tiempo de contador de bloqueo de cuenta
(solo se permiten valores negativos, ver el final del método de cálculo) -18000000000 (30 minutos)
msDS-LockoutDuration Tiempo de bloqueo de cuenta
(solo se permiten valores negativos, el método de cálculo se encuentra al final del texto) -18000000000 (30 minutos)
msDS-PSOAppliesTo PSO se aplica a (conexión hacia adelante) CN = u1, CN = Usuarios,

12. En la última página del asistente, haga clic en Más propiedades < BR> 13. En el menú Seleccionar las propiedades para ver, haga clic en Opcional o en ambos
14. En el menú desplegable para seleccionar un atributo para ver Seleccione msDS-PSOAppliesTo
15. En Editar propiedades, agregue el nombre distinguido relativo del usuario y el grupo de seguridad global al que se debe aplicar el PSO.
16. Repita el paso 15 si necesita aplicar el PSO a varios usuarios. Y el grupo de seguridad global
17. Haga clic en Finalizar

Adjunto: Determinadas determinaciones que involucran valores de atributos de tiempo
Método de operación de la unidad de tiempo
'm' minutos -60 * (10 ^ 7) = - 600000000
'h' horas -60 * 60 * (10 ^ 7) = -36000000000
'd' días -24 * 60 * 60 * (10 ^ 7) = -864000000000


Copyright © Conocimiento de Windows All Rights Reserved