配置精细的密码政策

本页面介绍了如何在 Managed Service for Microsoft Active Directory 中使用精细密码政策 (FGPP)。

如需在代管式 Microsoft AD 中配置和管理 FGPP，您可以使用标准 Active Directory 工具。如需了解如何在 Managed Microsoft AD 中使用标准 Active Directory 工具，请参阅管理 Active Directory 对象。

授予管理政策的权限

默认情况下，委派管理员帐号能够在 Managed Microsoft AD 中管理政策。

如要委托管理政策的权限，您可以向“Cloud Service Fine Grained Password Policy Administrators”群组添加用户。如需将用户添加到该群组，请在 PowerShell 中运行以下命令。

Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \
  -Members USER_1,USER_2

将 USER_1,USER_2 替换为您要向其授予密码政策管理权限的用户或群组的名称。例如 myuser。

详细了解 Add-ADGroupMember。

移除权限以管理政策

如需移除管理政策的权限，您可以将用户从“Cloud Service Fine Grained Password Policy Administrators”群组中移除。如需从此群组中移除用户，请在 PowerShell 中运行以下命令。

Remove-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \
  -Members USER_1,USER_2

将 USER_1,USER_2 替换为您要移除其为管理密码政策提供的权限的用户或群组的名称。例如 myuser。

详细了解 Remove-ADGroupMember。

修改预先创建的密码政策

您可以修改 FGPP 的政策设置。您可以在以下命令中决定要修改哪些政策设置，并仅使用必需的属性。

如需修改预先创建的密码政策，请在 PowerShell 中运行以下命令。

Set-ADFineGrainedPasswordPolicy -Identity PSO -LockoutThreshold THRESHOLD -LockoutDuration DURATION_TIME \
   -LockoutObservationWindow OBSERVATION_TIME -ComplexityEnabled COMPLEXITY_BOOLEAN \
   -ReversibleEncryptionEnabled ENCRYPTION_BOOLEAN -MinPasswordLength LENGTH \
   -MaxPasswordAge PASSWORD_AGE -PasswordHistoryCount PASSWORD_COUNT

替换以下内容：

• PSO：您要修改政策设置的 PSO 的名称。例如 PSO-10。

• THRESHOLD：指定在多少次登录失败后必须锁定用户。

• DURATION_TIME：指定在指定的登录尝试失败次数后必须锁定用户的时长。

• OBSERVATION_TIME：指定用户必须在多长时间内达到登录失败次数阈值才能锁定用户。

• COMPLEXITY_BOOLEAN：指定是否必须为密码政策启用密码复杂度。

• ENCRYPTION_BOOLEAN：指定是否必须使用可逆加密来存储密码。

• LENGTH：指定密码必须包含的最少字符数。

• PASSWORD_AGE：指定用户可以拥有相同密码的时长。此时间段过后，用户必须更改密码。

• PASSWORD_COUNT：指定要在用户密码历史记录中保存的旧密码数量。用户无法重复使用保存在其密码历史记录中的密码。

详细了解 Set-ADFineGrainedPasswordPolicy。

将用户或群组添加到密码政策中

将用户或群组添加到密码政策中，以强制执行 FGPP。

要将一条密码政策应用于某用户或群组，请在 PowerShell 中运行以下命令。

Add-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2

替换以下内容：

• PSO：您要将用户或群组添加到的密码设置对象 (PSO) 的名称。例如 PSO-10。

• USER_1,USER_2：您要强制执行 FGPP 的用户或群组的名称。例如 myuser。

详细了解 Add-ADFineGrainedPasswordPolicySubject。

检查用户适用的密码政策

您可以为用户或群组应用多项密码政策。优先级设置最低的政策是有效政策。如需了解 PSO 的优先级设置，请参阅密码设置对象。

要查看对一个用户有效的政策，请在 PowerShell 中运行以下命令。

Get-ADUserResultantPasswordPolicy -Identity USER

将 USER 替换为您要检查已应用密码政策的用户的名称。例如 myuser。

详细了解 Get-ADUserResultantPasswordPolicy。

从密码政策中移除用户或群组

将用户或群组从密码政策中移除，以停止强制执行 FGPP。

如需从密码政策中移除用户或群组，请在 PowerShell 中运行以下命令。

Remove-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2

替换以下内容：

• PSO：您要从中移除用户或群组的 PSO 的名称。例如 PSO-10。

• USER_1,USER_2：您要停止强制执行 FGPP 的用户或群组的名称。例如 myuser。

详细了解 Remove-ADFineGrainedPasswordPolicySubject。

解锁用户

如果错误密码条目的数量超过密码政策允许的最大数量，Active Directory 会暂停或锁定用户的访问权限。

如需解锁用户，请运行以下 PowerShell 命令。请注意，您必须是 Cloud Service All Administrators 群组的成员。

Unlock-ADAccount -Identity USER

将 USER 替换为您要解锁的用户的名称。例如 myuser。

详细了解 Unlock-ADAccount。

系统会在密码政策中配置的锁定时长结束后自动解锁用户。