En esta página, se muestra cómo usar las políticas de contraseñas detalladas (FGPP) en el servicio administrado para Microsoft Active Directory.
Para configurar y administrar FGPP en Microsoft AD administrado, puedes usar las herramientas estándar de Active Directory. Para obtener información sobre cómo usar las herramientas estándar de Active Directory en Microsoft AD administrado, consulta Administra objetos de Active Directory.
Delega permisos para administrar políticas
De forma predeterminada, la cuenta de administrador delegada tiene la capacidad de administrar políticas en Microsoft AD administrado.
Para delegar la administración de políticas, puedes agregar usuarios al grupo Cloud
Service Fine Grained Password Policy Administrators. Para agregar usuarios a este grupo, ejecuta el siguiente comando en PowerShell.
Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \ -Members USER_1,USER_2
Reemplaza USER_1,USER_2 por el nombre de los usuarios o grupos a los que deseas delegar permisos para administrar las políticas de contraseñas. Por ejemplo, myuser
Obtén más información sobre Add-ADGroupMember.
Quita permisos para administrar políticas
Para quitar la capacidad de administrar políticas, puedes quitar al usuario del grupo Cloud
Service Fine Grained Password Policy Administrators. Para quitar usuarios de este grupo, ejecuta el siguiente comando en PowerShell.
Remove-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \ -Members USER_1,USER_2
Reemplaza USER_1,USER_2 por el nombre de los usuarios o grupos de los que deseas quitar los permisos proporcionados para administrar las políticas de contraseñas. Por ejemplo, myuser.
Obtén más información sobre Remove-ADGroupMember.
Modifica una política de contraseñas creada previamente
Puedes modificar la configuración de la política de un FGPP. Puedes decidir qué configuración de la política deseas modificar y usar solo las propiedades obligatorias en el siguiente comando.
Para modificar una política de contraseñas creada previamente, ejecuta el siguiente comando en PowerShell.
Set-ADFineGrainedPasswordPolicy -Identity PSO -LockoutThreshold THRESHOLD -LockoutDuration DURATION_TIME \ -LockoutObservationWindow OBSERVATION_TIME -ComplexityEnabled COMPLEXITY_BOOLEAN \ -ReversibleEncryptionEnabled ENCRYPTION_BOOLEAN -MinPasswordLength LENGTH \ -MaxPasswordAge PASSWORD_AGE -PasswordHistoryCount PASSWORD_COUNT
Reemplaza lo siguiente:
PSO: Nombre de la PSO para la que deseas modificar la configuración de la política. Por ejemplo,
PSO-10THRESHOLD: Especifica la cantidad de intentos de acceso fallidos después de los cuales se debe bloquear a un usuario.
DURATION_TIME: Especifica el período durante el cual se debe bloquear a un usuario después de la cantidad especificada de intentos de acceso fallidos.
OBSERVATION_TIME: Especifica el período durante el cual un usuario debe alcanzar el umbral de intentos de acceso fallidos para bloquearlo.
COMPLEXITY_BOOLEAN: Especifica si se debe habilitar la complejidad de la contraseña para la política de contraseñas.
ENCRYPTION_BOOLEAN: Especifica si las contraseñas se deben almacenar con encriptación reversible.
LENGTH: Especifica la cantidad mínima de caracteres que deben tener las contraseñas
PASSWORD_AGE: Especifica el período que un usuario puede tener la misma contraseña. El usuario debe cambiar la contraseña después de este período.
PASSWORD_COUNT: Especifica la cantidad de contraseñas anteriores que se guardarán en el historial de contraseñas de un usuario. Un usuario no puede reutilizar una contraseña guardada en su historial de contraseñas.
Obtén más información sobre Set-ADFineGrainedPasswordPolicy.
Agrega un usuario o grupo a una política de contraseñas
Agrega un usuario o grupo a una política de contraseñas para aplicar el FGPP de manera forzosa.
Para aplicar una política de contraseñas a un usuario o grupo, ejecuta el siguiente comando en PowerShell.
Add-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2
Reemplaza lo siguiente:
PSO: Es el nombre del objeto de configuración de contraseñas (PSO) al que deseas agregar el usuario o grupo. Por ejemplo,
PSO-10USER_1,USER_2: Nombre de los usuarios o grupos para los que deseas aplicar el FGPP Por ejemplo,
myuser
Obtén más información sobre Add-ADFineGrainedPasswordPolicySubject.
Verifica qué política de contraseñas se aplica a un usuario
Puedes aplicar varias políticas de contraseñas a un usuario o grupo. La política con la configuración de prioridad más baja es la política vigente. Para obtener información sobre la configuración de precedencia de las PSO, consulta Objetos de configuración de contraseña.
Para ver la política vigente de un usuario, ejecuta el siguiente comando en PowerShell.
Get-ADUserResultantPasswordPolicy -Identity USER
Reemplaza USER por el nombre del usuario al que deseas verificar las políticas de contraseñas que se aplicaron. Por ejemplo, myuser
Obtén más información sobre Get-ADUserResultantPasswordPolicy.
Cómo quitar un usuario o un grupo de una política de contraseñas
Quita un usuario o un grupo de una política de contraseñas para dejar de aplicar el FGPP.
Para quitar un usuario o grupo de una política de contraseñas, ejecuta el siguiente comando en PowerShell.
Remove-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2
Reemplaza lo siguiente:
PSO: Es el nombre de la PSO de la que deseas quitar el usuario o grupo. Por ejemplo,
PSO-10USER_1,USER_2: Nombre de los usuarios o grupos para los que deseas dejar de aplicar el FGPP Por ejemplo,
myuser
Obtén más información sobre Remove-ADFineGrainedPasswordPolicySubject.
Cómo desbloquear a un usuario
Active Directory suspende o bloquea el acceso de un usuario cuando la cantidad de entradas de contraseña incorrectas supera el número máximo permitido por la política de contraseñas.
Para desbloquear un usuario, ejecuta el siguiente comando de PowerShell. Ten en cuenta que debes ser miembro del grupo Cloud Service All Administrators.
Unlock-ADAccount -Identity USER
Reemplaza USER por el nombre del usuario que deseas desbloquear. Por ejemplo, myuser.
Obtén más información sobre Unlock-ADAccount.
El usuario se desbloquea automáticamente después de la duración del bloqueo configurada en la política de contraseñas.