Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Para administrar la seguridad de los usuarios en Microsoft Entra Domain Services, puede definir directivas de contraseña específicas que controlen la configuración de bloqueo de cuentas o la longitud y complejidad mínimas de la contraseña. Se crea una directiva de contraseña específica predeterminada y se aplica a todos los usuarios de un dominio administrado de Domain Services. Para proporcionar un control pormenorizado y satisfacer necesidades específicas de negocio o cumplimiento, se pueden crear y aplicar directivas adicionales a usuarios o grupos específicos.
En este artículo se muestra cómo crear y configurar una directiva de contraseña específica en Domain Services mediante el Centro de administración de Active Directory.
Nota:
Las directivas de contraseña solo están disponibles para los dominios administrados creados mediante el modelo de implementación de Resource Manager.
Antes de empezar
Para completar este artículo, necesita los siguientes recursos y privilegios:
- Una suscripción de Azure activa.
- Si no tiene una suscripción a Azure, cree una cuenta.
- Un inquilino de Microsoft Entra asociado a su suscripción, ya sea sincronizado con un directorio local o un directorio solo en la nube.
- Si es necesario, cree un inquilino de Microsoft Entra o asocie una suscripción de Azure a su cuenta.
- Un dominio administrado de Microsoft Entra Domain Services habilitado y configurado en el cliente de Microsoft Entra.
- Si es necesario, complete el tutorial para crear y configurar un dominio administrado de Microsoft Entra Domain Services.
- El dominio administrado debe haberse creado con el modelo de implementación de Resource Manager.
- Una máquina virtual de administración de Windows Server que está unida al dominio administrado.
- Si es necesario, complete el tutorial para crear una máquina virtual de administración.
- Una cuenta de usuario que sea miembro del Administradores de Microsoft Entra DC grupo en el inquilino de Microsoft Entra.
Configuración predeterminada de la política de contraseñas
Las directivas de contraseña específicas (FGPP) le permiten aplicar restricciones específicas para las directivas de bloqueo de cuentas y contraseñas a distintos usuarios de un dominio. Por ejemplo, para proteger las cuentas con privilegios, puede aplicar una configuración de bloqueo de cuenta más estricta que las cuentas normales sin privilegios. Puede crear varios FGPP dentro de un dominio administrado y especificar el orden de prioridad para aplicarlos a los usuarios.
Para obtener más información sobre las directivas de contraseña y el uso del Centro de administración de Active Directory, consulte los artículos siguientes:
- Más información sobre las directivas de contraseña específicas
- Configuración de directivas de contraseña específicas mediante el Centro de administración de AD
Las directivas se distribuyen a través de la asociación de grupos en un dominio administrado y los cambios que realice se aplican en el siguiente inicio de sesión de usuario. Al cambiar la directiva, no se desbloquea una cuenta de usuario que ya esté bloqueada.
Las directivas de contraseña se comportan de forma un poco diferente en función de cómo se creó la cuenta de usuario a la que se ha aplicado. Hay dos maneras de crear una cuenta de usuario en Domain Services:
- La cuenta de usuario se puede sincronizar desde el Microsoft Entra ID. Esto incluye las cuentas de usuario solo en la nube creadas directamente en Azure y las cuentas de usuario híbridas sincronizadas desde un entorno de AD DS local mediante Microsoft Entra Connect.
- La mayoría de las cuentas de usuario de Domain Services se crean a través del proceso de sincronización de Microsoft Entra ID.
- La cuenta de usuario se puede crear manualmente en un dominio administrado y no existe en Microsoft Entra ID.
Todos los usuarios, independientemente de cómo se creen, tienen las siguientes directivas de bloqueo de cuenta aplicadas por la directiva de contraseña predeterminada en Domain Services:
- Duración del bloqueo de la cuenta: 30
- Número de intentos de inicio de sesión erróneos permitidos: 5
- Restablecer el número de intentos de inicio de sesión con error después de: 2 minutos
- Antigüedad máxima de contraseña (duración): 90 días
Con esta configuración predeterminada, las cuentas de usuario se bloquean durante 30 minutos si se usan cinco contraseñas no válidas en un plazo de 2 minutos. Las cuentas se desbloquean automáticamente después de 30 minutos.
Los bloqueos de cuenta solo se producen dentro del dominio administrado. Las cuentas de usuario solo están bloqueadas en Domain Services y solo debido a intentos de inicio de sesión erróneos en el dominio administrado. Las cuentas de usuario que se sincronizaron desde Microsoft Entra ID o desde un entorno local no se bloquean en sus directorios de origen, solo en los Servicios de Dominio.
Si tiene una directiva de contraseña de Microsoft Entra que especifica una antigüedad máxima de contraseña superior a 90 días, esa antigüedad de contraseña se aplica a la directiva predeterminada en Domain Services. Puede configurar una directiva de contraseña personalizada para definir una antigüedad de contraseña máxima diferente en Domain Services. Tenga cuidado si tiene una edad máxima de la contraseña más corta configurada en una directiva de contraseñas de Domain Services que en Microsoft Entra ID o en un entorno local de AD DS. En ese escenario, la contraseña de un usuario puede expirar en Domain Services antes de que se le pida que cambie el identificador de Microsoft Entra o un entorno de AD DS local.
En el caso de las cuentas de usuario creadas manualmente en un dominio administrado, también se aplican las siguientes opciones de configuración de contraseña adicionales de la directiva predeterminada. Esta configuración no se aplica a las cuentas de usuario sincronizadas desde el identificador de Microsoft Entra, ya que un usuario no puede actualizar su contraseña directamente en Domain Services.
- Longitud mínima de contraseña (caracteres): 7
- Las contraseñas deben cumplir los requisitos de complejidad
No puede modificar la configuración de bloqueo o contraseña de la cuenta en la directiva de contraseña predeterminada. En su lugar, los miembros del grupo Administradores de controlador de dominio de AAD pueden crear directivas de contraseña personalizadas y configurarlas para invalidar (tener prioridad sobre) la directiva integrada predeterminada, como se muestra en la sección siguiente.
Creación de una directiva de contraseña personalizada
A medida que compila y ejecuta aplicaciones en Azure, puede configurar una directiva de contraseña personalizada. Por ejemplo, podría crear una directiva para establecer diferentes configuraciones de bloqueo de cuentas.
Las directivas de contraseña personalizadas se aplican a grupos de un dominio administrado. Esta configuración invalida eficazmente la directiva predeterminada.
Para crear una directiva de contraseña personalizada, use las Herramientas administrativas de Active Directory desde una máquina virtual unida a un dominio. El Centro de administración de Active Directory le permite ver, editar y crear recursos en un dominio administrado, incluidas las UNIDADES organizativas.
Nota:
Para crear una directiva de contraseña personalizada en un dominio administrado, debe iniciar sesión en una cuenta de usuario que sea miembro del grupo AAD DC Administrators.
En la pantalla Inicio, seleccione Herramientas administrativas. Se muestra una lista de las herramientas de administración disponibles que se instalaron en el tutorial para crear una máquina virtual de administración.
Para crear y administrar unidades organizativas, seleccione Centro de administración de Active Directory en la lista de herramientas administrativas.
En el panel izquierdo, elija el dominio administrado, como aaddscontoso.com.
Abra el contenedor Sistema y, a continuación, el contenedor configuración de contraseñas.
Se muestra una directiva de contraseña integrada para el dominio administrado. No se puede modificar esta directiva integrada. En su lugar, cree una directiva de contraseña personalizada para invalidar la directiva predeterminada.
En el panel Tareas de la derecha, seleccione Nueva > configuración de contraseña.
En el cuadro de diálogo Crear configuración de contraseña , escriba un nombre para la directiva, como MyCustomFGPP.
Cuando existen varias directivas de contraseña, la directiva con la prioridad más alta se aplica a un usuario. Cuanto menor sea el número, mayor será la prioridad. La directiva de contraseña predeterminada tiene una prioridad de 200.
Establezca la prioridad de la directiva de contraseña personalizada para invalidar el valor predeterminado, como 1.
Edite otros ajustes de la política de contraseñas según sea necesario. La configuración de bloqueo de cuenta se aplica a todos los usuarios, pero solo surte efecto en el dominio administrado y no en Microsoft Entra.
Desactive Proteger contra eliminación accidental. Si se selecciona esta opción, no podrá guardar el FGPP.
En la sección Aplicar directamente a , seleccione el botón Agregar . En el cuadro de diálogo Seleccionar usuarios o grupos , seleccione el botón Ubicaciones .
En el cuadro de diálogo Ubicaciones, expanda el nombre de dominio, como aaddscontoso.com, y luego seleccione una unidad organizativa (OU), como Usuarios de AADDC. Si tiene una unidad organizativa personalizada que contiene un grupo de usuarios que desea aplicar, seleccione esa unidad organizativa.
Escriba el nombre del usuario o grupo al que desea aplicar la directiva. Seleccione Comprobar nombres para validar la cuenta.
Haga clic en Aceptar para guardar la directiva de contraseña personalizada.
Pasos siguientes
Para obtener más información sobre las directivas de contraseña y el uso del Centro de administración de Active Directory, consulte los artículos siguientes: