Windows server 2008

Nuevas politicas de contraseñas en Windows Server 2008

Una de las novedades que nos aporta Windows Server 2008 a la hora de gestionar la seguridad de los dominios, es la posibilidad de trabajar con políticas de contraseñas de las cuentas de usuario con mayor flexibilidad a como lo hacíamos en entonos de Windows 2003. En este sentido veremos dos  opciones de configuración que responden a entornos de red diferentes. Por un lado la posibilidad de gestionar distintos niveles de contraseñas y su mantenimiento para ciertos usuarios o grupos del dominio, y por otro la posibilidad de configurar un controlador de dominio de solo lectura en el cual sólo se almacenan en caché las contraseñas de los usuarios indicados por el administrador de la red.

Diferentes directivas de contraseñas en un dominio

En un dominio con nivel funcional Windows server 2008, el administrador puede utilizar dos nuevas clases de objetos definidos en el esquema de AD DS.  Objetos de directiva de contraseñas (PSO)  y el contenedor donde se ubican en el dominio (PSC).

Un contenedor de configuración de la contraseña (PSC) se crea por defecto en el marco del sistema de contenedores en el dominio, y no se puede renombrar, mover o eliminar.

Pantalla de Active Directory Users and Computers

Un objeto PSO contiene todos los atributos que se pueden definir en la Default Domain policy, excepto los ajustes de Kerberos. Para crear un PSO nuevo utilizaremos  ADSI Edit o ldifde, teniendo en cuenta que deberemos asignar un valor a los siguientes atributos:

  • Aplicar historial de contraseñas
  • Vigencia máxima de la contraseña
  • Vigencia mínima de la contraseña
  • Longitud mínima
  • Las contraseñas deben cumplir requisitos de complejidad
  • Almacenar contraseñas usando cifrado reversible
  • Duración de bloqueo
  • Umbral de bloqueo
  • Restablecer cuenta después de

Existen otros dos atributos a configurar:

  • Aplicar a (PSO link . msDS-PSOAppliesTo) donde definimos los usuarios y grupos a los que vincular este objeto.
  • Precedencia. Este es un valor que se utiliza para resolver los conflictos en caso de que varias PSO afecten a un mismo usuario.

Almacenamiento de contraseñas en un controlador de dominio de solo lectura

Este tipo de controlador se ubica normalmente en sucursales con pocos usuarios y con conexiones de baja velocidad para enlazar con la red central. Almacena una copia de solo lectura de la base de datos de directorio activo (y de DNS si se desea) con el fin de permitir inicios de sesión y aplicar directivas de grupo.

El comportamiento por defecto es que este CD no almacene credenciales de usuarios, pero se puede definir una política para determinar qué contraseñas pueden ser almacenadas en su caché, y cuales nunca cacheará.

El objetivo es que en el caso de que la seguridad del servidor se vea comprometida, sea imposible obtener credenciales de usuarios con capacidad administrativa en la red. Además existe la posibilidad de resetar desde otro controlador las contraseñas necesarias.

Pantalla de Deleting Domain Controller

Arriba

Copyright © Consultec, S.L. - Bilbao - Tel.: 902.23.66.66

Información legal
Privacidad de Datos
Política de cookies

Siguenos en: