本頁面說明如何在 Managed Service for Microsoft Active Directory 中使用精細密碼政策 (FGPP)。
如要在受管理的 Microsoft AD 中設定及管理 FGPP,您可以使用標準的 Active Directory 工具。如要瞭解如何在 Managed Microsoft AD 中使用標準 Active Directory 工具,請參閱「管理 Active Directory 物件」。
委派管理政策的權限
根據預設,委派的管理員帳戶可在受管理的 Microsoft AD 中管理政策。
如要委派政策管理權限,您可以將使用者新增至 Cloud
Service Fine Grained Password Policy Administrators 群組。如要將使用者新增至這個群組,請在 PowerShell 中執行下列指令。
Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \ -Members USER_1,USER_2
將 USER_1,USER_2 替換為您要委派密碼政策管理權限的使用者或群組名稱。例如:myuser。
進一步瞭解 Add-ADGroupMember。
移除管理政策的權限
如要移除管理政策的權限,您可以將使用者從 Cloud
Service Fine Grained Password Policy Administrators 群組中移除。如要從這個群組中移除使用者,請在 PowerShell 中執行下列指令。
Remove-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \ -Members USER_1,USER_2
將 USER_1,USER_2 替換為您要移除管理密碼政策所提供權限的使用者或群組名稱。例如:myuser。
進一步瞭解 Remove-ADGroupMember。
修改預先建立的密碼政策
您可以修改 FGPP 的政策設定。您可以自行決定要修改哪些政策設定,並在下列指令中只使用必要的屬性。
如要修改先前建立的密碼政策,請在 PowerShell 中執行下列指令。
Set-ADFineGrainedPasswordPolicy -Identity PSO -LockoutThreshold THRESHOLD -LockoutDuration DURATION_TIME \ -LockoutObservationWindow OBSERVATION_TIME -ComplexityEnabled COMPLEXITY_BOOLEAN \ -ReversibleEncryptionEnabled ENCRYPTION_BOOLEAN -MinPasswordLength LENGTH \ -MaxPasswordAge PASSWORD_AGE -PasswordHistoryCount PASSWORD_COUNT
更改下列內容:
PSO:您要修改政策設定的 PSO 名稱。例如:
PSO-10。THRESHOLD:指定使用者嘗試登入失敗次數達到指定值時,系統必須鎖定使用者的條件。
DURATION_TIME:指定使用者在登入失敗次數達到指定值後,必須鎖定多久。
OBSERVATION_TIME:指定使用者必須達到登入失敗次數門檻的時間長度,系統才會將使用者鎖定。
COMPLEXITY_BOOLEAN:指定是否必須為密碼政策啟用密碼複雜度。
ENCRYPTION_BOOLEAN:指定密碼是否必須使用可逆向的加密方式儲存。
LENGTH:指定密碼必須包含的字元數量下限。
PASSWORD_AGE:指定使用者可使用相同密碼的時間長度。使用者必須在這個時間過後變更密碼。
PASSWORD_COUNT:指定要儲存在使用者密碼記錄中的舊密碼數量。使用者無法重複使用密碼記錄中儲存的密碼。
進一步瞭解 Set-ADFineGrainedPasswordPolicy。
將使用者或群組加入密碼政策
將使用者或群組加入密碼政策,以便強制執行 FGPP。
如要將密碼政策套用至使用者或群組,請在 PowerShell 中執行下列指令。
Add-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2
更改下列內容:
PSO:您要新增使用者或群組的密碼設定物件 (PSO) 名稱。例如:
PSO-10。USER_1,USER_2:您要強制執行 FGPP 的使用者或群組名稱。例如:
myuser。
進一步瞭解 Add-ADFineGrainedPasswordPolicySubject。
檢查哪些密碼政策適用於使用者
您可以為使用者或群組套用多個密碼政策。優先順序設定最低的政策即為有效政策。如要瞭解 PSO 的優先順序設定,請參閱「密碼設定物件」。
如要查看使用者適用的有效政策,請在 PowerShell 中執行下列指令。
Get-ADUserResultantPasswordPolicy -Identity USER
將 USER 替換為您要檢查密碼政策適用對象的使用者名稱。例如:myuser。
進一步瞭解 Get-ADUserResultantPasswordPolicy。
從密碼政策中移除使用者或群組
從密碼政策中移除使用者或群組,即可停止強制執行 FGPP。
如要從密碼政策中移除使用者或群組,請在 PowerShell 中執行下列指令。
Remove-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2
更改下列內容:
PSO:您要從中移除使用者或群組的 PSO 名稱。例如:
PSO-10。USER_1,USER_2:您要停止強制執行 FGPP 的使用者或群組名稱。例如:
myuser。
進一步瞭解 Remove-ADFineGrainedPasswordPolicySubject。
解鎖使用者
當使用者輸入的錯誤密碼數量超過密碼政策允許的數量上限時,Active Directory 會暫停或鎖定使用者的存取權。
如要解鎖使用者,請執行下列 PowerShell 指令。請注意,您必須是 Cloud Service All Administrators 群組的成員。
Unlock-ADAccount -Identity USER
將 USER 替換為您要解鎖的使用者名稱。例如:myuser。
進一步瞭解 Unlock-ADAccount。
在密碼政策中設定的鎖定時間長度過後,系統會自動解除使用者的鎖定狀態。