修改 AWS workspace 密码策略

我们在使用AWS Workspaces 云桌面服务时需要用到托管的AD目录服务。而 AWS Managed Microsoft AD 对域级别的密码策略管理有严格限制，且 Domain Administrator 和 Enterprise Administrator 权限由 AWS 保留。但可以通过创建组策略对象 (GPO) 并链接到组织单位 (OU) 来实现密码策略管理，以满足测试需要。

本文介绍如何通过创建"Workspace Password Policy" GPO 并链接到 workspace OU，配置计算机级别的密码策略，实现对 WorkSpace 环境的密码安全管控。

1. 创建和配置 GPO

# 创建新的 GPO
New-GPO -Name "Workspace Password Policy" -Domain "workspace.local"

# 链接到 workspace OU
New-GPLink -Name "Workspace Password Policy" -Target "OU=workspace,DC=workspace,DC=local"

# 如果用户在子OU中，需要直接链接到用户所在的OU
New-GPLink -Name "Workspace Password Policy" -Target "OU=Users,OU=workspace,DC=workspace,DC=local"

2. 确认 GPO 链接状态

# 查看 GPO 链接到哪些 OU
Get-GPO -Name "Workspace Password Policy" | Get-GPOReport -ReportType Xml | Select-String "SOMPath"

# 查看 OU 上的 GPO 链接和继承
Get-GPInheritance -Target "OU=workspace,DC=workspace,DC=local"
Get-GPInheritance -Target "OU=Users,OU=workspace,DC=workspace,DC=local"

3. 编辑 GPO 策略内容

# 打开组策略管理编辑器
gpmc.msc

编辑步骤：

1. 展开 Forest: workspace.local → Domains → workspace.local
2. 展开 workspace OU
3. 右键点击 Workspace Password Policy → Edit



4. 导航到：Computer Configuration → Policies → Windows Settings → Security Settings → Account Policies → Password Policy
5. 配置密码策略（最小长度、复杂性要求等）

4. 验证 GPO 应用状态

# 检查 GPO 权限设置
Get-GPPermission -Name "Workspace Password Policy" -All

# 强制刷新组策略
gpupdate /force

# 以管理员身份检查计算机策略应用情况
runas /user:workspace\Admin powershell
gpresult /scope computer /r

# 或直接验证密码策略是否生效
net accounts

5. 验证密码策略生效

# 方法1：查看当前生效的密码策略
net accounts
# 策略生效后输出示例：
Force user logoff how long after time expires?:       Never
Minimum password age (days):                          365
Maximum password age (days):                          Unlimited
Minimum password length:                              10
Length of password history maintained:                3
Lockout threshold:                                    Never
Lockout duration (minutes):                           30
Lockout observation window (minutes):                 30
Computer role:                                        SERVER
The command completed successfully. 

# 方法2：检查GPO实际内容
Get-GPOReport -Name "Workspace Password Policy" -ReportType Xml

# 方法3：查询域密码策略
Get-ADDefaultDomainPasswordPolicy

# 方法4：查询特定用户的有效密码策略
Get-ADUserResultantPasswordPolicy -Identity your-user-name

补充说明：

• 密码策略属于计算机策略，不是用户策略，执行 gpresult /r 在用户策略部分显示 N/A 是正常的
• GPO 需要链接到用户实际所在的 OU，如果用户在子 OU 中，可能需要直接链接到该子 OU
• 策略生效可能需要时间，建议使用 gpupdate /force 强制刷新
• 验证策略是否生效的最直接方法是使用 net accounts 命令