终极密码管理解决方案.docx
《终极密码管理解决方案.docx》由会员分享,可在线阅读,更多相关《终极密码管理解决方案.docx(34页珍藏版)》请在冰豆网上搜索。
终极密码管理解决方案
«终极密码管理解决方案QuestPasswordManager如何在Windows2003上有效配置DHCP服务器»
通过Web方式修改用户密码
sohper March42009Tags:
工作手记 网络技术文摘
在客户端加入到域的情况下,用户修改自己的帐户密码非常方便,但是如果客户端没有加入到域,但是他又在使用域帐户登录其他的应用系统,比如整合AD的FTP站点、使用域帐户进行Internet接入的认证等等,这时候怎么修改密码?
答案就是采用web方式。
其实,windows2003已经自己带了修改域用户密码的相关ASP网页文件了,位置在C:
\WINDOWS\system32\inetsrv\iisadmpwd,只需要在IIS里面发布就可以了。
配置步骤如下:
1、安装IIS6.0,并在IIS上的默认网站上新建一个“虚拟目录”
2、输入虚拟目录别名为“iisadmpwd”
3、设置权限为读取和执行
4、完成
5、在新建虚拟目录的属性里修改默认内容文档
6、在IE里输入地址http:
//Localhost/iisadmpwd/就可以打开网页了
7、但是,意外发生,填好用户名、旧密码和新密码之后,点击确认,确实无法打开网页,仔细一看,原来是SSL加密的,检查了一下,原来是没有证书。
8、安装“远程管理(HTML)”,得到一个证书。
9、打开administration的属性
10、选择“服务器证书”
11、选择“将当前证书导出到一个.pfx文件”
12、选择路径
13、输入加密证书用的密码
14、打开iisadmpwd虚拟目录所在的默认网站的属性
15、选择“目录安全性“选项卡里面的”服务器证书"
16、选择“从.prx文件导入证书“
17、选择刚才导出的证书文件
18、输入导出证书时输入的证书加密密码
19、输入SSL端口号
20、完成之后,就可以承购修改密码了。
如果出现以下错误,修改默认域安全策略里面的密码策略,并使用gpupdate/force命令刷新一下就可以了。
注:
我在使用的时候,是应用工作组中,并没有在域环境中使用,并且服务器的C盘由于是FAT32格式,无法安装"远程管理(HTML)”,故不能生成一个证书文件,我是在其它的电脑上安装了一个"远程管理(HTML)"在导出一个证书文件到需要应用的服务器,同样可以使用.大概如果有其它的证书文件一样可以使用吧!
什么是Web远程管理
来源:
服务器技术网 更新时间:
2008-12-246:
24:
53 阅读次数:
125
作为网络管理员,通过网络对服务器进行远程管理和维护应该是比较方便的。
如果用户所管理的网络是基于Windows2000/2003系统,使用其自带的WebUI可以轻松实现远程维护。
WebUI(WebUserInterface,Web用户界面)是从Windows2000就开始集成的Web远程管理服务。
通过该服务,网络管理员在客户端通过IE浏览器就可以对服务器的常用服务(如FTP、Web服务等)和常用功能(如管理用户和组)进行管理。
在IIS 6.0中安装Web远程管理组件
来源:
服务器技术网 更新时间:
2008-12-246:
27:
20 阅读次数:
338
WebUI远程管理组件集成在IIS6.0中,默认情况下并不会被安装,需要用户手动安装,操作步骤如下所述:
第1步,在“控制面板”中双击“添加或删除程序”图标,打开“添加或删除程序”窗口。
单击“添加/删除Windows组件”按钮。
第2步,打开“Windows组件向导”对话框,在“组件”列表中选中“应用程序服务器”选项,并单击“详细信息”按钮。
第3步,在打开的“应用程序服务器”对话框中,双击“应用程序服务器的子组件”列表中的“Internet信息服务(IIS)”选项,打开“Internet信息服务(IIS)”对话框。
在“Internet信息服务(IIS)的子组件”列表中双击“万维网服务”选项。
第4步,打开“万维网服务”对话框,在“万维网服务的子组件”列表中选中“远程管理(HTML)”复选框,并连续单击“确定”→“下一步”→“完成”按钮完成安装,如图2008122401所示。
图2008122401选中“远程管理(HTML)”复选框
在Web远程管理服务器端设置IP地址
来源:
服务器技术网 更新时间:
2008-12-246:
30:
57 阅读次数:
222
为保证使用正常,用户还需要在IIS6.0管理器里面对Web远程管理进行简单的设置。
其中最典型就是设置Web远程管理服务器端的IP地址,操作步骤如下所述:
第1步,在开始菜单中依次单击“管理工具”→“Internet信息服务(IIS)管理器”菜单项,在打开的“Internet信息服务(IIS)管理器”窗口中依次展开“主机名(本地计算机)”→“网站”目录。
第2步,用户可以发现这一项中增加了一个Administration选项,这就是Web远程管理的名称。
右键单击Administration选项,选择“属性”命令,如图2008122402所示。
图2008122402选择“属性”命令
第3步,在打开的“Administration属性”对话框中的“网站”选项卡中单击“IP地址”编辑框右侧的下拉三角按钮,选择本地计算机IP地址。
其他选项保持默认设置,单击“确定”按钮使设置生效。
最后关闭管理器窗口,如图2008122403所示。
图2008122403选择本地计算机IP地址
客户端登录Web远程管理界面
来源:
服务器技术网 更新时间:
2008-12-246:
35:
08 阅读次数:
348
Web远程管理客户端计算机必须使用Windows98及以上版本的操作系统,才能通过InternetExplorer浏览器登录Web远程管理界面。
在IE浏览器中输入Web远程管理服务器的地址https:
//10.115.223.8:
8098,其中的8098是该服务使用的端口号。
打开“安全警报”对话框,单击“是”按钮继续,如图2008122404所示。
图2008122404安全警报
在打开的身份验证对话框中输入系统管理员的用户名和密码并单击“确定”按钮,如图2008122405所示。
图2008122405身份验证
通过身份验证后即可登录Web远程管理界面,如图2008122406所示。
图2008122406Web远程管理界面
小提示:
当在浏览器地址栏输入https:
//而不是http:
//时,浏览器创建SSL连接,而不是简单的到Web服务器的TCP连接。
当用户使用http:
//形式的地址访问基于https的Web站点时,将会得到提示“该网页必须通过安全频道查看,用户要查看的网页要求在地址中使用HTTPS”,从而拒绝非授权用户的访问。
通过Web远程管理设置服务器和用户组
来源:
服务器技术网 更新时间:
2008-12-246:
39:
08 阅读次数:
289
通过Web远程管理可以对服务器进行很多设置,其中,修改管理员密码、管理Web服务器、管理用户和组、连接到远程桌面等设置比较常用。
1.修改管理员密码
登录Web远程管理后,在“欢迎使用”界面中单击“设置管理员密码”按钮。
在打开的“管理员账户”界面中输入当前密码和新密码,并单击右下方的“确定”按钮使设置生效,如图2008122407所示。
图2008122407设置管理员密码
2.管理Web服务器
以修改网站主目录为例,单击“服务管理”窗口顶部的“Web服务器”选项,然后单击“Web主设置”按钮。
在打开的“Web主设置”界面中更改“网站根目录”的路径并单击“确定”按钮,如图2008122408所示。
图2008122408设置Web站点属性
3.管理用户和组
用户还可以通过Web远程管理对服务器中的用户和组进行管理。
以添加用户为例,单击“服务管理”窗口顶部的“用户”选项,然后单击“本地用户”按钮。
在打开的“服务器上的本地用户”界面中单击右侧的“新建”按钮,在“创建新用户”界面中填入用户信息和密码并单击“确定”按钮即可成功添加用户。
如果要删除用户,则在“服务器上的本地用户”界面中选中要删除的用户,单击右侧的“删除”按钮即可。
对组的管理跟管理用户方法类似,如图2008122409所示。
图2008122409管理用户和组
4.连接到远程桌面
“远程桌面”是WindowsServer2003较Windows2000Server比较明显的改进,用户可以通过Web远程管理远程连接到服务器的桌面(这对于Windows9X比较有意义,而由于WindowsXP本身具有连接“远程桌面”的客户端工具,所以该项功能对于WindowsXP意义不大)。
当然这需要服务器事先启用了“远程桌面”功能。
单击“服务管理”窗口顶部的“维护”选项,然后单击“远程桌面”按钮。
在打开的登陆窗口中输入用户名和密码即可登录服务器的桌面,如果是系统管理员用户,就可以拥有管理服务器的全部权限了。
使用“远程桌面”管理服务器就像操作本地机一样,非常方便,如图2008122410所示。
图2008122410远程Web桌面连接
小提示:
要想使用远程桌面功能,必须允许用户远程连接到WindowsServer2003(SP1)系统,该设置可以在“系统属性”对话框的“远程”选项卡中进行。
用web方式修改域用户密码
web,密码,用户
用web方式修改域用户密码:
原理阶段:
windowsserver2003里面已经自带的修改域用户密码的ASP,知道exchange的人,应该知道可以通过owa修改exchange用户的密码,其实用web方式修改域用户密码的原理和这个差不多。
实战阶段:
一、前提
1、exchange用户修改密码,是基于SSL的,那么用web方式修改域用户密码,也是基于SSL,所以我们应该先安装CA证书服务器。
讲到CA,我有几个按例可以供大家做做实验,那就是取消客户端登陆对话框
1、该安全证书由可信的验证机构发行(客户端只要安装根证书,就可以解决)
2、该安全证书的日期有效
3、安全证书上的名称无效,或者与站点名称不匹配(申请证书的时候,是用的公共名称,只要客户端访问的时候使用公共名称访问就可以解决了)
2、我在这里只讨论企业CA,其实独立CA和企业差不多
区别:
企业CA,证书的颁发是自动的,然而根证书的位置也和独立CA不一样
3、打开IIS管理器,我们装好IIS就有一个默认网站的
1、查看WEB服务扩展
1、ActiveServerPages 需要开启
2、ASP.NET+版本 需要开启
2、为默认网站申请一张证书
默认网站--属性--目录安全性--服务器证书--申请新证书......
默认网站--属性--目录安全性--编辑--勾选要求安全通道(SSL)
二、实施阶段
我做用web方式修改域用户密码,使用的两种方法
第一种
1、系统盘:
\windows\system32\inetsrv\iisadmpwd这个文件夹复制到你的 系统盘:
\Inetpub\wwwroot下
2、在默认网站下找到iisadmpwd,
1、属性--目录--勾中脚本资源访问
2、属性--文档--勾中启用默认内容文档并且添加aexp2.asp
第二种
1、打开IIS管理器,右击默认网站--新建--虚拟目录
1、为虚拟目录起一个名字,好记的,例:
passwdchange
2、路径浏览到系统盘:
\windows\system32\inetsrv\iisadmpwd
3、勾选读取和运行脚本(ASP)
2、2、在默认网站下找到虚拟目录passwdchange
1、属性--目录--勾中脚本资源访问
2、属性--文档--勾中启用默认内容文档并且添加aexp2.asp
结束了......
在客户端加入到域的情况下,用户修改自己的帐户密码非常方便,但是如果客户端没有加入到域,但是他又在使用域帐户登录其他的应用系统,比如整合AD的FTP站点、使用域帐户进行Internet接入的认证等等,这时候怎么修改密码?
答案就是采用web方式。
其实,windows2003已经自己带了修改域用户密码的相关ASP网页文件了,位置在C:
\WINDOWS\system32\inetsrv\iisadmpwd,只需要在IIS里面发布就可以了。
下面就介绍一下如何使用这些文件。
1、在IIS上新建一个“虚拟目录”
2、输入虚拟目录别名为“iisadmpwd”
3、设置权限为读取和执行
4、完成
5、在新建虚拟目录的属性里修改默认内容文档
6、在IE里输入地址http:
//192.168.253.128/iisadmpwd/就可以打开网页了
7、但是,意外发生,填好用户名、旧密码和新密码之后,点击确认,确实无法打开网页,仔细一看,原来是SSL加密的,检查了一下,原来是没有证书。
8、安装“远程管理(HTML)”,得到一个证书。
9、打开administration的属性
10、选择“服务器证书”
11、选择“将当前证书导出到一个.pfx文件”
12、选择路径
13、输入加密证书用的密码
14、打开iisadmpwd虚拟目录所在的默认网站的属性
15、选择“目录安全性“选项卡里面的”服务器证书“
16、选择“从.prx文件导入证书“
17、选择刚才导出的证书文件
18、输入导出证书时输入的证书加密密码
19、输入SSL端口号
20、完成之后,就可以承购修改密码了。
如果出现以下错误,修改默认域安全策略里面的密码策略,并使用gpupdate/force命令刷新一下就可以了。
Relatedposts
第一部分
情景:
新建域环境,需要创建大批用户帐号。
环境:
WindowsServer2003+SP2(DC)
操作:
1、在C盘根目录下创建add.cmd和UserList.txt两个文件。
虚线内为实际内容。
add.cmd(文件内容为一行,无回车)
======================================================
For/F"tokens=1,2"%%ain(UserList.txt)dodsadduserCN=%%a,OU=test,DC=altn,DC=Com-upn%%a@-display%%b-pwdp@ssw0rd-pwdneverexpiresyes
======================================================
UserList.txt(拼音和中文名之间有一个空格)
======================================================
zhangsan张三
lisi李四
wangwu王五
======================================================
2、运行add.cmd,搞定。
第二部分
仅从操作过程来看非常简单,但有细节之处。
1、dsadduser是WindowsServer2003才具备的工具。
2、UserList.txt内的原始数据还是需要手工输入的。
3、For语句将读取UserList.txt,把每行第一个空格前的内容赋予变量%%a,空格后的内容赋予变量%%b。
For语句中tokens的含义是关键。
后面一部分则是dsadduser的命令,可以根据自己的需求修改域名和OU名,如果直接创建在默认的Users文件下的话就把OU=test改成CN=Users。
4、我在创建用户时关注的一些选项以及这些选项在dsadd中的对应开关符
(1)用户登录名 (-upn 设置upn值为。
)
(2)win2000以前版本的用户登录名 (设置了upn会自动生成)
(3)密码永不过期(-pwdneverexpires{yes|no}用户密码是否永远不过期。
默认值:
no。
)
(4)账户永不过期 (-acctexpires 设置用户帐户从今天起在天内过期。
0值
意味着今天结束后帐户就过期;正数值意味着帐户在未
来过期;负数意味着该帐户已经过期并将过期日期设置
在过去;字符串值"never"意味着该帐户永远不过期。
)
(5)用户显示名 (-display 设置用户显示名为。
)
(6)登录密码 (-pwd{|*} 设置用户密码为。
如果是*,会提示您输入密码。
)
(7)用户下次登录是否修改密码(-mustchpwd{yes|no} 用户在下次登录时是否更改密码。
默认值:
no。
)
(8)账户是否禁用 (-disabled{yes|no} 用户帐户是否禁用。
默认值:
no。
)
5、dsadduser还有许多开关符,可以根据需要自己添加。
我关注的选项中有些默认值就是符合需求的,所以在命令行中没有出现。
6、附图
升级会员 