Главная Exchange/UC, Security, Без рубрики, Новое Сброс пароля пользователя через Outlook Web App
  • Сброс пароля пользователя через Outlook Web App

    Картинка 1 из 64000

    Большинство администраторов Exchange не забивают себе голову проблемой смены пароля пользователями, поскольку процедура данная  более чем банальна. Тем не менее, проблема может возникнуть если пароль пользователя устарел, а сам он находится за пределами корпоративной сети и единственным связующим звеном является почтовый ящик  с веб доступом. Естественно когда пароль устарел войти в свой почтовый ящик сотрудник не сможет, ровно как и обновить свой пароль. Благо небольшая правка реестра на Exchange сервере позволяет сменить пароль пользователю самостоятельно, не обращаясь в техническую поддержку.

    Итак посмотрим на Рисунок 1.

    ris1

    Рисунок 1. Ошибка входа при устаревшем пароле.

    Я думаю вы заметили, что пользователь с устаревшим паролем получил “отлуп” и что самое интересное в ошибке сообщается не об устаревании пароля, а о неправильной попытке ввода.

    В зависимости от версии Exchange, вы можете решить эту проблему через правку реестра. В Exchange 2007 SP3 майкрософт позволило пользователям менять пароль используя окно приветсвия OWA. После в RTM Exchange Server 2010 они убрали это функционал, правда в Exchange Server 2010 SP1 он опять был возвращен назад. Вот такая нестабильность)

    Давайте посмотрим каким ключем реестра это можно регулировать, думаю не лишним будет напомнить, что реестр операционной системы серьезная “эрогенная зона” и грубое обращение с ней может сказаться как на здоровье вашего сервера, так и на зарплате администратора.

    Для начала нам необходимо запустить редактор реестра на сервере клиентского доступа. Далее открываем ветку HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ MSExchange OWA. Затем создаем новый параметр DWORD. Редактор реестра спросит, хотим ли мы  создать 32-битный или 64-битный DWORD. И хотя Exchange Server 2010 представляет собой 64-битное приложение, вы должны создать 32-битный DWORD.

    Новый параметр называем  ChangeExpiredPasswordEnabled (рис. 2) и присваиваем ему значение 1. Если вы захотите отключить данный функционал, то будет необходимо удалить данный параметр реестра или поставить для него значение 0.

    owa_password_b[1]

    Рисунок 2. Изменение реестра на сервере CAS

    Операция практически завершена, остается мелочь, а именно перезапуск службы веб сервера IIS, для этого открываем коммандную строку и вводим IISreset /noforce (Рис.3)

    owa_password_c[1]

    Рисунок 3. Перезапуск веб сервера IISowa_password_d[1]

    Рисунок 4. Смена пароля через OWA

    Теперь соответсвенно при устаревании пароля на этапе входа сотрудник получит предложение поменять пароль на новый. Ествественно такой вариант хорош для забывчивых товарищей, поскольку все остальные и так могут сменить пароль в любой момент зайдя в ECP. Естественно если это не будет противоречить минимальному сроку жизни пароля, заданному политиками.

    MCT/MVP Илья Рудь

    Источник

Комментарии

  1. Думаю обращения в тех.поддержку не избежать. Будет звонок с вопросами типа :
    – А что такое ?
    – А почему ?
    Хотя все зависит от пользователей. Одним раз показать и все, а другие буду постоянно задавать одни вопросы.
    За статейку спасибо.
    Пока использую 2007 но не за горами миграция на 2010.

  2. А как быть, если OWA (2010) изнутри и снаружи опубликована через TMG?

  3. Честно в данном контексте я не вижу разницы между TMG и без TMG. Хотя я вообще не спец по TMG.

  4. имелось в виду, что авторизацию проводит TMG, подставляя формочку и пользователя не пустит он
    я ошибаюсь?

  5. Вот честно не знаю, вам надо уточнить этот вопрос у тех кто с TMG работает.

  6. Не пустит- не пустит, проверил уже. Как быть? очень интересная штука, но через ТМГ не пашет…

  7. Думаю самый правильный вариант спросить у Синицина или на МС форуме. А потом правильный ответ продублировать здесь.

  8. Я думаю что с TMG никак. Или придётся форму переписывать, которую TMG вместо CAS подсовывает пользователю при логине.

  9. помню был трюк на ISA , можно было сделать форму где пользователь мог менять пароли.

  10. Да, через TMG никак. Чтобы сменить пароль, пользователь должен аутентифицироваться. А он этого сделать, потому что пароль устарел. Замкнутый круг.

  11. Всем привет. Быть может будет когда-либо полезная информация по поводу смены пароля через TMG.
    Делается так – идете на тмг в публикацию owa там закладка listener, автоматом подсвечивается ваш прослушиватель – нажимаете свойства – формы (forms) там 2 галочки управления паролями, первая позволяет разрешить смену пароля, а 2 задает период времени за сколько оповещать о смене пароля.
    Всем удачи.

  12. Привет,

    Замечу, что в Google Chrome по крайней мере некоторых не слишком древних билдов не отрабатывает смена пароля через страницу аутентикации TMG. Браузер просто рефрешит форму входа и всё. Проверял неоднократно. В Internet Explorer смена пароля отрабатывает всегда – конечно, если введён валидный новый пароль.

    Однако, если пользователь сидит в Exchange, используя Outlook, а не OWA, и при этом находится вне границ леса, то о просрочке пароля он не узнает, у него просто клиент Outlook отвалится, и он будет звонить в техподдержку. Для предупреждения пользователей об окончании срока действия пароля я использую самописный скрипт, могу раскрыть детали на evgeniy.berendyaev@gmail.com.