Active Directory:password policy-PSO

はじめに

このチュートリアルでは、ユーザーアカウントのActive Directoryでパスワードポリシーを定義する方法について説明します。

既定では、パスワードポリシーは、ドメイン内のすべてのコンピューターに適用されるGPO既定のドメインポリシーで定義されています。,

ユーザーによっては、セキュリティ上の理由から、Domain Adminsグループのメンバーなど、より複雑なパスワードポリシーを適用

このためには、一つ以上のユーザーグループに適用できるパスワード戦略を含むActive Directoryオブジェクトであるパスワード設定オブジェクト（PSO）を使用します。

パスワードポリシーはADACコンソールを使用して設定されます。,

各パスワードポリシーには優先順位があり、ユーザーが複数のパスワードポリシーを適用している場合、最も優先度の低いポリシーが適用されます。

このチュートリアルを説明するために、我々は二つの戦略を作成します、最初は99の優先度を持つドメインユーザーグループに適用され、第二は98の優先度を持つGrp_Users_ITグループに適用されます。,

政策(PSO)が格納されたパスワード設定コンテナ1(PSC)には: ドメイン-システム

パスワードポリシー管理に努めるものとする。ロックの口座の場合は悪いパスワードになります。

パスワードポリシーを作成します

PSCコンテナから、新規1次にパスワード設定2をクリックします。,

*でマークされたフィールドに入力して、パスワードポリシー設定を構成します。

スクリプトを適用する人に設定し、追加1をクリックします。

ユーザーグループ1を選択し、OK2をクリックします。

グループが追加されます1、OKをクリックします2戦略を作成します。

1ポリシーがコンテナに追加されます。,

第二の戦略を作成します

この部分はオプションですが、いくつかのパスワード戦略

最初の戦略と同じプロセスに従ってください、第二の戦略は、より低い優先度（98）、10の長さを有し、Grp_Users_ITグループに適用されます。,

適用するパスワード戦略の識別

ユーザーまたはグループに適用されるポリシーを識別するには、いくつかの方法があります。,

ユーザーのパスワードポリシーを識別する

ADACコンソールから、ユーザー1を右クリックし、結果のパスワード設定を表示2をクリックします。

パスワードポリシーが開きます。

グループパスワードポリシーを識別

1グループを右クリックし、プロパティ2をクリックします。,

グループにパスワードポリシーが適用される場合、パスワード設定に直接関連付けられたセクションに表示されます。

既存のパスワードポリシーをグループに割り当てる

グループのプロパティから、直接関連付けられたパスワードパラメータ1セクションに移動し、割り当て2ボタンをクリックします。,

割り当てるPSO1オブジェクトを選択し、OK2をクリックします。

ポリシーがグループに追加され、OK1をクリックして設定を保存します。

パスワードポリシーの適用をテストする

パスワードポリシーの適用をテストするには、Psoの条件を尊重しないActive Directory,

注意として、GPOによって定義される既定のポリシーは7文字であり、すべてのユーザー(ドメインユーザー)に適用されるPSOポリシーは8文字の要件で作成されました。

以下に、7文字のパスワードを持つ新しいユーザーを示します。

ユーザーの作成を検証すると、パスワードが条件に一致しないことを示すエラーメッセージが表示されます。,

PowerShellによるPSOパスワードポリシー

Les PSO peuventôtre administrées avec des Cmdlets PowerShell.

コマンドNew-ADFineGrainedPasswordPolicy戦略の作成を可能にします。

コマンドAdd-ADFineGrainedPasswordPolicySubject戦略をグループまたはユーザーにリンクすることができます。

Add-ADFineGrainedPasswordPolicySubject AdminsDuDomaine -Subjects "Admins du domaine"