Entendiendo el Bloqueo de cuentas Hola!, un tema interesante para la proteccin de cuentas de usuarios de dominio es el Bloqueo de cuentas o Account Lockout.

Por qu protegemos las cuentas de usuarios y sus contraseas? En primer lugar debemos considerar la seguridad como un estatuto que debe regir en nuestra organizacin. A nivel de cuentas de usuarios de dominio podemos lograrlo habilitando auditora de cuentas, proteccin de cuentas deshabilitndolas, contraseas seguras y complejas.

Los bloqueos de cuentas de usuarios se definen luego de una cantidad de intentos fallidos de inicio de sesin porque se escribe una contrasea incorrecta.Los bloqueos de cuentas de usuarios de un dominio son definidos en una GPO o una Directiva de Grupo a nivel de todo el dominio.

Nosotros podemos poner a trabajar esta Directiva de Grupo modificando la Default Domain Policy o Directiva del dominio usando la consola GPMC o desde el Active Directory Users and Computers.

Habilitar el bloqueo de cuentas:1. Ingresamos al Active Directory y le hacemos click derecho al dominio y seleccionamos propiedadaes, cargar una ventana e ingresamos a la pestaa Group Policy y hacemos clic en Edit. 2. Expandimos la Directiva de Grupo: Computer Settings, Windows Settings, Security Settings, Account Policies, Account Lockout Policy.3. Debemos definir tres valores para el Bloqueo de cuentas.

4. Account Lockout Threshold: Define el nmero de intentos fallidos para bloqueo de cuentas de usuario. Se recomienda que al quinto intento se bloquee la cuenta, por lo tanto escribmos 5.

5. Account Lockout Duration: Define el tiempo de bloqueo de la cuenta de usuario. Por defecto es 30 minutos cuando definimos el Account Lockout Threshold. Mejor dicho luego de 30 minutos la cuenta se desbloquea sola. Si deseamos que nunca se desbloquee y que se desbloquee de forma manual por un administrador debemos escribir 0.

6. Reset account lockout counter after: Define el tiempo en el que el valor Badpwdcount es reseteado, por defecto es 30 minutos cuando definimos el Account Lockout Threshold. Mejor dicho que en 30 minutos el valor no debe exceder el valor definido en el Account Lockout Threshold, de lo contrario la cuenta se bloquea.

7. Finalmente esperamos que la poltica se ejecute en el dominio. Las polticas de grupos de propagan en un lapso de 30 a 90 minutos de manera automtica.Cuando una cuenta de usuario se bloquea aparecer la siguiente pantalla:Para desbloquear un cuenta de usuario ingresamos al Active Directory Users and Computers, identificamos el usuario, clic derecho y seleccionamos Propiedades. En la ventana Propiedades nos vamos a la pestaa Account o Cuenta y desmarcamos la opcin Account is Locked out.

Aplicando las directivas de bloqueo de cuentas podremos identificar: Las cuentas de usuarios bloqueadas pueden ser visualizadas desde el Visor de eventos en cualquier Controlador de dominio. Opcin: Security, Evento 644. Identificar dnde las cuentas se bloquean en que estacion de trabajo o servidor. Esto permitir saber porque las cuentas de servicios o de usuarios se bloquean ayudndonos en tareas de resoluciones de problemas.