本页介绍了如何在 Managed Service for Microsoft Active Directory 中使用精细化密码政策 (FGPP)。
如需在托管式 Microsoft AD 中配置和管理 FGPP,您可以使用标准的 Active Directory 工具。如需了解如何在托管式 Microsoft AD 中使用标准 Active Directory 工具,请参阅管理 Active Directory 对象。
委派管理政策的权限
默认情况下,委派管理员账号可以管理托管式 Microsoft AD 中的政策。
如需委派管理政策的能力,您可以将用户添加到 Cloud
Service Fine Grained Password Policy Administrators 群组中。如需将用户添加到该群组,请在 PowerShell 中运行以下命令。
Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \ -Members USER_1,USER_2
将 USER_1,USER_2 替换为您要为其委托管理密码政策权限的用户或组的名称。例如 myuser。
详细了解 Add-ADGroupMember。
移除管理政策的权限
如需移除管理政策的能力,您可以将用户从 Cloud
Service Fine Grained Password Policy Administrators 群组中移除。如需从此群组中移除用户,请在 PowerShell 中运行以下命令。
Remove-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \ -Members USER_1,USER_2
将 USER_1,USER_2 替换为您要移除其管理密码政策权限的用户或组的名称。例如 myuser。
详细了解 Remove-ADGroupMember。
修改预先创建的密码政策
您可以修改 FGPP 的政策设置。您可以决定要修改哪些政策设置,并仅在以下命令中使用必需的属性。
如需修改预先创建的密码政策,请在 PowerShell 中运行以下命令。
Set-ADFineGrainedPasswordPolicy -Identity PSO -LockoutThreshold THRESHOLD -LockoutDuration DURATION_TIME \ -LockoutObservationWindow OBSERVATION_TIME -ComplexityEnabled COMPLEXITY_BOOLEAN \ -ReversibleEncryptionEnabled ENCRYPTION_BOOLEAN -MinPasswordLength LENGTH \ -MaxPasswordAge PASSWORD_AGE -PasswordHistoryCount PASSWORD_COUNT
替换以下内容:
PSO:您要修改政策设置的 PSO 的名称。例如
PSO-10。THRESHOLD:指定登录尝试失败次数,达到此次数后系统必须锁定用户。
DURATION_TIME:指定在用户登录尝试失败达到指定次数后,必须锁定用户的时长。
OBSERVATION_TIME:指定用户必须在多长时间内达到登录尝试失败次数阈值,系统才会锁定该用户。
COMPLEXITY_BOOLEAN:指定是否必须为密码政策启用密码复杂度要求。
ENCRYPTION_BOOLEAN:指定密码是否必须使用可逆加密进行存储。
LENGTH:指定密码必须包含的最少字符数。
PASSWORD_AGE:指定用户可以使用同一密码的时长。用户必须在此时间段之后更改密码。
PASSWORD_COUNT:指定要保存在用户的密码历史记录中的先前密码数量。用户无法重复使用其密码历史记录中保存的密码。
详细了解 Set-ADFineGrainedPasswordPolicy。
为一个密码政策添加用户或群组
向密码政策添加用户或群组,以强制执行 FGPP。
要将一条密码政策应用于某用户或群组,请在 PowerShell 中运行以下命令。
Add-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2
替换以下内容:
PSO:您要向其中添加用户或群组的密码设置对象 (PSO) 的名称。例如
PSO-10。USER_1,USER_2:您要强制执行 FGPP 的用户或群组的名称。例如
myuser。
详细了解 Add-ADFineGrainedPasswordPolicySubject。
检查应用于某用户的密码政策
您可以为一个用户或群组应用多个密码政策。优先级最低的政策是生效的政策。如需了解 PSO 的优先级设置,请参阅密码设置对象。
要查看对一个用户有效的政策,请在 PowerShell 中运行以下命令。
Get-ADUserResultantPasswordPolicy -Identity USER
将 USER 替换为您要检查所应用密码政策的用户的名称。例如 myuser。
详细了解 Get-ADUserResultantPasswordPolicy。
从一个密码政策中移除用户或群组
从密码政策中移除用户或群组,以停止强制执行 FGPP。
如需从密码政策中移除用户或群组,请在 PowerShell 中运行以下命令。
Remove-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2
替换以下内容:
PSO:您要从中移除用户或组的 PSO 的名称。例如
PSO-10。USER_1,USER_2:您要停止强制执行 FGPP 的用户或群组的名称。例如
myuser。
详细了解 Remove-ADFineGrainedPasswordPolicySubject。
解锁用户
当用户输入错误的密码次数超过密码政策允许的次数上限时,Active Directory 会暂停或锁定用户的访问权限。
如需解锁用户,请运行以下 PowerShell 命令。请注意,您必须是 Cloud Service All Administrators 群组的成员。
Unlock-ADAccount -Identity USER
将 USER 替换为您要解锁的用户的名称。例如 myuser。
详细了解 Unlock-ADAccount。
在达到密码政策中配置的锁定时长后,系统会自动解锁用户。