Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

了解 Amazon 托管微软 AD 密码策略

Amazon Microsoft AD 托管允许您为在托管 M Amazon icrosoft AD 域中管理的用户组定义和分配不同的密码和帐户锁定策略（也称为细粒度密码策略）。创建 Amazon 托管 Microsoft AD 目录时，会创建默认域策略并将其应用于 Active Directory。 此策略包括以下设置：

例如，对于仅有权访问敏感度不高的信息的员工，您可以设置较为宽松的策略设置。对于定期访问机密信息的高级经理，您可以应用更严格的设置。

以下资源提供了有关以下内容的更多信息 Microsoft Active Directory 精细的密码策略和安全策略：

Amazon 在托管 Amazon Microsoft AD 中提供了一组精细的密码策略，您可以对其进行配置和分配给您的群组。要配置策略，您可以使用标准 Microsoft 策略工具，例如 Active Directory 行政中心。要开始使用 Microsoft 策略工具，请参阅为托管的 Microsoft AD 安装活动目录 Amazon 管理工具。

密码策略的应用方式

精细密码策略的应用方式存在差异，具体取决于密码是重置的还是更改的。域用户可以更改自己的密码。网络 ACL 和安全组都允许 (因此可到达您的实例) 的发起 ping 的 Active Directory 管理员或具有必要权限的用户可以重置用户的密码。有关更多信息，请参阅以下图表。

这些差异具有安全影响。例如，无论何时重置用户的密码，都不会强制使用强制密码历史策略和最短密码使用期限策略。有关更多信息，请参阅 Microsoft 文档，了解与强制密码历史和最短密码使用期限策略相关的安全注意事项。

支持的策略设置

Amazon 托管 Microsoft AD 包括五个具有不可编辑优先级值的细粒度策略。这些策略具有各种属性，您可以配置这些属性，在出现登录失败的情况下实施密码强度和账户锁定操作。您可以将策略分配给零个或多个 Active Directory 组。如果最终用户是多个组的成员并接收多个密码策略，Active Directory 将会强制实施优先顺序值最低的策略。

Amazon 预定义的密码策略

下表列出了您的 Amazon 托管 Microsoft AD 目录中包含的五个策略及其分配的优先级值。有关更多信息，请参阅 优先级。

密码策略属性

您可以编辑您的密码策略中的以下属性，以便符合合规性标准，从而满足您的业务需求。

您无法修改这些策略的优先顺序值。有关这些设置如何影响密码强制执行的更多详细信息，请参阅 M ic TechNet rosoft 网站上的 AD DS：精细密码策略。有关这些策略的一般信息，请参阅 Microsoft TechNet 网站上的密码策略。

账户锁定策略

您还可以修改密码策略的以下属性，以指定 Active Directory 在登录失败时是否以及如何锁定账户：

有关这些政策的一般信息，请参阅 Microsoft TechNet 网站上的帐户锁定政策。

优先级

策略的优先顺序值越小，优先级越高。您可以将密码策略分配给 Active Directory 安全组。虽然您应该将一个策略应用到一个安全组，不过单个用户可以接收多个密码策略。例如，假设 jsmith 是 HR 组的成员，同时还是经理组的成员。如果您将 CustomerPSO-05 (优先顺序值为 50) 分配给 HR 组，将 CustomerPSO-04 (优先顺序值为 40) 分配给经理组，则 CustomerPSO-04 具有更高的优先级，并且 Active Directory 会将策略应用于 jsmith。

如果您将多个策略分配给用户或组，Active Directory 将按照以下方式确定生成的策略：

有关更多详细信息，请参阅 M ic TechNet rosoft 网站上的 AD DS：精细密码策略。

相关 Amazon 安全博客文章