Como usar políticas de senha granular

Neste tópico, mostramos como usar as políticas de senha refinada (FGPP).

Adicionar um usuário ou grupo a uma política de senha

Para aplicar uma política de senha a um usuário ou grupo, execute o comando a seguir no PowerShell.

Add-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2

Saiba mais sobre o Add-ADFineGrainedPasswordPolicySubject.

Como remover um usuário ou grupo de uma política de senha

Para remover um usuário ou grupo de uma política de senha, execute o seguinte comando no PowerShell.

Remove-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2

Saiba mais sobre o Remove-ADFineGrainedPasswordPolicySubject.

Como verificar qual política de senha se aplica a um usuário

Várias políticas de senha podem ser aplicadas a um usuário ou grupo. A política com a configuração de precedência mais baixa é a que entra em vigor.

Para ver a política efetiva de um usuário, execute o comando a seguir no PowerShell.

Get-ADUserResultantPasswordPolicy -Identity USER

Saiba mais sobre o Get-ADUserResultantPasswordPolicy.

Modificação da política de senha pré-criada

Para modificar uma política de senha pré-criada, execute o seguinte comando no PowerShell.

Set-ADFineGrainedPasswordPolicy -Identity PSO -LockoutDuration DURATION_TIME \
   -LockoutObservationWindow OBSERVATION_TIME -ComplexityEnabled COMPLEXITY_BOOLEAN \
   -ReversibleEncryptionEnabled ENCRYPTION_BOOLEAN -MinPasswordLength LENGTH

Saiba mais sobre o Set-ADFineGrainedPasswordPolicy.

Como delegar permissões para gerenciar políticas

Para delegar a capacidade de gerenciar políticas, adicione o usuário ao grupo "Administradores de políticas de senha granular do Cloud Service". Para adicionar usuários a esse grupo, execute o seguinte comando no PowerShell.

Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \
  -Members USER_1,USER_2

Saiba mais sobre o Add-ADGroupMember.

Como remover permissões para gerenciar políticas

Para remover a capacidade de gerenciar políticas, remova o usuário do grupo "Administradores de políticas de senha refinadas do Cloud Service". Para adicionar usuários a esse grupo, execute o seguinte comando no PowerShell.

Remove-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \
  -Members USER_1,USER_2

Saiba mais sobre Remove-ADGroupMember.

Como desbloquear um usuário

Para desbloquear um usuário bloqueado, execute o comando do PowerShell a seguir. Você precisa ser membro do grupo "Todos os administradores do serviço do Cloud".

Unlock-ADAccount -Identity USER_1

Saiba mais sobre Unlock-ADAccount.

O usuário é desbloqueado automaticamente após a duração de bloqueio na política.