细粒度密码策略

摘要

使用 AWS Directory Service for Microsoft Active Directory ,我们可以为我们的域用户创建和执行自定义密码策略。AWS Managed Microsoft AD 包括五个默认密码策略,我们可以使用标准的 Microsoft 密码策略工具(如 Active Directory AdministrativeCenter (ADAC))进行编辑和应用。通过这种功能,随 AWS Managed Microsoft AD 一起提供的帐户不受默认域密码策略的限制。我们可以配置更强的密码策略,并定义在登录失败后锁定帐户的策略。有关 AD 细粒度策略的更多信息,请参见 Microsoft TechNet 上的 AD DS: 细粒度密码策略

完成本实验中的说明后,我们将:

  1. 创建新的 Active Directory 用户和组对象,并将用户设为组成员。

  2. 更改了一个预置的细粒度密码策略。

  3. 将在步骤一创建的组分配给更改后的细粒度密码策略。

  4. 验证应用的细粒度密码策略。

使用 PowerShell 创建新的 Active Directory 用户

  1. 登录 AWS Management Console 并打开 AWS Systems Manager Fleet Manager - Remote Desktop 控制台

  2. 选择 Add new session,选择名为 MAD-MGMT01 的节点,然后选择 Add

  3. 选择 User credentials,输入以下内容,然后选择 Connect

       a. 用户名: corp\Admin

       b. 密码: 在 MadAdminSecret 密钥中。

::alert[我们可以在此处获取密码密钥检索说明[/#password-secret-retrieval-instructions].]{type="info”}

  1. 右键单击 Start 并选择 Windows PowerShell (Admin)。在提升的 Windows PowerShell 窗口中运行:

::alert[我们可以使用 PowerShell (注意更新 $Password 变量为我们想要的密码)]{type="info”}

# 新用户帐户的密码。使用我们选择的密码。
$Password = 'P@ssw0rd'

# 获取域 FQDN
$FQDN = Get-ADDomain | Select-Object -ExpandProperty 'DNSRoot'

# 创建新用户
New-ADUser -GivenName 'FGPP' -Surname 'Test' -SamAccountName 'FGPP-Test-User' -UserPrincipalName "FGPP-Test-User@$FQDN" -Name 'FGPP-Test-User' -DisplayName 'FGPP-Test-User' -AccountPassword ($Password | ConvertTo-SecureString -asPlainText -Force) -Enabled $True

::alert[保持登录 MAD-MGMT01 实例,因为我们将在后续步骤中使用它.]{type="warning”}

使用 MMC 创建新的 Active Directory 用户

  1. 打开 AWS Systems Manager Fleet Manager - Remote Desktop 控制台

  2. 选择 Add new session,选择名为 MAD-MGMT01 的节点,然后选择 Add

  3. 选择 User credentials,输入以下内容,然后选择 Connect

       a. 用户名: corp\Admin

       b. 密码: 在 MadAdminSecret 密钥中。

::alert[我们可以在此处获取密码密钥检索说明[/#password-secret-retrieval-instructions].]{type="info”}

  1. 转到开始菜单,查找 Windows Administrative Tools,在那里打开 Active Directory Users and Computers 以打开 AD MMC。

  2. 浏览到预配置的 OU 中的 Users OU。

  3. 右键单击 Users OU 并选择 New User

  1. 将出现 New Object – User 窗口,添加以下内容并选择 Next

       a. 名字: FGPP

       b. 姓氏: Test

       c. 用户登录名: FGPP-Test-User

       d. 用户登录名(Windows 2000 之前): FGPP-Test-User

  1. 在 New Object – User 窗口中,添加以下内容并选择 Next:

       a. 密码: 我们想要的任何密码

       b. 确认密码: 与步骤 1 中的密码匹配

       c. 取消选中 用户必须在下次登录时更改密码

  1. 在 New Object – User 窗口中选择 Finish

::alert[保持登录 MAD-MGMT01 实例,因为我们将在后续步骤中使用它.]{type="warning”}

使用 PowerShell 创建新的 Active Directory 组

  1. 右键单击 Start 并选择 Windows PowerShell (Admin)。在提升的 Windows PowerShell 窗口中运行:
# 创建新组
New-ADGroup -Name 'FGPP-Test-Group' -SamAccountName 'FGPP-Test-Group' -GroupScope 'Global' -GroupCategory 'Security'

# 将用户添加到新组
Add-ADPrincipalGroupMembership -Identity 'FGPP-Test-User' -MemberOf 'FGPP-Test-Group','AWS Delegated Server Administrators'

::alert[保持登录 MAD-MGMT01 实例,因为我们将在后续步骤中使用它.]{type="warning”}

使用 MMC 创建新的 Active Directory 组

  1. 转到开始菜单,查找 Windows Administrative Tools,在那里打开 Active Directory Users and Computers 以打开 AD MMC。

  2. 浏览到预配置的 OU 中的 Users OU (示例)

  3. 右键单击 Users OU 并选择 New Group

  1. 将出现 New Object – Group 窗口,添加以下内容并选择 OK

       a. 组名: FGPP-Test-Group

       b. 组名(Windows 2000 之前): FGPP-Test-Group

       c. 组范围: Global

       d. 组类型: Security

::alert[保持登录 MAD-MGMT01 实例,因为我们将在后续步骤中使用它.]{type="warning”}

将 FGPP-Test-User 帐户添加到 FGPP-Test-Group 和 AWS Delegated Server Administrators 组(使用 MMC)

  1. 转到开始菜单,查找 Windows Administrative Tools,在那里打开 Active Directory Users and Computers 以打开 AD MMC。

  2. 浏览到预配置的 OU 中的 Users OU (示例)

  3. 右键单击 FGPP-Test-User 并选择 Add to group…

  4. 将出现 Select Groups 窗口,输入 FGPP-Test-Group; AWS Delegated Server Administrators,选择 OK 两次。

::alert[保持登录 MAD-MGMT01 实例,因为我们将在后续步骤中使用它.]{type="warning”}

使用 PowerShell 更改和分配组到细粒度密码策略

  1. 右键单击 Start 并选择 Windows PowerShell (Admin)。在提升的 Windows PowerShell 窗口中运行:
# 设置细粒度密码策略的属性
Set-ADFineGrainedPasswordPolicy -Identity 'CustomerPSO-01' -ComplexityEnabled $True -LockoutDuration '0:0:05:0.0' -LockoutObservationWindow '0:0:05:0.0' -LockoutThreshold '1' -MaxPasswordAge '90' -MinPasswordAge '0' -MinPasswordLength '20' -ReversibleEncryptionEnabled $false 

# 将之前创建的组添加到细粒度密码策略
Add-ADFineGrainedPasswordPolicySubject -Identity 'CustomerPSO-01' -Subjects 'FGPP-Test-Group'

# 验证应用于用户的细粒度密码策略
Get-ADUserResultantPasswordPolicy -Identity 'FGPP-Test-User'

::alert[保持登录 MAD-MGMT01 实例,因为我们将在后续步骤中使用它.]{type="warning”}

使用 MMC 更改和分配组到细粒度密码策略

  1. 转到开始菜单,查找 Windows Administrative Tools,在那里打开 <strong>Active Directory Administrative Center</strong>

  2. 在 Active Directory Administrative Center 的 navigation pane 中,选择我们的域 corp

  3. 在 Active Directory Administrative Center 的 center pane 中,展开树到 corp (local) \ System \ Password Setting Container

  4. 我们将看到 6 个密码设置对象。

::alert[名为 AWSProtectedPSO 的策略由 AWS Managed Microsoft AD 服务使用。客户没有权限访问该策略。它仅供 AWS 内部使用.]{type="info”}

  1. 在本实验中,我们将更改 CustomerPSO-01

  2. 双击 CustomerPSO-01 打开它的 Properties

  1. CustomerPSO-01 设置窗口将出现,更改:

       a. 最小密码长度(字符): 20

       b. 强制执行密码历史记录: 已选中

       c. 密码必须满足复杂性要求: 已选中

       d. 强制执行最小密码年龄: 未选中

       e. 强制执行最大密码年龄: 90

       f. 强制执行锁定策略: 已选中

       g. 允许的登录失败次数: 1

       h. 在(分钟)后重置登录失败次数: 5

       i. 帐户将被锁定 持续时间(分钟): 5

       j. 在 Directly Applies To 部分,选择 Add…              1. 将出现 Select Users and Groups 窗口,输入 FGPP-Test-Group,然后选择 OK

  1. 验证信息正确无误,然后选择 OK

  1. 右键单击 Start 并选择 Windows PowerShell (Admin)。在提升的 Windows PowerShell 窗口中运行以下命令以验证策略是否应用于我们之前创建的用户:
Get-ADUserResultantPasswordPolicy -Identity 'FGPP-Test-User'
  1. 输出应如下所示:
PS C:\Windows\system32> Get-ADUserResultantPasswordPolicy -Identity 'FGPP-Test-User'