Guía paso a paso para la configuración de directivas de bloqueo de cuenta y contraseña...

7
Guía paso a paso para la configuración de directivas de bloqueo de cuenta y contraseña específica Actualizado: junio de 2009 Se aplica a: Windows Server 2008, Windows Server 2008 R2 En esta guía paso a paso se proporcionan las instrucciones necesarias para configurar y aplicar directivas de bloqueo de cuenta y contraseña específica relativas a los distintos conjuntos de usuarios en los dominios de Windows Server® 2008. En los dominios de Active Directory de Microsoft® Windows® 2000 y Windows Server 2003 únicamente se podía aplicar una directiva de bloqueo de cuenta y contraseña (especificada en la directiva predeterminada de dominio del dominio) a todos los usuarios del dominio. Como resultado, si quería disponer de una configuración de bloqueo de cuenta y contraseña distinta para varios conjuntos de usuarios, tenía que crear un filtro de contraseña, o bien implementar varios dominios. Ambas opciones resultaban costosas por diversos motivos. En Windows Server 2008, se pueden usar directivas de contraseña específica para establecer varias directivas de contraseña, así como aplicar diversas restricciones de contraseña y directivas de bloqueo de cuenta a grupos de usuarios diferentes dentro de un solo dominio. Por ejemplo, para aumentar la seguridad de las cuentas con privilegios, se puede aplicar una configuración más rígida a dichas cuentas y una configuración más permisiva a las cuentas de otros usuarios. En algunos casos, es posible que quiera aplicar una directiva de contraseña especial en cuentas cuyas contraseñas están sincronizadas con otros orígenes de datos. Para almacenar directivas de contraseña específica, Windows Server 2008 incluye dos nuevas clases de objeto en el esquema de Servicios de dominio de Active Directory (AD DS): Contenedor de configuraciones de contraseña

Transcript of Guía paso a paso para la configuración de directivas de bloqueo de cuenta y contraseña...

Page 1: Guía paso a paso para la configuración de directivas de bloqueo de cuenta y contraseña específica

Guía paso a paso para la configuración de directivas de bloqueo de cuenta y contraseña específica

Actualizado: junio de 2009

Se aplica a: Windows Server 2008, Windows Server 2008 R2

En esta guía paso a paso se proporcionan las instrucciones necesarias para configurar y aplicar directivas de bloqueo de cuenta y contraseña específica relativas a los distintos conjuntos de usuarios en los dominios de Windows Server® 2008.

En los dominios de Active Directory de Microsoft® Windows® 2000 y Windows Server 2003 únicamente se podía aplicar una directiva de bloqueo de cuenta y contraseña (especificada en la directiva predeterminada de dominio del dominio) a todos los usuarios del dominio. Como resultado, si quería disponer de una configuración de bloqueo de cuenta y contraseña distinta para varios conjuntos de usuarios, tenía que crear un filtro de contraseña, o bien implementar varios dominios. Ambas opciones resultaban costosas por diversos motivos.

En Windows Server 2008, se pueden usar directivas de contraseña específica para establecer varias directivas de contraseña, así como aplicar diversas restricciones de contraseña y directivas de bloqueo de cuenta a grupos de usuarios diferentes dentro de un solo dominio. Por ejemplo, para aumentar la seguridad de las cuentas con privilegios, se puede aplicar una configuración más rígida a dichas cuentas y una configuración más permisiva a las cuentas de otros usuarios. En algunos casos, es posible que quiera aplicar una directiva de contraseña especial en cuentas cuyas contraseñas están sincronizadas con otros orígenes de datos.

Para almacenar directivas de contraseña específica, Windows Server 2008 incluye dos nuevas clases de objeto en el esquema de Servicios de dominio de Active Directory (AD DS):

Contenedor de configuraciones de contraseña

Configuraciones de contraseña

La clase de objeto Contenedor de configuraciones de contraseña (PSC) se crea de forma predeterminada en el contenedor Sistema del dominio. En él se almacenan los objetos Configuraciones de contraseña (PSO) de dicho dominio. Este contenedor no se puede mover ni eliminar, así como cambiar el nombre.

Para obtener más información, consulte el Apéndice A: revisión de directivas de bloqueo de cuenta y contraseña específica.

¿Quién debe usar esta guía?

Esta guía está destinada al siguiente público:

Planeadores y analistas de tecnología de la información (TI) que se encuentren evaluando el producto desde un punto de vista técnico

http://technet.microsoft.com/es-es/library/cc754544(WS.10).aspx
http://technet.microsoft.com/es-es/library/cc754544(WS.10).aspx
Page 2: Guía paso a paso para la configuración de directivas de bloqueo de cuenta y contraseña específica

Planeadores y diseñadores de TI empresariales de las organizaciones Administradores encargados de la seguridad de TI

Introducción al escenario

Definición de la estructura organizativa

Antes de proceder a la configuración de directivas de bloqueo de cuenta y contraseña específica, defina la estructura organizativa creando los grupos pertinentes y, a continuación, agregando usuarios a estos grupos o moviéndolos entre ellos. Al planear el uso más productivo de la característica de directiva de bloqueo de cuenta y contraseña específica es importante tener en cuenta la naturaleza única de la organización. ¿Cuántas directivas de contraseña son necesarias? Un escenario normal puede incluir entre 3 y 10 PSO, así como las siguientes directivas de contraseña:

Una directiva de contraseña de administrador con una configuración estricta (por ejemplo, las contraseñas expiran cada dos semanas)

Una directiva de contraseña de usuario medio con una configuración que no es estricta (por ejemplo, las contraseñas expiran cada 90 días)

Una directiva de contraseña de cuenta de servicio destinada a las cuentas de servicio (por ejemplo, la longitud de contraseña mínima es de 32 caracteres)

También es importante aprovechar la estructura de grupos existente. ¿Cuáles son sus características? ¿Dispone ya de los grupos Administradores o Usuarios? El objetivo reside en dar forma a la estructura de grupo de manera que se asigne directamente a la aplicación que desee de las directivas de bloqueo de cuenta y contraseña específica que se acaban de definir.

Los PSO no se pueden aplicar directamente a las unidades organizativas, de modo que, si los usuarios están organizados de dicha forma, considere la opción de crear "grupos ocultos" para estas unidades organizativas y, a continuación, aplicarles las nuevas directivas de bloqueo de cuenta y contraseña específica. Un grupo oculto es un grupo de seguridad global asignado lógicamente a una unidad organizativa con el propósito de aplicar una directiva de bloqueo de cuenta y contraseña específica. Agregue usuarios de las unidades organizativas como miembros al grupo oculto recién creado y aplique la directiva de bloqueo de cuenta y contraseña específica a dicho grupo. Si mueve un usuario de una unidad a otra, deberá actualizar las pertenencias de usuario en los correspondientes grupos ocultos.

Si se aplican PSO directamente a los grupos de seguridad global en lugar de directamente a las unidades organizativas, obtendrá las siguientes ventajas:

Los grupos serán más flexibles a la hora de administrar varios conjuntos de usuarios en unidades organizativas.

La mayoría de las implementaciones de Active Directory usan una estructura de grupos sistemática para organizar a sus usuarios. De igual modo, AD DS en Windows Server 2008 crea de forma predeterminada varios grupos para las cuentas administrativas: Administradores del dominio, Administradores de

Page 3: Guía paso a paso para la configuración de directivas de bloqueo de cuenta y contraseña específica

organización, Administradores de esquema, Operadores de servidores, Operadores de copia de seguridad, etc.

La estructura de grupos da pie a una implementación más sencilla de las directivas de contraseña específica, por lo que no será necesario volver a estructurar los directorios de la organización creando unidades organizativas. La modificación de una jerarquía de unidades organizativas conlleva una planeación detallada y aumenta el riesgo de provocar errores no forzados, ya que esto tiene un efecto notable en la aplicación de la directiva de grupo y la herencia de las listas de control de acceso (ACL).

Requisitos y consideraciones especiales en relación con las directivas de bloqueo de cuenta y contraseña específica

Nivel funcional de dominio:

Importante A fin de que las directivas de bloqueo de cuenta y contraseña específica funcionen de forma correcta en un determinado dominio, el nivel funcional de dicho dominio se debe establecer en Windows Server 2008.

Permisos: De forma predeterminada, sólo los miembros del grupo Administradores del dominio pueden crear PSO. Los miembros de este grupo son los únicos que poseen los permisos Crear secundaria y Eliminar secundaria en el objeto Contenedor de configuraciones de contraseña. Asimismo, sólo los miembros de este grupo disponen de permisos de Propiedad de escritura en los PSO de manera predeterminada. Por lo tanto, serán los únicos que puedan aplicar un PSO a un grupo o a un usuario. Para poder aplicar un PSO a un objeto de usuario o de grupo no es preciso tener permisos sobre dicho objeto. Para aplicar un PSO al objeto de usuario o de grupo, debe poseer permisos de escritura en el objeto PSO en cuestión.

Delegación de permisos: Puede delegar permisos de Propiedad de lectura en el descriptor de seguridad predeterminado del objeto PSO en el esquema a cualquier otro grupo (como el personal de soporte técnico o una aplicación de administración) del dominio o bosque. De esta forma, se evitará al mismo tiempo que un usuario pueda ver su configuración de contraseña en el directorio. El usuario podrá leer los atributos msDS-ResultantPSO o msDS-PSOApplied, si bien éstos sólo mostrarán el nombre distintivo del PSO correspondiente al usuario. El usuario no podrá ver la configuración de dicho PSO. Para obtener más información, consulte el Apéndice C: administración basada en grupo de directivas de bloqueo de cuenta y contraseña específica.

Applicación de directivas de contraseña específica: Las directivas de contraseña específica se aplican sólo a los objetos de usuario (u objetos inetOrgPerson, si se usan en lugar de objetos de usuario) y a los grupos de seguridad global. No se pueden aplicar a objetos de equipo.

Filtros de contraseña : Las directivas de contraseña específica no interfieren con los filtros de contraseña personalizados que se puedan usar en el mismo dominio. En consecuencia, las organizaciones que hayan implementado filtros de contraseña personalizados en controladores de dominio que ejecutan

http://technet.microsoft.com/es-es/library/cc771711(WS.10).aspx
http://technet.microsoft.com/es-es/library/cc771711(WS.10).aspx
Page 4: Guía paso a paso para la configuración de directivas de bloqueo de cuenta y contraseña específica

Windows 2000 o Windows Server 2003 podrán seguir usándolos para aplicar restricciones adicionales relativas a las contraseñas.

PSC personalizados: Además del PSC predeterminado, los administradores pueden crear sus propios PSC en el contenedor Sistema. Sin embargo, esta acción no es recomendable, ya que la lógica de conjunto resultante de directivas no tiene en cuenta los PSO incluidos en estos PSC personalizados.

PSO excepcionales: Si desea que un determinado miembro de un grupo se ajuste a una directiva distinta a la que se ha asignado a todo el grupo, puede asignar el PSO excepcional directamente a ese usuario en concreto. Si se aplica un PSO directamente al usuario (esto es, si lo aplica al grupo al que pertenece el usuario), tendrá prioridad sobre todos los PSO implícitos que puedan estar vinculados con él cuando se determine el atributo msDS-ResultantPSO para dicho usuario. No obstante, en caso de que existan dos o más PSO excepcionales aplicados directamente al objeto de usuario (algo no recomendable), tendrá prioridad el PSO excepcional con el identificador único global (GUID) más pequeño.

Pasos para configurar directivas de bloqueo de cuenta y contraseña específica

Al definir e implementar la estructura de grupos de la organización, se pueden configurar y aplicar directivas de bloqueo de cuenta y contraseña específica a los usuarios y grupos de seguridad global. Para configurar directivas de bloqueo de cuenta y contraseña específica, es necesario realizar los siguientes pasos:

Paso 1: crear un PSO

Paso 2: aplicar PSO a usuarios y grupos de seguridad global Paso 3: administrar un PSO Paso 4: ver un PSO resultante relativo a un usuario o a un grupo de seguridad

global

Importante Asimismo, las directivas de bloqueo de cuenta y contraseña específica también se pueden administrar creando los grupos de seguridad global correspondientes para todos los PSO existentes y asignando (delegando) los permisos pertinentes de los objetos de dichos grupos a los usuarios o grupos seleccionados dentro de la organización, por ejemplo, el personal de soporte técnico. Para obtener más información, consulte el Apéndice C: administración basada en grupo de directivas de bloqueo de cuenta y contraseña específica.

Para obtener más información, consulte

Apéndice A: revisión de directivas de bloqueo de cuenta y contraseña específica

Apéndice B: limitaciones de atributo de PSO Apéndice C: administración basada en grupo de directivas de bloqueo de cuenta

y contraseña específica

http://technet.microsoft.com/es-es/library/cc771711(WS.10).aspx
http://technet.microsoft.com/es-es/library/cc771711(WS.10).aspx
http://technet.microsoft.com/es-es/library/cc753858(WS.10).aspx
http://technet.microsoft.com/es-es/library/cc754544(WS.10).aspx
http://technet.microsoft.com/es-es/library/cc771711(WS.10).aspx
http://technet.microsoft.com/es-es/library/cc771711(WS.10).aspx
http://technet.microsoft.com/es-es/library/cc770848(WS.10).aspx
http://technet.microsoft.com/es-es/library/cc770848(WS.10).aspx
http://technet.microsoft.com/es-es/library/cc753481(WS.10).aspx
http://technet.microsoft.com/es-es/library/cc731589(WS.10).aspx
http://technet.microsoft.com/es-es/library/cc754461(WS.10).aspx
Page 5: Guía paso a paso para la configuración de directivas de bloqueo de cuenta y contraseña específica

Cambiamos contraseña

Cambiamos contraseña

Índice del Reglamento de Señales...Para autorizar la entrada, la salida o el paso de un tren - Con bloqueo telefónico (B.T.) o con bloqueo eléctrico manual (B.E.M.), cinco minutos

Índice del Reglamento de Señales...Para autorizar la entrada, la salida o el paso de un tren - Con bloqueo telefónico (B.T.) o con bloqueo eléctrico manual (B.E.M.), cinco minutos

Paso a paso para registrarte online - Buenos Aires · Para poder gestionar el permiso en el sistema es necesario registrarse con un usuario y contraseña, para el cual es necesario

Paso a paso para registrarte online - Buenos Aires · Para poder gestionar el permiso en el sistema es necesario registrarse con un usuario y contraseña, para el cual es necesario

BLOQUEO DEL HAZ DE HIS (BLOQUEO DE RAMA)

BLOQUEO DEL HAZ DE HIS (BLOQUEO DE RAMA)

Paso a paso restablecer contraseña sofia plus aprendiz SENA

Paso a paso restablecer contraseña sofia plus aprendiz SENA

Catálogo de Bloqueo - Etiquetado - Melcsa.com Bloqueo y Etiquetado ¿Por qué Bloqueo - Etiquetado? Bloqueo - Etiquetado (LOTO) es un importante procedimiento de seguridad - crítico

Catálogo de Bloqueo - Etiquetado - Melcsa.com Bloqueo y Etiquetado ¿Por qué Bloqueo - Etiquetado? Bloqueo - Etiquetado (LOTO) es un importante procedimiento de seguridad - crítico

Dispositivos Standalone RFID de metal Versión: 2 · 1. Se autentica la contraseña del administrador. 2. Presione[8]. Para entrar al paso del cambio de contraseña 3. Introducir

Dispositivos Standalone RFID de metal Versión: 2 · 1. Se autentica la contraseña del administrador. 2. Presione[8]. Para entrar al paso del cambio de contraseña 3. Introducir

Cambio contraseña

Cambio contraseña

PASO 1colegionicolasbravo.com/paginas/NICOLECTOR/MANUAL DE...PASO 4 PANTALLA DE ENTRADA 1. Ingresa tu usuario y contraseña. 2. Da clic en el botón. SI TE EQUIVOCAS AL ESCRIBIRLOS,

PASO 1colegionicolasbravo.com/paginas/NICOLECTOR/MANUAL DE...PASO 4 PANTALLA DE ENTRADA 1. Ingresa tu usuario y contraseña. 2. Da clic en el botón. SI TE EQUIVOCAS AL ESCRIBIRLOS,

TÉCNICAS EN DOLOR CRÓNICO · 2016-05-30 · • Bloqueo del ganglio estrellado • Bloqueo simpático torácico • Bloqueo del ganglio celíaco • Bloqueo simpático lumbar. BLOQUEO

TÉCNICAS EN DOLOR CRÓNICO · 2016-05-30 · • Bloqueo del ganglio estrellado • Bloqueo simpático torácico • Bloqueo del ganglio celíaco • Bloqueo simpático lumbar. BLOQUEO

Como configurar el iPad con bloqueo con contraseña

Como configurar el iPad con bloqueo con contraseña

Guia paso a paso - Clave de Acceso tapado · Cómo cambiar la Clave de Acceso Paso 3 - En caso de ingresar al Sistema una contraseña o clave inválida por tercera vez, este solicitará

Guia paso a paso - Clave de Acceso tapado · Cómo cambiar la Clave de Acceso Paso 3 - En caso de ingresar al Sistema una contraseña o clave inválida por tercera vez, este solicitará

Introducir la contraseña. Ej. Contraseña: Tal45039 En algunos … · 2020. 10. 23. · Introducir la contraseña. Ej. Contraseña: Tal45039 En algunos casos, os pedirá cambiar

Introducir la contraseña. Ej. Contraseña: Tal45039 En algunos … · 2020. 10. 23. · Introducir la contraseña. Ej. Contraseña: Tal45039 En algunos casos, os pedirá cambiar

PASO No 1: ¿Ha extraviado la contraseña?universidadcristianaintegral.org/ue/pluginfile.php/9371... · 2015. 8. 10. · PASO No 3: Al correo registrado en la plataforma le llegará

PASO No 1: ¿Ha extraviado la contraseña?universidadcristianaintegral.org/ue/pluginfile.php/9371... · 2015. 8. 10. · PASO No 3: Al correo registrado en la plataforma le llegará

Bloqueo de contraseña en SuperNet - Santander México · 2020-06-12 · El proceso de autenticación tiene 3 posibilidades para recuperar la contraseña de acceso Token/SuperToken,

Bloqueo de contraseña en SuperNet - Santander México · 2020-06-12 · El proceso de autenticación tiene 3 posibilidades para recuperar la contraseña de acceso Token/SuperToken,

Cómo usar el Administrador de dispositivos Android para ... · Tu pantalla de bloqueo actual será reemplazada con un bloqueo de contraseña. No uses la contraseña de tu cuenta

Cómo usar el Administrador de dispositivos Android para ... · Tu pantalla de bloqueo actual será reemplazada con un bloqueo de contraseña. No uses la contraseña de tu cuenta

INSTRUCTIVO GENERAL PASO A PASO SABER 11 INSTITUCIONAL GENERAL... · 2019. 8. 12. · código ICFES y la contraseña. Formas de pago: El pago puede realizarse en las ventanillas del

INSTRUCTIVO GENERAL PASO A PASO SABER 11 INSTITUCIONAL GENERAL... · 2019. 8. 12. · código ICFES y la contraseña. Formas de pago: El pago puede realizarse en las ventanillas del

Líder en Servicios de Telecomunicaciones para Empresas ......Desbloqueo de la radio en estado de bloqueo . .95 Activación o desactivación del bloqueo por contraseña . . . . . .

Líder en Servicios de Telecomunicaciones para Empresas ......Desbloqueo de la radio en estado de bloqueo . .95 Activación o desactivación del bloqueo por contraseña . . . . . .

Herramienta para medir el avance de la … · avance, y hacemos clic en el botón azul ^Desproteger hoja _. Ingresamos la contraseña: ^MAIS _, ... ¿Cómo bloqueo nuevamente una

Herramienta para medir el avance de la … · avance, y hacemos clic en el botón azul ^Desproteger hoja _. Ingresamos la contraseña: ^MAIS _, ... ¿Cómo bloqueo nuevamente una

Usuario contraseña

Usuario contraseña