En esta página, se muestra cómo usar las políticas de contraseñas detalladas (FGPP) en el servicio administrado de Microsoft Active Directory.
Para configurar y administrar la FGPP en Microsoft AD administrado, puedes usar las herramientas estándar de Active Directory. Para obtener información sobre cómo usar las herramientas estándar de Active Directory en Microsoft AD administrado, consulta Administra objetos de Active Directory.
Delega permisos para administrar políticas
De forma predeterminada, la cuenta de administrador delegado puede administrar políticas en Microsoft AD administrado.
Para delegar la capacidad de administrar políticas, puedes agregar usuarios al grupo Cloud
Service Fine Grained Password Policy Administrators. Para agregar usuarios a este grupo, ejecuta el siguiente comando en PowerShell.
Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \ -Members USER_1,USER_2
Reemplaza USER_1,USER_2 por el nombre de los usuarios o grupos para los que deseas delegar permisos para administrar las políticas de contraseñas. Por ejemplo, myuser
Obtén más información sobre Add-ADGroupMember.
Quita permisos para administrar políticas
Para quitar la capacidad de administrar políticas, puedes quitar al usuario del grupo Cloud
Service Fine Grained Password Policy Administrators. Para quitar usuarios de este grupo, ejecuta el siguiente comando en PowerShell.
Remove-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \ -Members USER_1,USER_2
Reemplaza USER_1,USER_2 por el nombre de los usuarios o grupos para los que
deseas quitar los permisos proporcionados para administrar las políticas de contraseñas. Por ejemplo, myuser.
Obtén más información sobre Remove-ADGroupMember.
Modifica una política de contraseñas creada con anterioridad
Puedes modificar la configuración de la política de una FGPP. Puedes decidir qué parámetros de configuración de la política deseas modificar y usar solo las propiedades requeridas en el siguiente comando.
Para modificar una política de contraseñas creada con anterioridad, ejecuta el siguiente comando en PowerShell.
Set-ADFineGrainedPasswordPolicy -Identity PSO -LockoutThreshold THRESHOLD -LockoutDuration DURATION_TIME \ -LockoutObservationWindow OBSERVATION_TIME -ComplexityEnabled COMPLEXITY_BOOLEAN \ -ReversibleEncryptionEnabled ENCRYPTION_BOOLEAN -MinPasswordLength LENGTH \ -MaxPasswordAge PASSWORD_AGE -PasswordHistoryCount PASSWORD_COUNT
Reemplaza lo siguiente:
PSO: Es el nombre del PSO para el que deseas modificar la configuración de la política. Por ejemplo,
PSO-10THRESHOLD: Especifica la cantidad de intentos de acceso fallidos después de los cuales se debe bloquear un usuario.
DURATION_TIME: Especifica el período durante el cual se debe bloquear un usuario después de la cantidad especificada de intentos de acceso fallidos.
OBSERVATION_TIME: Especifica el tiempo durante el cual un usuario debe alcanzar el umbral de intentos de acceso fallidos para que se bloquee.
COMPLEXITY_BOOLEAN: Especifica si la complejidad de la contraseña debe estar habilitada para la política de contraseñas.
ENCRYPTION_BOOLEAN: Especifica si las contraseñas deben almacenarse con encriptación reversible.
LENGTH: Especifica la cantidad mínima de caracteres que deben tener las contraseñas.
PASSWORD_AGE: Especifica el tiempo durante el cual un usuario puede tener la misma contraseña. Un usuario debe cambiar la contraseña después de este período.
PASSWORD_COUNT: Especifica la cantidad de contraseñas anteriores que se guardarán en el historial de contraseñas de un usuario. Un usuario no puede volver a usar una contraseña guardada en su historial de contraseñas.
Obtén más información sobre Set-ADFineGrainedPasswordPolicy.
Agrega un usuario o grupo a una política de contraseñas
Agrega un usuario o grupo a una política de contraseñas para aplicar la FGPP.
Para aplicar una política de contraseñas a un usuario o grupo, ejecuta el siguiente comando en PowerShell.
Add-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2
Reemplaza lo siguiente:
PSO: Es el nombre del objeto de configuración de contraseña (PSO) al que deseas añadir el usuario o el grupo. Por ejemplo,
PSO-10USER_1,USER_2: Es el nombre de los usuarios o grupos para los que deseas aplicar la FGPP. Por ejemplo,
myuser
Obtén más información sobre Add-ADFineGrainedPasswordPolicySubject.
Cómo verificar qué política de contraseñas se aplica a un usuario
Puedes aplicar varias políticas de contraseñas a un usuario o un grupo. La política con la configuración de prioridad más baja es la política vigente. Para obtener información sobre la configuración de prioridad de los PSO, consulta Objetos de configuración de contraseñas.
Para ver la política vigente de un usuario, ejecuta el siguiente comando en PowerShell.
Get-ADUserResultantPasswordPolicy -Identity USER
Reemplaza USER por el nombre del usuario para el que deseas verificar las políticas de contraseña aplicadas. Por ejemplo, myuser
Obtén más información sobre Get-ADUserResultantPasswordPolicy.
Quita un usuario o grupo de una política de contraseñas
Quita un usuario o grupo de una política de contraseñas para dejar de aplicar la FGPP.
Para quitar un usuario o grupo de una política de contraseñas, ejecuta el siguiente comando en PowerShell.
Remove-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2
Reemplaza lo siguiente:
PSO: Es el nombre del PSO del que deseas quitar al usuario o al grupo. Por ejemplo,
PSO-10USER_1,USER_2: Es el nombre de los usuarios o grupos para los que deseas dejar de aplicar la FGPP. Por ejemplo,
myuser
Obtén más información sobre Remove-ADFineGrainedPasswordPolicySubject.
Desbloquea a un usuario
Active Directory suspende o bloquea el acceso de un usuario cuando la cantidad de entradas de contraseñas incorrectas supera la cantidad máxima permitida por la política de contraseñas.
Para desbloquear a un usuario, ejecuta el siguiente comando de PowerShell. Ten en cuenta que debes ser miembro del
grupo Cloud Service All Administrators.
Unlock-ADAccount -Identity USER
Reemplaza USER por el nombre del usuario que deseas desbloquear. Por ejemplo, myuser.
Obtén más información sobre Unlock-ADAccount.
El usuario se desbloquea automáticamente después de la duración del bloqueo configurada en la política de contraseñas.