Dónde y cómo establecer las directivas de bloqueo de cuentas

¿Dónde podemos establecer las directivas de bloqueo de cuentas y cómo hacerlo? ¿Qué hace cada una de las directivas de bloqueo de cuentas? Respondo al cómo y al dónde, dando de paso el significado de cada una de las directivas:

1.- ¿Dónde?

-A. Dominio: Tienes que hacerlo en una GPO que vincules a nivel de dominio o en la propia "Default Domain Policy"; si lo haces en una GPO que crees (no en la "Default Domain Policy") tienes que mover esa GPO para que quede por encima de la "Default Domain Policy" en la lista de GPO's aplicadas a nivel de dominio. Esto sólo te merece la pena si únicamente quieres esa política de bloqueo para determiniados usuarios o grupos de usuarios, pues al separarla de la "Default Domain Policy" puedes luego filtrar el alcance para que sólo afecte a los usuarios o grupos que desees; si quieres que afecte a todos los usuarios, es mejor que directamente lo hagas en la "Default Domain Policy".

-B. Grupo de trabajo: Tienes que hacerlo con las políticas del sistema, usando el editor de políticas del sistema (gpedit.msc). Las directivas establecidas en el editor de políticas del sistema afectan a todos los usuarios, si bien se puede hacer que no afecten al administrador:

293655 - CÓMO Aplicar directivas locales a todos los usuarios, excepto los administradores, en Windows 2000 en una configuración de grupo
http://support.microsoft.com/default.aspx?scid=kb;ES;293655

2.- ¿Cómo?

Estableciendo las directivas de bloqueo de cuenta a los valores que provoquen el comportamiento que deseamos. Estas directivas están en "Configuración de equipo\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directivas de bloqueo de cuentas". Las directivas que te encontrarás en esta rama son:

-A. "Duración de bloqueo de cuenta": Estableces, en minutos, cuánto durará el bloqueo de la cuenta. Un valor de 0 dejará permanentemente bloqueada la cuenta hasta que sea desbloqueada de forma manual por un administrador:

Account lockout duration
http://www.microsoft.com/windows2000/techinfo/reskit/en-us/default.asp?url=/windows2000/techinfo/reskit/en-us/gp/508.asp

-B. "Restablecer la cuenta de bloqueos después de": Cuando estableces el número de intentos, esta directiva se encarga de establecer cada cuánto tiempo se reinicia el cuenteo. Si no existiera esta directiva, imagínate que estableces el número de intentos fallidos en tres, un usuario se equivoca una vez hoy, otra dentro de un mes y una tercera dentro de 1 año; bien, pues se le bloquearía la cuenta, lo cual no es deseable. Establece en minutos el tiempo que debe pasar desde el último intento fallido para que se reinicie la cuenta de intentos fallidos:

Reset account lockout counter after
http://www.microsoft.com/windows2000/techinfo/reskit/en-us/default.asp?url=/windows2000/techinfo/reskit/en-us/gp/509.asp

-C. "Umbral de bloqueos de la cuenta": El número de intentos fallidos que se deben de producir para que se bloquee una cuenta; un valor de 0 hace que nunca se bloquee. Destacar que los intentos fallidos de un equipo bloqueado con Ctrl+Alt+Supr, o por un salvapantallas protegido por contraseña, no serán tenidos en cuenta:

Account lockout threshold
http://www.microsoft.com/windows2000/techinfo/reskit/en-us/default.asp?url=/windows2000/techinfo/reskit/en-us/gp/507.asp