===== Fine-grained Password Policies ===== //Fine-grained Password Policy// можно применять к пользователям или группам для того, чтобы ПЕРЕОПРЕДЕЛИТЬ параметры безопасности, заданные в //Default Domain Policy//. Данные политики можно настраивать через //Active Directory Administration Center//, либо с помощью //PowerShell//. Посмотреть все //fine-grained// политики, существующие в домене, можно так: Get-ADFineGrainedPasswordPolicy -Filter * Создать новую с заданными параметрами с помощью PS: $policyParams = @{ Name = "SomePolicy" ComplexityEnabled = $true LockoutDuration = "00:10:00" LockoutObservationWindow = "00:10:00" LockoutThreshold = "100" MaxPasswordAge = "999.00:00:00" MinPasswordAge = "1.00:00:00" MinPasswordLength = "8" PasswordHistoryCount = "24" Precedence = "50" ReversibleEncryptionEnabled = $false ProtectedFromAccidentalDeletion = $true } New-ADFineGrainedPasswordPolicy @policyParams //Precedence// в данном случае будет определять приоритет данной конкретной политики в случае совпадения с другими //fine-grained policies//. Созданные политики будут располагаться в системном контейнере, пример для созданной политики: CN=SomePolicy,CN=Password Settings Container,CN=System,DC=arasaka,DC=local Теперь можно назначать политику группе, используя её имя: Add-ADFineGrainedPasswordPolicySubject SomePolicy -Subjects SomeGroup Проверить какая политика назначена конкретному пользователю: Get-ADUserResultantPasswordPolicy -Identity SomeUser Поменять какой-либо параметр в уже созданной политике, пример: Set-ADFineGrainedPasswordPolicy SomePolicy -PasswordHistoryCount:"30" === Удаление политики === Если при создании политка была защищена от случайного удаления, потребуется прежде всего изменить данное свойство: Set-ADFineGrainedPasswordPolicy -Identity SomePolicy -ProtectedFromAccidentalDeletion $False Теперь можно удалить саму политику: Remove-ADFineGrainedPasswordPolicy SomePolicy {{tag>ActiveDirectory Microsoft PowerShell}}