Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Memahami kebijakan kata sandi Microsoft AD yang AWS Dikelola
AWS Microsoft AD yang dikelola memungkinkan Anda menentukan dan menetapkan kebijakan penguncian kata sandi dan akun yang berbeda (juga disebut sebagai [kebijakan kata sandi berbutir halus](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/introduction-to-active-directory-administrative-center-enhancements--level-100-#fine_grained_pswd_policy_mgmt)) untuk grup pengguna yang Anda kelola di domain Microsoft AD Terkelola AWS . Saat Anda membuat direktori Microsoft AD AWS Terkelola, kebijakan domain default dibuat dan diterapkan ke Direktori Aktif. Kebijakan ini mencakup pengaturan berikut:
****
| Kebijakan | Pengaturan |
| --- | --- |
| Memberlakukan riwayat kata sandi | 24 kata sandi diingat |
| Usia kata sandi maksimal | 42 hari \$1 |
| Usia kata sandi minimum | 1 hari |
| Panjang kata sandi minimum | 7 karakter |
| Kata sandi harus memenuhi persyaratan kompleksitas | Diaktifkan |
| Menyimpan kata sandi menggunakan enkripsi reversibel | Nonaktif |
**catatan**
\$1 Usia kata sandi maksimum 42 hari termasuk kata sandi admin.
Misalnya, Anda dapat menetapkan pengaturan kebijakan yang kurang ketat untuk karyawan yang memiliki akses ke informasi sensitivitas rendah saja. Untuk manajer senior yang secara teratur mengakses informasi rahasia Anda dapat menerapkan pengaturan yang lebih ketat.
Sumber daya berikut memberikan informasi lebih lanjut tentang kebijakan kata sandi dan kebijakan keamanan berbutir halus Microsoft Active Directory:
+ [Konfigurasikan setelan kebijakan keamanan](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/how-to-configure-security-policy-settings)
+ [Persyaratan kompleksitas kata sandi](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements)
+ [Pertimbangan keamanan kompleksitas kata sandi](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements#security-considerations)
AWS menyediakan serangkaian kebijakan kata sandi berbutir halus di AWS Microsoft AD Terkelola yang dapat Anda konfigurasikan dan tetapkan ke grup Anda. Untuk mengonfigurasi kebijakan, Anda dapat menggunakan alat Microsoft kebijakan standar seperti [Pusat Administrasi Direktori Aktif](https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/active-directory-administrative-center). Untuk memulai dengan alat Microsoft kebijakan, lihat[Menginstal Alat Administrasi Direktori Aktif untuk Microsoft AD yang AWS Dikelola](ms_ad_install_ad_tools.md).
## Bagaimana kebijakan kata sandi diterapkan
Ada perbedaan dalam bagaimana kebijakan kata sandi berbutir halus diterapkan tergantung pada apakah kata sandi disetel ulang atau diubah. Pengguna domain dapat mengubah kata sandi mereka sendiri. Administrator Active Directory atau pengguna dengan izin yang diperlukan dapat [mengatur ulang kata sandi pengguna](ms_ad_manage_users_groups_reset_password.md). Lihat bagan berikut untuk informasi lebih lanjut.
****
| Kebijakan | Reset Kata Sandi | Perubahan Kata Sandi |
| --- | --- | --- |
| Memberlakukan riwayat kata sandi | ![\[No\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/icon-no.png)Tidak | ![\[Yes\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/icon-yes.png)Ya |
| Usia kata sandi maksimal | ![\[Yes\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/icon-yes.png)Ya | ![\[Yes\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/icon-yes.png)Ya |
| Usia kata sandi minimum | ![\[No\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/icon-no.png)Tidak | ![\[Yes\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/icon-yes.png)Ya |
| Panjang kata sandi minimum | ![\[Yes\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/icon-yes.png)Ya | ![\[Yes\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/icon-yes.png)Ya |
| Kata sandi harus memenuhi persyaratan kompleksitas | ![\[Yes\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/icon-yes.png)Ya | ![\[Yes\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/images/icon-yes.png)Ya |
Perbedaan-perbedaan ini memiliki implikasi keamanan. Misalnya, setiap kali kata sandi pengguna disetel ulang, riwayat penegakan kata sandi dan kebijakan usia kata sandi minimum tidak diberlakukan. Untuk informasi selengkapnya, lihat dokumentasi Microsoft tentang pertimbangan keamanan yang terkait dengan [menerapkan riwayat kata sandi dan kebijakan](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/enforce-password-history#security-considerations) [usia kata sandi minimum](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/minimum-password-age#security-considerations).
## Pengaturan kebijakan yang didukung
AWS Microsoft AD yang dikelola mencakup lima kebijakan berbutir halus dengan nilai prioritas yang tidak dapat diedit. Kebijakan memiliki sejumlah properti yang dapat Anda konfigurasikan untuk memberlakukan kekuatan kata sandi, dan tindakan penguncian akun jika terjadi peristiwa kegagalan login. Anda dapat menetapkan kebijakan ke nol atau lebih grup Direktori Aktif. Jika pengguna akhir adalah anggota dari beberapa grup dan menerima lebih dari satu kebijakan kata sandi, Direktori Aktif memberlakukan kebijakan dengan nilai prioritas terendah.
### AWS kebijakan kata sandi yang telah ditentukan sebelumnya
Tabel berikut mencantumkan lima kebijakan yang disertakan dalam direktori AD Microsoft AWS Terkelola dan nilai prioritas yang ditetapkan. Untuk informasi selengkapnya, lihat [Precedence](#precedence).
****
| Nama kebijakan | Precedence |
| --- | --- |
| PelangganPSO-01 | 10 |
| PelangganPSO-02 | 20 |
| PelangganPSO-03 | 30 |
| PelangganPSO-04 | 40 |
| PelangganPSO-05 | 50 |
#### Properti kebijakan kata sandi
Anda dapat mengedit properti berikut dalam kebijakan kata sandi agar sesuai dengan standar kepatuhan yang memenuhi kebutuhan bisnis Anda.
+ Nama kebijakan
+ [Menegakkan riwayat kata sandi](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/enforce-password-history)
+ [Panjang kata sandi minimum](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/minimum-password-length)
+ [Usia kata sandi minimum](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/minimum-password-age)
+ [Usia kata sandi maksimum](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/maximum-password-age)
+ [Simpan kata sandi menggunakan enkripsi yang dapat dibalik](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/store-passwords-using-reversible-encryption)
+ [Kata sandi harus memenuhi persyaratan kompleksitas](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements)
Anda tidak dapat mengubah nilai prioritas untuk kebijakan ini. *Untuk detail selengkapnya tentang bagaimana pengaturan ini memengaruhi penegakan kata sandi, lihat [AD DS: Kebijakan kata sandi berbutir halus di situs](https://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx) web Microsoft. TechNet* Untuk informasi umum tentang kebijakan ini, lihat [Kebijakan kata sandi](https://technet.microsoft.com/en-us/library/hh994572(v=ws.11).aspx) di TechNet situs web *Microsoft*.
### Kebijakan penguncian akun
Anda juga dapat mengubah properti berikut dari kebijakan kata sandi Anda untuk menentukan apakah dan bagaimana Direktori Aktif harus mengunci akun setelah kegagalan login:
+ Jumlah upaya masuk yang gagal diizinkan
+ Durasi penguncian akun
+ Mengatur ulang upaya masuk yang gagal setelah beberapa durasi
Untuk informasi umum tentang kebijakan ini, lihat [Kebijakan penguncian akun](https://technet.microsoft.com/en-us/library/hh994563(v=ws.11).aspx) di TechNet situs web *Microsoft*.
### Precedence
Kebijakan dengan nilai prioritas yang lebih rendah memiliki prioritas yang lebih tinggi. Anda menetapkan kebijakan kata sandi untuk grup keamanan Direktori Aktif. Meskipun Anda harus menerapkan kebijakan tunggal untuk grup keamanan, satu pengguna tunggal mungkin menerima lebih dari satu kebijakan kata sandi. Sebagai contoh, misalkan `jsmith` adalah anggota dari grup HR dan juga anggota dari grup MANAJER. Jika Anda menetapkan **CustomerPSO-05** (yang memiliki prioritas 50) untuk grup HR, dan **CustomerPSO-04** (yang memiliki prioritas 40) untuk MANAJER, **CustomerPSO-04** memiliki prioritas yang lebih tinggi dan Direktori Aktif menerapkan kebijakan tersebut untuk `jsmith`.
Jika Anda menetapkan beberapa kebijakan untuk pengguna atau grup, Direktori Aktif menentukan kebijakan yang dihasilkan sebagai berikut:
1. Kebijakan yang Anda tetapkan langsung ke objek pengguna berlaku.
1. Jika tidak ada kebijakan yang diberikan langsung ke objek pengguna, kebijakan dengan nilai prioritas terendah dari semua kebijakan yang diterima oleh pengguna sebagai hasil dari keanggotaan grup berlaku.
*Untuk detail tambahan, lihat [AD DS: Kebijakan kata sandi berbutir halus](https://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx) di situs web Microsoft. TechNet*
**Topics**
+ [Bagaimana kebijakan kata sandi diterapkan](#how_password_policies_applied)
+ [Pengaturan kebijakan yang didukung](#supportedpolicysettings)
+ [Menetapkan kebijakan kata sandi ke pengguna Microsoft AD yang AWS Dikelola](assignpasswordpolicies.md)
+ [Mendelegasikan siapa yang dapat mengelola kebijakan kata sandi Microsoft AD AWS Terkelola](delegatepasswordpolicies.md)
**Artikel blog AWS Keamanan Terkait**
+ [Cara mengonfigurasi kebijakan kata sandi yang lebih kuat untuk membantu memenuhi standar keamanan Anda dengan menggunakan Directory Service untuk Microsoft AD yang AWS Dikelola](https://aws.amazon.com/blogs/security/how-to-configure-even-stronger-password-policies-to-help-meet-your-security-standards-by-using-aws-directory-service-for-microsoft-active-directory/)
# Menetapkan kebijakan kata sandi ke pengguna Microsoft AD yang AWS Dikelola
Akun pengguna yang merupakan anggota grup keamanan **Administrator Kebijakan Kata Sandi Terperinci yang Didelegasikan AWS ** dapat menggunakan prosedur berikut untuk menetapkan kebijakan untuk pengguna dan grup keamanan.
**Untuk menetapkan kebijakan kata sandi ke pengguna Anda**
1. Luncurkan [Pusat Administratif Direktori Aktif (ADAC)](https://technet.microsoft.com/en-us/library/dd560651.aspx) dari instans EC2 terkelola yang Anda gabungkan ke domain AWS Microsoft AD Terkelola.
1. Beralih ke **Tampilan pohon** dan arahkan ke **Kontainer pengaturan Sistem\$1Kata sandi**.
1. Klik dua kali pada kebijakan terperinci yang ingin Anda edit. Klik **Tambahkan** untuk mengedit properti kebijakan, dan menambahkan pengguna atau grup keamanan ke kebijakan tersebut. Untuk informasi selengkapnya tentang kebijakan terperinci default yang disediakan dengan Microsoft AD yang Dikelola AWS , lihat [AWS kebijakan kata sandi yang telah ditentukan sebelumnya](ms_ad_password_policies.md#supportedpwdpolicies).
1. Untuk memverifikasi kebijakan kata sandi telah diterapkan, jalankan PowerShell perintah berikut:
```
[Get-ADUserResultantPasswordPolicy](https://docs.microsoft.com/en-us/powershell/module/activedirectory/get-aduserresultantpasswordpolicy?view=windowsserver2022-ps) -Identity 'username'
```
**catatan**
Hindari menggunakan `net user` perintah karena hasilnya bisa tidak akurat.
Jika Anda tidak mengonfigurasi salah satu dari lima kebijakan kata sandi di direktori Microsoft AD AWS Terkelola, Active Directory menggunakan kebijakan grup domain default. Untuk detail tambahan tentang penggunaan **Kontainer pengaturan kata sandi**, lihat [Postingan blog Microsoft](https://blogs.technet.microsoft.com/canitpro/2013/05/29/step-by-step-enabling-and-using-fine-grained-password-policies-in-ad/).
# Mendelegasikan siapa yang dapat mengelola kebijakan kata sandi Microsoft AD AWS Terkelola
Anda dapat mendelegasikan izin untuk mengelola kebijakan kata sandi ke akun pengguna tertentu yang Anda buat di AWS Microsoft AD Terkelola dengan menambahkan akun ke grup keamanan Administrator **Kebijakan Kata Sandi Berbutir Halus yang AWS Delegasi**. Ketika sebuah akun menjadi anggota grup ini, akun tersebut memiliki izin untuk mengedit dan mengkonfigurasi salah satu kebijakan kata sandi yang tercantum [sebelumnya](ms_ad_password_policies.md#supportedpwdpolicies).
**Untuk mendelegasikan siapa yang dapat mengelola kebijakan kata sandi**
1. Luncurkan [Pusat Administratif Direktori Aktif (ADAC)](https://technet.microsoft.com/en-us/library/dd560651.aspx) dari instans EC2 terkelola yang Anda gabungkan ke domain AWS Microsoft AD Terkelola.
1. Beralih ke **Tampilan pohon** dan arahkan ke OU **AWS Grup yang didelegasikan**. Untuk informasi selengkapnya tentang OU ini, lihat [Apa yang dibuat dengan Microsoft AD yang AWS Dikelola](ms_ad_getting_started_what_gets_created.md).
1. Temukan pengguna grup **Administrator Kebijakan Kata Sandi Terperinci yang Didelegasikan AWS **. Menambahkan setiap pengguna atau grup dari domain Anda ke grup ini.