Exchange 2013禁止网页修改密码

有用户联系我说，出于公司信息安全考虑，能否修改现在的Exchange 2013的OWA，使普通用户不能通过OWA自行修改密码。

对于他的想法，我有两点疑问，

1、 要是密码过期了怎么修改，域内还好，可以通过修改域用户密码实现，要是域外呢，密码过期了怎么修改，联系管理员吗？

2、 要是密码被破解了呢，又不能自行修改，何来安全可言呢。

经过沟通后，用户还是觉得有必要这么操作，既然用户执意如此，我也就开始着手做了。

步骤1、马上就有思路了，既然Exchange是依赖于AD域的，我们就从AD域的用户属性下手来操作了，更改用户的属性为用户不能修改密码。

如果是针对所有用户，用powershell就可以了。命令如下图：

步骤2、ad用户密码不能修改后，exchange也确实就不能修改密码了，但是问题来了，用户ad密码还是需要用户可以自行修改的，只是OWA不允许用户自行修改，此路不通，那我们换个思路，还是到exchange的OWA策略上去想办法把。

登录到exchange 2013 EAC管理中心，新建一条outlook web app策略，保持默认的策略，我们新建一条策略，名称叫Forbit user change password through owa。取消更改密码选项。

步骤3、打开EMS，将策略应用到所有的用户，命令如下：

步骤4、修改后重启下IIS，以便更改更快的生效

步骤5、我们随便登录一个普通用户看看实际效果，我们发现更改密码选项皆已隐藏，达到了我们实际要的效果。

步骤6、感谢Kneight指出我博文里面做法的疏漏，密码过期后，Exchange 2013会弹出过期密码修改页面，会弹出密码过期页面，这个我们一样可以通过OWA修改密码。[注：这个过期密码修改其实我觉得还是有必要留着，密码过期后可以自行修改自己的密码，不用去找管理员了，禁止修改密码我觉的平常不让修改密码就好了，毕竟密码根据密码策略也只是几个月过期一次]

如有需要禁止密码过期后禁止弹出密码修改页面，请将注册表值由默认的1改成0后重启客户端访问服务器即可。

注册表位置:HKLM/SYSTEM/CurrentControlSet/Services/MSExchange OWA/