创建细粒度密码策略（分步指南）

在本指南中，您将了解如何在 Active Directory 中创建细粒度密码策略。

我将向您展示方法。

第一种方法将使用 Active Directory 管理中心控制台 (GUI)，第二种方法将使用 PowerShell。

此外，我将向您展示如何快速检查域中的密码策略。

细粒度密码策略的目的是什么？

Active Directory 配置了应用于所有用户帐户的单个密码策略，该策略在默认域策略中定义。

有时您需要一组用户拥有不同的密码策略。例如，您可能希望特权帐户（域管理员）拥有比普通用户帐户更强的密码。

通过细粒度的密码策略，您可以轻松定位特定用户或组，并为他们分配单独的密码策略。

方法 1：使用 ADAC 创建细粒度密码策略

步骤 1：安装远程服务器管理工具 (RSAT)

您可能已经安装了这个，如果没有，您将需要它。如果您使用 ADAC 控制台或 PowerShell，则需要它。

如果您需要安装步骤，请查看我的指南 -> 在 Windows 10 上安装 RSAT。

步骤 2：打开 Active Directory 管理中心

第 3 步：创建策略

请按照以下步骤创建新策略。

1. 在 ADAC 中，单击您的域。

2. 单击系统文件夹。

3. 单击密码设置容器

单击密码设置容器，然后单击新建 -> 密码设置

您现在应该位于“创建密码设置”屏幕。

现在您可以配置策略设置并将其应用到用户或组。您的密码策略设置与默认域策略中的设置相同。

在此示例中，我想为我的服务器管理员设置一个更强的密码。

我将密码策略命名为“Server-Admin-PW-Policy”，优先级为 1。

然后我将最小密码长度更改为15，并设置帐户锁定策略。

现在它只需要应用于用户或组。

单击添加。

选择用户或组。在此示例中，我将其分配给名为“Server-Admins”的组

单击“确定”

在“创建密码设置”屏幕上单击“确定”。

完毕。您已完成细粒度密码策略的创建。

方法 2：使用 PowerShell 创建细粒度密码策略

cmdlet New-ADFineGrainedPasswordPolicy 用于创建新的 Active Directory 细粒度密码策略。

在此示例中，我只是更改最小密码长度，为策略命名并指定优先级 1。

New-ADFineGrainedPasswordPolicy -name "Server-Admins-Policy" -Precedence 1 -MinPasswordLength 15

现在策略已创建，需要将其分配给用户或组。

Add-ADFineGrainedPasswordPolicySubject -Identity "Server-Admins-Policy" -Subjects "server-admins"

-identity 是策略的名称，-subject 是您希望将策略分配到的组或用户的名称。

资源

New-ADFineGrainedPasswordPolicy - 完整的命令语法

Add-ADFineGrainedPasswordPolicySubject - 完整的命令语法

如何查看细粒度密码策略

很奇怪的是，您可以在控制台中创建密码策略，但它无法提供查看策略的方法。 （如果有办法请在下面的评论中留言）。

没问题，我们可以使用 PowerShell 查看所有域密码策略。

检查细粒度密码策略

Get-ADFineGrainedPasswordPolicy -filter *

上述命令将显示所有域细粒度密码策略。

获取用户的最终密码策略

Get-ADUserResultantPasswordPolicy -Identity UserName

如果您定义了多个细粒度密码，请使用此命令。这将向您显示哪一个正在应用于用户。

获取默认域密码策略

Get-ADDefaultDomainPasswordPolicy

查看细粒度密码策略的另一个选项是使用 Active Directory 报告工具。

单击报告 -> 安全 -> 细粒度密码策略

单击运行，您将看到所有域细粒度密码策略的列表。

您可以在上面看到该工具显示我有 3 个细粒度的密码策略。 Active Directory 报告工具包括 200 多个预构建的 Active Directory 报告。

结论

在 Windows Server 2008 之前，管理多个密码策略非常困难。通过细粒度的密码策略，您可以轻松地为特定用户或组创建自定义密码策略。这是有益的，因此您可以遵守行业法规（PCI、HIPPA、SOX 等）或为部分用户（例如拥有特权的任何人）定义更强的密码。