PowerShell：配置细粒度密码策略 (PSO)

自 Windows Server 2008 起，域管理员能够为每个用户和每个组配置密码策略。本文介绍如何使用 PowerShell 设置密码策略（密码设置对象）。

先决条件

确保您的域正在运行域模式 2008 或更高版本。所有域控制器必须运行 Windows Server 2008 或更高版本并且域模式必须设置为 Windows Server 2008。要检查，请打开 PowerShell 并运行

Get-ADDomain | Select-Object Domainmode

要更改域模式，请运行 Set-ADDomainMode。不用担心域名。我们从环境变量中获取名称。示例（Windows Server 2016 域模式）：

Set-ADDomainMode -Identity $env:userdnsdomain -DomainMode Windows2016Domain

介绍

默认域策略

确保您知道默认密码策略的用途，它是默认域策略的一部分：

Get-ADDefaultDomainPasswordPolicy

此策略对于所有 Active Directory 用户都是强制性的。让我们为特定用户和/或组配置新策略。

Active Directory 管理中心 (dsac.exe)

首先：当然，您可以使用图形界面配置密码策略。运行 dsac 以打开 Active Directory 管理中心。导航到系统 - 密码设置容器，然后单击新建。您可以在此处使用图形界面配置密码设置。

但本文主要讨论 PowerShell。 ? 真正的男人不会点击。

使用 PowerShell 配置细粒度密码策略

假设目标是为 HR 组的成员配置更具限制性的策略。我们希望将最小密码长度设置为 10 个字符。 （默认值：7）。为此，我们可以使用 New-ADFineGrainedPasswordpolicy cmdlet。

New-ADFineGrainedPasswordPolicy -Name "HR_length_10" -MinPasswordLength 10 -Precedence 1

请注意强制参数的优先级。如果配置了多个策略，则使用优先级最低的策略。这意味着：数字越小，优先级越高。稍后会详细介绍。

向用户或组添加细粒度密码策略

现在，之前配置的密码对象必须分配给 HR 组。

Add-ADFineGrainedPasswordPolicySubject "HR_length_10" -Subjects "HR"

检查配置

现在我们要做一些检查。

获取 ADFineGrainedPasswordPolicy

让我们看看我们配置了什么。

Get-ADFineGrainedPasswordPolicy "HR_length_10"

获取ADGroup

Get-ADGroup "HR" -properties * | Select-Object msDS-PSOApplied

看起来不错。该策略分配给 HR 组。

使用优先顺序 (msDS-ResultantPSO)

如前所述，我们可以使用优先顺序。数字越小，优先级越高。让我们为 HR 组配置另一个 PSO，并将优先级设置为 10，并将密码长度配置为 20。

New-ADFineGrainedPasswordPolicy -Name "HR_length_20" -MinPasswordLength 20 -Precedence 10

Add-ADFineGrainedPasswordPolicySubject "HR_length_20" -Subjects "HR"

现在我们已经配置了2个密码策略。两者都分配给人力资源部。

使用它们中的哪一个？请记住，佩特拉是人力资源小组的成员。我们来看看 petras 账户。最终获胜者是 …

Get-ADUserResultantPasswordPolicy petra

或者检查 msDS-ResultantPSO 属性：

数字越小，优先级越高...

要更改适用于所有用户的默认密码和锁定策略，请参阅我的博客文章 Active Directory：更改默认密码和锁定策略

享受密码策略的乐趣！