Política de contraseñas

Deberás desactivarla; desconozco de hacerlo de una manera
masiva :-(

Salu2!!
Javier Inglés
MS MVP

Hola a todos:
Actualmente tengo los usuario del dominio con la casilla

de "la contraseña

nunca caduca" activada en las propiedades de la cuenta.
Pretendo poner una política de contraseñas por dominio

para forzar a que las

cambien cada x tiempo.
Si activo por GPO la "vigencia máxima de contraseñas"...

¿funcionará, o

tendré primero que desactivar la casilla de "la

contraseña nunca caduca uno

por uno"?
En caso de que la tenga que desactivar para que la

política funcione... ¿hay

alguna forma de hacerlo de forma masiva?.
Un saludo y gracias por anticipado.
Diego Fernández


.

© Fernando Reyes López - 2/2/2004

¿Te lo has currado a proposito para responder a mi pregunta?
Tio, definitivamente eres una máquina. ;-)
Un saludo.

Diego Fernández

PD. Si no es mucho abusar... ¿hay alguna forma de sacar del AD un listado de
usuarios "activos"? (que sus cuentas no estén desabilitadas).
Gracias .



"Fernando Reyes [MS MVP]"
escribió en el mensaje news:
He hecho este script VBS, que creo que le puede valer (copiar lo que hay
entre <pego> y </pego> y pegarlo en el notepad, guardando el resultado con
extensión vbs y llamándolo con cscript):

<pego>
'Este Script VBS quita el indicador de contraseña que no caduca
'de la propiedad "UserAccountControl" de todos los usuarios
'que lo tengan activado en un contenedor LDAP, p.ej. una OU.
'En el ejemplo se le quita este indicador a los usuarios de la OU
'"Edoras", perteneciente al dominio rohirrim.rohan.gov. Basta
'cambiar la ruta LDAP de la OU que queramos procesar en la
'línea que crea el objeto OU (obj_OU).

'© Fernando Reyes López - 2/2/2004


'Creamos un objeto en el que volcar la Unidad Organizativa.
Set obj_OU = GetObject("LDAP://OU=Edoras,DC=rohirrim,DC=rohan,DC=gov")

'Aplicamos un filtro para listar sólo los usuarios.
obj_OU.Filter = Array("User")

'Creamos un bucle donde recorrer los usuarios y quitarles la no
'caducidad de contraseña.
For Each obj_Usuario In Obj_OU

'Informamos del usuario en proceso
Wscript.Echo ("Procesando el usuario: " & obj_Usuario.cn)

'El indicador de contraseña que no caduca corresponde al valor
'hexadecimal 1000. si hacemos una operación AND con el valor
'de UserAccountControl, dará como resultado 1000 hexadecimal
'si este indicador está activado.
If (obj_Usuario.userAccountControl And &h10000) = &h10000 Then

'Mostramos un mensaje informando de que al usuario no le caduca
'la contraseña y del valor que tiene actualmente su propiedad
'ADSI "UserAccountControl".
Wscript.Echo("La contraseña de este usuario no caduca" & _
vbCrLf & "Procedemos a cambiar esto.")
Wscript.Echo("Valor inicial de UserAccountControl: " & _
obj_Usuario.userAccountControl)

'Procedemos a cambiar el valor; al hacer la operación XOR
'conseguimos dejar intactos los otros indicadores de control
'mientras quitamos el indicador de cuenta que no caduca.
lng_Control = (obj_Usuario.userAccountControl Xor &h10000)

'Asignamos el nuevo valor.
obj_Usuario.Put "userAccountControl", lng_Control

'Validamos el cambio.
obj_Usuario.SetInfo


'Informamos de fin del proceso y del valor final de
'"UserAccountControl"
Wscript.Echo("Valor final de UserAccountControl: " & _
obj_Usuario.userAccountControl)
Wscript.echo("Cuenta de usuario modificada con éxito.")

'Imprimimos unas líneas de separación.
Wscript.Echo("______________________________________") & _
vbCrLf & vbCrLf

Else

'Informamos de que el usuario no requiere ser modificado.
Wscript.Echo("El usuario no requiere cambios.")

End If

'Vaciamos el objeto usuario
Set obj_Usuario = Nothing
Next

'vaciamos el objeto OU
Set obj_OU = Nothing
</pego>

Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000
vinchúvinchúúvinchú.mvps.org
(haz que la vinchuca deje de mugir para escribirme)


"Javier Inglés [MS MVP]" escribió
en el mensaje news:88f101c3e9ae$0cd7b3b0$

Deberás desactivarla; desconozco de hacerlo de una manera
masiva :-(

Salu2!!
Javier Inglés
MS MVP

Hola a todos:
Actualmente tengo los usuario del dominio con la casilla de "la
contraseña nunca caduca" activada en las propiedades de la cuenta.
Pretendo poner una política de contraseñas por dominio para forzar a
que las cambien cada x tiempo.
Si activo por GPO la "vigencia máxima de contraseñas"...
¿funcionará, o tendré primero que desactivar la casilla de "la
contraseña nunca caduca uno por uno"?
En caso de que la tenga que desactivar para que la política
funcione... ¿hay alguna forma de hacerlo de forma masiva?.
Un saludo y gracias por anticipado.
Diego Fernández


.

Mil gracias...
No sabrás hacer uno que me prepare el café y las tostadas... ;-)

Definitivamente, eres una máquina...

Un saludo.
Diego Fernández


"Fernando Reyes [MS MVP]"
escribió en el mensaje news:eVAy8%
Pues sí, me pillaste con el día tonto... hoy también-(|:o)))

Este scrip te lista las cuentas del contenedor LDAP que están habilitadas
(copiar lo que hay entre <pego> y </pego> y pegarlo en el notepad, guardando
el resultado con extensión vbs y llamándolo con cscript):

<pego>
'Este Script VBS lista las cuentas de usuario, del contenedor
'en el que mira, que están habitadas, omitiendo las deshabilitadas
'En el ejemplo se mira en la OU "Rivendel", perteneciente al
'dominio elfos.org. Basta cambiar la ruta LDAP del contenedor y
'que poner la del queramos listar.

'© Fernando Reyes López - 3/2/2004

'Creamos un objeto en el que volcar la Unidad Organizativa
Set obj_OU = GetObject("LDAP://OU=Rivendel, DC=elfos, DC=org")

'Aplicamos un filtro para listar sólo los usuarios
obj_OU.Filter = Array("User")

'Creamos un bucle donde recorrer los usuarios y revisar el estado de la
'cuenta
For Each obj_Usuario In Obj_OU
If Not (obj_Usuario.userAccountControl And &h00002) = &h00002 Then
Wscript.Echo(obj_Usuario.cn & " tiene su cuenta habilitada")
Wscript.Echo("Nombre distinguido: " & _
obj_Usuario.distinguishedname)
Wscript.Echo("____________________________________")
Wscript.Echo(vbCrLf)
End If
Set obj_Usuario = Nothing
Next
</pego>

Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000

(Cómete un par de almejas para escribirme)


"Diego Fernández" escribió en el
mensaje news:

© Fernando Reyes López - 2/2/2004

¿Te lo has currado a proposito para responder a mi pregunta?
Tio, definitivamente eres una máquina. ;-)
Un saludo.

Diego Fernández

PD. Si no es mucho abusar... ¿hay alguna forma de sacar del AD un
listado de usuarios "activos"? (que sus cuentas no estén
desabilitadas).

-(|:o)))

Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000

(Corta las dos orejas y el rabo si quieres escribirme)


"Diego Fernández" escribió en el
mensaje news:

No sabrás hacer uno que me prepare el café y las tostadas... ;-)

).

Set obj_OU = GetObject("LDAP://OU=Edoras,DC=rohirrim,DC=rohan,DC=gov")

"El señor de los scriptillos: El retorno del Reyes." XDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD
Ramón Sola, Málaga (España) / MVP Windows - Shell/User
(yanoseashooligan -> yahoo)
Procuro que los consejos y procedimientos que doy sean válidos y
seguros desde una perspectiva técnica. No obstante, no asumiré
ninguna responsabilidad si alguien pone en práctica lo dicho.


Es bien sabido que fue Fernando Reyes [MS MVP]
[] quien escribió el mensaje
news::

He hecho este script VBS, que creo que le puede valer (copiar lo que hay
entre <pego> y </pego> y pegarlo en el notepad, guardando el resultado con
extensión vbs y llamándolo con cscript):

[...]