Este tutorial trata de explicar en unos sencillos pasos cómo crear una GPO (Directiva de Grupo) que nos permita configurar los requerimientos de contraseñas y bloqueo de cuentas de una organización o dominio.
Entiendo que es un tema recurrente y con bastante información en Internet, aún así voy a intentar explicarlo lo más brevemente posible para que pueda ser comprendido y aplicado de forma sencilla.
Y aunque podemos aplicar la configuración de requerimientos de contraseña y bloqueo en una sola GPO o incluso desde la GPO por defecto, lo haremos creando 2 GPO por separado para una mejor organización y modulación de estas.
Administración de Directivas de Grupo
Lo que queremos hacer es crear 2 GPO
(Group Policy Object) que nos van a permitir solicitar unos requerimientos de contraseña y bloqueo de cuentas:
- GPO para configurar requerimientos para Contraseña de las cuentas de Dominio.
- GPO para configurar requerimientos de Bloqueo de Cuentas de Dominio.
Para empezar tenemos que abrir el Administrador de Directivas de Grupo de Windows 2019 Server y proceder con los siguientes pasos:
- Herramientas -> Administración de Directivas de Grupo.
- Nos situaremos en el dominio donde deseamos crear la nueva política de Seguridad.
- Hacemos clic en … Crear un GPO en este dominio y vincularlo aquí
- Tecleamos el nombre que describe la GPO
- Requerimientos de Contraseñas de Cuentas de Dominio.
- Requisitos de Bloqueos de Cuenta de Dominio.
Estos pasos lo tenemos que repetir tantas veces como GPO necesitemos crear (En nuestro caso lo haremos 2 veces).
Una vez hemos creado las 2 GPO, procedemos a editarlas con el fin de configurar cada una de ellas con los requerimientos de seguridad óptimos que necesita nuestro Dominio.
GPO (Requerimientos de Contraseña de Cuentas de Dominio)
Procedemos a configurar la GPO con los requerimientos para las Contraseñas de Cuentas de nuestro Dominio. He configurado unas directivas que pueden servir de ejemplo, pero puedes seleccionar los valores que mejor se adapten a las políticas de seguridad de tu dominio u organización.
GPO (Requisitos de Bloqueos de Cuenta de Dominio)
A continuación procedemos a configurar la GPO de bloqueo de cuentas de Dominio y al igual que la anterior puedes configurar las directivas que mejor se adapten a las políticas de seguridad de tu dominio u organización.
Gpupdate (Group Police Update)
El siguiente paso es utilizar el comando gpupdate
que permite actualizar las directivas de grupo. Lo que hace /force es aplicar todas las configuraciones de las directivas que hemos configurado, aplicando aquellas que han sido cambiadas.
1 |
gpupdate /force |
Comprobación en Equipo de dominio
Para comprobar que nuestras directivas se han aplicado podemos acceder a un equipo de Dominio y ejecutar la herramienta secpol que nos permite visualizar la Configuración de Seguridad del Equipo.
- Windows + R -> secpol
- Directivas de Cuenta -> Directiva de Contraseñas.
- Directivas de Cuenta -> Directiva de Bloqueo de Cuenta.