Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הגדרה של מדיניות שימוש בסיסמאות עם רמת פירוט גבוהה

בדף הזה מוסבר איך להשתמש במדיניות סיסמאות מפורטת (FGPP) בשירות המנוהל ל-Microsoft Active Directory.

כדי להגדיר ולנהל את FGPP בשירות מנוהל ל-Microsoft AD, אפשר להשתמש בכלים הרגילים של Active Directory. מידע על שימוש בכלים הרגילים של Active Directory בשירות מנוהל ל-Microsoft AD זמין במאמר ניהול אובייקטים של Active Directory.

הקצאת הרשאות לניהול מדיניות

כברירת מחדל, לחשבון האדמין עם הרשאות ניהול יש אפשרות לנהל מדיניות בשירות מנוהל ל-Microsoft AD.

כדי להעניק למשתמשים הרשאה לנהל מדיניות, אפשר להוסיף אותם לקבוצה Cloud Service Fine Grained Password Policy Administrators. כדי להוסיף משתמשים לקבוצה הזו, מריצים את הפקודה הבאה ב-PowerShell.

Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \
  -Members USER_1,USER_2

מחליפים את USER_1,USER_2 בשם המשתמש או הקבוצה שרוצים להקצות להם הרשאות לניהול מדיניות הסיסמאות. לדוגמה, myuser.

מידע נוסף על Add-ADGroupMember

הסרת הרשאות לניהול מדיניות

כדי להסיר את היכולת לנהל מדיניות, אפשר להסיר את המשתמש מהקבוצה Cloud Service Fine Grained Password Policy Administrators. כדי להסיר משתמשים מהקבוצה הזו, מריצים את הפקודה הבאה ב-PowerShell.

Remove-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' \
  -Members USER_1,USER_2

מחליפים את USER_1,USER_2 בשם המשתמש או הקבוצה שרוצים להסיר מהם את ההרשאות שניתנו לניהול מדיניות הסיסמאות. לדוגמה, myuser.

מידע נוסף על Remove-ADGroupMember

שינוי מדיניות סיסמאות שנוצרה מראש

אפשר לשנות את הגדרות המדיניות של FGPP. אתם יכולים להחליט אילו הגדרות מדיניות אתם רוצים לשנות ולהשתמש רק במאפיינים הנדרשים בפקודה הבאה.

כדי לשנות מדיניות סיסמאות שנוצרה מראש, מריצים את הפקודה הבאה ב-PowerShell.

Set-ADFineGrainedPasswordPolicy -Identity PSO -LockoutThreshold THRESHOLD -LockoutDuration DURATION_TIME \
   -LockoutObservationWindow OBSERVATION_TIME -ComplexityEnabled COMPLEXITY_BOOLEAN \
   -ReversibleEncryptionEnabled ENCRYPTION_BOOLEAN -MinPasswordLength LENGTH \
   -MaxPasswordAge PASSWORD_AGE -PasswordHistoryCount PASSWORD_COUNT

מחליפים את מה שכתוב בשדות הבאים:

‫PSO: השם של ה-PSO שעבורו רוצים לשנות את הגדרות המדיניות. לדוגמה, PSO-10.
‫THRESHOLD: מציינים את מספר ניסיונות ההתחברות הכושלים שאחריהם המשתמש יינעל.
‫DURATION_TIME: מציינים את משך הזמן שבו המשתמש יינעל אחרי מספר ניסיונות ההתחברות הכושלים שצוין.
‫OBSERVATION_TIME: מציינים את משך הזמן שבמהלכו משתמש צריך להגיע לסף של ניסיונות התחברות כושלים כדי שהמשתמש יינעל.
‫COMPLEXITY_BOOLEAN: מציינים אם צריך להפעיל את מורכבות הסיסמה במדיניות הסיסמאות.
‫ENCRYPTION_BOOLEAN: מציינים אם הסיסמאות צריכות להיות מאוחסנות באמצעות הצפנה הפיכה.
‫LENGTH: מציינים את מספר התווים המינימלי שסיסמאות צריכות לכלול.
‫PASSWORD_AGE: מציינים את משך הזמן שבו משתמש יכול להשתמש באותה סיסמה. המשתמש חייב לשנות את הסיסמה אחרי התקופה הזו.
‫PASSWORD_COUNT: מציינים כמה סיסמאות קודמות לשמור בהיסטוריית הסיסמאות של המשתמש. משתמש לא יכול להשתמש שוב בסיסמה שנשמרה בהיסטוריית הסיסמאות שלו.

מידע נוסף על Set-ADFineGrainedPasswordPolicy

הוספת משתמש או קבוצה למדיניות סיסמאות

כדי לאכוף את מדיניות הסיסמאות המפורטת, מוסיפים משתמש או קבוצה למדיניות הסיסמאות.

כדי להחיל מדיניות סיסמאות על משתמש או על קבוצה, מריצים את הפקודה הבאה ב-PowerShell.

Add-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2

מחליפים את מה שכתוב בשדות הבאים:

‫PSO: השם של אובייקט הגדרות הסיסמה (PSO) שאליו רוצים להוסיף את המשתמש או הקבוצה. לדוגמה, PSO-10.
‫USER_1,USER_2: השם של המשתמשים או הקבוצות שרוצים לאכוף לגביהם את מדיניות FGPP. לדוגמה, myuser.

מידע נוסף על Add-ADFineGrainedPasswordPolicySubject

בדיקה איזו מדיניות סיסמאות חלה על משתמש

אפשר להחיל כמה כללי מדיניות בנושא סיסמאות על משתמש או על קבוצה. המדיניות עם הגדרת הקדימות הנמוכה ביותר היא המדיניות שתהיה בתוקף. מידע על הגדרות העדיפות של אובייקטים של הגדרות סיסמה זמין במאמר אובייקטים של הגדרות סיסמה.

כדי לראות את המדיניות בפועל שחלה על משתמש, מריצים את הפקודה הבאה ב-PowerShell.

Get-ADUserResultantPasswordPolicy -Identity USER

מחליפים את USER בשם המשתמש שרוצים לבדוק לגביו את מדיניות הסיסמאות שחלה עליו. לדוגמה, myuser.

מידע נוסף על Get-ADUserResultantPasswordPolicy

הסרה של משתמש או קבוצה ממדיניות סיסמאות

כדי להפסיק את האכיפה של מדיניות FGPP, צריך להסיר משתמש או קבוצה ממדיניות הסיסמאות.

כדי להסיר משתמש או קבוצה ממדיניות סיסמאות, מריצים את הפקודה הבאה ב-PowerShell.

Remove-ADFineGrainedPasswordPolicySubject PSO -Subjects USER_1,USER_2

מחליפים את מה שכתוב בשדות הבאים:

‫PSO: השם של ה-PSO שממנו רוצים להסיר את המשתמש או הקבוצה. לדוגמה, PSO-10.
‫USER_1,USER_2: השם של המשתמשים או הקבוצות שרוצים להפסיק את האכיפה של מדיניות ההגנה על נתונים אישיים לגביהם. לדוגמה, myuser.

מידע נוסף על Remove-ADFineGrainedPasswordPolicySubject

ביטול הנעילה של משתמש

‫Active Directory משעה או נועל את הגישה של משתמש כשהמספר של הזנות סיסמה שגויות חורג מהמספר המקסימלי שמותר לפי מדיניות הסיסמאות.

כדי לבטל את הנעילה של משתמש, מריצים את פקודת PowerShell הבאה. שימו לב שאתם צריכים להיות חברים בקבוצה Cloud Service All Administrators.

Unlock-ADAccount -Identity USER

מחליפים את USER בשם המשתמש שרוצים לבטל את הנעילה שלו. לדוגמה, myuser.

מידע נוסף על Unlock-ADAccount

הנעילה של המשתמש תבוטל באופן אוטומטי אחרי משך הנעילה שהוגדר במדיניות הסיסמאות.

הגדרה של מדיניות שימוש בסיסמאות עם רמת פירוט גבוהה קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

הקצאת הרשאות לניהול מדיניות

הסרת הרשאות לניהול מדיניות

שינוי מדיניות סיסמאות שנוצרה מראש

הוספת משתמש או קבוצה למדיניות סיסמאות

בדיקה איזו מדיניות סיסמאות חלה על משתמש

הסרה של משתמש או קבוצה ממדיניות סיסמאות

ביטול הנעילה של משתמש

הגדרה של מדיניות שימוש בסיסמאות עם רמת פירוט גבוהה