Cmdlets de Powershell

Todas las operaciones que se pueden realizar utilizando las herramientas de administración de Specops Password Policy también se pueden realizar desde Windows PowerShell.

Nota

para ejecutar cmdlets, Windows Powershell 5.1 debe estar instalado en el servidor que ejecuta las Herramientas de Administración.

Comenzando

Specops Password Policy incluye los siguientes cmdlets de Windows PowerShell. Se instalan como un módulo de PowerShell con las Herramientas de Administración de Specops Password Policy. Es posible que deba iniciar una nueva ventana de PowerShell después de instalar las herramientas de administración para que los cmdlets estén disponibles.

Cmdlets de administración

Para obtener una lista de todos los cmdlets de administración de Specops Password Policy desde Powershell, use el siguiente comando:

Get-Command -Module Specops.SpecopsPasswordPolicy

Creando un GPO de Specops Password Policy

Puede configurar una política de contraseñas para usar reglas clásicas de contraseñas.

$policy = New-PasswordPolicy
$policy.MinimumLength = 8
$policy.Digit = 1
Set-PasswordPolicy -GpoName SPP -Policy $policy

Nota

El ID de GPO también se puede usar en lugar del nombre de GPO. En ese caso, reemplace el argumento -GpoName con -GpoId.

Frase de contraseña

Puede configurar una política de contraseñas para usar frases de contraseña.

$policy = New-PasswordPolicy
$policy.PhrasesMinimumLength = 25
$policy.PasswordPolicyType = "Passphrase"
Set-PasswordPolicy -GpoName SPP -Policy $policy

Ambas reglas de contraseña y frase de contraseña

Puede configurar una política de contraseñas para usar tanto reglas clásicas de contraseñas como frases de contraseña.

$policy = New-PasswordPolicy
$policy.PasswordPolicyType = "Both"
$policy.PhrasesMinimumLength = 25
$policy.PhraseRegexDigit = $true
$policy.MinimumLength = 8
$policy.Digit = 1
$policy.Upper = 1
Set-PasswordPolicy -GpoName SPP -Policy $policy

Eliminando un GPO de Specops Password Policy

Puede configurar una política de contraseñas para usar reglas clásicas de contraseñas.

$policy = New-PasswordPolicy
$policy.MinimumLength = 8
$policy.Digit = 1
Remove-PasswordPolicy -GpoName SPP $policy

Nota

El ID de GPO también se puede usar en lugar del nombre de GPO. En ese caso, reemplace el argumento -GpoName con -GpoId.

Resolviendo un GPO de Specops Password Policy de un usuario

Se puede resolver un GPO de Specops Password Policy de un usuario. Si el usuario no está afectado por Specops Password Policy, no se devolverá nada.

Ejemplo 1: Resolver política usando userPrincipalName

Get-PasswordPolicyAffectingUser 'John.Doe@acme.org' | Format-List

Salida de muestra

PS C:\Scripts> Get-PasswordPolicyAffectingUser 'John.Doe@acme.org' | Format-List

GpoId : 31862cba-7bd9-4150-80cf-2ab23a896a41
GpoName : Specops Password Policy - High Privilege
PasswordPolicy : Specopssoft.SpecopsPasswordPolicy.AdministrationApi.PasswordPolicy

Ejemplo 2: Resolver política usando sAMAccountName

Get-PasswordPolicyAffectingUser John | Format-List

Salida de muestra

PS C:\Scripts> Get-PasswordPolicyAffectingUser John | Format-List

GpoId : 31862cba-7bd9-4150-80cf-2ab23a896a41
GpoName : Specops Password Policy - High Privilege
PasswordPolicy : Specopssoft.SpecopsPasswordPolicy.AdministrationApi.PasswordPolicy

Aplicación del escaneo de contraseñas filtradas

El escaneo de contraseñas filtradas se ejecuta por defecto por Specops Password Policy Sentinel en el emulador PDC cada noche cuando la lista de Breached Password Protection ha sido actualizada. Si no se ha actualizado, no hay necesidad de realizar el escaneo. El escaneo se puede aplicar desde la herramienta de administración, o usando el cmdlet Start-PasswordPolicyPeriodicScanning. Al usar el cmdlet, use los parámetros -BreachedPasswordProtectionExpress para ejecutar el escaneo Express, y -BreachedPasswordProtectionComplete para ejecutar el escaneo completo, respectivamente.

Ejemplo: Aplicar conteo nocturno

Start-PasswordPolicyPeriodicScanning -BreachedPasswordProtectionExpress -Verbose

Salida de muestra (exitosa)

PS C:\Scripts> Start-PasswordPolicyPeriodicScanning -BreachedPasswordProtectionExpress -Verbose

VERBOSE: El conteo de usuarios comenzó exitosamente.

Cmdlets de Specops Breached Password Protection Express

Obtener estado de Breached Password Protection Express (Get-SppBppExpressList)

Este cmdlet obtiene el estado de la lista de Breached Password Protection Express para determinar si hay una actualización disponible en línea. Opcionalmente, se puede validar la integridad de la lista Express descargada. La validación de integridad comparará los hashes de todos los archivos de la lista Express en sysvol con su hash esperado del archivo de metadatos.

Get-PasswordPolicyBppExpressList
  [[-DomainName] <string>]
  [-VerifyFileIntegrity]

Actualizar lista de Breached Password Protection Express (Update-SppBppExpressList)

Este cmdlet actualiza la lista de Breached Password Protection Express si hay una actualización disponible en línea.

Update-PasswordPolicyBppExpressList
  [-DomainName <string>]
  [-Force <SwitchParameter>]
  [-TempFolder <string>]