本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
支援的政策設定
AWS 受管理的 Microsoft AD 包含五個具有不可編輯優先順序值的精細原則。這些政策具有一些屬性,您可以予以設定來強制執行密碼強度,以及登入失敗時的帳戶鎖定動作。您可以將政策指派給零個或多個 Active Directory 群組。如果最終使用者是多個群組的成員並收到多個密碼政策,Active Directory 會強制執行具有最低優先順序值的政策。
AWS 預先定義的密碼
下表列出 AWS 受管理 Microsoft AD 目錄中包含的五個原則及其指派的優先順序值。如需詳細資訊,請參閱 優先順序。
| 政策名稱 | 優先順序 |
|---|---|
| CustomerPSO-01 | 10 |
| CustomerPSO-02 | 20 |
| CustomerPSO-03 | 30 |
| CustomerPSO-04 | 40 |
| CustomerPSO-05 | 50 |
密碼政策屬性
您可以編輯密碼政策中的下列屬性,以符合滿足您業務需求的合規標準。
您無法修改這些政策的優先順序值。如需有關這些設定如何影響密碼強制執行的詳細資訊,請參閱 Microsoft TechNet 網站上的 AD DS:精細密碼原則
帳戶鎖定政策
您也可以修改密碼政策的下列屬性,以指定 Active Directory 是否應該在登入失敗之後鎖定帳戶及其做法:
-
允許的失敗登入嘗試次數
-
帳戶鎖定期間
-
經過一些時間後重設失敗登入嘗試次數
如需這些原則的一般資訊,請參閱 Microsoft TechNet 網站上的帳戶鎖定原則
優先順序
具有較低優先順序值之政策的優先順序較高。您可以將密碼政策指派給 Active Directory 安全群組。雖然您應該對安全群組套用單一政策,但單一使用者可能會收到多個密碼政策。例如,假設 jsmith 是 HR 群組的成員,也是 MANAGERS 群組的成員。如果您將 CustomerPSO-05 (優先順序為 50) 指派給 HR 群組,並將 CustomerPSO-04 (優先順序為 40) 指派給 MANAGERS,CustomerPSO-04 的優先順序較高,因此 Active Directory 會將該政策套用至 jsmith。
如果您將多個政策指派給一個使用者或群組,Active Directory 會決定產生的政策如下:
-
套用您直接指派給使用者物件的政策。
-
如果未直接對使用者物件指派政策,則會套用使用者所收到之所有政策中具有較低優先順序值的政策,做為群組成員資格的結果。
如需其他詳細資訊,請參閱 Microsoft TechNet 網站上的 AD DS:精細密碼原則
