Configurare la modifica automatica della password in SharePoint Server
SI APPLICA A:2013 2016 2019 Subscription Edition SharePoint in Microsoft 365
La modifica automatica delle password consente a SharePoint Server di generare automaticamente lunghe password crittografate in base a una pianificazione che è possibile definire.
Configurare account gestiti
È necessario registrare gli account gestiti con la farm per renderli disponibili per più servizi. È possibile registrare un account gestito tramite la pagina Registra account gestito di il sito Web Amministrazione centrale SharePoint. In tale pagina non sono presenti opzioni per la creazione di un account in Servizi di dominio Active Directory o nel computer locale. Le opzioni in essa contenute possono essere utilizzate per registrare un account esistente nella farm di SharePoint Server. Eseguire i passaggi della procedura seguente per utilizzare Amministrazione centrale per configurare le impostazioni degli account gestiti.
Per configurare le impostazioni dell'account gestito tramite Amministrazione centrale
Verificare che l'account utente che esegue questa procedura sia un amministratore della farm.
Tramite Amministrazione centrale selezionare Sicurezza.
In Sicurezza generale fare clic su Configura account gestiti.
Nella pagina Account gestiti fare clic su Registra account gestito.
Nella sezione Registrazione account della pagina Registra account gestito immettere le credenziali dell'account del servizio.
Nella sezione Modifica automatica della password selezionare la casella di controllo Abilita modifica automatica password per consentire a SharePoint Server di gestire la password per l'account selezionato. Immettere quindi un valore numerico per indicare quanti giorni prima della scadenza della password deve iniziare il processo di modifica automatica.
Nella sezione Modifica automatica della password selezionare la casella di controllo Invia notifica tramite posta elettronica e quindi immettere un valore numerico per indicare quanti giorni prima dell'inizio del processo di modifica automatica della password deve essere inviata una notifica tramite posta elettronica. È quindi possibile configurare una pianificazione settimanale o mensile per l'invio di tale notifica.
Fare clic su OK.
Configurazione delle impostazioni di modifica automatica delle password
Per configurare a livello di farm le impostazioni delle modifiche automatiche delle farm, utilizzare la pagina Impostazioni di gestione password di Amministrazione centrale. Oltre alle opzioni di monitoraggio e pianificazione, gli amministratori di farm possono configurare l'indirizzo di posta elettronica che verrà utilizzato per inviare tutti i messaggi di notifica relativi alla modifica delle password. Eseguire i passaggi della procedura seguente per utilizzare Amministrazione centrale per configurare le impostazioni per la modifica automatica delle password.
Per configurare le impostazioni per la modifica automatica delle password tramite Amministrazione centrale
Verificare che l'account utente che esegue questa procedura sia un amministratore della farm.
Nella home page di Amministrazione centrale fare clic su Sicurezza.
In Sicurezza generale fare clic su Configura impostazioni modifica password.
Nella sezione Indirizzo di posta elettronica notifica della pagina Impostazioni di gestione password immettere l'indirizzo di posta elettronica di un utente o di un gruppo da avvisare per eventi relativi all'imminente modifica o scadenza della password.
Se la modifica automatica della password non è configurata per un account gestito, immettere un valore numerico nella sezione Impostazioni processo di monitoraggio account che indica il numero di giorni prima della scadenza della password che una notifica verrà inviata all'indirizzo di posta elettronica configurato nella sezione Indirizzo di posta elettronica di notifica .
Nella sezione Impostazioni modifica automatica password immettere un valore numerico che indichi quanti secondi deve attendere il processo di modifica automatica (dopo avere notificato ai servizi la presenza di una modifica di password in sospeso) prima di avviare effettivamente la modifica. Immettere un valore numerico che indichi quanti tentativi di modifica della password devono essere effettuati prima che il processo venga interrotto.
Fare clic su OK.
Risoluzione dei problemi relativi alla modifica automatica delle password
Per evitare i problemi più comuni che possono verificarsi quando si configura la modifica automatica delle password, attenersi alle istruzioni riportate di seguito.
Password non corrispondenti
Se il processo di modifica automatica della password non riesce a causa di una mancata corrispondenza della password tra Active Directory Domain Services (AD DS) e SharePoint Server, il processo di modifica della password può causare errori di accesso negato all'accesso, blocco dell'account o lettura di Servizi di dominio Active Directory. Se si presenta uno qualsiasi di questi problemi, verificare che le password di Servizi di dominio Active Directory siano configurate correttamente e che l'account di Servizi di dominio Active Directory disponga dell'accesso in lettura per l'installazione. Utilizzare Microsoft PowerShell per risolvere gli eventuali problemi di discrepanza tra le password e quindi riprendere il processo di modifica.
Per correggere la discrepanza tra le password tramite PowerShell
Verificare di essere membri dei ruoli e dei gruppi seguenti:
Ruolo predefinito del server securityadmin nell'istanza di SQL Server.
Ruolo predefinito del database db_owner in tutti i database da aggiornare.
Gruppo Administrators nel server in cui si eseguono i cmdlet di PowerShell.
Aggiungere le appartenenze necessarie oltre ai livelli minimi sopra indicati.
Un amministratore può utilizzare il cmdlet Add-SPShellAdmin per concedere le autorizzazioni per l'utilizzo dei cmdlet di SharePoint Server.
Nota
[!NOTA] Se non si dispone delle autorizzazioni, richiederle all'amministratore per l'installazione o all'amministratore di SQL Server. Per altre informazioni sulle autorizzazioni di PowerShell, vedere Add-SPShellAdmin.
Avviare Management Shell di SharePoint.
Al prompt dei comandi di PowerShell digitare quanto segue:
Set-SPManagedAccount [-Identity] <SPManagedAccountPipeBind> -ExistingPassword <SecureString> -UseExistingPassword $true
Per ulteriori informazioni, vedere Set-SPManagedAccount.
Errore di provisioning dell'account del servizio
Se il provisioning o il reprovisioning dell'account del servizio non riesce in uno o più server della farm, controllare lo stato del servizio timer. Se tale servizio si è arrestato, riavviarlo. È consigliabile usare il comando Stsadm seguente per avviare immediatamente i processi di amministrazione del servizio Timer: stsadm -o execadmsvcjobs
Se il riavvio del servizio timer non risolve il problema, usare PowerShell per ripristinare l'account gestito in ogni server della farm che ha riscontrato un errore di provisioning.
Per correggere un errore di provisioning dell'account del servizio
Verificare di essere membri dei ruoli e dei gruppi seguenti:
Ruolo predefinito del server securityadmin nell'istanza di SQL Server.
Ruolo predefinito del database db_owner in tutti i database da aggiornare.
Gruppo Administrators nel server in cui si eseguono i cmdlet di PowerShell.
Aggiungere le appartenenze necessarie oltre ai livelli minimi sopra indicati.
Un amministratore può utilizzare il cmdlet Add-SPShellAdmin per concedere le autorizzazioni per l'utilizzo dei cmdlet di SharePoint Server.
Nota
[!NOTA] Se non si dispone delle autorizzazioni, richiederle all'amministratore per l'installazione o all'amministratore di SQL Server. Per altre informazioni sulle autorizzazioni di PowerShell, vedere Add-SPShellAdmin.
Avviare Management Shell di SharePoint.
Al prompt dei comandi di PowerShell digitare quanto segue:
Repair-SPManagedAccountDeployment
Per ulteriori informazioni, vedere Repair-SPManagedAccountDeployment.
Se la procedura precedente non risolve un errore di provisioning dell'account del servizio, è probabile che la chiave di crittografia della farm non possa essere decrittografata. In tal caso, utilizzare PowerShell per aggiornare la passphrase del server locale in modo che corrisponda alla passphrase della farm.
Per aggiornare la passphrase del server locale
Verificare di essere membri dei ruoli e dei gruppi seguenti:
Ruolo predefinito del server securityadmin nell'istanza di SQL Server.
Ruolo predefinito del database db_owner in tutti i database da aggiornare.
Gruppo Administrators nel server in cui si eseguono i cmdlet di PowerShell.
Aggiungere le appartenenze necessarie oltre ai livelli minimi sopra indicati.
Un amministratore può utilizzare il cmdlet Add-SPShellAdmin per concedere le autorizzazioni per l'utilizzo dei cmdlet di SharePoint Server.
Nota
[!NOTA] Se non si dispone delle autorizzazioni, richiederle all'amministratore per l'installazione o all'amministratore di SQL Server. Per altre informazioni sulle autorizzazioni di PowerShell, vedere Add-SPShellAdmin.
Avviare Management Shell di SharePoint.
Al prompt dei comandi di PowerShell digitare quanto segue:
Set-SPPassPhrase -PassPhrase <SecureString> -ConfirmPassPhrase <SecureString> -LocalServerOnly $true
Per ulteriori informazioni, vedere Set-SPPassPhrase.
Scadenza imminente della password
Se la password sta per scadere, ma la modifica automatica della password non è stata configurata per questo account, usare PowerShell per aggiornare la password dell'account a un nuovo valore che può essere scelto dall'amministratore o generato automaticamente. Dopo aver aggiornato la password dell'account, verificare che il servizio timer sia stato avviato e che il servizio di amministrazione sia abilitato in tutti i server della farm. La modifica della password può quindi essere propagata a tutti i server della farm.
Nota
Quando un amministratore esegue una modifica della password per i server nella topologia di ricerca di SharePoint, si verifica un tempo di inattività implicito della query al riavvio dei servizi. Il tempo di inattività della query è in genere compreso tra 3 e 5 minuti.
Per aggiornare la password dell'account
Verificare di essere membri dei ruoli e dei gruppi seguenti:
Ruolo predefinito del server securityadmin nell'istanza di SQL Server.
Ruolo predefinito del database db_owner in tutti i database da aggiornare.
Gruppo Administrators nel server in cui si eseguono i cmdlet di PowerShell.
Aggiungere le appartenenze necessarie oltre ai livelli minimi sopra indicati.
Un amministratore può utilizzare il cmdlet Add-SPShellAdmin per concedere le autorizzazioni per l'utilizzo dei cmdlet di SharePoint Server.
Nota
[!NOTA] Se non si dispone delle autorizzazioni, richiederle all'amministratore per l'installazione o all'amministratore di SQL Server. Per altre informazioni sulle autorizzazioni di PowerShell, vedere Add-SPShellAdmin.
Avviare Management Shell di SharePoint.
Per aggiornare la password dell'account impostandola su un nuovo valore generato automaticamente, al prompt dei comandi di PowerShell digitare quanto segue:
Set-SPManagedAccount [-Identity] <SPManagedAccountPipeBind> -AutoGeneratePassword $true
Per ulteriori informazioni, vedere Set-SPManagedAccount.
Necessità di cambiare l'account della farm
Se è necessario modificare l'account della farm in un account diverso, usare il comando Stsadm seguente: stsadm.exe -o updatefarmcredentials -userlogin DOMAIN\username -password password