¿Cómo configurar la política de bloqueo de cuentas en Active Directory? – TrucosInformaticos

General

La política de bloqueo de cuentas es una característica de seguridad de AD que ayuda a prevenir el acceso no autorizado y los ataques de fuerza bruta a las cuentas de los usuarios al bloquearlas automáticamente después de una cierta cantidad de intentos fallidos de inicio de sesión. En esta publicación de blog, exploraremos cómo configurar la política de bloqueo de cuentas en Active Directory y cómo encontrar y desbloquear cuentas de usuarios bloqueadas.

Un usuario no puede iniciar sesión en el dominio y verá el siguiente mensaje si su cuenta está bloqueada:

La cuenta a la que se hace referencia está actualmente bloqueada y no se puede iniciar sesión en DOMINIO.

Hay dos formas de configurar los ajustes de bloqueo de cuentas en dominios: mediante la Política de grupo (GPO) o con el Objeto de configuración de contraseña (PSO).

Configure la política de bloqueo de cuenta AD predeterminada con GPO

Se pueden configurar sesiones de bloqueo de cuentas consistentes para todos los usuarios del dominio que utilizan el GPO de dominio. Solo puede existir un GPO de bloqueo de cuenta por dominio. En la mayoría de los casos, el Política de dominio predeterminada se utiliza para configurar los ajustes de bloqueo de la cuenta.

  1. Abra la Consola de administración de políticas de grupo (gpmc.msc) en su controlador de dominio;
  2. Haga clic derecho en Política de dominio predeterminada y seleccione Editar.
    política de bloqueo de cuenta gpo
  3. Navegar a Configuración de la computadora > Políticas > Configuración de Windows > Configuración de seguridad > Políticas de cuenta > Política de bloqueo de cuenta;
    política de bloqueo de gpo
  4. Están disponibles las siguientes opciones de política de bloqueo de cuenta:
    • Umbral de bloqueo de cuenta: define el número de intentos fallidos de inicio de sesión permitidos antes de que se bloquee la cuenta.
    • Restablecer el contador de bloqueo de cuenta después de: determina cuánto tiempo (en minutos) el contador de inicio de sesión fallido se restablece a 0;
    • Duración del bloqueo de cuenta: el período de tiempo (en minutos) que la cuenta estará bloqueada después de alcanzar el umbral de bloqueo. La cuenta se desbloqueará automáticamente después de este tiempo. El rango aceptado es de 0 a 99.999 minutos. Si el valor es 0 minutos, la cuenta permanece bloqueada hasta que un administrador la desbloquee.
    • Permitir bloqueo de cuenta de administrador: si la cuenta de administrador integrada debe bloquearse o no (la cuenta de administrador integrada nunca está bloqueada de forma predeterminada) cuenta de bloqueo del directorio activo después de un inicio de sesión fallido

También puede configurar la política de bloqueo de cuenta utilizando los cmdlets de PowerShell del módulo ActiveDirectory.

Enumere la configuración de la política de bloqueo de cuenta actual en el GPO de dominio predeterminado:

Get-ADDefaultDomainPasswordPolicy | select LockoutThreshold, LockoutDuration, LockoutObservationWindow

Cuenta de bloqueo de gpo después de una contraseña incorrecta

Supongamos que desea cambiar la política de bloqueo de cuenta a 5 intentos fallidos de inicio de sesiónreinicie el contador de inicios de sesión incorrectos después 25 minutosy desbloquear automáticamente al usuario después 30 minutos:

Get-ADDomain| Set-ADDefaultDomainPasswordPolicy -LockoutThreshold 5 -LockoutDuration 00:30:00 -LockoutObservationWindow 00:25:00

política de bloqueo de cuenta en el directorio activo

De forma predeterminada, la nueva configuración de la política de bloqueo se aplicará a los controladores de dominio en un plazo de 5 minutos.

Configurar la política de bloqueo de cuentas mediante el objeto de configuración de contraseña (PSO)

Los objetos de configuración de contraseña (PSO) le permiten implementar configuraciones de bloqueo de cuenta de una manera más granular utilizando el Política de contraseñas detallada. Por ejemplo, puede aplicar diferentes configuraciones de bloqueo a usuarios y/o grupos específicos.

    1. Abra el Centro de administración de Active Directory (dsac.exe);
    2. Navegar a Dominio → Sistema → Contenedor de configuración de contraseña; política de bloqueo gpo
    3. En el panel Tareas, haga clic en Nuevo → Configuración de contraseña; umbral de bloqueo de cuenta gpo
    4. Ingrese la configuración de contraseña Nombre. Por ejemplo, «Política de bloqueo de cuentas – CA Finance”para el departamento de Finanzas de California.
    5. En el Precedenciaescriba un número que represente la prioridad de esta PSO, donde 1 tiene la prioridad más alta;
    6. Desmarque todas las casillas excepto Hacer cumplir la política de bloqueo de cuentas;
    7. Configure los ajustes de bloqueo personalizados que necesite;
      cómo configurar la política de bloqueo de cuentas en el directorio activo
    8. Agregue los usuarios o grupos para aplicar esta configuración de contraseña y guarde el objeto de configuración de contraseña.
      cuenta de bloqueo de política de grupo después de 3 intentos

Puede crear más objetos de configuración de contraseña para aplicarlos a otros usuarios o grupos.

Creemos otro PSO usando PowerShell:

$pso = @{

Name="Account Lockout Policy - CA Sales"

Precedence = 2

LockoutThreshold = 5

LockoutDuration = "01:00:00"

LockoutObservationWindow = "00:30:00"

}

New-ADFineGrainedPasswordPolicy @pso

A continuación, asigne el PSO a los grupos o usuarios de Active Directory de destino:

Add-ADFineGrainedPasswordPolicySubject -Identity 'Account Lockout Policy - CA Sales' -Subjects 'CA Sales'

Si un usuario se ve afectado por más de un objeto de política de contraseña a la vez, puede utilizar el siguiente comando para enumerar la configuración de bloqueo de cuenta resultante:

Get-ADUserResultantPasswordPolicy -Identity [username]

Notas.

Valora este post

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *