Passwortänderung und Policy in OWA?

1. offizieller Beitrag

    Hi Zusammen,


    einige Mitarbeiter greift nur über OWA und AcitvSync zu. Sie haben alle private Laptops, die natürlich nicht in der Domäne eingebunden sind.


    Meine Policy verlangt alle 30 Tage neue Passwörter.



    Mein Versuch ein Passwort per OWA zu ändern hat geklappt, wenn ich jedoch das Häcken "Passwort beim nächsten Anmelden ändern" kann der User sich nicht mehr anmelden.


    Wie löst Ihr das Passwortproblem?
    Was geschieht wenn nach 30 Tagen dass Passwort geändert werden muss? Kommt der User nicht mehr in OWA???


    Danke für die Hilfe

    • Offizieller Beitrag

    Hi,


    bei Active Sync kann der User nicht sehen das das PW bald abläuft. In OWA bekommt er einen Hinweis!


    Wenn das PW abgelaufen ist, so kann der User sich nicht mehr anmelden und muss erst eine Anmeldung in der Domäne machen, damit die Aufforderung zur PW Änderung direkt kommt, sonst kann er nicht weiter arbeiten.


    Viele Grüsse
    Heinz

    Ah okay danke ich verstehe. Wie löst Du das dann mit dem Active Sync? User muss sein Passwort dann auch dort ändern. Wieviel Tage Passwortänderung ist dem User das Zumutbar?


    Danke!

    • Offizieller Beitrag

    Hallo,


    doch das geht! Hier ein kleines How to:


    Schritt1:


    - Du öffnest den IIS Manager und wechslest zur Default Website.
    - Rechte Maustatste auf die Default Website und Neu-Virtuelles Verzeichnis.
    - Diesem gibst du den Alisa IISADMPWD
    - Als Pfad gibst du C:\Windows\System32\inetsrv\iisadmpwd an und klickst auf weiter.
    - Berechtigungen anhaken "lesen" und "Script ausführen (z.B. ASP)"
    - klicken auf weiter und fertig stellen.


    Jetzt hast du ein neues Virtuelles Verzeichnis innerhalb der Standardwebsite.


    Schritt 2
    - öffnen die Eigenschaften dieses Virtuellen Verzeichnisses (IISADMPWD) und gehe auf die Registerkarte "Virtuelles Verzeichnis".
    - Dort unter "Anwendungspool" den "MSExchangeOWAAppPool" auswählen und auf übernehmen klicken.
    - Jetzt wechsel auf die Registerkarte "Verzeichnissicherheit" und klick auf "Bearbeiten" unter "Authentifizierung und Zugriffssteuerung".
    - Dort entfernst du den Haken bei "Anonymus" und setzt den Haken bei "Standardauthentifizierung". Die Meldung die kommt kannst du mit "Ja" beantworten.


    Hinweis:
    Du solltest SSL für OWA verwenden, da die Übertragung der Anmeldedaten sonst in Klartext erfolgt und das will keiner


    - klick jetzt auf "OK", "Übernehmen" und auf "OK".


    Schritt 3


    - Du bleibst im IIS Manager und klickst auf "Webdiensterweiterungen" (ganz unten in der Baumstruktur)
    - Dort überprüfst du, ob die "Active Server Pages" den Status "zugelassen" haben. Wenn nicht klick auf "Active Server Pages" und dann auf Zulassen.


    Hinweis:
    Die URL zum ändern des PW ist eine ASP Seite, daher muss ASP Zugelassen werden.


    Schritt 4


    - Du öffnest eine Eingabeaufforderung und wechselst in das Verzeichnis C:\Inetpup\Adminscritps.
    - Dort gibst du folgenden Befehl ein: cscript adsutil.vbs set w3rsv/ChangePasswordflags 0


    Hinweis:
    Das setzt den Change Password Wert auf "Requierd SSL" Weiter Infos hier: http://technet.microsoft.com/e…y/bb684904(EXCHG.80).aspx und hier: http://support.microsoft.com/?kbid=297121
    Der Default Wert ist 6.


    - Jetzt wechselst du wieder in den IIS Manager und beendest die Standardwebseite und startest diese dann wieder.


    Teste:


    - Jetzt kannst du einen Benutzer nehmen und das Passwort zurücksetzten sowie den Haken bei "Bei nächste Anmeldung PW ändern" (oder so) setzten.



    Wenn der Benutzer sich jetzt Anmeldet, bekommt er eine Webseite angezeigt, in der er das alte und zwei mal das neu Kennwort eingeben muss angezeigt.


    Hinweis:
    Achte darauf, dass die Benuter ihren Benutzernamen in dem Format "Domain\Benutzername" angeben.


    Done!


    Wenn ich etwas Zeit habe, mach ich daraus mal ein How to das Forum mit Bildern.


    Über Active Sync geht das natürlich nicht! Nur über OWA!

    Servus,
    danke für das ausführliche HowTo. Grosses Lob ;)


    Es hat bis auf den cmd Befehl alles gelappt:


    C:\Inetpub\AdminScripts>cscript adsutil.vbs set w3rsv/ChangePasswordflags 0
    Microsoft (R) Windows Script Host, Version 5.6
    Copyright (C) Microsoft Corporation 1996-2001. Alle Rechte vorbehalten.


    The path requested could not be found.
    ErrNumber: -2147024893 (0x80070003)
    Error Trying To Get the Object: w3rsv


    Was habe ich falsch gemacht?

    • Offizieller Beitrag

    Hallo,


    oh! Ein Tippfehler: Der Befehl muss lauten:


    C:\Inetpub\AdminScripts csripts adsutil.vbs set w3srv/ChangePasswordFlags 0


    Also w3srv nicht w3rsv. Kannst du aber auch rausfinden, wenn du das script adsutil ohne Schalter ausführst. Nur C:\Inetpub\AdminScripts csripts adsutil.vbs und dann bekommst du die Schalter Angezeigt.

    Ah okay danke. Solangsam komme ich der Sache näher ;)


    C:\Inetpub\AdminScripts>cscript adsutil.vbs set w3srv/ChangePasswordflags 0
    Microsoft (R) Windows Script Host, Version 5.6
    Copyright (C) Microsoft Corporation 1996-2001. Alle Rechte vorbehalten.


    The path requested could not be found.
    ErrNumber: -2147024893 (0x80070003)
    Error Trying To Get the Object: w3srv






    C:\Inetpub\AdminScripts>cscript adsutil.vbs
    Microsoft (R) Windows Script Host, Version 5.6
    Copyright (C) Microsoft Corporation 1996-2001. Alle Rechte vorbehalten.



    Usage:
    ADSUTIL.VBS <cmd> [<path> [<value>]]


    Description:
    IIS administration utility that enables the configuration of metabase properties
    .


    Supported Commands:
    GET, SET, ENUM, DELETE, CREATE, COPY,
    APPCREATEINPROC, APPCREATEOUTPROC, APPCREATEPOOLPROC, APPDELETE, APPUNLOAD, AP
    PGETSTATUS


    Samples:
    adsutil.vbs GET W3SVC/1/ServerBindings
    adsutil.vbs SET W3SVC/1/ServerBindings ":81:"
    adsutil.vbs CREATE W3SVC/1/Root/MyVdir "IIsWebVirtualDir"
    adsutil.vbs START_SERVER W3SVC/1
    adsutil.vbs ENUM /P W3SVC


    For Extended Help type:
    adsutil.vbs HELP





    C:\Inetpub\AdminScripts>cscript adsutil.vbs set w3svc/ChangePasswordflags 0
    Microsoft (R) Windows Script Host, Version 5.6
    Copyright (C) Microsoft Corporation 1996-2001. Alle Rechte vorbehalten.



    ErrNumber: -2147463164 (0x80005004)
    Error Trying To GET the Schema of the property: IIS://localhost/Schema/ChangePas
    swordflags



    Was stimmt denn da nicht?

    • Offizieller Beitrag

    Hallo,


    sorry, schon wieder einTippfehler :(


    Es muss w3svc und nicht w3srv heissen. Bei MS ist SRV die Abkürzung für Server und svc die Abkürzung für Service. Ausserdem heisst es so:


    adsutil.vbs set w3svc/passwordchangeflags 0


    Das kommt davon, wenn man es aus dem Kopf schreibt und nicht nachliesst :(


    Sorry dafür :)

    Ah ich verstehe. Vielen Dank hat geklappt.


    Wenn ich jetzt bei einem User das Passwort zurücksetzte und ich vorher alle Cockies gelöscht habe kommt immer:


    Der eingegebene Benutzername und/oder das Kennwort ist ungültig. Wiederholen Sie die Eingabe, und versuchen Sie es erneut


    Sobald ich das Häckchen entf. logt er sich tadellos ein.
    An was liegt das jetzt noch?

    • Offizieller Beitrag

    Hallo,


    dazu fällt mir spontan ein Workaround ein :-(. Ich würde aber sagen, dass die Sitzungsdaten in dem Cookie gespeichert werden. Wie ist es denn, wenn du das löschen der Cookies zusässt, den Browser schliesst und dann neu öffnest. Dann neu am OWA anmelden und das PW ändern? Das sollte aber gehen.