Buscar

Active Directory: Usuario no puede cambiar password

Una consulta técnica muy interesante que me han realizado es la siguiente:

Escenario:

En un entorno de Active Directory:

- Un usuario no puede cambiar el password, en cambio el administrador si puede hacerlo.

- La opción de la ficha del usuario: "El usuario no puede cambiar la contraseña" (*) está desmarcada.

(*) Usuarios y equipos de Active Directory (dsa.msc), propiedades sobre un usuario, pestaña "Cuenta", apartado "Opciones de cuenta", opción: "El usuario no puede cambiar la contraseña". 

Active Directory: Usuario no puede cambiar password

Para reproducir el problema, realizamos los siguientes pasos:

1) Creamos un nuevo usuario de dominio desde "Usuarios y equipos de Active Directory" (dsa.msc) y le asignamos una contraseña. No marcamos la opción: "El usuario no puede cambiar la contraseña".

2) Iniciamos sesión desde un equipo con las credenciales creadas en el paso anterior.

3) Al intentar cambiar la contraseña desde el lado cliente, vía:

- Vía local: CONTROL+ALT+SUPR, Cambiar una contraseña.

o bien:

- Vía RDP: CONTROL+ALT+FIN, Cambiar una contraseña.

Vemos que aparece el siguiente mensaje:

"No se puede actualizar la contraseña, el valor proporcionado para la nueva contraseña no cumple los requisitos de longitud, complejidad o historial de dominio".

Active Directory: Usuario no puede cambiar password

Al ser un usuario nuevo, con un password nuevo, podemos descartar que la contraseña asignada ya haya sido utilizada con anterioridad.

Sobre los requisitos de complejidad de contraseña: La nueva contraseña los cumple ya que si intentamos establecerla desde el lado servidor, utilizando "Usuarios y equipos de Active Directory" (dsa.msc), podemos asignarla sin problemas.

Si realmente la contraseña no cumpliera los requisitos de complejidad, al establecer la contraseña desde "Usuarios y equipos de Active Directory" (dsa.msc), nos aparecería el mensaje:

"

Windows no puede completar el cambio de contraseña para XXXXXX debido a:

La contraseña no cumple con los requisitos de la directiva de contraseñas. Compruebe los requisitos de longitud mínima, complejidad e historial de la contraseña.

"

¿Cual es el problema?

El problema reside en la configuración por defecto de la: "Default Domain Policy":

Si creamos un dominio nuevo en un entorno de laboratorio y examinamos la configuración de la "Default Domain Policy", veremos:

Configuración del equipo, Directivas, Configuración de seguridad, Directivas de cuenta/Directiva de contraseñas, el parámetro:

Vigencia mínima de la contraseña a: 1 día.

Active Directory: Usuario no puede cambiar password

"Vigencia mínima de la contraseña a: 1 día" significa: Si se cambia una contraseña de un usuario, ya sea desde el lado cliente o desde "Usuarios y equipos de Active Directory" (dsa.msc): Desde el lado cliente no podrá ser cambiada de nuevo hasta dentro de un día.

El valor de vigencia mínima de la contraseña puede ser cualquier valor comprendido entre 0 y 998.

Para permitir que el usuario pueda cambiar la contraseña tantas veces como quiera sin espera de tiempo entre un cambio a otro, podemos establecer el valor a 0.

Recordemos que la mejor práctica para modificar la configuración que establece la "Default Domain Policy" es configurar una GPO al mismo nivel que contradiga los valores por defecto y se aplique en segundo lugar.

2 comentarios:

  1. Muy útil ahora mismo lo hice en windows server 2012

    ResponderEliminar
  2. hola, tengo instalado windows server 2016 con un dominio, pero tengo un problema, cuando cualquier usuario del dominio trata de cambiar su contraseña le da el siguiente error: Uno de los dispositivos conectados al sistema no funciona.
    Eso sucede en todas las pc clientes. Esto me sucede despues que instale el active directory en server 2016

    ResponderEliminar