Exchange 2013禁止网页修改密码

简介:

有用户联系我说,出于公司信息安全考虑,能否修改现在的Exchange 2013的OWA,使普通用户不能通过OWA自行修改密码。

对于他的想法,我有两点疑问,

1、 要是密码过期了怎么修改,域内还好,可以通过修改域用户密码实现,要是域外呢,密码过期了怎么修改,联系管理员吗?

2、 要是密码被破解了呢,又不能自行修改,何来安全可言呢。

经过沟通后,用户还是觉得有必要这么操作,既然用户执意如此,我也就开始着手做了。

步骤1、马上就有思路了,既然Exchange是依赖于AD域的,我们就从AD域的用户属性下手来操作了,更改用户的属性为用户不能修改密码。

clip_image002

如果是针对所有用户,用powershell就可以了。命令如下图:

clip_image004

步骤2、ad用户密码不能修改后,exchange也确实就不能修改密码了,但是问题来了,用户ad密码还是需要用户可以自行修改的,只是OWA不允许用户自行修改,此路不通,那我们换个思路,还是到exchange的OWA策略上去想办法把。

登录到exchange 2013 EAC管理中心,新建一条outlook web app策略,保持默认的策略,我们新建一条策略,名称叫Forbit user change password through owa。取消更改密码选项。

clip_image006

步骤3、打开EMS,将策略应用到所有的用户,命令如下:

clip_image008

步骤4、修改后重启下IIS,以便更改更快的生效

clip_image010

步骤5、我们随便登录一个普通用户看看实际效果,我们发现更改密码选项皆已隐藏,达到了我们实际要的效果。

clip_image012

clip_image014

步骤6、感谢Kneight指出我博文里面做法的疏漏,密码过期后,Exchange 2013会弹出过期密码修改页面,会弹出密码过期页面,这个我们一样可以通过OWA修改密码。[注:这个过期密码修改其实我觉得还是有必要留着,密码过期后可以自行修改自己的密码,不用去找管理员了,禁止修改密码我觉的平常不让修改密码就好了,毕竟密码根据密码策略也只是几个月过期一次]

如有需要禁止密码过期后禁止弹出密码修改页面,请将注册表值由默认的1改成0后重启客户端访问服务器即可。

注册表位置:HKLM/SYSTEM/CurrentControlSet/Services/MSExchange OWA/

wKiom1SyUDygFhkFAAPPl2sFMVA351.jpg


本文转自 zhou_ping 51CTO博客,原文链接:http://blog.51cto.com/yuntcloud/1598750,如需转载请自行联系原作者


相关文章
|
前端开发 数据安全/隐私保护
|
缓存 数据安全/隐私保护
Exchange之OWA修改密码的生效时间
Exchange之OWA修改密码的生效时间 我们知道在 Exchange server 2013 SP1 当中是可以配置在 OWA 中修改域用户的密码的,那么不知道你是否有发现,当用户在 OWA 对密码进行修改时,修改的信息并不会马上生效,而是要等一会,这个时间默认为15分钟。
1756 0
|
安全 数据安全/隐私保护 Windows