Cómo crear una política de contraseñas de granularidad fina en Active Directory
Table of Contents
Durante los primeros ocho años de Active Directory, la única forma nativa de tener varias políticas de contraseñas en un mismo bosque de AD era creando varios dominios. Con la llegada de Windows Server 2008, Microsoft introdujo el concepto de fine-grained password policies (FGPP) o políticas de contraseñas de granularidad fina, que permiten definir distintas políticas dentro de un mismo dominio.
Tradicionalmente, la Directiva de dominio predeterminada es donde se configuran los ajustes estándar de la política de contraseñas. Curiosamente, esta configuración se encuentra bajo el área de “Configuración del equipo” de esa GPO, lo que complica aplicar políticas diferentes a distintos usuarios. Para resolverlo, Microsoft introdujo el concepto de un Password Settings Container en AD, y la posibilidad de aplicar las FGPP mediante grupos de seguridad de Active Directory, en lugar de vincular una GPO a una OU.
La interfaz original para configurar FGPP era poco intuitiva: había que usar herramientas como Adsiedit.msc, o utilidades de terceros más prácticas como Specops Password Policy. Sin embargo, con la llegada de Windows Server 2012, se incorporó una nueva herramienta escrita en PowerShell: el Centro de administración de Active Directory (ADAC), que es la que usaremos para ver qué puede ofrecerte una FGPP. A continuación, repasaremos lo que puedes (y no puedes) hacer con una política de contraseñas de granularidad fina en AD.
Acceder al Centro de administración de Active Directory para ajustar políticas de contraseñas de granularidad fina
Puedes encontrar el ADAC dentro de las Herramientas administrativas de Windows. Aquí también tienes una guía detallada sobre cómo comprobar los requisitos de complejidad de contraseñas en Active Directory.
If you have domain admin level privileges, you will see “system\Password Settings Container” underneath your domain name on the left.
Si seleccionas ese enlace, podrás elegir Nuevo > Configuración de contraseña en el panel derecho.
Se abrirá la siguiente interfaz de configuración.
Dentro encontrarás las mismas opciones básicas que en la Directiva de dominio predeterminada:
- Nombre – Asigna un nombre claro que refleje el grupo o usuario al que se aplicará esta política.
- Precedencia – Si a un usuario se le aplican varias FGPP (por ejemplo, pertenece a varios grupos de AD), la precedencia define qué política tendrá prioridad.
- Longitud mínima de la contraseña – Número mínimo de caracteres que debe tener la contraseña.
- Historial de contraseñas – Número de contraseñas que AD debe recordar para cada usuario, evitando su reutilización.
- Complejidad requerida – Debe cumplir con al menos 3 de los 5 tipos de caracteres (mayúsculas, minúsculas, dígitos, caracteres especiales y Unicode) y no puede contener el nombre de usuario.
- Almacenar contraseñas con cifrado reversible.
- Proteger contra eliminación accidental.
- Edad mínima de la contraseña – Impide que el usuario cambie su contraseña varias veces el mismo día para sobrepasar el historial y reutilizar contraseñas anteriores.
- Edad máxima de la contraseña – Define cuándo caduca la contraseña.
- Política de bloqueo – Cuántos intentos fallidos de inicio de sesión se permiten antes de bloquear la cuenta y durante cuánto tiempo permanecerá bloqueada.
- Aplicar directamente a – Define si la política se aplicará a un usuario o a un grupo; no puede aplicarse a una OU.
Puedes encontrar el Password Settings Container en Usuarios y equipos de Active Directory.
Si tienes activadas las Funciones avanzadas, lo encontrarás dentro del contenedor System.
Si existe un objeto en este contenedor, puedes ver sus propiedades y configuraciones en la pestaña Editor de atributos.
Como puedes ver, no es exactamente una política de contraseñas “de granularidad fina”. La complejidad se activa o se desactiva, sin matices. Curiosamente, incluso Microsoft considera hoy en día que la configuración de complejidad estándar es contraproducente desde el punto de vista de la seguridad.
Configurar políticas de contraseñas de granularidad fina con PowerShell
En Active Directory puedes gestionar las políticas de contraseñas de granularidad fina (PSO, Password Settings Objects) mediante el módulo PowerShell, que debe estar instalado en tu equipo.
Para crear una nueva PSO, utiliza el cmdlet New-ADFineGrainedPasswordPolicy:
New-ADFineGrainedPasswordPolicy -Name “Admin PSO Policy” -Precedence 10 -ComplexityEnabled $true -Description “Domain password policy for admins”-DisplayName “Admin PSO Policy” -LockoutDuration “0.20:00:00” -LockoutObservationWindow “0.00:30:00” -LockoutThreshold 6 -MaxPasswordAge “12.00:00:00” -MinPasswordAge “1.00:00:00” -MinPasswordLength 8 -PasswordHistoryCount 12 -ReversibleEncryptionEnabled $false
A continuación, asigna la política de contraseña a un grupo de usuarios con:
Add-ADFineGrainedPasswordPolicySubject “Admin PSO Policy” -Subjects “Domain Admins”
Para modificar los ajustes de una PSO existente, utiliza:
Set-ADFineGrainedPasswordPolicy "Admin PSO Policy" -PasswordHistoryCount:"12"
Para listar todas las políticas FGPP del dominio:
Get-ADFineGrainedPasswordPolicy -Filter *
Usa el comando Get-ADUserResultantPasswordPolicy para obtener la política de contraseña efectiva que se aplica a un usuario específico.
Get-ADUserResultantPasswordPolicy -Identity jsmith
El nombre de la PSO aplicada al usuario aparece en el campo Name.
También puedes mostrar la lista de políticas PSO asignadas a un grupo de Active Directory mediante:
Get-ADGroup "Domain Admins" -properties * | Select-Object msDS-PSOApplied
Y para mostrar los ajustes de la política de contraseñas predeterminada del dominio (GPO Default Domain Policy), ejecuta:
Get-ADDefaultDomainPasswordPolicy
Limitaciones de las políticas de contraseñas de granularidad fina de Microsoft
Aunque hemos visto cómo crear una FGPP en Active Directory, es importante conocer sus limitaciones. No puedes crear listas de diccionario personalizadas, lo que impide bloquear palabras o frases específicas relevantes para tu organización. Además, las FGPP no ofrecen la capacidad de detectar y eliminar contraseñas comprometidas ya en uso, ni bloquear aquellas que estén siendo utilizadas en ataques activos en tiempo real.
También tendrás que realizar trabajo adicional para cumplir con normativas de ciberseguridad, ya que no existen plantillas de políticas de contraseñas para marcos como NIST o NCSC. Tampoco dispone de opciones de informes dedicadas. Por otra parte, las FGPP y Windows Client no aportan nada a la experiencia del usuario final: no ofrecen feedback dinámico durante el cambio de contraseña ni permiten personalizar los mensajes de notificación.
Specops Password Policy: una opción mejorada
Mientras sigamos utilizando contraseñas, existen soluciones más versátiles, intuitivas y completas. Specops Password Policy incluye plantillas que te permiten cumplir fácilmente con las últimas directrices de NIST y NCSC Cyber Essentials, ofreciendo un control realmente granular sobre cualquier requisito de política de contraseñas que necesites aplicar en tu organización. Puedes crear diccionarios personalizados ilimitados específicos de tu entorno, además de evitar que los usuarios usen contraseñas débiles como su propio nombre (total o parcial), secuencias incrementales o sustituciones comunes de caracteres.
La función Breached Password Protection (BPP) comprueba y bloquea continuamente más de 4.000 millones de contraseñas comprometidas únicas, incluyendo nuevas contraseñas utilizadas en ataques activos en tiempo real y aquellas contraseñas obtenidas por malware. Specops Password Policy también mejora la experiencia de los usuarios, con notificaciones por correo electrónico personalizables y feedback dinámico en tiempo real que les guía para crear frases de paso seguras y fáciles de recordar durante el cambio de contraseña. Además, la función de caducidad basada en longitud incentiva la creación de contraseñas más largas y seguras, que no tendrán que cambiarse con tanta frecuencia como las más cortas y débiles.
Última actualización el 13/01/2026