Detaillierte Passwortrichtlinien konfigurieren

Auf dieser Seite wird beschrieben, wie Sie detaillierte Passwortrichtlinien in Managed Service for Microsoft Active Directory verwenden.

Zum Konfigurieren und Verwalten von FGPP in Managed Microsoft AD können Sie die standardmäßigen Active Directory-Tools verwenden. Informationen zur Verwendung der Active Directory-Standardtools in Managed Microsoft AD finden Sie unter Active Directory-Objekte verwalten.

Berechtigungen zum Verwalten von Richtlinien delegieren

Standardmäßig kann das delegierte Administratorkonto Richtlinien in Managed Microsoft AD verwalten.

Wenn Sie die Verwaltung von Richtlinien delegieren möchten, können Sie Nutzer zur Gruppe Cloud Service Fine Grained Password Policy Administrators hinzufügen. Führen Sie den folgenden Befehl in PowerShell aus, um dieser Gruppe Nutzer hinzuzufügen.

Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \
  -Members USER_1,USER_2

Ersetzen Sie USER_1,USER_2 durch den Namen der Nutzer oder Gruppen, für die Sie Berechtigungen zur Verwaltung der Passwortrichtlinien delegieren möchten. Beispiel: myuser

Weitere Informationen zu Add-ADGroupMember

Berechtigungen zum Verwalten von Richtlinien entfernen

Wenn Sie die Funktion zum Verwalten von Richtlinien deaktivieren möchten, können Sie den Nutzer aus der Gruppe Cloud Service Fine Grained Password Policy Administrators entfernen. Führen Sie in PowerShell den folgenden Befehl aus, um Nutzer aus dieser Gruppe zu entfernen.

Remove-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \
  -Members USER_1,USER_2

Ersetzen Sie USER_1,USER_2 durch den Namen der Nutzer oder Gruppen, für die Sie die Berechtigungen zum Verwalten der Passwortrichtlinien entfernen möchten. Beispiel: myuser

Weitere Informationen zu Remove-ADGroupMember

Vorab erstellte Passwortrichtlinie ändern

Sie können die Richtlinieneinstellungen eines FGPP ändern. Sie können entscheiden, welche Richtlinieneinstellungen Sie ändern möchten, und nur die erforderlichen Attribute im folgenden Befehl verwenden.

Führen Sie den folgenden Befehl in PowerShell aus, um eine vorab erstellte Passwortrichtlinie zu ändern.

Set-ADFineGrainedPasswordPolicy -Identity PSO -LockoutThreshold THRESHOLD -LockoutDuration DURATION_TIME \
   -LockoutObservationWindow OBSERVATION_TIME -ComplexityEnabled COMPLEXITY_BOOLEAN \
   -ReversibleEncryptionEnabled ENCRYPTION_BOOLEAN -MinPasswordLength LENGTH \
   -MaxPasswordAge PASSWORD_AGE -PasswordHistoryCount PASSWORD_COUNT

Ersetzen Sie Folgendes:

  • PSO: Name des PSO, für das Sie die Richtlinieneinstellungen ändern möchten. Beispiel: PSO-10.

  • THRESHOLD: gibt die Anzahl der fehlgeschlagenen Anmeldeversuche an, nach denen ein Nutzer gesperrt werden muss.

  • DURATION_TIME: Geben Sie an, wie lange ein Nutzer nach der angegebenen Anzahl fehlgeschlagener Anmeldeversuche gesperrt werden muss.

  • OBSERVATION_TIME: Geben Sie an, wie lange ein Nutzer den Grenzwert für fehlgeschlagene Anmeldeversuche erreichen muss, um den Nutzer zu sperren.

  • COMPLEXITY_BOOLEAN: Geben Sie an, ob die Passwortkomplexität für die Passwortrichtlinie aktiviert werden muss.

  • ENCRYPTION_BOOLEAN: Geben Sie an, ob die Passwörter mit umkehrbarer Verschlüsselung gespeichert werden müssen.

  • LENGTH: Geben Sie die Mindestanzahl von Zeichen an, die Passwörter haben müssen.

  • PASSWORD_AGE: Gibt an, wie lange ein Nutzer dasselbe Passwort haben kann. Nach diesem Zeitraum muss das Passwort vom Nutzer geändert werden.

  • PASSWORD_COUNT: Geben Sie an, wie viele vorherige Passwörter im Passwortverlauf eines Nutzers gespeichert werden sollen. Ein Passwort, das im Passwortverlauf gespeichert ist, kann ein Nutzer nicht wiederverwenden.

Weitere Informationen zu Set-ADFineGrainedPasswordPolicy

Nutzer oder Gruppe einer Passwortrichtlinie hinzufügen

Fügen Sie einer Passwortrichtlinie einen Nutzer oder eine Gruppe hinzu, um das FGPP zu erzwingen.

Führen Sie den folgenden Befehl in PowerShell aus, um eine Passwortrichtlinie auf einen Nutzer oder eine Gruppe anzuwenden.

Add-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2

Ersetzen Sie Folgendes:

  • PSO: Name des Passworteinstellungsobjekts (Passworteinstellungsobjekt, PSO), dem Sie den Nutzer oder die Gruppe hinzufügen möchten. Beispiel: PSO-10.

  • USER_1,USER_2: Name der Nutzer oder Gruppen, für die Sie die FGPP erzwingen möchten. Beispiel: myuser.

Weitere Informationen zu Add-ADFineGrainedPasswordPolicySubject

Prüfen, welche Passwortrichtlinie für einen Nutzer gilt

Sie können mehrere Passwortrichtlinien auf einen Nutzer oder eine Gruppe anwenden. Die Richtlinie mit der niedrigsten Einstellung ist die geltende Richtlinie. Informationen zu den Einstellungen für den Vorrang von PSOs finden Sie unter Passworteinstellungsobjekte.

Führen Sie den folgenden Befehl in PowerShell aus, um die für einen Nutzer geltende Richtlinie aufzurufen.

Get-ADUserResultantPasswordPolicy -Identity USER

Ersetzen Sie USER durch den Namen des Nutzers, für den Sie die Passwortrichtlinien prüfen möchten. Beispiel: myuser.

Weitere Informationen zu Get-ADUserResultantPasswordPolicy

Nutzer oder Gruppen aus einer Passwortrichtlinie entfernen

Entfernen Sie einen Nutzer oder eine Gruppe aus einer Passwortrichtlinie, um die FGPP nicht mehr zu erzwingen.

Führen Sie den folgenden Befehl in PowerShell aus, um einen Nutzer oder eine Gruppe aus einer Passwortrichtlinie zu entfernen.

Remove-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2

Ersetzen Sie Folgendes:

  • PSO: Name des PSO, aus dem Sie den Nutzer oder die Gruppe entfernen möchten. Beispiel: PSO-10.

  • USER_1,USER_2: Name der Nutzer oder Gruppen, für die Sie die FGPP nicht mehr erzwingen möchten. Beispiel: myuser.

Weitere Informationen zu Remove-ADFineGrainedPasswordPolicySubject

Nutzer entsperren

Active Directory sperrt oder sperrt den Zugriff für einen Nutzer, wenn die Anzahl der falschen Passworteinträge die maximale Anzahl überschreitet, die in der Passwortrichtlinie zulässig ist.

Führen Sie den folgenden PowerShell-Befehl aus, um einen Nutzer zu entsperren. Sie müssen Mitglied der Gruppe Cloud Service All Administrators sein.

Unlock-ADAccount -Identity USER

Ersetzen Sie USER durch den Namen des Nutzers, den Sie entsperren möchten. Beispiel: myuser

Weitere Informationen zu Unlock-ADAccount

Der Nutzer wird nach Ablauf der in der Passwortrichtlinie festgelegten Sperrdauer automatisch entsperrt.