Un tema que he visto muchas preguntas es sobre la posibilidad de tener diferentes configuraciones de contraseñas y bloqueo de cuentas a diferentes grupos de Dominio.
Esto no se puede hacer hasta Windows Server 2003 – 2003-R2. Si existía la necesidad de implementarlo, la única forma era crear Dominios diferentes, y hacerse cargo de la complejidad que eso implica
A partir de Windows Server 2008, la posiblidad está disponible, sólo que el procedimiento no es fácil e intuitivo.
Para aquellos que les interese vean: Active Directory Domain Services (AD DS) Fine-Grained Password and Account Lockout Policy Step-by-Step Guide:
http://technet.microsoft.com/en-us/library/cc770842(WS.10).aspx
Pero a partir de Windows Server 2012 es mucho más sencillo
Lo primero que debemos conocer es el Active Directory Administrative Center (ADAC.EXE) que podemos acceder desde Tools en el Server Manager
Expandimos el Dominio y vamos a System. Sobre el panel central veremos “Password Settings Container” sobre el que con botón derecho elegiremos New / Password Settings
En la siguiente pantalla podremos ingresar los requerimientos de contraseñas y bloqueo de cuenta que necesitemos asignar a un grupo de Dominio (adapten los datos a la propia necesidad)
No olvidarse de utilizar el botón Add para indicar a qué grupo le asignaremos esta configuración
Quedará como muestra la siguiente figura, y de ser necesario ingresando por Properties podremos cambiar la configuración
Resumiendo: mucho más fácil y con un procedimiento amigable
WindowServer 
Comentarios
Excelente articulo!! Pense que 2008 tampoco resolvia el tema. Muchas gracias por tu aporte!!!
Si, a partir de W2008 (no R2) se puede, lo que sucede es que «no está a la vista» :)
gracias por la explicación, pero me queda la duda de como funciona esto con la GPO default domain policy, la cual puede tener contener settings diferentes a la que se apliquen acá los grupos por PSO.
saludos
Serba_
Hola Serba, quizás no fui claro en la nota, pero vamos a tratar de solucionarlo
Cuando a una cuenta se le aplica una «Fine-grained policy» esta tiene precedencia sobre la por omisión que recibe desde el Dominio
Inclusive si un usuario recibiera más de una «Fine-grained policy» tiene precedencia (gana) la que tenga la precedencia menor
¿Ahora si? :-)
prefecto, gracias por la aclaración. Y si sólo se aplica PSO a un grupo de seguridad especifico, la default domain policy si se aplicará sobre todo el resto del dominio verdad?
Serba_
Exactamente Serba
Guillermo, si por un motivo x, se requiere que el administrator del dominio y otras cuentas, nunca caduquen la contraseña, solo debo chequear en la cuenta «password never expires» sin preocuparme de la GPO Domain defualt?
Serba_
Hola Serba, exactamente como dices
Esa opción prevalece sobre cualquiera de las otras dos
muchas gracias!
Serba_
Una pregunta, se puede especificar que el usuario cuando tenga que cambiar la contraseña le obligue el sistema a escribir una determinada contraseña? por ejemplo que empiece por mayusculas y acabe por un numero. «Xpassword0-9»
Hola Ventura, no, no hay forma con el sistema operativo
Hola,
En mi WinServer 2012 R2 Standard no me aparece la opción y tampoco reconoce el adac.exe :(
Por las dudas lo acabo de confirmar, está presente en W2012R2 por omisión. Desconozco si lo estás usando desde otra máquina donde esté instalado el «Server Manager», pero en los DCs te confirmo que está tanto en W2012 como en W2012R2
Para bloquear usuarios que están en un grupo?
No comprendo tu prgunta. En la nota está implementado a un grupo y además están mostradas las opciones que se pueden configurar incluyendo el bloqueo de cuentas
Trackbacks
[…] Windows Server 2012 – Fine-grained Passwords and Account Lockout Policy […]
[…] Windows Server 2012 – Fine-grained Passwords and Account Lockout Policy […]