Guía definitiva para configurar la política de contraseña predeterminada en Active Directory: mejores prácticas y consejos. Por defecto, Active Directory está configurado con una política de contraseña de dominio predeterminada. Esta política define los requisitos de contraseña para cuentas de usuario de Active Directory, como la longitud de la contraseña., edad, etcétera.
Configuración de la política de contraseña
Hacer cumplir el historial de contraseña:
Esta configuración define cuántas contraseñas únicas deben usarse antes de que se pueda reutilizar una contraseña anterior.. Por ejemplo, Si mi contraseña actual es "th334goore0!"Entonces no puedo reutilizar esa contraseña hasta que he cambiado mi contraseña 24 veces (o cualquier número que la política esté establecida). Esta configuración es útil para que los usuarios no sigan reutilizando la misma contraseña. La configuración predeterminada es 24
Edad de contraseña máxima:
Esta configuración define cuánto tiempo en los días se puede usar una contraseña antes de que se necesite cambiar. La configuración predeterminada es 42 días
Edad mínima de contraseña
Esta configuración determina cuánto tiempo debe usarse una contraseña antes de que se pueda cambiar. La configuración predeterminada es 1 día
Longitud mínima de contraseña
Esta configuración determina cuántos caracteres debe tener una contraseña. El valor predeterminado es 7. Esto significa que mi contraseña debe contener al menos 7 personajes.
La contraseña debe cumplir con los requisitos de complejidad
Si las contraseñas habilitadas deben cumplir con estos requisitos:
- No contener el nombre de la cuenta del usuario o partes del nombre completo del usuario que excede los dos caracteres consecutivos
- Tener al menos seis caracteres de longitud
- Contiene caracteres de tres de las siguientes cuatro categorías:
- Personajes en inglés en inglés (A a a z)
- Personajes en minúsculas en inglés (a a a z)
- Base 10 dígitos (0 a través de 9)
- Caracteres no alfabéticos (Por ejemplo, !, $, #, %)
Esto está habilitado de forma predeterminada
Almacene las contraseñas utilizando el cifrado reversible
Esta configuración determina si el sistema operativo almacena la contraseña utilizando el cifrado reversible. Esto es esencialmente lo mismo que almacenar las versiones más ferias de las contraseñas. Esta política nunca debe establecerse en habilitado a menos que tenga algunos requisitos de aplicación muy específicos.
Modificar la política de contraseña de dominio predeterminada
1. Inicie sesión en su controlador de dominio (o use un cliente de Windows con RSAT instalado). Haga clic en el Comenzar botón y encontrar en la lista de aplicaciones Herramientas administrativas de Windows;
2. Hacer clic en Gestión de políticas de grupo;
3. Encontrar Política de dominio predeterminada (Bosque dominios <Nombre de dominio>\Objetos de política grupal);
Si necesita modificar algunas de las configuraciones contenidas en el Política de dominio predeterminada GPO, se recomienda que cree un nuevo GPO para este propósito, vincularlo al dominio, y establecer el Hacer cumplir opción.
Technet: Vinculación de GPOS
No modifique la política de dominio predeterminada o la política de controlador de dominio predeterminado a menos que sea necesario. En cambio, Cree un nuevo GPO en el nivel de dominio y configure para anular la configuración predeterminada en las políticas predeterminadas.
Technet: Establecer pautas operativas de políticas grupales
4. Botón derecho del ratón hacer clic en Política de dominio predeterminada y seleccionar Editar;
5. Ir a Política de contraseña (Configuración de la computadora Políticas Configuración de Windows Configuración de seguridad Política de contraseña) y configuró la configuración de las políticas de contraseña en la configuración que desea;
6. Hacer cumplir el historial de contraseña - ¿Cuántas contraseñas recordará el sistema?. Cuántas contraseñas únicas El usuario debe usar cuando cada vez restablece la contraseña;
7. Edad de contraseña máxima - ¿Cuánto tiempo viva la contraseña después de este período de usuario?, se le pedirá que restablezca la contraseña. (Puedes configurar "0" para "ilimitado"Tiempo de edad);
8. Edad mínima de contraseña - El usuario puede cambiar la contraseña después de este período. (Puedes configurar "0" para "ilimitado"Tiempo de edad);
9. Longitud mínima de contraseña - ¿Cuánto tiempo serán sus contraseñas?, pero no menos que este valor;
10. La contraseña debe cumplir con los requisitos de complejidad - Puede establecer este parámetro si necesita en contraseñas muy seguras (pequeño "a"Y Big"A"Cartas, dígitos "1"Y símbolos especiales"!");
11. Almacene las contraseñas utilizando el cifrado reversible - Por defecto no se usa en el dominio, Solo si la aplicación lo requería.
También puede ver la política de contraseña predeterminada con Windows PowerShell:
Get-ADDefaultDomainPasswordPolicyCONSEJO: Asegúrese de informar a todos sus usuarios cuando va a hacer esto, ya que puede activarlos para cambiar su contraseña la próxima vez que inicien sesión.
NOTA: Incluso si aplica las políticas de contraseña a los "controladores de dominio", no modificará la política de contraseña del dominio. Por lo que yo sé, Esta es la única excepción a la regla de cómo se aplican los GPO a los objetos.
