En esta página, se muestra cómo usar las políticas de contraseñas detalladas (FGPP) en el servicio administrado de Microsoft Active Directory.
Para configurar y administrar FGPP en Managed Microsoft AD, puedes usar el estándar desde las herramientas de Active Directory. Para obtener información sobre cómo usar la API de Para usar las herramientas de directorio en Microsoft AD administrado, consulta Administra Active Directory objetos.
Delega permisos para administrar políticas
De forma predeterminada, el administrador delegado tiene la capacidad para administrar las políticas en Microsoft AD administrado.
Para delegar la capacidad de administrar políticas, puedes agregar usuarios al grupo Cloud
Service Fine Grained Password Policy Administrators. Para agregar usuarios a este grupo, ejecuta el siguiente comando en PowerShell.
Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \ -Members USER_1,USER_2
Reemplaza USER_1,USER_2 por el nombre de los usuarios o grupos para los cuales
es preferible delegar permisos para administrar las políticas de contraseñas. Por ejemplo, myuser
Obtén más información sobre Add-ADGroupMember.
Quita los permisos para administrar las políticas
Para quitar la capacidad de administrar políticas, puedes quitar al usuario del grupo Cloud
Service Fine Grained Password Policy Administrators. Para quitar usuarios de
este grupo, ejecuta el siguiente comando en PowerShell.
Remove-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \ -Members USER_1,USER_2
Reemplaza USER_1,USER_2 por el nombre de los usuarios o grupos para los cuales
quieres quitar los permisos proporcionados para administrar las políticas de contraseñas. Por ejemplo, myuser.
Obtén más información sobre Remove-ADGroupMember.
Modifica una política de contraseñas creada con anterioridad
Puedes modificar la política configuración de un FGPP. Puedes decidir qué configuración de política deseas modificar y utilizar solo la las propiedades requeridas en el siguiente comando.
Para modificar una política de contraseñas creada previamente, ejecuta el siguiente comando en PowerShell
Set-ADFineGrainedPasswordPolicy -Identity PSO -LockoutThreshold THRESHOLD -LockoutDuration DURATION_TIME \ -LockoutObservationWindow OBSERVATION_TIME -ComplexityEnabled COMPLEXITY_BOOLEAN \ -ReversibleEncryptionEnabled ENCRYPTION_BOOLEAN -MinPasswordLength LENGTH \ -MaxPasswordAge PASSWORD_AGE -PasswordHistoryCount PASSWORD_COUNT
Reemplaza lo siguiente:
PSO: nombre de la PSO para la que deseas modificar la política configuración. Por ejemplo,
PSO-10THRESHOLD: Especifica la cantidad de intentos de acceso fallidos después de en las que debe bloquearse un usuario.
DURATION_TIME: Especifica el período durante el cual un usuario debe bloquearse luego de la cantidad especificada de intentos de acceso fallidos.
OBSERVATION_TIME: Especifica el período durante el cual un usuario. debe alcanzar el umbral de intentos de acceso fallidos para bloquear al usuario.
COMPLEXITY_BOOLEAN: Especifica si la complejidad de la contraseña debe habilitado para la política de contraseñas.
ENCRYPTION_BOOLEAN: Especifica si las contraseñas deben almacenarse con encriptación reversible.
LENGTH: Especifica la cantidad mínima de caracteres que debe tener la que deben tener las contraseñas.
PASSWORD_AGE: Especifica el tiempo que un usuario puede tener la con la misma contraseña. El usuario debe cambiar la contraseña después de este período.
PASSWORD_COUNT: Especifica la cantidad de contraseñas anteriores que se guardarán. en el historial de contraseñas de un usuario. Un usuario no puede reutilizar una contraseña guardada en su el historial de contraseñas.
Obtén más información sobre Set-ADFineGrainedPasswordPolicy.
Agrega un usuario o grupo a una política de contraseñas
Agrega un usuario o grupo a una política de contraseñas para aplicar el FGPP.
Para aplicar una política de contraseñas a un usuario o grupo, ejecuta el siguiente comando en PowerShell.
Add-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2
Reemplaza lo siguiente:
PSO: Es el nombre del objeto de configuración de contraseñas (PSO) que deseas. para agregar al usuario o grupo. Por ejemplo,
PSO-10USER_1,USER_2: El nombre de los usuarios o grupos para los que deseas realizar la acción. aplicar el FGPP. Por ejemplo,
myuser
Obtén más información sobre Add-ADFineGrainedPasswordPolicySubject.
Verifica qué política de contraseñas se aplica a un usuario
Puedes aplicar varias políticas de contraseñas a un usuario o grupo. La política con la configuración de prioridad más baja es la política vigente. Para obtener información sobre el de prioridad de los PSO; consulta Configuración de contraseñas objetos.
Para ver la política vigente de un usuario, ejecuta el siguiente comando en PowerShell.
Get-ADUserResultantPasswordPolicy -Identity USER
Reemplaza USER por el nombre del usuario que deseas verificar.
las políticas de contraseñas aplicadas. Por ejemplo, myuser
Obtén más información sobre Get-ADUserResultantPasswordPolicy.
Cómo quitar un usuario o grupo de una política de contraseñas
Quita un usuario o grupo de una política de contraseñas para dejar de aplicar la FGPP.
Para quitar un usuario o grupo de una política de contraseñas, ejecuta el siguiente comando en PowerShell.
Remove-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2
Reemplaza lo siguiente:
PSO: Es el nombre del PSO del que deseas quitar al usuario o al grupo. Por ejemplo,
PSO-10USER_1,USER_2: El nombre de los usuarios o grupos para los que deseas realizar la acción. dejar de aplicar el FGPP. Por ejemplo,
myuser
Obtén más información sobre Remove-ADFineGrainedPasswordPolicySubject.
Desbloquea a un usuario
Active Directory suspende o bloquea el acceso de un usuario cuando la cantidad de Las entradas incorrectas de contraseña superan la cantidad máxima permitida por la política de contraseñas.
Para desbloquear un usuario, ejecuta el siguiente comando de PowerShell. Ten en cuenta que debes ser un
miembro del grupo Cloud Service All Administrators.
Unlock-ADAccount -Identity USER
Reemplaza USER por el nombre del usuario que deseas desbloquear. Por ejemplo, myuser.
Obtén más información sobre Unlock-ADAccount.
El usuario se desbloquea automáticamente después de que duración del bloqueo configurados en la política de contraseñas.