Active Directory (AD) es un servicio de directorio de Microsoft que permite a los administradores de sistemas centralizar la gestión de usuarios, grupos y recursos en una red.
Una de las funcionalidades de AD es la posibilidad de configurar objetos de configuración de contraseñas (Password Settings Objects, PSOs) para establecer políticas de seguridad para las contraseñas de los usuarios.
Los PSOs son diferentes a las políticas de password que podemos agregar mediante GPO, los PSOs puede ser utilizados para ciertas cosas en concreto, como por ejemplo poner un password con una longitud inferior a la política de nuestro dominio, esto podria ser de ayuda en caso de que se tenga algún sistema que no admita la política de password que actualmente se tiene registrada, también se puede utilizar para reforzar los password a un grupo en particular, como agregar una longitud más grande o bloquear el usuario con un solo intento fallido. Las opciones son múltiples y deben de ser ajustadas a sus necesidades.
A continuación, se describen los pasos para configurar PSOs en AD.
1.- Abrir Active Directory Administrative Center
2.- Desplegar el directorio del dominio y después hacer doble clic en System
3.- Hacer doble clic en Password Settings Container
4.- Puedes crear un PSO haciendo clic derecho > New > Password Settings o del lado derecho presionar en new.
5.- En esta ventana se debe de seleccionar el nombre del PSO, así como la precedencia, la precedencia significa el nivel de prioridad de los PSOs, en este PSO aplicaré para que los usuarios puedan poner un password con un mínimo de 5 caracteres, además de que solo lo aplicaré a un solo usuario.
Estos PSOs pueden ser aplicados a usuarios o grupos.
6.- Al hacer una prueba intentando poner un password de 5 caracteres a un usuario vemos como es permitido.
7.- Si intento aplicar un password de 5 caracteres a otro usuario tendré el típico error diciendo que el password no cumple con las políticas de passwords dentro del dominio.
Una vez configurado el PSO, los usuarios afectados deberán cumplir con las políticas de contraseñas establecidas en el PSO. Los administradores pueden crear varios PSOs para aplicar políticas diferentes a diferentes grupos de usuarios. Es importante tener en cuenta que una vez aplicado un PSO a un grupo de usuarios, este no puede ser eliminado, solo deshabilitado.
En resumen, configurar objetos de configuración de contraseñas (PSOs) en Active Directory es una excelente manera de establecer políticas de seguridad para las contraseñas de los usuarios. El proceso es sencillo y permite la personalización de las políticas de acuerdo a las necesidades de cada grupo de usuarios.
