Powershell-Cmdlets

Alle mit den Specops Password Policy-Verwaltungstools möglichen Vorgänge können auch über Windows PowerShell ausgeführt werden.

HINWEIS
Um Cmdlets ausführen zu können, muss Windows Powershell 5.1 auf dem Server installiert sein, auf dem die Verwaltungstools ausgeführt werden.

Erste Schritte

Specops Password Policy enthält folgende Windows PowerShell Cmdlets. Sie werden als PowerShell-Modul mit den Specops Password Policy-Verwaltungstools installiert. Möglicherweise müssen Sie nach der Installation der Verwaltungstools ein neues PowerShell-Fenster starten, damit die Cmdlets verfügbar werden.

Cmdlets-Verwaltung

Eine Liste aller Specops Password Policy-Verwaltungs-Cmdlets aus Powershell erhalten Sie mit dem folgenden Befehl:

Kopieren 
Get-Command –Module Specops.SpecopsPasswordPolicy

Ein Specops Password Policy-GPO erstellen

Sie können eine Kennwortrichtlinie so konfigurieren, dass sie klassische Kennwortregeln verwendet.

Kopieren 
$policy = New-PasswordPolicy
$policy.MinimumLength = 8
$policy.Digit = 1
Set-PasswordPolicy -GpoName SPP -Policy $policy
HINWEIS
GPO ID kann auch anstelle des GPO-Namens verwendet werden. Ersetzen Sie in diesem Fall das -GpoName-Argument durch -GpoId.

Passphrase

Sie können eine Kennwortrichtlinie zur Verwendung von Passphrasen konfigurieren.

Kopieren 
$policy = New-PasswordPolicy
$policy.PhrasesMinimumLength = 25
$policy.PasswordPolicyType = "Passphrase"
Set-PasswordPolicy -GpoName SPP -Policy $policy

Sowohl Kennwortregeln als auch Passphrasen

Sie können eine Kennwortrichtlinie so konfigurieren, dass sowohl klassische Kennwortregeln als auch Passphrasen verwendet werden.

Kopieren 
$policy = New-PasswordPolicy<br />
$policy.PasswordPolicyType = "Both"<br />
$policy.PhrasesMinimumLength = 25<br />
$policy.PhraseRegexDigit = $true<br />
$policy.MinimumLength = 8<br />
$policy.Digit = 1<br />
$policy.Upper = 1<br />  
Set-PasswordPolicy -GpoName SPP -Policy $policy

Ein Specops Password Policy-GPO entfernen

Sie können eine Kennwortrichtlinie so konfigurieren, dass sie klassische Kennwortregeln verwendet.

Kopieren 
$policy = New-PasswordPolicy
                $policy.MinimumLength = 8
                $policy.Digit = 1
            Remove-PasswordPolicy -GpoName SPP $policy
HINWEIS
GPO ID kann auch anstelle des GPO-Namens verwendet werden. Ersetzen Sie in diesem Fall das -GpoName-Argument durch -GpoId.

Auflösen des Specops Password Policy-GPO eines Benutzers

Das Specops Password Policy-GPO eines Benutzers kann aufgelöst werden. Wenn der Benutzer nicht von der Specops Password Policy betroffen ist, wird nichts zurückgegeben.

Beispiel 1: Auflösen der Richtlinie mit userPrincipalName

Kopieren 
Get-PasswordPolicyAffectingUser 'John.Doe@acme.org' | Format-List

Beispiel-Ausgabe:

Kopieren 
PS C:\Scripts> Get-PasswordPolicyAffectingUser 'John.Doe@acme.org' | Format-List

GpoId : 31862cba-7bd9-4150-80cf-2ab23a896a41
GpoName: Specops Password Policy - Hohe Privilegien Kennwortrichtlinie: Specopssoft.SpecopsPasswordPolicy.AdministrationApi.PasswordPolicy

Beispiel 2: Auflösen der Richtlinie mit sAMAccountName

Kopieren 
Get-PasswordPolicyAffectingUser John | Format-List

Beispiel-Ausgabe:

Kopieren 
PS C:\Scripts> Get-PasswordPolicyAffectingUser John | Format-List

GpoId : 31862cba-7bd9-4150-80cf-2ab23a896a41
GpoName: Specops Password Policy - Hohe Privilegien Kennwortrichtlinie: Specopssoft.SpecopsPasswordPolicy.AdministrationApi.PasswordPolicy

Erzwingen des Durchsuchens nach geleakten Kennwörtern (nur für Breached Password Protection Express-Kunden)

Das Scannen nach geleakten Kennwörtern durch den Specops Password Policy-Sentinel erfolgt jede Nacht auf dem PDC-Emulator, wenn die Breached Password Protection Express-Liste aktualisiert wurde. Wenn sie nicht aktualisiert wurde, ist diese Überprüfung nicht erforderlich. Die Überprüfung kann über das Verwaltungstool oder das Cmdlet Start-PasswordPolicyLeakedPasswordScanning erzwungen werden.

Beispiel: Nächtliche Zählung erzwingen - muss auf dem PDC-Emulator von erhöhten PowerShell-Fenstern aus aufgerufen werden

Kopieren 
Start-PasswordPolicyLeakedPasswordScanning -Verbose

Beispiel-Ausgabe (erfolgreich):

Kopieren 
PS C:\Scripts> Start-PasswordPolicyLeakedPasswordScanning -Verbose<br />
VERBOSE: Die Benutzerzählung wurde erfolgreich gestartet.

Beispiel-Ausgabe (PowerShell wurde nicht mit "Als Administrator ausführen" gestartet):

Kopieren 
PS C:\Users\admin> Start-PasswordPolicyLeakedPasswordScanning -Verbose<br />
VERBOSE: Die Benutzerzählung konnte nicht gestartet werden (FailedToStartUserCountingAccessDeniedToNamedEventException).

Beispiel-Ausgabe (nicht auf dem PDC-Emulator):

Kopieren 
# Start-PasswordPolicyLeakedPasswordScanning -Verbose<br />
VERBOSE: Die Benutzerzählung konnte nicht gestartet werden (FailedToStartUserCountingNotPdcEmulatorException).

Specops Breached Password Protection Express Cmdlets

Abrufen des Status von Breached Password Protection Express (Get-SppBppExpressList)

Dieses cmdlet erfasst den Status der Breached Password Protection Express-Liste, um festzustellen, ob online ein Update zur Verfügung steht. Optional kann die Integrität der heruntergeladenen Express-Listen validiert werden. Bei der Validierung der Integrität werden Hashes aller Express-Listendateien in sysvol mit ihrem erwarteten Hash aus der Metadatendatei abgeglichen.

Kopieren 
Get-PasswordPolicyBppExpressList [[-DomainName] <string>][-VerifyFileIntegrity]

Aktualisierung der Breached Password Protection Express-Liste (Update-SppBppExpressList)

Dieses cmdlet aktualisiert die Breached Password Protection Express-Liste, wenn online ein Update zur Verfügung steht.

Kopieren 
Update-PasswordPolicyBppExpressList [-DomainName <string>] [-Force <SwitchParameter>] [-TempFolder <string>]