Sdílet prostřednictvím

Zásady uzamčení hesla a účtu ve spravovaných doménách služby Microsoft Entra Domain Services

  • Článek

Pokud chcete spravovat zabezpečení uživatelů ve službě Microsoft Entra Domain Services, můžete definovat jemně odstupňované zásady hesel, které řídí nastavení uzamčení účtu nebo minimální délku a složitost hesla. Vytvoří se výchozí jemně odstupňované zásady hesel a použijí se pro všechny uživatele ve spravované doméně Domain Services. Pokud chcete poskytovat podrobné řízení a splňovat konkrétní potřeby obchodních nebo dodržování předpisů, můžete vytvořit a použít další zásady pro konkrétní uživatele nebo skupiny.

V tomto článku se dozvíte, jak vytvořit a nakonfigurovat podrobné zásady hesel ve službě Domain Services pomocí Centra správy služby Active Directory.

Poznámka

Zásady hesel jsou dostupné jenom pro spravované domény vytvořené pomocí modelu nasazení Resource Manager.

Než začnete

K dokončení tohoto článku potřebujete následující prostředky a oprávnění:

Výchozí nastavení zásad hesel

Jemně odstupňované zásady hesel (FGPPs) umožňují použít konkrétní omezení pro zásady uzamčení hesla a účtu pro různé uživatele v doméně. Například pro zabezpečení privilegovaných účtů můžete použít přísnější nastavení uzamčení účtu než běžné neprivilegované účty. V rámci spravované domény můžete vytvořit více protokolů FGPP a určit pořadí priority, které se mají použít pro uživatele.

Další informace o zásadách hesel a používání Centra pro správu služby Active Directory najdete v následujících článcích:

Zásady se distribuují prostřednictvím přidružení skupiny ve spravované doméně a všechny provedené změny se použijí při příštím přihlášení uživatele. Změna zásady neodemkne uživatelský účet, který je už uzamčený.

Zásady hesel se chovají trochu jinak v závislosti na způsobu vytvoření uživatelského účtu, na který se vztahují. Ve službě Domain Services je možné vytvořit uživatelský účet dvěma způsoby:

  • Uživatelský účet je možné synchronizovat z ID Microsoft Entra. To zahrnuje jenom cloudové uživatelské účty vytvořené přímo v Azure a hybridní uživatelské účty synchronizované z místního prostředí AD DS pomocí Microsoft Entra Connect.
    • Většina uživatelských účtů v Domain Services je vytvořena prostřednictvím procesu synchronizace z Microsoft Entra ID.
  • Uživatelský účet je možné ručně vytvořit ve spravované doméně a v Microsoft Entra ID neexistuje.

Všichni uživatelé bez ohledu na to, jak se vytvářejí, mají ve službě Domain Services použité následující zásady uzamčení účtu:

  • doba trvání uzamčení účtu : 30
  • Počet povolených neúspěšných pokusů o přihlášení: 5
  • Obnovení počtu neúspěšných pokusů o přihlášení po: 2 minutách
  • Maximální stáří hesla (životnost): 90 dnů

U těchto výchozích nastavení se uživatelské účty zamknou po dobu 30 minut, pokud se během 2 minut použije pět neplatných hesel. Účty se po 30 minutách automaticky odemknou.

K uzamčení účtu dochází pouze ve spravované doméně. Uživatelské účty jsou ve službě Domain Services uzamčené a pouze kvůli neúspěšným pokusům o přihlášení ke spravované doméně. Uživatelské účty, které byly synchronizovány z ID Microsoft Entra nebo z místního prostředí, nejsou v jejich zdrojových adresářích uzamčeny, pouze ve službě Domain Services.

Pokud máte zásady hesel Microsoft Entra, které určují maximální stáří hesla vyšší než 90 dnů, použije se tento věk hesla na výchozí zásady ve službě Domain Services. Vlastní zásady hesel můžete nakonfigurovat tak, aby ve službě Domain Services definovaly jiný maximální věk hesla. Mějte na paměti, pokud máte v zásadách hesel pro službu Domain Services nakonfigurovanou kratší maximální dobu platnosti hesla než pro Microsoft Entra ID nebo místní prostředí AD DS. V tomto scénáři může platnost hesla uživatele vypršet ve službě Domain Services, než se zobrazí výzva ke změně v Microsoft Entra ID nebo místním prostředí služby AD DS.

U uživatelských účtů vytvořených ručně ve spravované doméně se z výchozích zásad použijí také následující další nastavení hesla. Tato nastavení se nevztahují na uživatelské účty synchronizované s ID Microsoft Entra, protože uživatel nemůže aktualizovat heslo přímo ve službě Domain Services.

  • minimální délka hesla (znaky): 7
  • Hesla musí splňovat požadavky na složitost

Ve výchozích zásadách hesel nemůžete změnit nastavení uzamčení účtu ani hesla. Místo toho můžou členové skupiny AAD DC Administrators vytvořit vlastní zásady hesel a nakonfigurovat je tak, aby přepsaly (mají přednost před) výchozí předdefinované zásady, jak je znázorněno v další části.

Vytvoření vlastních zásad hesel

Při vytváření a spouštění aplikací v Azure můžete chtít nakonfigurovat vlastní zásady hesel. Můžete například vytvořit zásadu pro nastavení různých nastavení zásad uzamčení účtu.

Vlastní zásady hesel se použijí pro skupiny ve spravované doméně. Tato konfigurace efektivně přepíše výchozí zásady.

Pokud chcete vytvořit vlastní zásady hesel, použijte nástroje pro správu služby Active Directory z virtuálního počítače připojeného k doméně. Centrum správy služby Active Directory umožňuje zobrazovat, upravovat a vytvářet prostředky ve spravované doméně, včetně organizačních jednotek.

Poznámka

Pokud chcete vytvořit vlastní zásady hesel ve spravované doméně, musíte být přihlášeni k uživatelskému účtu, který je členem skupiny AAD DC Administrators.

  1. Na obrazovce Start vyberte Nástroje pro správu. Zobrazí se seznam dostupných nástrojů pro správu, které byly nainstalovány v kurzu pro vytvoření virtuálního počítače pro správu.

  2. Pokud chcete vytvářet a spravovat organizační jednotky, v seznamu nástrojů pro správu vyberte Centrum správy služby Active Directory.

  3. V levém podokně zvolte spravovanou doménu, například aaddscontoso.com.

  4. Otevřete kontejner systému, pak kontejner pro nastavení hesla.

    Zobrazí se předdefinované zásady hesel pro spravovanou doménu. Tuto předdefinované zásady nemůžete upravit. Místo toho vytvořte vlastní zásadu hesel, která přepíše výchozí zásadu.

    Vytvoření zásad hesel v centru správy služby Active Directory

  5. V panelu Úkoly napravo vyberte Nové nastavení > hesla.

  6. V dialogovém okně Vytvořit nastavení hesel zadejte název zásady, například MyCustomFGPP.

  7. Pokud existuje více zásad hesel, použije se na uživatele zásada s nejvyšší prioritou. Čím nižší je číslo, tím vyšší je priorita. Výchozí zásady pro hesla mají prioritu 200.

    Nastavte prioritu pro vaši vlastní politiku hesel, aby se přepsala výchozí, například 1.

  8. Podle potřeby upravte další nastavení zásad hesel. Nastavení uzamčení účtu platí pro všechny uživatele, ale projeví se pouze ve spravované doméně, nikoli v samotné aplikaci Microsoft Entra.

    Vytvoření vlastních jemně odstupňovaných zásad hesel

  9. Zrušte zaškrtnutí políčka Chránit před náhodným odstraněním. Pokud je tato možnost vybraná, nemůžete FGPP uložit.

  10. V části Přímo platí pro vyberte tlačítko Přidat. V dialogovém okně Vybrat uživatele nebo skupiny vyberte tlačítko Umístění.

    Vyberte uživatele a skupiny, aby se zásady hesel použily na

  11. V dialogovém okně Umístění rozbalte název domény, například aaddscontoso.com, a pak vyberte organizační jednotku, například Uživatelé AADDC. Pokud máte vlastní organizační jednotku obsahující skupinu uživatelů, kterou chcete použít, vyberte tuto organizační jednotku.

    Vyberte organizační jednotky, které skupina patří do

  12. Zadejte jméno uživatele nebo skupiny, na které chcete zásadu použít. Vyberte Kontrola názvů a ověřte účet.

    Vyhledat a vybrat skupinu, která má použít FGPP

  13. Kliknutím na OK uložte vlastní zásady hesel.

Další kroky

Další informace o zásadách hesel a používání Centra pro správu služby Active Directory najdete v následujících článcích: