Настройка подробных политик паролей для служб домен Active Directory

Подробные политики паролей предоставляют способ определения различных политик блокировки паролей и учетных записей для различных наборов пользователей в домене. Вы можете использовать детализированные политики паролей для указания нескольких политик паролей в одном домене. Вы также можете применить различные ограничения для политик блокировки паролей и учетных записей к разным наборам пользователей в домене. Например, для учетных записей привилегированных пользователей можно установить более строгие параметры, а для остальных — менее строгие.

Более точные политики паролей применяются только к глобальным группам безопасности и объектам пользователей. По умолчанию только члены группы администраторов домена могут задавать точные политики паролей. Однако вы также можете делегировать возможность настройки этих политик другим пользователям.

Prerequisites

Прежде чем создавать детализированные политики паролей, необходимо выполнить следующие предварительные требования.

• Функциональный уровень домена должен быть Windows Server 2012 или более поздней версии.

• Вы должны быть членом группы администраторов домена.

• Необходимо установить любой из следующих средств удаленного администрирования сервера (RSAT):

  • Active Directory Administrative Center (ADAC), or Active Directory module for Windows PowerShell.

Создание детальной политики паролей

Чтобы создать новую детализированную политику паролей, выполните следующие действия.

Центр администрирования Active Directory

Ниже показано, как создать детальную политику паролей с помощью ADAC:

1. Open Active Directory Administrative Center, either from the Tools menu of the Server Manager console or by running an elevated PowerShell session and typing dsac.exe.

2. If the appropriate target domain isn't selected, choose Manage, choose Add Navigation Nodes, and select the appropriate target domain in the Add Navigation Nodes dialog box and then choose OK.

3. In the ADAC navigation pane, open the System container, and then choose Password Settings Container.

4. In the Tasks pane, choose New, and then choose Password Settings.

5. Fill in or edit fields inside the property page to create a new Password Settings object. The Name and Precedence fields are required.

6. В разделе "Непосредственно применяется к" выберите "Добавить", введите имя группы, к которой применяется детализированная политика паролей, и затем нажмите "ОК".

7. Choose OK to submit the creation.

PowerShell

Here's how to create a fine grained password policy using the New-ADFineGrainedPasswordPolicy cmdlet.

1. To open an elevated PowerShell session, right-click on the Start button, choose Windows PowerShell (Admin).

2. Чтобы создать новую детализированную политику паролей с именем PasswordPolicy, используйте следующий пример. Настройте параметры по мере необходимости и выполните команду:

   $policyParams = @{
       Name = "PasswordPolicy"
       ComplexityEnabled = $true
       LockoutDuration = "00:30:00"
       LockoutObservationWindow = "00:30:00"
       LockoutThreshold = "0"
       MaxPasswordAge = "42.00:00:00"
       MinPasswordAge = "1.00:00:00"
       MinPasswordLength = "7"
       PasswordHistoryCount = "24"
       Precedence = "1"
       ReversibleEncryptionEnabled = $false
       ProtectedFromAccidentalDeletion = $true
   }
   
   New-ADFineGrainedPasswordPolicy @policyParams
   

3. Assign the new policy to a group using the Add-ADFineGrainedPasswordPolicySubject cmdlet. Например, чтобы назначить PasswordPolicy политику group1 группе, выполните следующую команду:

   Add-ADFineGrainedPasswordPolicySubject PasswordPolicy -Subjects group1
   

Просмотр результирующего набора политик для пользователя

Чтобы просмотреть результирующая политика, которая применяется к конкретному пользователю, выполните следующие действия:

Центр администрирования Active Directory

Вот как просмотреть результирующую политику, которая применяется к конкретному пользователю с помощью ADAC:

1. Open Active Directory Administrative Center, either from the Tools menu of the Server Manager console or by running an elevated PowerShell session and typing dsac.exe.

2. If the appropriate target domain isn't selected, choose Manage, choose Add Navigation Nodes, and select the appropriate target domain in the Add Navigation Nodes dialog box and then choose OK.

3. Перейдите к пользователю, для которого вы хотите просмотреть параметры результирующей политики.

4. Выберите "Просмотреть настройки результирующего пароля" в области "Задачи".

5. Examine the password setting policy and then choose Cancel.

PowerShell

Here's how to use the Get-ADUserResultantPasswordPolicy cmdlet to view the policy that applies to a specific user.

1. To open an elevated PowerShell session, right-click on the Start button, choose Windows PowerShell (Admin).

2. Чтобы просмотреть результирующую политику, к которой применяется user1, выполните команду. Замените user1 нужным пользователем.

   Get-ADUserResultantPasswordPolicy -Identity test1
   

Изменение детальной политики паролей

Измените детализированную политику паролей, выполнив следующие действия.

Центр администрирования Active Directory

Вот как изменить детальную политику паролей с помощью ADAC:

1. Open Active Directory Administrative Center, either from the Tools menu of the Server Manager console or by running an elevated PowerShell session and typing dsac.exe.

2. If the appropriate target domain isn't selected, choose Manage, choose Add Navigation Nodes, and select the appropriate target domain in the Add Navigation Nodes dialog box and then choose OK.

3. In the ADAC Navigation Pane, expand System and then expand the Password Settings Container.

4. Select the fine grained password policy you wish to edit and choose Properties in the Tasks pane.

5. Modify the settings that you wish to change and choose OK.

PowerShell

Here's how to use the Set-ADFineGrainedPasswordPolicy cmdlet to modify an existing policy.

1. Open an elevated PowerShell session, right-click on the Start button. Выберите Windows PowerShell (администратор).

2. Чтобы изменить параметр журнала паролей PasswordPolicy политики, выполните следующую команду. Замените PasswordPolicy нужным именем политики.

   Set-ADFineGrainedPasswordPolicy PasswordPolicy -PasswordHistoryCount:"30"
   

3. Другие параметры можно изменить так же. For more information, review the Set-ADFineGrainedPasswordPolicy reference article.

Удаление детальной политики паролей

Выполните следующие действия, чтобы удалить детальную политику паролей:

Центр администрирования Active Directory

Вот как удалить тонко настроенную политику паролей с помощью ADAC:

1. Open Active Directory Administrative Center, either from the Tools menu of the Server Manager console or by running an elevated PowerShell session and typing dsac.exe.

2. If the appropriate target domain isn't selected, choose Manage, choose Add Navigation Nodes, and select the appropriate target domain in the Add Navigation Nodes dialog box and then choose OK.

3. In the ADAC Navigation Pane, expand System and then expand Password Settings Container.

4. Select the fine grained password policy you wish to remove and in the Tasks pane choose Properties.

5. Снимите флажок "Защита от случайного удаления " и нажмите кнопку "ОК".

6. Select the fine grained password policy, and in the Tasks pane choose Delete.

7. Choose OK in the confirmation dialog to delete the policy.

PowerShell

Here's how to use the Remove-ADFineGrainedPasswordPolicy cmdlet to delete a fine grained password policy.

1. Open an elevated PowerShell session by right-clicking on the Start button and choosing Windows PowerShell (Admin).

2. Удалите защиту удаления из политики, выполнив следующую команду. Замените PasswordPolicy нужным именем политики.

   Set-ADFineGrainedPasswordPolicy -Identity PasswordPolicy -ProtectedFromAccidentalDeletion $False
   

3. Чтобы удалить политику, выполните следующую команду. Замените PasswordPolicy нужным именем политики.

   Remove-ADFineGrainedPasswordPolicy PasswordPolicy