Implementeren van een Fine-Grained Password Policy

Sinds Windows Server 2008 is het mogelijk om met meerdere password policy's te werken in je Active Directory. Je maakt dan een zogenaamde password settings object (PSO). Je kunt een PSO op een OU toepassen, deze link je aan een gebruiker of aan een groep. Een nieuwe PSO kan je via adsiedit.msc aanmaken, of door middel van Powershell. De laatste optie zullen we hieronder toelichten.

Volgens technet openen we PowerShell en in de opdrachtregel geven we de door ons gewenste waardes aan:
Name: xxxLedenPassPolicy
ComplexityEnabled: false
Description: Special xxx Leden Password Policy
Displayname: xxx Leden PSO
LockoutDuration: 10 uur
LockoutObservationWindow: 15 minuten
LockoutThreshold: 5
MaxPasswordAge: 1000 dagen
MinPasswordAge: 1 dag
MinPasswordLength: 5 karakters
PasswordHistoryCount: 5
ReversibleEncryptionEnabled: false

Vervolgens verschijnt de onderstaande melding:
The term 'New-ADFineGrainedPasswordPolicy' is not recognized as the name of a cmdlet, function, scripts file, or operable program. Check the spelling of the name, or if a path was included, verify that the path is correct and try again.

Dit wordt veroorzaakt omdat de module nog niet is geïmporteerd.
Om een lijst te krijgen in PowerShell van modules die wel beschikbaar zijn, maar nog niet zijn geïmporteerd voor je cmdlet Get-Module -ListAvailable uit (zie technet ):

Met de cmdlet Get-Command -Module kun je kijken welke cmdlet's je allemaal kunt uitvoeren. Je dient hiervoor dan dus wel de module geïmporteerd te hebben met Import-Module "modulenaam". (Zie onderstaand voorbeeld)

Nu de module is geïmporteerd kan de opdracht New-ADFineGrainedPasswordPolicy wel worden uitgevoerd.

Als laatste wordt met de opdracht Add-ADFineGrainedPasswordPolicySubject xxxLedenPassPolicy -Subjects 'xxxeden' de gecreëerde PSO aan de Active Directory groep xxxLeden toegevoegd.