Entendiendo el Bloqueo de cuentas

Hola!, un tema interesante para la proteccin de cuentas de usuarios de dominio es el

Bloqueo de cuentas o Account Lockout.
Por qu protegemos las cuentas de usuarios y sus contraseas? En primer lugar debemos
considerar la seguridad como un estatuto que debe regir en nuestra organizacin. A nivel de
cuentas de usuarios de dominio podemos lograrlo habilitando auditora de cuentas,
proteccin de cuentas deshabilitndolas, contraseas seguras y complejas.
Los bloqueos de cuentas de usuarios se definen luego de una cantidad de intentos fallidos
de inicio de sesin porque se escribe una contrasea incorrecta.
Los bloqueos de cuentas de usuarios de un dominio son definidos en una GPO o una
Directiva de Grupo a nivel de todo el dominio.
Nosotros podemos poner a trabajar esta Directiva de Grupo modificando la Default
Domain Policy o Directiva del dominio usando la consola GPMC o desde el Active
Directory Users and Computers.
Habilitar el bloqueo de cuentas:
1. Ingresamos al Active Directory y le hacemos click derecho al dominio y
seleccionamos propiedadaes, cargar una ventana e ingresamos a la pestaa Group

Policy y hacemos clic en Edit.

2. Expandimos la Directiva de Grupo: Computer Settings, Windows Settings,
Security Settings, Account Policies, Account Lockout Policy.
3. Debemos definir tres valores para el Bloqueo de cuentas.

4. Account Lockout Threshold: Define el nmero de intentos fallidos para bloqueo

de cuentas de usuario. Se recomienda que al quinto intento se bloquee la cuenta, por
lo tanto escribmos 5.

5. Account Lockout Duration: Define el tiempo de bloqueo de la cuenta de usuario.

Por defecto es 30 minutos cuando definimos el Account Lockout Threshold. Mejor
dicho luego de 30 minutos la cuenta se desbloquea sola. Si deseamos que nunca se
desbloquee y que se desbloquee de forma manual por un administrador debemos
escribir 0.

6. Reset account lockout counter after: Define el tiempo en el que el valor

Badpwdcount es reseteado, por defecto es 30 minutos cuando definimos el
Account Lockout Threshold. Mejor dicho que en 30 minutos el valor no debe
exceder el valor definido en el Account Lockout Threshold, de lo contrario la cuenta
se bloquea.

7. Finalmente esperamos que la poltica se ejecute en el dominio. Las polticas de

grupos de propagan en un lapso de 30 a 90 minutos de manera automtica.

Cuando una cuenta de usuario se bloquea aparecer la siguiente pantalla:

Para desbloquear un cuenta de usuario ingresamos al Active Directory Users and

Computers, identificamos el usuario, clic derecho y seleccionamos Propiedades. En la
ventana Propiedades nos vamos a la pestaa Account o Cuenta y desmarcamos la opcin
Account is Locked out.

Aplicando las directivas de bloqueo de cuentas podremos identificar:

Las cuentas de usuarios bloqueadas pueden ser visualizadas desde el Visor de

eventos en cualquier Controlador de dominio. Opcin: Security, Evento 644.

Identificar dnde las cuentas se bloquean en que estacion de trabajo o servidor. Esto
permitir saber porque las cuentas de servicios o de usuarios se bloquean
ayudndonos en tareas de resoluciones de problemas.