Exchange 2013禁止网页修改密码

有用户联系我说,出于公司信息安全考虑,能否修改现在的Exchange 2013的OWA,使普通用户不能通过OWA自行修改密码。

对于他的想法,我有两点疑问,

1、 要是密码过期了怎么修改,域内还好,可以通过修改域用户密码实现,要是域外呢,密码过期了怎么修改,联系管理员吗?

2、 要是密码被破解了呢,又不能自行修改,何来安全可言呢。

经过沟通后,用户还是觉得有必要这么操作,既然用户执意如此,我也就开始着手做了。

步骤1、马上就有思路了,既然Exchange是依赖于AD域的,我们就从AD域的用户属性下手来操作了,更改用户的属性为用户不能修改密码。

clip_p_w_picpath002

如果是针对所有用户,用powershell就可以了。命令如下图:

clip_p_w_picpath004

步骤2、ad用户密码不能修改后,exchange也确实就不能修改密码了,但是问题来了,用户ad密码还是需要用户可以自行修改的,只是OWA不允许用户自行修改,此路不通,那我们换个思路,还是到exchange的OWA策略上去想办法把。

登录到exchange 2013 EAC管理中心,新建一条outlook web app策略,保持默认的策略,我们新建一条策略,名称叫Forbit user change password through owa。取消更改密码选项。

clip_p_w_picpath006

步骤3、打开EMS,将策略应用到所有的用户,命令如下:

clip_p_w_picpath008

步骤4、修改后重启下IIS,以便更改更快的生效

clip_p_w_picpath010

步骤5、我们随便登录一个普通用户看看实际效果,我们发现更改密码选项皆已隐藏,达到了我们实际要的效果。

clip_p_w_picpath012

clip_p_w_picpath014

步骤6、感谢Kneight指出我博文里面做法的疏漏,密码过期后,Exchange 2013会弹出过期密码修改页面,会弹出密码过期页面,这个我们一样可以通过OWA修改密码。[注:这个过期密码修改其实我觉得还是有必要留着,密码过期后可以自行修改自己的密码,不用去找管理员了,禁止修改密码我觉的平常不让修改密码就好了,毕竟密码根据密码策略也只是几个月过期一次]

如有需要禁止密码过期后禁止弹出密码修改页面,请将注册表值由默认的1改成0后重启客户端访问服务器即可。

注册表位置:HKLM/SYSTEM/CurrentControlSet/Services/MSExchange OWA/

wKiom1SyUDygFhkFAAPPl2sFMVA351.jpg