不知道别人是如何做这个的,但是当用户在PC上改变他们的密码时,我们遇到了主要问题。 当他们改变它时,手机上的ActiveSync不会自动更新。 它会尝试使用旧密码进行身份validation,并在三次尝试后locking用户。 有什么select来解决这个问题?
没有好办法做到这一点。 你有几个select(这不是真正的解决scheme,因为他们不解决实际问题),这将允许你减less这个影响,但是这些都不能完全解决这个问题。 以下是我们缩小到的范围,以及我们最终采取的措施:
A) Increase the threshold of invalid attempts; 我们喜欢保持我们的相当高(50现在),因为有些人可能不会长时间检查他们的电话(如4-8小时或更长时间),虽然我们不能保证他们会在阈值之前检查它将它们locking,我们至less可以尝试增加locking时间,然后locking高门限。
B) Set up a script (VB or PowerShell) that emails users warning them that their passwords are about to expire; 您也可以在此电子邮件中提醒您,一旦在电脑上更改密码,他们将需要更改手机上的密码。 再一次,这个方法只是部分的工作,我相信你可以猜到。 如果您愿意的话,我会很乐意为您提供我曾经使用过的PowerShell代码,请让我知道。
C) Exclude the group of users who use EAS from the lockout policy; 这违反了locking政策的全部目的,是一个很大的安全风险,所以它不是我推荐的东西,但它是一个解决方法/选项。
显然TMG 2010 SP2及以上版本现在都有一个帐户lockingfunction,但是如果你不使用TMG,那么这是无关紧要的。
解决这个问题的最好方法是为您的移动设备使用证书身份validation。 这样,更改用户的密码不会影响他们从移动设备访问邮件的能力。 完整的设置不在单个答案的范围内,但是您至less需要设置一个内部pki结构并对您的交换CAS设置进行一些编辑。