Halaman ini menunjukkan cara menggunakan kebijakan sandi yang mendetail (FGPP) di Google Cloud Managed Service for Microsoft Active Directory.
Untuk mengonfigurasi dan mengelola FGPP di Microsoft AD Terkelola, Anda dapat menggunakan alat Active Directory standar. Untuk informasi cara menggunakan alat Active Directory standar di Microsoft AD Terkelola, lihat Mengelola objek Active Directory.
Mendelegasikan izin untuk mengelola kebijakan
Secara default, akun administrator yang didelegasikan memiliki kemampuan mengelola kebijakan di Microsoft AD Terkelola.
Untuk mendelegasikan kemampuan mengelola kebijakan, Anda dapat menambahkan pengguna ke grup Cloud
Service Fine Grained Password Policy Administrators. Untuk menambahkan pengguna ke grup
ini, jalankan perintah berikut di PowerShell.
Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \ -Members USER_1,USER_2
Ganti USER_1,USER_2 dengan nama pengguna atau grup yang izinnya ingin Anda delegasikan untuk mengelola kebijakan sandi. Misalnya,
myuser.
Pelajari Add-ADGroupMember lebih lanjut.
Hapus izin untuk mengelola kebijakan
Untuk menghapus kemampuan mengelola kebijakan, Anda dapat menghapus pengguna dari grup Cloud
Service Fine Grained Password Policy Administrators. Untuk menghapus pengguna dari
grup ini, jalankan perintah berikut di PowerShell.
Remove-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \ -Members USER_1,USER_2
Ganti USER_1,USER_2 dengan nama pengguna atau grup yang
izin yang diberikan untuk mengelola kebijakan sandinya ingin Anda hapus. Misalnya,
myuser.
Pelajari Remove-ADGroupMember lebih lanjut.
Mengubah kebijakan sandi yang telah dibuat sebelumnya
Anda dapat mengubah setelan kebijakan FGPP. Anda dapat menentukan setelan kebijakan yang ingin diubah dan hanya menggunakan properti wajib dalam perintah berikut.
Untuk mengubah kebijakan sandi yang sudah dibuat sebelumnya, jalankan perintah berikut di PowerShell.
Set-ADFineGrainedPasswordPolicy -Identity PSO -LockoutThreshold THRESHOLD -LockoutDuration DURATION_TIME \ -LockoutObservationWindow OBSERVATION_TIME -ComplexityEnabled COMPLEXITY_BOOLEAN \ -ReversibleEncryptionEnabled ENCRYPTION_BOOLEAN -MinPasswordLength LENGTH \ -MaxPasswordAge PASSWORD_AGE -PasswordHistoryCount PASSWORD_COUNT
Ganti kode berikut:
PSO: Nama PSO yang setelan kebijakannya ingin Anda ubah. Contoh,
PSO-10.THRESHOLD: Menentukan jumlah upaya login yang gagal setelah pengguna harus dikunci.
DURATION_TIME: Menentukan durasi waktu penguncian pengguna setelah jumlah upaya login yang gagal yang ditetapkan.
OBSERVATION_TIME: Menentukan durasi waktu saat pengguna harus mencapai nilai minimum untuk upaya login yang gagal guna mengunci pengguna.
COMPLEXITY_BOOLEAN: Menentukan apakah kompleksitas sandi harus diaktifkan untuk kebijakan sandi.
ENCRYPTION_BOOLEAN: Menentukan apakah sandi harus disimpan menggunakan enkripsi yang dapat dibatalkan.
LENGTH: Menentukan jumlah karakter minimum yang harus dimiliki sandi.
PASSWORD_AGE: Menentukan durasi waktu yang boleh digunakan pengguna untuk memiliki sandi yang sama. Pengguna harus mengubah sandi setelah jangka waktu ini.
PASSWORD_COUNT: Menentukan jumlah sandi sebelumnya yang akan disimpan di histori sandi pengguna. Pengguna tidak dapat menggunakan kembali sandi yang disimpan di histori sandi.
Pelajari Set-ADFineGrainedPasswordPolicy lebih lanjut.
Menambahkan pengguna atau grup ke kebijakan sandi
Tambahkan pengguna atau grup ke kebijakan sandi untuk menerapkan FGPP.
Untuk menerapkan kebijakan sandi ke pengguna atau grup, jalankan perintah berikut di PowerShell.
Add-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2
Ganti kode berikut:
PSO: Nama objek setelan sandi (PSO) tempat Anda ingin menambahkan pengguna atau grup. Contoh,
PSO-10.USER_1,USER_2: Nama pengguna atau grup yang ingin Anda terapkan FGPP-nya. Contoh,
myuser.
Pelajari Add-ADFineGrainedPasswordPolicySubject lebih lanjut.
Memeriksa kebijakan sandi yang berlaku untuk pengguna
Anda dapat menerapkan beberapa kebijakan sandi untuk pengguna atau grup. Kebijakan dengan setelan prioritas terendah adalah kebijakan yang efektif. Untuk informasi tentang setelan prioritas PSO, lihat Objek setelan sandi.
Untuk melihat kebijakan yang berlaku pada pengguna, jalankan perintah berikut di PowerShell.
Get-ADUserResultantPasswordPolicy -Identity USER
Ganti USER dengan nama pengguna yang ingin Anda periksa kebijakan sandinya. Contoh, myuser.
Pelajari Get-ADUserResultantPasswordPolicy lebih lanjut.
Menghapus pengguna atau grup dari kebijakan sandi
Hapus pengguna atau grup dari kebijakan sandi untuk berhenti menerapkan FGPP.
Untuk menghapus pengguna atau grup dari kebijakan sandi, jalankan perintah berikut di PowerShell.
Remove-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2
Ganti kode berikut:
PSO: Nama PSO tempat Anda ingin menghapus pengguna atau grup. Contoh,
PSO-10.USER_1,USER_2: Nama pengguna atau grup yang FGPP-nya ingin Anda hentikan penerapannya. Contoh,
myuser.
Pelajari Remove-ADFineGrainedPasswordPolicySubject lebih lanjut.
Membuka kunci pengguna
Active Directory menangguhkan atau mengunci akses pengguna jika jumlah entri sandi yang salah melebihi jumlah maksimum yang diizinkan oleh kebijakan sandi.
Untuk membuka kunci pengguna, jalankan perintah PowerShell berikut. Perhatikan bahwa Anda harus menjadi anggota grup Cloud Service All Administrators.
Unlock-ADAccount -Identity USER
Ganti USER dengan nama pengguna yang ingin Anda buka kuncinya. Misalnya,
myuser.
Pelajari Unlock-ADAccount lebih lanjut.
Pengguna akan otomatis terbuka setelah durasi penguncian yang dikonfigurasi dalam kebijakan sandi.