OWA ja aegunud paroolid

Tihti aegub domeeni parool just siis kui seda vaja ei ole, tavaliselt kui oled kuskil välismaal või kohas, kus on küll interneti ühendus, aga pole VPN võimalust või on ainult veebi sirvija käepärast. Loomulikult ei pööranud sa varasemalt tähelepanu parooli aegumise teadetele, lükates neid edasi nagu ikka tülika tegevuse puhul. Ning siis avastad, et ei saa enam kuidagi oma meile lugeda, VPN ühendust püsti võtta jne. Ja nii sa siis oled ilma ligipääsuta, variandid kas avaldada oma parool kellelegi, kes on sisevõrgus ja siis selle ära muudab (ja sinu andmetele ligi pääseb).

Nüüd on Exchange Server 2010 SP1 ja Exchange Server 2007 SP3 (juhul kui on installitud Windows Server 2008 või Windows 2008 R2 peale) puhul võimalik OWA kaudu kasutajatel muuta ka oma aegunud parooli või kohustusliku paroolivahetusel ( “User must change password at next logon” ADUC konsoolil). Selleks tuleb teha Exchange 2010 SP1 või Exchange 2007 SP3 Client Access Serveril teha järgmised sammud (CAS array puhul kõikidel seda moodustavatel CAS serveritel):

  1. Käivita CAS serveril regedit.exe
  2. Mine HKLM\SYSTEM\CurrentControlSet\Services\MSExchange OWA
  3. Parem hiireklõps MSExchange OWA peal ja vali New –> DWord (32-bit)
  4. Nimeta uus DWORD võtme nimeks ChangeExpiredPasswordEnabled ja selle väärtuseks 1 (tegelikult iga mittenulline väärtus lubab, ning null, väärtuse puudumine või võtme puudumine keelab antud tunnuse)

image

Peale seda tuleb IIS teenusele reset teha. Kõige lihtsam on seda teha käsuga IISReset /NoForce command promptist (mõnikord ei taha teenus kohe seisma minna, siis tuleb mitu korda teha kuni õnnestub).

Logides nüüd sisse OWA kaudu kasutajaga, kellel on parool aegunud või kohustuslik paroolivahetus (Märkus: paroolivahetuseks ei saa kasutaja sisse logida kasutades UPN kuju (bill.gates@contoso.com), vaid tuleb kasutada DOMAIN\Username (CONTOSO\bill.gates) kuju, või kui on domain vaikimisi määratud, siis tühi kuju nagu on ka all pildil):

image

Kuna kasutaja parool vajab vahetust, siis ilmub järgmine aken:

image

Kui vajalikud väljad on kõik täidetud ja sobivad, siis järgmine aken teateab, et parool on õnnelikult vahetatud:

image

Peale OK vajutamist tuleb uuesti ette algne sisselogimise aken. Seekord tuleb siis juba kasutada uut muudetud parooli ja selle abil saate sisse OWA-sse.

Juhul, kui kasutusel on sega Exchange organisatsioon (näiteks Internet facing OWA on Exchange 2010, kasutaja ise vanema Exchange serveri peal), siis piisab kui Internet-facing OWA CAS serveritel teha ülaltoodud muutus ära. Sisemistel serveritel pole seda vaja teha, kuivõrd paroolimuutuse teeb ära see Internet-facing server nagu ka kasutaja autentiseerimise.

Antud tore võimalus vähendab kindlasti Helpdeski koormust, kuivõrd kasutaja parool on aegunud ja kasutaja ei saa seda enam ise eemalt muuta.