Windows Server 2008R2使用web方式修改域账户密码
Windows Server 2008R2使用web方式修改域账户密码
1. 前言
Windows2003IIS中自带修改域用户密码的ASP网页文件iisadmpwd模块,可以启用该模块通过Web方式修改密码,但是IIS7也即2008系统中不在自带iisadmpwd功能模块,所以需要移植2003的iisadmpwd模块到2008中使用;
2. Iisadmpwd文件准备
1、 首先找一台Server2003系统,确认已安装好Internet信息服务(IIs)。
2、 然后进入Server2003系统C:\WINDOWS\system32\inetsrv\iisadmpwd目录,复制 iisadmpwd该目录及子文件到需要安装iisadmpwd功能的Server2008系统中C:\Windows\SysWOW64\inetsrv目录下;
3. Web服务器(IIS)/ActiveDirectory证书服务安装
注:此处以AD服务器为例演示,经测试必须在ad上执行,否则一直报错 错误:缺少对象;
1、 以管理员身份登录服务器,依次单击“开始>管理工具>服务器管理器>角色>添加角色>勾选Web服务器(iis)>勾选ActiveDirectory证书服务”
2、 安装证书服务,勾选“证书颁发机构、证书颁发机构Web注册、联机相应程序”;
3、 安装Web(iis)服务,并确认勾选了asp、IIS6脚本工具;
4. 注册Iisadmpwd目录下的IISpwchg.dll文件:
1、 以管理员身份运行命令提示符,输入下面的命令,然后回车;
regsvr32 C:\Windows\SysWOW64\inetsrv\iisadmpwd\iispwchg.dll
5. 配置PasswordChangeFlags属性
1、 以管理员身份运行命令提示符,切换到C:\Inetpub\Adminscripts目录,输入下面命令,然后回车;
{
注:设置PasswordChangeFlags属性的值,你可以组合使用
0:默认值,表示用ssl连接来更改密码
1:允许无安全的端口来更改密码(针对于ssl功能被禁用时使用);
2:禁止更改密码
4:禁止密码过期提示
6. 配置HTTPS
注:若在Exchange服务器上操作可以忽略此步骤;
1、 单击“开始>管理工具>Internet信息服务(iis)管理器”打开iis管理器;
2、 点击服务器名,在右侧双击“服务器证书”;
3、 点击右侧“”,在弹出的“创建自签名证书页面”输入自定义名称然后点击“确定”;
4、 切换到默认网站“DefaultWebSite”点击右侧“绑定”在弹出的“网站绑定”页面,打击“添加”,在“添加网站绑定”对话框中类型选择https,ssl证书选择刚创建好的iisadmpwd,后单击“确定”应用;
7. 发布IISadmpwd
1、 右键默认网站“DefaultWebSite”选择“添加应用程序”;
2、 在添加应用程序对话框中,别名填写“iisadmpwd”物理路径填写“C:\Windows\SysWOW64\inetsrv\iisadmpwd
”完成后单击确定;
3、 在iis管理器中切换到刚创建的应用程序“iisadmpwd”,右侧双击“默认文档”;
4、 单击右侧“添加”输入“aexp2.asp”单击确定;
5、 返回到应用程序“iisadmpwd”双击右侧“SSL设置”;
6、 勾选“要求ssl”单击右侧“应用”;
8. WEB页面修改密码
1、 在浏览其中输入https://127.0.0.1/iisadmpwd/回车,并输入用户名密码及新密码测试修改密码;
2、 若有如下提示“密码太短,或不满足密码唯一性限制”,则为不满足域策略中的相关要,重新输入满足要求的密码,或者修改组策略配额,修改方法如下:打开组策略管理器更改默认域策略的密码策略(如下修改);
3、 修改完成后,在命令行中执行“gpupdate /force”刷新组策略使其立即生效;
4、 重新在浏览器中输入https://127.0.0.1/iisadmpwd回车,并输入测试用户的旧密码及新密码,单击确定;
5、 修改成功;
9. 附:通过80端口修改密码
以上步骤略显繁琐,因为需要安装证书服务,通过绑定证书并启用https访问,个人认为没有该必要,因为启用https后客户端没有做相应是证书设置还是达不到安全性,如果仅在内网使用,可以修改aexp2.asp中的代码“<form method="POST" action="https:”将https为http, 配置PasswordChangeFlags的属性为cscript.exe adsutil.vbs set w3svc/passwordchangeflags 1,则可以不需安装证书服务,不需要启用https;直接通过“http://127.0.0.1/iisadmpwd”;
10. 附:通过8080端口访问web页面修改密码
在网络环境中,可能由于为了实现web修改密码页面的隐蔽性,或者防火墙、路由器做外网端口的映射需求,需要实现非80或者443访问页面,比如实现使用http协议的8080端口访问页面(https协议修改端口与此雷同);
登录web页面所在服务器,打开iis管理器,选择默认网站,单击右侧的“绑定”,选择需要修改的端口,例如80,单击右侧“编辑”按钮,在弹出的对话框中输入目标端口比如“8080”单击“确定”退出;
使用记事本或者代码编辑工具,打开C:\Windows\SysWOW64\inetsrv\iisadmpwd\aexp2.asp,将代码“("SERVER_NAME"))%>/iisadmpwd/achg.asp?”修改为“("SERVER_NAME"))%>:8080/iisadmpwd/achg.asp?”;
参考文档:
http://www.educity.cn/linux/1150277.html
http://de.cel.blog.163.com/blog/static/51451236201312205443960/
http://support.microsoft.com/kb/894825/zh-cn
http://support.microsoft.com/kb/315579/zh-cn
http://blog.csdn.net/wyfde123/article/details/6036975
http://blog.csdn.net/iyu/article/details/257003
http://hi.baidu.com/dknxbcxbxxbkowd/item/c7b77ed72abc3450d63aae80