不确定其他人是怎么做的,但我们遇到的主要问题是当用户在 PC 上更改密码时。当他们更改密码时,手机上的 ActiveSync 不会自动更新。它会尝试使用旧密码进行身份验证,并在三次尝试后锁定用户。有什么办法可以解决这个问题?
答案1
没有什么好的方法可以做到这一点。 您有几个选择(它们并不是真正的解决方案,因为它们没有解决实际问题)可以让您减少由此造成的后果,但这些都不能完全解决问题。以下是我们组织中最终选择的方法:
A) Increase the threshold of invalid attempts; 我们希望将我们的阈值保持在相当高的水平(现在是 50),因为有些人可能在较长的一段时间内(比如说 4-8 小时或更长时间)不会检查他们的手机,虽然我们不能保证他们会在阈值锁定他们之前检查手机,但我们至少可以尝试通过设置较高的锁定阈值来增加他们在被锁定之前的时间。
B) Set up a script (VB or PowerShell) that emails users warning them that their passwords are about to expire;您还可以在此电子邮件中提醒他们,一旦他们在计算机上更改密码,他们就需要在手机上更改密码。同样,我相信您能猜到,这种方法只能部分奏效。如果您愿意,我很乐意为您提供我用来执行此操作的 PowerShell 代码,只需告诉我即可。
C) Exclude the group of users who use EAS from the lockout policy; 这违背了锁定策略的整个目的,并且存在很大的安全风险,所以我不推荐这样做,但无论如何这仍是一种解决方法/选择。
显然 TMG 2010 SP2 及以上版本现在具有帐户锁定功能根据这个,但如果您不使用 TMG,那么这就无关紧要了。
答案2
解决此问题的最佳方法是利用移动设备的证书身份验证。这样,更改用户的密码不会影响他们从移动设备访问邮件的能力。此设置的完整范围超出了单个答案的范围,但您至少需要设置内部 pki 结构并对 exchange CAS 设置进行一些编辑。