本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 了解 AWS Managed Microsoft AD 密碼政策
AWS Managed Microsoft AD 可讓您為 AWS Managed Microsoft AD 網域中管理的使用者群組定義和指派不同的密碼和帳戶鎖定政策 (也稱為[精細密碼政策](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/introduction-to-active-directory-administrative-center-enhancements--level-100-#fine_grained_pswd_policy_mgmt))。當您建立 AWS Managed Microsoft AD 目錄時,會建立預設網域政策並套用至 Active Directory。此政策包括以下設定:
****
| 政策 | 設定 |
| --- | --- |
| 強制密碼歷史記錄 | 記住 24 組密碼 |
| 密碼最長使用期限 | 42 天 \$1 |
| 密碼最短使用期限 | 1 天 |
| 密碼長度下限 | 7 個字元 |
| 密碼必須符合複雜性需求 | 已啟用 |
| 使用可還原的加密來存放密碼 | Disabled |
**注意**
\$1 42 天密碼最長存留期包含管理員密碼。
例如,您可以將較不嚴格的政策設定指派給只能存取低敏感度資訊的員工。對於定期存取機密資訊的資深經理,您可以套用更嚴格的設定。
下列資源提供有關 Microsoft Active Directory 精細密碼政策和安全政策的詳細資訊:
+ [設定安全政策設定](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/how-to-configure-security-policy-settings)
+ [密碼複雜性要求](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements)
+ [密碼複雜性安全性考量事項](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements#security-considerations)
AWS 在 AWS Managed Microsoft AD 中提供一組精細的密碼政策,您可以設定並指派給您的群組。若要設定政策,您可以使用 [Active Directory Administrative Center](https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/active-directory-administrative-center) 等標準Microsoft政策工具。若要開始使用Microsoft政策工具,請參閱 [安裝 AWS Managed Microsoft AD 的 Active Directory 管理工具](ms_ad_install_ad_tools.md)。
## 如何套用密碼政策
根據密碼是否重設或變更,套用精細密碼政策的方式有所不同。網域使用者可以變更自己的密碼。具有必要許可的 Active Directory 管理員或使用者可以[重設使用者密碼](ms_ad_manage_users_groups_reset_password.md)。如需詳細資訊,請參閱下表。
****
| 政策 | 密碼重設 | 密碼變更 |
| --- | --- | --- |
| 強制密碼歷史記錄 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/icon-no.png) 否 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/icon-yes.png) 是 |
| 密碼最長使用期限 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/icon-yes.png) 是 |
| 密碼最短使用期限 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/icon-no.png) 否 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/icon-yes.png) 是 |
| 密碼長度下限 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/icon-yes.png) 是 |
| 密碼必須符合複雜性需求 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/icon-yes.png) 是 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/directoryservice/latest/admin-guide/images/icon-yes.png) 是 |
這些差異會對安全性產生影響。例如,每當使用者的密碼重設時,強制執行密碼歷史記錄和最低密碼存留期政策不會強制執行。如需詳細資訊,請參閱 Microsoft 文件,以了解[強制執行密碼歷史記錄](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/enforce-password-history#security-considerations)和[密碼存留期最低](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/minimum-password-age#security-considerations)政策的相關安全性考量。
## 支援的政策設定
AWS Managed Microsoft AD 包含五個具有不可編輯優先順序值的精細政策。這些政策具有一些屬性,您可以予以設定來強制執行密碼強度,以及登入失敗時的帳戶鎖定動作。您可以將政策指派給零個或多個 Active Directory 群組。如果最終使用者是多個群組的成員並收到多個密碼政策,Active Directory 會強制執行具有最低優先順序值的政策。
### AWS 預先定義的密碼政策
下表列出 AWS Managed Microsoft AD 目錄中包含的五個政策及其指派的優先順序值。如需詳細資訊,請參閱[優先順序](#precedence)。
****
| 政策名稱 | 優先順序 |
| --- | --- |
| CustomerPSO-01 | 10 |
| CustomerPSO-02 | 20 |
| CustomerPSO-03 | 30 |
| CustomerPSO-04 | 40 |
| CustomerPSO-05 | 50 |
#### 密碼政策屬性
您可以編輯密碼政策中的下列屬性,以符合滿足您業務需求的合規標準。
+ 政策名稱
+ [強制密碼歷史記錄](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/enforce-password-history)
+ [密碼長度下限](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/minimum-password-length)
+ [密碼最短使用期限](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/minimum-password-age)
+ [密碼最長使用期限](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/maximum-password-age)
+ [使用可還原的加密來存放密碼](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/store-passwords-using-reversible-encryption)
+ [密碼必須符合複雜性需求](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements)
您無法修改這些政策的優先順序值。如需這些設定如何影響密碼強制執行的詳細資訊,請參閱 [Microsoft TechNet](https://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx) 網站上的 *AD DS: Fine-grained password policies* 相關內容。如需這些政策的一般資訊,請參閱 [Microsoft TechNet](https://technet.microsoft.com/en-us/library/hh994572(v=ws.11).aspx) 網站上的*密碼政策*相關內容。
### 帳戶鎖定政策
您也可以修改密碼政策的下列屬性,以指定 Active Directory 是否應該在登入失敗之後鎖定帳戶及其做法:
+ 允許的失敗登入嘗試次數
+ 帳戶鎖定期間
+ 經過一些時間後重設失敗登入嘗試次數
如需這些政策的一般資訊,請參閱 [Microsoft TechNet](https://technet.microsoft.com/en-us/library/hh994563(v=ws.11).aspx) 網站上的*帳戶鎖定政策*相關內容。
### 優先順序
具有較低優先順序值之政策的優先順序較高。您可以將密碼政策指派給 Active Directory 安全群組。雖然您應該對安全群組套用單一政策,但單一使用者可能會收到多個密碼政策。例如,假設 `jsmith` 是 HR 群組的成員,也是 MANAGERS 群組的成員。如果您將 **CustomerPSO-05** (優先順序為 50) 指派給 HR 群組,並將 **CustomerPSO-04** (優先順序為 40) 指派給 MANAGERS,**CustomerPSO-04** 的優先順序較高,因此 Active Directory 會將該政策套用至 `jsmith`。
如果您將多個政策指派給一個使用者或群組,Active Directory 會決定產生的政策如下:
1. 套用您直接指派給使用者物件的政策。
1. 如果未直接對使用者物件指派政策,則會套用使用者所收到之所有政策中具有較低優先順序值的政策,做為群組成員資格的結果。
如需其他詳細資訊,請參閱 [Microsoft TechNet](https://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx) 網站上的 *AD DS: Fine-grained password policies* 相關內容。
**Topics**
+ [如何套用密碼政策](#how_password_policies_applied)
+ [支援的政策設定](#supportedpolicysettings)
+ [將密碼政策指派給 AWS Managed Microsoft AD 使用者](assignpasswordpolicies.md)
+ [委派誰可以管理您的 AWS Managed Microsoft AD 密碼政策](delegatepasswordpolicies.md)
**相關 AWS 安全部落格文章**
+ [如何使用 Directory Service for AWS Managed Microsoft AD 設定更強大的密碼政策,以協助滿足您的安全標準](https://aws.amazon.com/blogs/security/how-to-configure-even-stronger-password-policies-to-help-meet-your-security-standards-by-using-aws-directory-service-for-microsoft-active-directory/)
# 將密碼政策指派給 AWS Managed Microsoft AD 使用者
**AWS Delegated Fine Grained Password Policy Administrators** 安全群組成員的使用者帳戶可以使用下列程序,將政策指派給使用者和安全群組。
**將密碼政策指派給您的使用者**
1. 從您加入 Managed Microsoft AD 網域的任何受管 EC2 執行個體啟動 [Active Directory 管理中心 (ADAC)](https://technet.microsoft.com/en-us/library/dd560651.aspx)。 AWS
1. 切換至 **Tree View** (樹狀檢視),然後導覽至 **System\$1Password Settings Container** (系統\$1密碼設定容器)。
1. 按兩下您要編輯的微調政策。按一下 **Add** (新增) 編輯政策屬性,然後將使用者或安全群組新增至政策。如需 AWS Managed Microsoft AD 隨附之預設精細政策的詳細資訊,請參閱 [AWS 預先定義的密碼政策](ms_ad_password_policies.md#supportedpwdpolicies)。
1. 若要驗證已套用密碼政策,請執行下列 PowerShell 命令:
```
[Get-ADUserResultantPasswordPolicy](https://docs.microsoft.com/en-us/powershell/module/activedirectory/get-aduserresultantpasswordpolicy?view=windowsserver2022-ps) -Identity 'username'
```
**注意**
避免使用 `net user` 指令,因為其結果可能不準確。
如果您未在 AWS Managed Microsoft AD 目錄中設定五個密碼政策中的任何一個,Active Directory 會使用預設網域群組政策。如需使用 **Password Settings Container** (密碼設定容器) 的其他詳細資訊,請參閱這篇 [Microsoft 部落格文章](https://blogs.technet.microsoft.com/canitpro/2013/05/29/step-by-step-enabling-and-using-fine-grained-password-policies-in-ad/)。
# 委派誰可以管理您的 AWS Managed Microsoft AD 密碼政策
您可以將管理密碼政策的許可委派給 Managed AWS Microsoft AD 中建立的特定使用者帳戶,方法是將帳戶新增至**AWS 委派的精細分割密碼政策管理員**安全群組。當帳戶成為此群組的成員時,即具有編輯及執行[之前](ms_ad_password_policies.md#supportedpwdpolicies)所列任何密碼政策的許可。
**委派可管理密碼政策的人員**
1. 從您加入 Managed Microsoft AD 網域的任何受管 EC2 執行個體啟動 [Active Directory 管理中心 (ADAC)](https://technet.microsoft.com/en-us/library/dd560651.aspx)。 AWS
1. 切換至**樹狀檢視**,然後導覽至 **AWS 委派群組** OU。如需此 OU 的詳細資訊,請參閱「[使用 AWS Managed Microsoft AD 建立的內容](ms_ad_getting_started_what_gets_created.md)」。
1. 找到 **AWS Delegated Fine Grained Password Policy Administrators** 使用者群組。將您網域中的任何使用者或群組新增至此群組。