【转】利用IIS与CA证书创建修改域登陆密码页面

利用IIS与CA证书创建修改域登陆密码页面
1． 安装证书服务：
如果当前活动目录中尚未安装证书服务，则先要在一台域控制器或成员服务器（可以是Exchange服务器）上安装证书服务：打开“控制面板”-〉“添加或删除程序”-〉“添加/删除Windows组件”；在组件列表中选中“证书服务”，单击“下一步”；在CA类型中选择“企业根CA”，单击“下一步”；输入一个名称，单击“下一步”；使用默认的证书数据库配置，单击“下一步”，若提示要停止IIS服务的话，单击“是”确认；根据提示插入Windows安装光盘以安装证书服务组件；单击“完成”结束安装。
（注意：CA的公用名称必须与域名相同）

2．在IIS中启用Web服务器证书：
在服务器上打开IIS管理器并展开至
“默认网站”；右键单击“默认网站”并选择“属性”，再选中“目录安全性”页。若未启用过Web服务器证书（即“查看证书”按钮为灰）：单击“服务器证书”；单击“下一步”；选择“新建证书”，单击“下一步”，选择“立即将证书请求发送到联机证书颁发机构”，单击“下一步”；输入一个名称，单击“下一步”；输入单位和部门信息，单击“下一步”；输入站点的公用名称：若服务器位于Internet上，应使用计算机的有效DNS名称，若服务器位于Interanet上，可使用计算机的NetBIOS名（如ExchangeServerName），单击“下一步”；输入地理信息，单击“下一步”；确认SSL端口为443，单击“下一步”；在“证书颁发机构”列表中选中企业根CA名称，单击“下一步”；单击“下一步”，再单击“完成”确认完成Web服务器证书的安装。

3． 在默认网站下建立IISADMPWD虚拟目录：
仍然在IIS管理器中，右键单击“默认网站”，在弹出菜单中选择“新建”-〉“虚拟目录”；单击“下一步”；输入别名为IISADMPWD，单击“下一步”；将路径设为C:\WINDOWS\system32\inetsrv\iisadmpwd（这里假定系统盘为C盘），单击“下一步”；选中“读取”、“运行脚本”，单击“下一步”；单击“完成”

3. 设置修改密码的显示和隐藏
先进入到IIS的默认安装目录，有改动请修改相应路径
cd c:/inetpub/AdminScripts

键入 adsutil.vbs set w3svc/passwordchangeflags 0

一直按默认设置即可，运行完毕后再运行一次，屏幕显示
“passwordchangeflags:”
4、回到IIS服务器上，在文档中添加内容页“aexp2.asp”

5、通过这样的设置后，已经可以在用户前端界面的选项中看到’修改密码’按钮了，但是你试着更改密码，会提示你“密码太短，或不满足密码唯一性限制”的错误信息（这个错误信息有些误导，有时候并不是该原因出错，注意密码最短使用期限的设置），仍然无法正常修改密码。这是由于域安全策略的问题，打开域安全策略后，设置参考如下：
(1) 密码必须符合复杂性要求 已启用
(2) 密码长度最小值 7 （可以根据你的要求调整）
(3) 密码最短使用期限 0（注意这里，默认是24小时才可以修改）
(4) 密码最长使用期限 0 （根据你的需要调整）
(5) 强制密码历史 0 个记住的密码
(6) 用可还原的加密来储存密码 已禁用

然后运行下面的命令来强制刷新组策略对象：
Windows XP & Windows 2003
===========
gpupdate /target:computer /force
gpupdate /target:user /force

Windows 2000
===========
secedit /refreshpolicy machine_policy /enforce
secedit /refreshpolicy user_policy /enforce

6、接下来你就可以正常修改密码

未经允许不得转载：SRE空间 » 【转】利用IIS与CA证书创建修改域登陆密码页面