本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
了解 AWS Managed Microsoft AD 密碼政策
AWS Managed Microsoft AD 可讓您為您在 AWS Managed Microsoft AD 網域中管理的使用者群組定義和指派不同的密碼和帳戶鎖定政策 (也稱為精細密碼政策
| 政策 | 設定 |
|---|---|
| 強制密碼歷史記錄 | 記住 24 組密碼 |
| 密碼最長使用期限 | 42 天 * |
| 密碼最短使用期限 | 1 天 |
| 密碼長度下限 | 7 個字元 |
| 密碼必須符合複雜性需求 | 已啟用 |
| 使用可還原的加密來存放密碼 | 已停用 |
注意
* 密碼使用期限上限為 42 天,其中包含 管理員密碼。
例如,您可以將較不嚴格的政策設定指派給只能存取低敏感度資訊的員工。對於定期存取機密資訊的資深經理,您可以套用更嚴格的設定。
下列資源提供有關 的詳細資訊 Microsoft Active Directory 精細的密碼政策和安全政策:
AWS 在 AWS Managed Microsoft AD 中提供一組精細的密碼政策,您可以設定和指派給您的群組。若要設定政策,您可以使用標準 Microsoft 政策工具,例如 Active Directory 管理中心
如何套用密碼政策
根據密碼是否重設或變更,套用精細密碼政策的方式有所不同。網域使用者可以變更自己的密碼。同時 Active Directory 具有必要許可的管理員或使用者可以重設使用者密碼 。如需詳細資訊,請參閱下表。
| 政策 | 密碼重設 | 密碼變更 |
|---|---|---|
| 強制密碼歷史記錄 | ||
| 密碼最長使用期限 | ||
| 密碼最短使用期限 | ||
| 密碼長度下限 | ||
| 密碼必須符合複雜性需求 |
這些差異具有安全影響。例如,每當重設使用者的密碼時,不會強制執行密碼歷史記錄和密碼使用期下限政策。如需詳細資訊,請參閱 Microsoft 文件,了解與強制執行密碼歷史記錄
支援的政策設定
AWS Managed Microsoft AD 包含五個精細政策,具有不可編輯的優先順序值。這些政策具有一些屬性,您可以予以設定來強制執行密碼強度,以及登入失敗時的帳戶鎖定動作。您可以將政策指派給零個或多個 Active Directory 群組。如果最終使用者是多個群組的成員並收到多個密碼政策,Active Directory 會強制執行具有最低優先順序值的政策。
AWS 預先定義的密碼政策
下表列出 AWS Managed Microsoft AD 目錄中包含的五個政策及其指派的優先順序值。如需詳細資訊,請參閱優先順序。
| 政策名稱 | 優先順序 |
|---|---|
| 客戶 PSO-01 | 10 |
| 客戶 PSO-02 | 20 |
| 客戶 PSO-03 | 30 |
| 客戶 PSO-04 | 40 |
| 客戶 PSO-05 | 50 |
密碼政策屬性
您可以編輯密碼政策中的下列屬性,以符合滿足您業務需求的合規標準。
您無法修改這些政策的優先順序值。如需這些設定如何影響密碼強制執行的詳細資訊,請參閱 Microsoft TechNet 網站上的 AD DS:精細密碼政策
帳戶鎖定政策
您也可以修改密碼政策的下列屬性,以指定 Active Directory 是否應該在登入失敗之後鎖定帳戶及其做法:
-
允許的失敗登入嘗試次數
-
帳戶鎖定期間
-
經過一些時間後重設失敗登入嘗試次數
如需這些政策的一般資訊,請參閱 Microsoft TechNet 網站上的帳戶鎖定政策
優先順序
具有較低優先順序值之政策的優先順序較高。您可以將密碼政策指派給 Active Directory 安全群組。雖然您應該對安全群組套用單一政策,但單一使用者可能會收到多個密碼政策。例如,假設 jsmith 是人力資源群組的成員,也是MANAGERS群組的成員。如果您將 Customer PSO-05 (其優先順序為 50) 指派給 HR 群組,並將 Customer PSO-04 (其優先順序為 40) 指派給 MANAGERS,則 Customer PSO-04 具有較高的優先順序,且 Active Directory 會將該政策套用至 jsmith。
如果您將多個政策指派給一個使用者或群組,Active Directory 會決定產生的政策如下:
-
套用您直接指派給使用者物件的政策。
-
如果未直接對使用者物件指派政策,則會套用使用者所收到之所有政策中具有較低優先順序值的政策,做為群組成員資格的結果。
如需其他詳細資訊,請參閱 Microsoft TechNet 網站上的 AD DS:精細密碼政策
相關 AWS 安全部落格文章
