Configurar políticas de senha refinadas para os Serviços de Domínio do Active Directory

As políticas de senha refinadas fornecem uma maneira de definir diferentes políticas de bloqueio de senha e conta para diferentes conjuntos de usuários em um domínio. Você pode usar políticas de senha refinadas para especificar várias políticas de senha em um único domínio. Também é possível aplicar restrições diferentes para políticas de bloqueio de senha e conta para diferentes conjuntos de usuários em um domínio. Por exemplo, você pode aplicar configurações mais estritas a contas privilegiadas e configurações menos estritas às contas de outros usuários.

As políticas de senha refinadas se aplicam somente para grupos de segurança globais e objetos de usuário. Por padrão, apenas membros do grupo Administradores de Domínio podem definir políticas de senha refinada. Entretanto, também é possível delegar a capacidade de definir essas políticas a outros usuários.

Pré-requisitos

Antes de criar políticas de senha refinadas, você precisa concluir os pré-requisitos a seguir.

• O nível funcional do domínio deve ser o Windows Server 2012 ou superior.

• Você deve ser um membro do grupo Administradores de Domínio.

• Você deve ter uma das seguintes Ferramentas de Administração de Servidor Remoto (RSAT) instaladas:

  • ADAC (Centro Administrativo do Active Directory) ou módulo do Active Directory para Windows PowerShell.

Criar uma política de senha refinada personalizada

Para criar uma nova política de senha refinada, execute as seguintes etapas:

Centro Administrativo do Active Directory

Veja como criar uma política de senha refinada usando o ADAC:

1. Abra o Centro Administrativo do Active Directory, no menu Ferramentas do console do Gerenciador do Servidor ou execute uma sessão do PowerShell com privilégios elevados e digite dsac.exe.

2. Se o domínio de destino apropriado não estiver selecionado, escolha Gerenciar, escolha Adicionar Nós de Navegação e selecione o domínio de destino apropriado na caixa de diálogo Adicionar Nós de Navegação e escolha OK.

3. No painel de navegação do ADAC, abra o contêiner System e depois escolha Contêiner de Configuração de Senha.

4. No painel Tarefas clique em Novo e depois escolha Configurações de Senha.

5. Preencha ou edite campos da página de propriedades para criar um objeto Configurações de Senha. Os campos Nome e Precedência são obrigatórios.

6. Em Aplica-se Diretamente a, escolha Adicionar, digite o nome do grupo da política de senha refinada e escolha OK.

7. Escolha OK para enviar a criação.

PowerShell

Veja como criar uma política de senha refinada usando o New-ADFineGrainedPasswordPolicy cmdlet.

1. Para abrir uma sessão do PowerShell com privilégios elevados, clique com o botão direito do mouse no botão Iniciar e escolha Windows PowerShell (Admin).

2. Para criar uma nova política de senha refinada chamada PasswordPolicy, use o exemplo a seguir. Ajuste as configurações conforme necessário e execute este comando:

   $policyParams = @{
       Name = "PasswordPolicy"
       ComplexityEnabled = $true
       LockoutDuration = "00:30:00"
       LockoutObservationWindow = "00:30:00"
       LockoutThreshold = "0"
       MaxPasswordAge = "42.00:00:00"
       MinPasswordAge = "1.00:00:00"
       MinPasswordLength = "7"
       PasswordHistoryCount = "24"
       Precedence = "1"
       ReversibleEncryptionEnabled = $false
       ProtectedFromAccidentalDeletion = $true
   }
   
   New-ADFineGrainedPasswordPolicy @policyParams
   

3. Atribua a nova política a um grupo usando o Add-ADFineGrainedPasswordPolicySubject cmdlet. Por exemplo, para atribuir a PasswordPolicy política ao group1 grupo, execute o seguinte comando:

   Add-ADFineGrainedPasswordPolicySubject PasswordPolicy -Subjects group1
   

Exibir um conjunto de políticas resultantes de um usuário

Para exibir a política resultante que se aplica a um usuário específico, execute as seguintes etapas:

Centro Administrativo do Active Directory

Veja como exibir a política resultante que se aplica a um usuário específico usando o ADAC:

1. Abra o Centro Administrativo do Active Directory, no menu Ferramentas do console do Gerenciador do Servidor ou execute uma sessão do PowerShell com privilégios elevados e digite dsac.exe.

2. Se o domínio de destino apropriado não estiver selecionado, escolha Gerenciar, escolha Adicionar Nós de Navegação e selecione o domínio de destino apropriado na caixa de diálogo Adicionar Nós de Navegação e escolha OK.

3. Navegue até o usuário para o qual você deseja exibir as configurações de política resultantes.

4. Escolha Exibir Configurações de Senha Resultantes no painel Tarefas.

5. Examine a política de configuração de senha e escolha Cancelar.

PowerShell

Veja como usar o Get-ADUserResultantPasswordPolicy cmdlet para exibir a política que se aplica a um usuário específico.

1. Para abrir uma sessão do PowerShell com privilégios elevados, clique com o botão direito do mouse no botão Iniciar e escolha Windows PowerShell (Admin).

2. Para exibir a política resultante que se aplica ao user1, execute o comando. Substitua user1 pelo usuário desejado.

   Get-ADUserResultantPasswordPolicy -Identity test1
   

Editar uma política de senha refinada

Edite uma política de senha refinada usando as seguintes etapas:

Centro Administrativo do Active Directory

Veja como editar uma política de senha refinada usando o ADAC:

1. Abra o Centro Administrativo do Active Directory, no menu Ferramentas do console do Gerenciador do Servidor ou execute uma sessão do PowerShell com privilégios elevados e digite dsac.exe.

2. Se o domínio de destino apropriado não estiver selecionado, escolha Gerenciar, escolha Adicionar Nós de Navegação e selecione o domínio de destino apropriado na caixa de diálogo Adicionar Nós de Navegação e escolha OK.

3. No Painel de Navegação do ADAC, expanda Sistema e depois expando o Contêiner de Configuração de Senha.

4. Selecione a política de senha refinada que você deseja editar e escolha Propriedades no painel Tarefas.

5. Modifique as configurações que você deseja alterar e escolha OK.

PowerShell

Veja como usar o Set-ADFineGrainedPasswordPolicy cmdlet para modificar uma política existente.

1. Abra uma sessão do PowerShell com privilégios elevados, clique com o botão direito do mouse no botão Iniciar . Escolha o Windows PowerShell (Administrador).

2. Para alterar a configuração do histórico de senhas da política PasswordPolicy, execute o comando a seguir. Substitua PasswordPolicy pelo nome da política desejado.

   Set-ADFineGrainedPasswordPolicy PasswordPolicy -PasswordHistoryCount:"30"
   

3. Você pode alterar outras configurações da mesma maneira. Para obter mais informações, examine o artigo de referência Set-ADFineGrainedPasswordPolicy.

Excluir uma política de senha refinada

Execute as etapas a seguir para excluir uma política de senha refinada:

Centro Administrativo do Active Directory

Veja como excluir uma política de senha refinada usando o ADAC:

1. Abra o Centro Administrativo do Active Directory, no menu Ferramentas do console do Gerenciador do Servidor ou execute uma sessão do PowerShell com privilégios elevados e digite dsac.exe.

2. Se o domínio de destino apropriado não estiver selecionado, escolha Gerenciar, escolha Adicionar Nós de Navegação e selecione o domínio de destino apropriado na caixa de diálogo Adicionar Nós de Navegação e escolha OK.

3. No Painel de Navegação do ADAC, expanda Sistema e depois expanda Contêiner de Configurações de Senha.

4. Selecione a política de senha refinada que você deseja remover e no painel Tarefas escolha Propriedades.

5. Limpe a caixa de seleção Proteger contra exclusão acidental e escolha OK.

6. Selecione a política de senha refinada e, no painel Tarefas, clique em Excluir.

7. Escolha OK na caixa de diálogo de confirmação para excluir a política.

PowerShell

Veja como usar o Remove-ADFineGrainedPasswordPolicy cmdlet para excluir uma política de senha refinada.

1. Abra uma sessão de privilégio elevado do PowerShell clicando com o botão direito do mouse no botão Iniciar e escolha Windows PowerShell (Admin).

2. Remova a proteção contra exclusão da política executando o comando a seguir. Substitua PasswordPolicy pelo nome da política desejado.

   Set-ADFineGrainedPasswordPolicy -Identity PasswordPolicy -ProtectedFromAccidentalDeletion $False
   

3. Para remover a política, execute o seguinte comando. Substitua PasswordPolicy pelo nome da política desejado.

   Remove-ADFineGrainedPasswordPolicy PasswordPolicy