分类: WINDOWS
2007-10-22 09:15:46
一、实验环境:
1、虚拟机配置:dc01.jzlld.org(10.0.0.1/8),exchange01.jzlld.org(10.0.0.2/8),xp01.jzlld.org(10.0.0.3/8)。dc01、exchange01操作系统均为2003SP1,xp01操作系统为XPSP2。
2、角色配置:dc01提供域控制器及企业级别CA服务,exchange01邮件服务器,xp01为用户OWA修改密码的测试计算机。
二、操作步骤:
1、建立jzlld.org域及邮件服务器环境:
在dc01上创建新域jzlld.org并将exchange01、xp01加入到域,在exchange01上安装exchange2003(操作步骤省略)。在dc01上创建一个测试帐户test,其密码为。注意一定要清除掉该用户属性中的“用户不能更改密码”复选框。该用户为测试帐户。
2、在域中配置并安装CA:
将dc01配置为企业级别根CA,不需要在安装CA之前安装www服务,因为建立的是企业级别的CA,申请证书的也都是企业中的安全主体。如果需要在安装CA之后安装www服务,可以使用certutil.exe /vroot密令来重新建立Web发布及共享文件夹。次处操作步骤省略。
3、在exchange01上配置iisadmpwd虚拟目录:
打开IIS管理控制台,右击“默认站点”-“新建”-“虚拟目录”-在目录别名中输入“iisadmpwd”-然后在目录路径中输入“c:\windows\system32\inetsrv\iisadmpwd”,设置“读取”及“运行脚本”权限。创建完成之后在该虚拟目录的属性“虚拟目录”中的“应用程序池”处修应用程序池为“ExchangeApplicationPool”。
4、设置iisadmpwd虚拟目录的默认文档:
右击iisadmpwd“属性”-“文档”中将默认的文档修改为aexp2b.asp。注意:如果是仅仅利用OWA的形式修改密码,此处的操作可以省略。
5、 为exchange01上的默认站点申请SSL通讯使用的证书:
在IIS控制台中,右击“默认站点”-在属性中的“目录安全性”中,选择“服务器证书”-“新建立一个证书”-然后在“延迟或立即请求”中选择“立即将证书请求发送到联机证书办法机构”。其他设置遵循默认设置即可。没必要启用“默认网站”或其他虚拟目录的SSL功能,除非希望当用户访问的时候必须要求SSL通讯。
6、在exchange01上修改注册表显示“更改密码”按扭:
修改注册表位置为:在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeWeb下找到DisablePassword,将其值设置为0,即为启用“更改密码”按扭。该值为1为删除掉“更改密码”按扭(默认设置)。
7、有的时候需要修改IIS Metabase元数据中的PasswordChangeFlags值,该值为0:要求通过 SSL 密码更改,该值为1:允许通过非安全端口密码更改,该值为2:禁用密码更改,该值为4:禁用密码过期通知。默认为该值为0。如果需要修改可以使用以下命令:
8、修改默认的域策略中的帐户策略:
将jzlld.org域中,默认域GPO中的“计算机配置”-“Windows设置”-“安全设置”“帐户策略”-“密码策略”中的“密码最短使用期限”设置为0天。该值默认为1,意味着密码变化24小时之后才可以更改新的密码,修改为0天,意味着可以立刻更改密码,否则可能在修改密码的时候出现“密码太短,或不满足密码唯一性限制”。另外也可以将“强制密码历史”设置为0,即不保留密码历史。为了域的安全性考虑小帅只做这两处的修改就可以了,没有修改密码复杂度要求。
注意:每个域必须在默认域策略或链接到域根的新策略中定义帐户策略,并且帐户策略要优先于由组成该域的域控制器强制实施的默认域控制器策略。域控制器总是从域的根目录中获取帐户策略,即使存在应用于包含域控制器的 OU 的其他帐户策略。
这一点小帅曾经在2004年的日志中《应用在OU上的GPO帐户策略》文章中提及到这个问题,请参考该链接:http://desperado.blogdriver.com/desperado/122626.html
9、测试利用OWA形式修改帐户的密码为
利用Web环境修改的密码为原来的
注意红色圈中的部分
三、相关链接
1、certutil.exe命令行参:
2、FIX:当您使用 IIS 6.0 中的密码改变页时,遇到不同的问题:
3、实现与 OutlookWebAccess 更改密码功能