修改 AWS workspace 密码策略
我们在使用AWS Workspaces 云桌面服务时需要用到托管的AD目录服务。而 AWS Managed Microsoft AD 对域级别的密码策略管理有严格限制,且 Domain Administrator 和 Enterprise Administrator 权限由 AWS 保留。但可以通过创建组策略对象 (GPO) 并链接到组织单位 (OU) 来实现密码策略管理,以满足测试需要。
本文介绍如何通过创建"Workspace Password Policy" GPO 并链接到 workspace OU,配置计算机级别的密码策略,实现对 WorkSpace 环境的密码安全管控。
1. 创建和配置 GPO
# 创建新的 GPO
New-GPO -Name "Workspace Password Policy" -Domain "workspace.local"
# 链接到 workspace OU
New-GPLink -Name "Workspace Password Policy" -Target "OU=workspace,DC=workspace,DC=local"
# 如果用户在子OU中,需要直接链接到用户所在的OU
New-GPLink -Name "Workspace Password Policy" -Target "OU=Users,OU=workspace,DC=workspace,DC=local"
2. 确认 GPO 链接状态
# 查看 GPO 链接到哪些 OU
Get-GPO -Name "Workspace Password Policy" | Get-GPOReport -ReportType Xml | Select-String "SOMPath"
# 查看 OU 上的 GPO 链接和继承
Get-GPInheritance -Target "OU=workspace,DC=workspace,DC=local"
Get-GPInheritance -Target "OU=Users,OU=workspace,DC=workspace,DC=local"
3. 编辑 GPO 策略内容
# 打开组策略管理编辑器
gpmc.msc
编辑步骤:
- 展开 Forest: workspace.local → Domains → workspace.local
- 展开 workspace OU
- 右键点击 Workspace Password Policy → Edit
- 导航到:Computer Configuration → Policies → Windows Settings → Security Settings → Account Policies → Password Policy
- 配置密码策略(最小长度、复杂性要求等)
4. 验证 GPO 应用状态
# 检查 GPO 权限设置
Get-GPPermission -Name "Workspace Password Policy" -All
# 强制刷新组策略
gpupdate /force
# 以管理员身份检查计算机策略应用情况
runas /user:workspace\Admin powershell
gpresult /scope computer /r
# 或直接验证密码策略是否生效
net accounts
5. 验证密码策略生效
# 方法1:查看当前生效的密码策略 net accounts
# 策略生效后输出示例:Force user logoff how long after time expires?: Never Minimum password age (days): 365 Maximum password age (days): Unlimited Minimum password length: 10 Length of password history maintained: 3 Lockout threshold: Never Lockout duration (minutes): 30 Lockout observation window (minutes): 30 Computer role: SERVER The command completed successfully.
# 方法2:检查GPO实际内容 Get-GPOReport -Name "Workspace Password Policy" -ReportType Xml # 方法3:查询域密码策略 Get-ADDefaultDomainPasswordPolicy # 方法4:查询特定用户的有效密码策略 Get-ADUserResultantPasswordPolicy -Identity
your-user-name
补充说明:
- 密码策略属于计算机策略,不是用户策略,执行
gpresult /r
在用户策略部分显示 N/A 是正常的 - GPO 需要链接到用户实际所在的 OU,如果用户在子 OU 中,可能需要直接链接到该子 OU
- 策略生效可能需要时间,建议使用
gpupdate /force
强制刷新 - 验证策略是否生效的最直接方法是使用
net accounts
命令