Diese Seite wurde von der Cloud Translation API übersetzt.

Detaillierte Passwortrichtlinien konfigurieren

Auf dieser Seite erfahren Sie, wie Sie detaillierte Richtlinien für Passwörter (FGPP) in Managed Service for Microsoft Active Directory verwenden.

Sie können die standardmäßigen Active Directory-Tools verwenden, um FGPP in Managed Microsoft AD zu konfigurieren und zu verwalten. Informationen zur Verwendung der standardmäßigen Active Directory-Tools in Managed Microsoft AD finden Sie unter Active Directory-Objekte verwalten.

Berechtigungen zum Verwalten von Richtlinien delegieren

Standardmäßig kann das delegierte Administratorkonto Richtlinien in Managed Microsoft AD verwalten.

Wenn Sie die Möglichkeit zum Verwalten von Richtlinien delegieren möchten, können Sie Nutzer der Gruppe Cloud Service Fine Grained Password Policy Administrators hinzufügen. Führen Sie den folgenden Befehl in PowerShell aus, um dieser Gruppe Nutzer hinzuzufügen.

Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \
  -Members USER_1,USER_2

Ersetzen Sie USER_1,USER_2 durch den Namen der Nutzer oder Gruppen, für die Sie Berechtigungen zum Verwalten der Passwortrichtlinien delegieren möchten. Beispiel: myuser

Weitere Informationen zu Add-ADGroupMember

Berechtigungen zum Verwalten von Richtlinien entfernen

Wenn Sie Richtlinien nicht mehr verwalten möchten, können Sie den Nutzer aus der Gruppe Cloud Service Fine Grained Password Policy Administrators entfernen. Führen Sie den folgenden Befehl in PowerShell aus, um Nutzer aus dieser Gruppe zu entfernen.

Remove-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \
  -Members USER_1,USER_2

Ersetzen Sie USER_1,USER_2 durch den Namen der Nutzer oder Gruppen, für die Sie die Berechtigungen zum Verwalten der Passwortrichtlinien entfernen möchten. Beispiel: myuser

Weitere Informationen zu Remove-ADGroupMember

Vorkonfigurierte Passwortrichtlinie ändern

Sie können die Richtlinieneinstellungen einer FGPP ändern. Sie können festlegen, welche Richtlinieneinstellungen Sie ändern möchten, und im folgenden Befehl nur die erforderlichen Eigenschaften verwenden.

Führen Sie den folgenden Befehl in PowerShell aus, um eine vorkonfigurierte Passwortrichtlinie zu ändern.

Set-ADFineGrainedPasswordPolicy -Identity PSO -LockoutThreshold THRESHOLD -LockoutDuration DURATION_TIME \
   -LockoutObservationWindow OBSERVATION_TIME -ComplexityEnabled COMPLEXITY_BOOLEAN \
   -ReversibleEncryptionEnabled ENCRYPTION_BOOLEAN -MinPasswordLength LENGTH \
   -MaxPasswordAge PASSWORD_AGE -PasswordHistoryCount PASSWORD_COUNT

Ersetzen Sie Folgendes:

PSO: Name des PSO, für das Sie die Richtlinieneinstellungen ändern möchten. Beispiel: PSO-10.
THRESHOLD: Gibt die Anzahl der fehlgeschlagenen Anmeldeversuche an, nach denen ein Nutzer gesperrt werden muss.
DURATION_TIME: Gibt an, wie lange ein Nutzer nach der angegebenen Anzahl fehlgeschlagener Anmeldeversuche gesperrt bleiben soll.
OBSERVATION_TIME: Gibt an, wie lange ein Nutzer den Grenzwert für fehlgeschlagene Anmeldeversuche erreichen muss, damit er gesperrt wird.
COMPLEXITY_BOOLEAN: Geben Sie an, ob die Passwortkomplexität für die Passwortrichtlinie aktiviert sein muss.
ENCRYPTION_BOOLEAN: Geben Sie an, ob die Passwörter mit einer reversiblen Verschlüsselung gespeichert werden müssen.
LENGTH: Gibt die Mindestanzahl an Zeichen an, die die Passwörter haben müssen.
PASSWORD_AGE: Geben Sie an, wie lange ein Nutzer dasselbe Passwort verwenden kann. Nach Ablauf dieses Zeitraums muss der Nutzer das Passwort ändern.
PASSWORD_COUNT: Gibt die Anzahl der vorherigen Passwörter an, die im Passwortverlauf eines Nutzers gespeichert werden sollen. Ein Nutzer kann ein in seinem Passwortverlauf gespeichertes Passwort nicht wiederverwenden.

Weitere Informationen zu Set-ADFineGrainedPasswordPolicy

Nutzer oder Gruppe zu einer Passwortrichtlinie hinzufügen

Fügen Sie einer Passwortrichtlinie einen Nutzer oder eine Gruppe hinzu, um die FGPP durchzusetzen.

Führen Sie den folgenden Befehl in PowerShell aus, um eine Passwortrichtlinie auf einen Nutzer oder eine Gruppe anzuwenden.

Add-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2

Ersetzen Sie Folgendes:

PSO: Name des Objekts für Passworteinstellungen (Password Setting Object, PSO), dem Sie den Nutzer oder die Gruppe hinzufügen möchten. Beispiel: PSO-10.
USER_1,USER_2: Name der Nutzer oder Gruppen, für die Sie die FGPP erzwingen möchten. Beispiel: myuser.

Weitere Informationen zu Add-ADFineGrainedPasswordPolicySubject

Gültigkeit einer Passwortrichtlinie für einen Nutzer prüfen

Auf einen Nutzer oder eine Gruppe können mehrere Passwortrichtlinien angewendet werden. Die Richtlinie mit der niedrigsten Einstellung ist die geltende Richtlinie. Informationen zu den Vorrangeinstellungen von PSOs finden Sie unter Objekte für Passworteinstellungen.

Führen Sie den folgenden Befehl in PowerShell aus, um die für einen Nutzer geltende Richtlinie aufzurufen.

Get-ADUserResultantPasswordPolicy -Identity USER

Ersetzen Sie USER durch den Namen des Nutzers, für den Sie die angewendeten Passwortrichtlinien prüfen möchten. Beispiel: myuser.

Weitere Informationen zu Get-ADUserResultantPasswordPolicy

Nutzer oder Gruppe aus einer Passwortrichtlinie entfernen

Entfernen Sie einen Nutzer oder eine Gruppe aus einer Passwortrichtlinie, um die Erzwingung der gruppenbasierten Passwortrichtlinie zu beenden.

Führen Sie den folgenden Befehl in PowerShell aus, um einen Nutzer oder eine Gruppe aus einer Passwortrichtlinie zu entfernen.

Remove-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2

Ersetzen Sie Folgendes:

PSO: Name der PSO, aus der Sie den Nutzer oder die Gruppe entfernen möchten. Beispiel: PSO-10.
USER_1,USER_2: Name der Nutzer oder Gruppen, für die die Erzwingung der FGPP beendet werden soll. Beispiel: myuser.

Weitere Informationen zu Remove-ADFineGrainedPasswordPolicySubject

Nutzer entsperren

In Active Directory wird der Zugriff für einen Nutzer ausgesetzt oder gesperrt, wenn die Anzahl der falsch eingegebenen Passwörter die in der Passwortrichtlinie zulässige Höchstzahl überschreitet.

Führen Sie den folgenden PowerShell-Befehl aus, um einen Nutzer zu entsperren. Sie müssen Mitglied der Gruppe Cloud Service All Administrators sein.

Unlock-ADAccount -Identity USER

Ersetzen Sie USER durch den Namen des Nutzers, dessen Sperre Sie aufheben möchten. Beispiel: myuser

Weitere Informationen zu Unlock-ADAccount

Der Nutzer wird automatisch nach dem Ablauf der in der Passwortrichtlinie konfigurierten Sperrungsdauer entsperrt.