Configuración en las "Directivas de seguridad local"
Las Directivas de seguridad local se pueden abrir ejecutando el comando "secpol.msc" desde una ventana de comandos (CMD) o de PowerShell en "modo administrador".
En el apartado "Configuración de seguridad", "Directiva de contraseñas" se puede poner el número de días máximo tras el que hay que cambiar la contraseña (0 = No hay obligación de cambiar contraseña).
Configuración en las "Políticas de grupo"
Las Políticas de grupo se pueden abrir ejecutando el comando "gpedit.msc" desde una ventana de comandos (CMD) o de PowerShell en "modo administrador".
En el apartado "Directiva Equipo local", "Configuración del equipo", "Configuración de Windows", "Configuración de seguridad", "Directivas locales", "Opciones de seguridad" está la opción "Inicio de sesión interactivo: pedir al usuario que cambie la contraseña antes de que expire". Por defecto pone 5 días y eso significa que al iniciar la sesión durante los últimos 5 días antes de que expiere la contraseña le va a salir una "Notificación" aconsejando que cambie la contraseña porque va a expirar pronto.
Forzar el cambio de contraseña de usuario
Con las opciones anteriores, por lo que he visto, parece que no se inicia el ciclo de días a partir de los que hay que cambiar la contraseña. Este número de días sí se puede confgurar ejecutando las instrucciones siguientes:
Desde una ventana de comandos (CMD) o de PowerShel en "Modo administrador" se puede ejecutarla siguiente orden...
wmic UserAccount set PasswordExpires=True
que hace que la contraseña expire y requiera el cambio (cuando han transcurrido el número de días configurado en las Directivas de Seguridad local).
El número de días tras los que hay que expira la contraseña también se puede configurar desde la interfaz de comandos (CMD) o PowerShell con la siguiente instrucción...
net accounts /maxpwage:60
La siguiente orden...
net accounts
permite comprobar si se han configurado bien el número de días de validez de la contraseña y otros datos relacionados con el inicio de sesión en Windows.
Si se quiere configurar la expiración de contraseña solo para alguno de los usuarios de Windows se poddría ejecutar una orden de tipo...
wmic UserAccount where Name='Usuario' set PasswordExpires=True
cambiando "Usuario" por el nombre del usuario que corresponda.
¿Qué ocurre al llegar la fecha en la que expira la contraseña?
En las "Notificaciones" de Windows se muestra un aviso como el siguiente durante los 5 días (o durante el nº de dias que se haya configurado) previos a que expire la contraseña.
Llegado el día de expiración de la contraseña sale un aviso indicando "Su contraseña expiró y debe cambiarla"...
Para cambiar la contraseña del Usuario con el que estamos entrando en Windows se pueden pulsar las teclas CTRL-ALT-SUPR y luego hay que indicar: "Cambiar una contraseña"...
En la ventana de cambio de contraseña hay que indicar la contraseña anterior y luego indicar dos veces la nueva contraseña que se quiere poner.
En esa misma ventana existe la opción de "Crear un disco para restablecer la contraseña"...
El sistema de crear un disco para restablecer la contraseña graba en un disco externo, pendrive, etc. un fichero que permite luego acceder al equipo si se pierde la contraseña.
Indican que no es necesario crear un disco nuevo cada vez que se cambie la contraseña.
Este fichero es único para el "Usuario" en el que se genere, es decir, si se crea en la cuenta de un determinado usuario del equipo, luego solo se puede usar con esa misma cuenta. En la pantalla de este proceso advierten: "cualquier usuario podrá usar este disco para restablecer la contraseña y obtener acceso a esta cuenta".
En el pendrive o disco donde se ha grabado este sistema de recuperación se crea un fichero muy pequeño (1,5 Kb) llamado "userkey.psw". El fichero se llama siempre con ese nombre y se crea en el directorio raíz de la unidad así que, a priori, no se podría usar el mismo pendrive para varios equipos salvo que luego se vayan renombrando los ficheros y se deje el que se quiera usar con ese nombre "userkey.psw".
Restablecer la contraseña desde un disco
Cuando se introduce una contraseña incorrecta para un usuario, Windows vuelve a solicitar la contraseña y, en ese momento, muestra una opción "Restablecer contraseña".
El proceso de restablecimiento de contraseña pregunta los "indicios" de recordatorio de la contraseña pero si se quiere recuperar la contraseña desde un disco, se puede desplazar hacía abajo la pantalla...
Para restablecer la contraseña desde un disco se puede pulsar la opción "Usar en su lugar un disco de restablecimiento de contraseña"
Pantalla inicial del proceso de restablecer la contraseña desde disco...
En la siguiente pantalla permite seleccionar las unidades de disco (no es posible seleccionar un fichero concreto, busca de forma fija el fichero "userkey.psw" en el directorio raíz de la unidad de disco.
Luego sale una pantalla preguntando la nueva contraseña que se quiere poner...
Y si ha podido leer el fichero (y es un fichero correspondiente a la cuenta de usuario seleccionada), se cambia la contraseña y se muestra un aviso de que ha finalizado el proceso...
En cambio, si el disco no contiene el fichero correspondiente al Usuario con que estamos intentando acceder, se produce el siguiente error...
