Powershell-Cmdlets

Alle Operationen, die mit den Verwaltungstools von Specops Password Policy durchgeführt werden können, können auch über Windows PowerShell ausgeführt werden.

Hinweis

Um Cmdlets auszuführen, muss Windows Powershell 5.1 auf dem Server installiert sein, der die Verwaltungstools ausführt.

Erste Schritte

Specops Password Policy enthält die folgenden Windows PowerShell-Cmdlets. Sie werden als PowerShell-Modul mit den Specops Password Policy Admin Tools installiert. Möglicherweise müssen Sie ein neues PowerShell-Fenster starten, nachdem Sie die Admin-Tools installiert haben, damit die Cmdlets verfügbar sind.

Verwaltungscmdlets

Für eine Liste aller Verwaltungscmdlets von Specops Password Policy aus Powershell verwenden Sie den folgenden Befehl:

Get-Command -Module Specops.SpecopsPasswordPolicy

Erstellen eines Specops Password Policy GPO

Sie können eine Passwort-Richtlinie konfigurieren, um klassische Passwortregeln zu verwenden.

$policy = New-PasswordPolicy
$policy.MinimumLength = 8
$policy.Digit = 1
Set-PasswordPolicy -GpoName SPP -Policy $policy

Hinweis

GPO-ID kann auch anstelle des GPO-Namens verwendet werden. In diesem Fall ersetzen Sie das Argument -GpoName durch -GpoId.

Passphrase

Sie können eine Passwort-Richtlinie konfigurieren, um Passphrasen zu verwenden.

$policy = New-PasswordPolicy
$policy.PhrasesMinimumLength = 25
$policy.PasswordPolicyType = "Passphrase"
Set-PasswordPolicy -GpoName SPP -Policy $policy

Sowohl Passwortregeln als auch Passphrase

Sie können eine Passwort-Richtlinie konfigurieren, um sowohl klassische Passwortregeln als auch Passphrasen zu verwenden.

$policy = New-PasswordPolicy
$policy.PasswordPolicyType = "Both"
$policy.PhrasesMinimumLength = 25
$policy.PhraseRegexDigit = $true
$policy.MinimumLength = 8
$policy.Digit = 1
$policy.Upper = 1
Set-PasswordPolicy -GpoName SPP -Policy $policy

Entfernen eines Specops Password Policy GPO

Sie können eine Passwort-Richtlinie konfigurieren, um klassische Passwortregeln zu verwenden.

$policy = New-PasswordPolicy
$policy.MinimumLength = 8
$policy.Digit = 1
Remove-PasswordPolicy -GpoName SPP $policy

Hinweis

GPO-ID kann auch anstelle des GPO-Namens verwendet werden. In diesem Fall ersetzen Sie das Argument -GpoName durch -GpoId.

Auflösen der Specops Password Policy GPO eines Benutzers

Die Specops Password Policy GPO eines Benutzers kann aufgelöst werden. Wenn der Benutzer nicht von Specops Password Policy betroffen ist, wird nichts zurückgegeben.

Beispiel 1: Richtlinie mit userPrincipalName auflösen

Get-PasswordPolicyAffectingUser 'John.Doe@acme.org' | Format-List

Beispielausgabe

PS C:\Scripts> Get-PasswordPolicyAffectingUser 'John.Doe@acme.org' | Format-List

GpoId : 31862cba-7bd9-4150-80cf-2ab23a896a41
GpoName : Specops Password Policy - High Privilege
PasswordPolicy : Specopssoft.SpecopsPasswordPolicy.AdministrationApi.PasswordPolicy

Beispiel 2: Richtlinie mit sAMAccountName auflösen

Get-PasswordPolicyAffectingUser John | Format-List

Beispielausgabe

PS C:\Scripts> Get-PasswordPolicyAffectingUser John | Format-List

GpoId : 31862cba-7bd9-4150-80cf-2ab23a896a41
GpoName : Specops Password Policy - High Privilege
PasswordPolicy : Specopssoft.SpecopsPasswordPolicy.AdministrationApi.PasswordPolicy

Durchsetzung der Überprüfung auf geleakte Passwörter

Die Überprüfung auf geleakte Passwörter wird standardmäßig jede Nacht von Specops Password Policy Sentinel auf dem PDC-Emulator ausgeführt, wenn die Liste des Schutzes vor geleakten Passwörtern aktualisiert wurde. Wenn keine Aktualisierung erfolgt ist, ist keine Überprüfung erforderlich. Die Überprüfung kann über das Admin-Tool oder mit dem Cmdlet Start-PasswordPolicyPeriodicScanning erzwungen werden. Bei Verwendung des Cmdlets verwenden Sie die Parameter -BreachedPasswordProtectionExpress für das Ausführen des Express-Scans und -BreachedPasswordProtectionComplete für das Ausführen des vollständigen Scans.

Beispiel: Nächtliche Zählung erzwingen

Start-PasswordPolicyPeriodicScanning -BreachedPasswordProtectionExpress -Verbose

Beispielausgabe (erfolgreich)

PS C:\Scripts> Start-PasswordPolicyPeriodicScanning -BreachedPasswordProtectionExpress -Verbose

VERBOSE: Benutzerzählung erfolgreich gestartet.

Specops Breached Password Protection Express Cmdlets

Status der Breached Password Protection Express abrufen (Get-SppBppExpressList)

Dieses Cmdlet ruft den Status der Breached Password Protection Express-Liste ab, um festzustellen, ob ein Update online verfügbar ist. Optional kann die Integrität der heruntergeladenen Express-Liste validiert werden. Die Integritätsvalidierung vergleicht die Hashes aller Express-Listen-Dateien in sysvol mit ihrem erwarteten Hash aus der Metadatendatei.

Get-PasswordPolicyBppExpressList
  [[-DomainName] <string>]
  [-VerifyFileIntegrity]

Breached Password Protection Express-Liste aktualisieren (Update-SppBppExpressList)

Dieses Cmdlet aktualisiert die Breached Password Protection Express-Liste, wenn ein Update online verfügbar ist.

Update-PasswordPolicyBppExpressList
  [-DomainName <string>]
  [-Force <SwitchParameter>]
  [-TempFolder <string>]