配置精细的密码政策

本页介绍了如何在 Managed Service for Microsoft Active Directory 中使用精细化密码政策 (FGPP)

如需在 Managed Microsoft AD 中配置和管理 FGPP,您可以使用标准 Active Directory 工具。如需了解如何在托管式 Microsoft AD 中使用标准 Active Directory 工具,请参阅管理 Active Directory 对象

委派管理政策的权限

默认情况下,委派管理员账号可以管理托管式 Microsoft AD 中的政策。

如需委派管理政策的能力,您可以将用户添加到 Cloud Service Fine Grained Password Policy Administrators 群组中。如需将用户添加到该群组,请在 PowerShell 中运行以下命令。

Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \
  -Members USER_1,USER_2

USER_1,USER_2 替换为要为其创建用户或群组的用户或群组的名称 您要委托其管理密码政策的权限。例如 myuser

详细了解 Add-ADGroupMember

移除管理政策的权限

如需移除管理政策的权限,您可以从“Cloud Service Fine Grained Password Policy Administrators”群组中移除此用户。如要从以下位置移除用户: 请在 PowerShell 中运行以下命令。

Remove-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \
  -Members USER_1,USER_2

USER_1,USER_2 替换为您要移除其管理密码政策权限的用户或组的名称。例如 myuser

详细了解 Remove-ADGroupMember

修改预先创建的密码政策

您可以修改 FGPP 的政策设置。您可以决定要修改的政策设置,并仅使用 必需的属性

如需修改预先创建的密码政策,请在以下位置运行以下命令: PowerShell。

Set-ADFineGrainedPasswordPolicy -Identity PSO -LockoutThreshold THRESHOLD -LockoutDuration DURATION_TIME \
   -LockoutObservationWindow OBSERVATION_TIME -ComplexityEnabled COMPLEXITY_BOOLEAN \
   -ReversibleEncryptionEnabled ENCRYPTION_BOOLEAN -MinPasswordLength LENGTH \
   -MaxPasswordAge PASSWORD_AGE -PasswordHistoryCount PASSWORD_COUNT

替换以下内容:

  • PSO:您要修改政策设置的 PSO 的名称。例如 PSO-10

  • THRESHOLD:指定登录尝试失败次数,达到此次数后系统必须锁定用户。

  • DURATION_TIME:指定用户必须达到的时长 在指定的登录尝试失败次数之后被锁定。

  • OBSERVATION_TIME:指定用户保持在该时长内 必须达到登录尝试失败次数的阈值才能锁定用户。

  • COMPLEXITY_BOOLEAN:指定密码复杂度是否必须为 已启用密码政策。

  • ENCRYPTION_BOOLEAN:指定密码是否必须使用可逆加密进行存储。

  • LENGTH:指定 密码必须包含的内容。

  • PASSWORD_AGE:指定用户可以使用同一密码的时长。此时间段过后,用户必须更改密码。

  • PASSWORD_COUNT:指定要保存的先前密码的数量 用户的密码历史记录中。用户不能重复使用保存在其 密码历史记录。

详细了解 Set-ADFineGrainedPasswordPolicy

为一个密码政策添加用户或群组

向密码政策添加用户或群组,以强制执行 FGPP。

要将一条密码政策应用于某用户或群组,请在 PowerShell 中运行以下命令。

Add-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2

替换以下内容:

  • PSO:您要使用的密码设置对象 (PSO) 的名称 添加用户或群组例如 PSO-10

  • USER_1,USER_2:您要强制执行 FGPP 的用户或群组的名称。例如 myuser

详细了解 Add-ADFineGrainedPasswordPolicySubject

检查哪个密码政策适用于用户

您可以为一个用户或群组应用多个密码政策。优先级最低的政策是生效的政策。如需了解 PSO 的优先级设置,请参阅密码设置对象

要查看对一个用户有效的政策,请在 PowerShell 中运行以下命令。

Get-ADUserResultantPasswordPolicy -Identity USER

USER 替换为您要检查所应用密码政策的用户的名称。例如 myuser

详细了解 Get-ADUserResultantPasswordPolicy

从一个密码政策中移除用户或群组

从密码政策中移除用户或群组,以停止强制执行 FGPP。

如需从密码政策中移除用户或群组,请在 PowerShell 中运行以下命令。

Remove-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2

替换以下内容:

  • PSO:您要从中移除用户的 PSO 的名称,或 。例如 PSO-10

  • USER_1,USER_2:您要恢复访问权限的用户或群组的名称 停止强制执行 FGPP。例如 myuser

详细了解 Remove-ADFineGrainedPasswordPolicySubject

解锁用户

在以下情况下,Active Directory 会暂停或锁定用户的访问权限: 错误的密码条目数超过了密码政策允许的数量上限。

如需解锁用户,请运行以下 PowerShell 命令。请注意,您必须是 Cloud Service All Administrators 群组的成员。

Unlock-ADAccount -Identity USER

USER 替换为您要解锁的用户的名称。例如 myuser

详细了解 Unlock-ADAccount

锁定期限 密码政策中配置的差异。