Cuando gestionamos usuarios a través del directorio activo o Active Directory en muchas ocasiones debemos establecer una fecha en la cual debemos restringir el acceso a determinados usuarios debido a políticas de seguridad de la organización. También la obligación de cambio de contraseña porque tengan vigencia concreta y se deban cambiar las contraseñas cada cierto tiempo.
- Usuarios temporales.
- Usuarios que están realizando sus prácticas de estudio en la compañía.
- Usuarios a los cuales de se les vence su contrato y por órdenes de RRHH es solicitada la desactivación de la cuenta en un período determinado de tiempo.
- Usuarios de pruebas.
- Control de seguridad para renovar cada cierto tiempo la renovación de las contraseñas de acceso de ciertos usuarios.
Recordemos que dentro de las buenas prácticas que debemos implementar en la organización es recomendable no deshabilitar las políticas de caducidad de contraseñas por temas de seguridad e integridad de la información.
Contamos con dos opciones para modificar las políticas de caducidad de una contraseña en Windows Server 2016 o Windows Server 2019, y éstas son:
A continuación, veremos cómo cambiar una contraseña o bien cambiar la fecha de caducidad de una password dentro de Windows Server 2019 o 2016.
1. Editar políticas de caducidad contraseña con directivas locales en Windows Server
Para acceder a la configuración de políticas de contraseña vamos a realizar el siguiente proceso:
Ingresamos al editor de políticas de grupo o gpedit usando estas opciones:
Estando allí debemos ir a la siguiente ruta:
- Directiva Equipo local
- Configuración del equipo
- Configuración de Windows
- Configuración de seguridad
- Directivas de cuenta
- Directivas de contraseña
Como vemos en esta ruta encontramos todos los parámetros asociados al tema de las contraseñas en Windows Server. Estos parámetros son:
Desde este punto podemos definir que parámetros deseamos configurar en relación a las contraseñas de los usuarios recordando la importancia de mantener una política de seguridad para nuestros equipos.
2. Editar políticas de caducidad contraseña con directivas de dominio en Windows Server
Para acceder al editor de políticas de contraseña de dominio ingresaremos al menú “Herramientas del Administrador” del servidor y seleccionamos la opción “Administración de directivas de grupo”.
Se desplegará la siguiente ventana:
Allí desplegaremos el bosque, posteriormente el dominio y daremos clic derecho sobre Default Domain Policy.
Seleccionamos la opción “Editar” y se abre la siguiente ventana:
Allí vamos a ir a la siguiente ruta:
- Directiva Default Domain Policy
- Configuración del equipo
- Directivas
- Configuración de Windows
- Configuración de seguridad
- Directivas de cuenta
- Directivas de contraseñas
Como vemos tenemos las mismas opciones que en las directivas locales, la única diferencia, y es la más importante, es que si abrimos las políticas locales con nuestro equipo en un dominio no podemos realizar ningún cambio en las directivas (Solo localmente) en cambio desde un equipo en un dominio usando esta opción si podremos realizar ajustes en las políticas.
Por ejemplo, si deseamos editar la opción Vigencia máxima de la contraseña, la cual por buenas prácticas está en 42 días, y la dejamos en cero (0) días vemos cómo automáticamente la política se establece en que la contraseña nunca expira:
3. Cómo cambiar contraseña administrador en Windows Server
Una de las opciones que tenemos si al configurar una contraseña en Windows Server hemos olvidado la contraseña, podemos resetear la password y volverla a configurar.
El primer paso será entrar el Administrador del servidor. Tras ello elegiremos la opción de “Herramientas” y después pulsaremos en “Usuarios y equipos de Active Directory”.
Lo siguiente será ubicar la ruta de “Usuarios” o “Users” dentro del panel izquierdo. Ahí elegiremos el usuario al cual queremos resetear la contraseña, damos clic derecho sobre él y elegiremos la opción de “Restablecer contraseña”:
Veremos que nos aparece una nueva ventana en la cual establecer la nueva contraseña. También podemos activar la opción de “Desbloquear la cuenta del usuario” por si se nos ha bloqueado una cuenta al meter muchas veces la password incorrecta.
Tras pulsar en Aceptar para aplicar los cambios, veremos que nos avisa de que se ha efectuado un cambio de contraseña correctamente.
Como vemos contamos con dos alternativas (local y de dominio) para modificar las políticas de contraseña para el acceso a nuestros servidores con Windows Server. Pero recordemos que alguna modificación que hagamos a las políticas de contraseñas la hacemos directamente a la seguridad del sistema y puede estar en riesgo si se manipula de forma inadecuada este parámetro.
