En esta página, se muestra cómo usar las políticas de contraseñas detalladas (FGPP) en el servicio administrado de Microsoft Active Directory.
Para configurar y administrar FGPP en Managed Microsoft AD, puedes usar el estándar desde las herramientas de Active Directory. Para obtener información sobre cómo usar las herramientas estándar de Active Directory en Microsoft AD administrado, consulta Administra objetos de Active Directory.
Delega permisos para administrar políticas
De forma predeterminada, la cuenta de administrador delegado puede administrar políticas en Microsoft AD administrado.
Para delegar la capacidad de administrar políticas, puedes agregar usuarios al grupo Cloud
Service Fine Grained Password Policy Administrators. Para agregar usuarios a este grupo, ejecuta el siguiente comando en PowerShell.
Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \ -Members USER_1,USER_2
Reemplaza USER_1,USER_2 por el nombre de los usuarios o grupos para los cuales
es preferible delegar permisos para administrar las políticas de contraseñas. Por ejemplo, myuser
Obtén más información sobre Add-ADGroupMember.
Quita permisos para administrar políticas
Para quitar la capacidad de administrar políticas, puedes quitar al usuario del grupo Cloud
Service Fine Grained Password Policy Administrators. Para quitar usuarios de este grupo, ejecuta el siguiente comando en PowerShell.
Remove-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \ -Members USER_1,USER_2
Reemplaza USER_1,USER_2 por el nombre de los usuarios o grupos para los que
deseas quitar los permisos proporcionados para administrar las políticas de contraseñas. Por ejemplo, myuser.
Obtén más información sobre Remove-ADGroupMember.
Modifica una política de contraseñas creada previamente
Puedes modificar la política configuración de un FGPP. Puedes decidir qué parámetros de configuración de la política deseas modificar y usar solo las propiedades requeridas en el siguiente comando.
Para modificar una política de contraseñas creada previamente, ejecuta el siguiente comando en PowerShell
Set-ADFineGrainedPasswordPolicy -Identity PSO -LockoutThreshold THRESHOLD -LockoutDuration DURATION_TIME \ -LockoutObservationWindow OBSERVATION_TIME -ComplexityEnabled COMPLEXITY_BOOLEAN \ -ReversibleEncryptionEnabled ENCRYPTION_BOOLEAN -MinPasswordLength LENGTH \ -MaxPasswordAge PASSWORD_AGE -PasswordHistoryCount PASSWORD_COUNT
Reemplaza lo siguiente:
PSO: Es el nombre del PSO para el que deseas modificar la configuración de la política. Por ejemplo,
PSO-10THRESHOLD: Especifica la cantidad de intentos de acceso fallidos después de los cuales se debe bloquear un usuario.
DURATION_TIME: Especifica el período durante el cual un usuario debe bloquearse luego de la cantidad especificada de intentos de acceso fallidos.
OBSERVATION_TIME: Especifica el período durante el cual un usuario. debe alcanzar el umbral de intentos de acceso fallidos para bloquear al usuario.
COMPLEXITY_BOOLEAN: Especifica si la complejidad de la contraseña debe habilitado para la política de contraseñas.
ENCRYPTION_BOOLEAN: Especifica si se deben almacenar las contraseñas. con encriptación reversible.
LENGTH: Especifica la cantidad mínima de caracteres que debe tener la que deben tener las contraseñas.
PASSWORD_AGE: Especifica el tiempo durante el cual un usuario puede tener la misma contraseña. Un usuario debe cambiar la contraseña después de este período.
PASSWORD_COUNT: Especifica la cantidad de contraseñas anteriores que se guardarán en el historial de contraseñas de un usuario. Un usuario no puede volver a usar una contraseña guardada en su historial de contraseñas.
Obtén más información sobre Set-ADFineGrainedPasswordPolicy.
Agrega un usuario o grupo a una política de contraseñas
Agrega un usuario o grupo a una política de contraseñas para aplicar el FGPP.
Para aplicar una política de contraseñas a un usuario o grupo, ejecuta el siguiente comando en PowerShell.
Add-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2
Reemplaza lo siguiente:
PSO: Es el nombre del objeto de configuración de contraseña (PSO) al que quieres añadir el usuario o el grupo. Por ejemplo,
PSO-10USER_1,USER_2: El nombre de los usuarios o grupos para los que deseas realizar la acción. aplicar el FGPP. Por ejemplo,
myuser
Obtén más información sobre Add-ADFineGrainedPasswordPolicySubject.
Verifica qué política de contraseñas se aplica a un usuario
Puedes aplicar varias políticas de contraseñas a un usuario o un grupo. La política con la configuración de prioridad más baja es la política vigente. Para obtener información sobre el de prioridad de los PSO; consulta Configuración de contraseñas objetos.
Para ver la política vigente de un usuario, ejecuta el siguiente comando en PowerShell.
Get-ADUserResultantPasswordPolicy -Identity USER
Reemplaza USER por el nombre del usuario para el que deseas verificar las políticas de contraseña aplicadas. Por ejemplo, myuser
Obtén más información sobre Get-ADUserResultantPasswordPolicy.
Cómo quitar un usuario o grupo de una política de contraseñas
Quita un usuario o grupo de una política de contraseñas para dejar de aplicar el FGPP.
Para quitar un usuario o grupo de una política de contraseñas, ejecuta el siguiente comando en PowerShell.
Remove-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2
Reemplaza lo siguiente:
PSO: nombre de la PSO de la que deseas quitar al usuario grupo. Por ejemplo,
PSO-10USER_1,USER_2: Es el nombre de los usuarios o grupos para los que deseas dejar de aplicar la FGPP. Por ejemplo,
myuser
Obtén más información sobre Remove-ADFineGrainedPasswordPolicySubject.
Cómo desbloquear un usuario
Active Directory suspende o bloquea el acceso de un usuario cuando la cantidad de Las entradas incorrectas de contraseña superan la cantidad máxima permitida por la política de contraseñas.
Para desbloquear a un usuario, ejecuta el siguiente comando de PowerShell. Ten en cuenta que debes ser miembro del
grupo Cloud Service All Administrators.
Unlock-ADAccount -Identity USER
Reemplaza USER por el nombre del usuario que deseas desbloquear. Por ejemplo, myuser.
Obtén más información sobre Unlock-ADAccount.
El usuario se desbloquea automáticamente después de que duración del bloqueo configurados en la política de contraseñas.