Diese Seite wurde von der Cloud Translation API übersetzt.

Detaillierte Passwortrichtlinien konfigurieren

Auf dieser Seite erfahren Sie, wie Sie detaillierte Passwortrichtlinien (FGPP) in Managed Service for Microsoft Active Directory verwenden.

Zum Konfigurieren und Verwalten von FGPP in Managed Microsoft AD können Sie die Standard- Active Directory-Tools. Informationen zur Verwendung der standardmäßigen Active Directory-Tools in Managed Microsoft AD finden Sie unter Active Directory-Objekte verwalten.

Berechtigungen zum Verwalten von Richtlinien delegieren

Standardmäßig muss der delegierte Administrator Konto die Möglichkeit, zum Verwalten von Richtlinien in Managed Microsoft AD.

Wenn Sie die Möglichkeit zum Verwalten von Richtlinien delegieren möchten, können Sie Nutzer der Gruppe Cloud Service Fine Grained Password Policy Administrators hinzufügen. Führen Sie den folgenden Befehl in PowerShell aus, um dieser Gruppe Nutzer hinzuzufügen.

Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \
  -Members USER_1,USER_2

Ersetzen Sie USER_1,USER_2 durch den Namen der Nutzer oder Gruppen, für die Sie Berechtigungen zur Verwaltung der Passwortrichtlinien delegieren möchten. Beispiel: myuser

Weitere Informationen zu Add-ADGroupMember

Berechtigungen zum Verwalten von Richtlinien entfernen

Wenn Sie die Berechtigung zum Verwalten von Richtlinien entfernen möchten, können Sie den Nutzer aus der Gruppe „Cloud Service Fine Grained Password Policy Administrators“ entfernen. Führen Sie den folgenden Befehl in PowerShell aus, um Nutzer aus dieser Gruppe zu entfernen.

Remove-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \
  -Members USER_1,USER_2

Ersetzen Sie USER_1,USER_2 durch den Namen der Nutzer oder Gruppen, für die möchten Sie die Berechtigungen zum Verwalten der Passwortrichtlinien entfernen. Beispiel: myuser

Weitere Informationen zu Remove-ADGroupMember

Vorkonfigurierte Passwortrichtlinie ändern

Sie können die Richtlinieneinstellungen einer FGPP ändern. Sie können festlegen, welche Richtlinieneinstellungen Sie ändern möchten, und im folgenden Befehl nur die erforderlichen Eigenschaften verwenden.

Führen Sie den folgenden Befehl in PowerShell aus, um eine vorkonfigurierte Passwortrichtlinie zu ändern.

Set-ADFineGrainedPasswordPolicy -Identity PSO -LockoutThreshold THRESHOLD -LockoutDuration DURATION_TIME \
   -LockoutObservationWindow OBSERVATION_TIME -ComplexityEnabled COMPLEXITY_BOOLEAN \
   -ReversibleEncryptionEnabled ENCRYPTION_BOOLEAN -MinPasswordLength LENGTH \
   -MaxPasswordAge PASSWORD_AGE -PasswordHistoryCount PASSWORD_COUNT

Ersetzen Sie Folgendes:

PSO: Name der PSO, für die Sie die Richtlinie ändern möchten Einstellungen. Beispiel: PSO-10.
THRESHOLD: Anzahl der fehlgeschlagenen Anmeldeversuche nach die ein Nutzer sperren muss.
DURATION_TIME: Zeitraum angeben, über den ein Nutzer ausgeführt werden muss nach der angegebenen Anzahl fehlgeschlagener Anmeldeversuche gesperrt.
OBSERVATION_TIME: Geben Sie an, wie lange ein Nutzer muss den Grenzwert für fehlgeschlagene Anmeldeversuche erreichen, um den Nutzer zu sperren.
COMPLEXITY_BOOLEAN: Geben Sie an, ob die Passwortkomplexität sein muss. für die Passwortrichtlinie aktiviert ist.
ENCRYPTION_BOOLEAN: Gibt an, ob die Passwörter gespeichert werden müssen mit reversibler Verschlüsselung.
LENGTH: Geben Sie die Mindestanzahl von Zeichen an, die der die Passwörter haben.
PASSWORD_AGE: Geben Sie an, wie lange ein Nutzer die Berechtigung dasselbe Passwort verwenden. Nach Ablauf dieses Zeitraums muss der Nutzer das Passwort ändern.
PASSWORD_COUNT: Gibt die Anzahl der vorherigen Passwörter an, die im Passwortverlauf eines Nutzers gespeichert werden sollen. Nutzer können Passwörter, die in ihrem eigenen Konto gespeichert sind, nicht wiederverwenden. Passwortverlauf.

Weitere Informationen zu Set-ADFineGrainedPasswordPolicy

Nutzer oder Gruppe zu einer Passwortrichtlinie hinzufügen

Fügen Sie einer Passwortrichtlinie einen Nutzer oder eine Gruppe hinzu, um die FGPP durchzusetzen.

Führen Sie den folgenden Befehl in PowerShell aus, um eine Passwortrichtlinie auf einen Nutzer oder eine Gruppe anzuwenden.

Add-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2

Ersetzen Sie Folgendes:

PSO: Name des Objekts zur Passworteinstellung (Password Setting Object, PSO) für die gewünschte Einstellung um den Nutzer oder die Gruppe hinzuzufügen. Beispiel: PSO-10.
USER_1,USER_2: Name der Nutzer oder Gruppen, für die Sie die Aktion ausführen möchten die FGPP durchzusetzen. Beispiel: myuser.

Weitere Informationen zu Add-ADFineGrainedPasswordPolicySubject

Prüfen, welche Passwortrichtlinie für einen Nutzer gilt

Auf einen Nutzer oder eine Gruppe können mehrere Passwortrichtlinien angewendet werden. Die Richtlinie mit der niedrigsten Einstellung ist die geltende Richtlinie. Informationen zu den Vorrangeinstellungen von PSOs finden Sie unter Objekte für Passworteinstellungen.

Führen Sie den folgenden Befehl in PowerShell aus, um die für einen Nutzer geltende Richtlinie aufzurufen.

Get-ADUserResultantPasswordPolicy -Identity USER

Ersetzen Sie USER durch den Namen des Nutzers, für den Sie die angewendeten Passwortrichtlinien prüfen möchten. Beispiel: myuser.

Weitere Informationen zu Get-ADUserResultantPasswordPolicy

Nutzer oder Gruppen aus einer Passwortrichtlinie entfernen

Entfernen Sie einen Nutzer oder eine Gruppe aus einer Passwortrichtlinie, um die FGPP nicht mehr zu erzwingen.

Führen Sie den folgenden Befehl in PowerShell aus, um einen Nutzer oder eine Gruppe aus einer Passwortrichtlinie zu entfernen.

Remove-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2

Ersetzen Sie Folgendes:

PSO: Name der PSO, aus der Sie den Nutzer oder die Gruppe entfernen möchten. Beispiel: PSO-10.
USER_1,USER_2: Name der Nutzer oder Gruppen, für die die Erzwingung der FGPP beendet werden soll. Beispiel: myuser.

Weitere Informationen zu Remove-ADFineGrainedPasswordPolicySubject

Nutzer entsperren

In Active Directory wird der Zugriff für einen Nutzer ausgesetzt oder gesperrt, wenn die Anzahl der falsch eingegebenen Passwörter die in der Passwortrichtlinie zulässige Höchstzahl überschreitet.

Führen Sie den folgenden PowerShell-Befehl aus, um einen Nutzer zu entsperren. Sie müssen ein Mitglied der Gruppe Cloud Service All Administrators.

Unlock-ADAccount -Identity USER

Ersetzen Sie USER durch den Namen des Nutzers, den Sie entsperren möchten. Beispiel: myuser

Weitere Informationen zu Unlock-ADAccount

Der Nutzer wird automatisch entsperrt, sobald Sperrdauer die in der Passwortrichtlinie konfiguriert ist.