パスワードの自動変更を計画する (SharePoint Foundation 2010)
適用先: SharePoint Foundation 2010
パスワード管理を効率化するために、自動パスワード変更機能を使用してパスワードを更新および展開できます。この機能を使用すると、パスワードの更新作業を複数のアカウント、サービス、および Web アプリケーションに対して手動で実行する必要がありません。自動パスワード変更機能を構成して、パスワードの有効期限が近づいているかどうかを確認したり、暗号で難読化した長いランダム文字列を使用してパスワードをリセットしたりできます。自動パスワード変更機能を実装するには、管理アカウントを構成する必要があります。
この記事の内容
管理アカウントを構成する
スケジュールでパスワードを自動的にリセットする
パスワードの有効期限を検出する
アカウント パスワードを即座にリセットする
SharePoint Foundation アカウント パスワードと Active Directory ドメイン サービスを同期する
すべてのパスワードを即座にリセットする
資格情報変更プロセス
管理アカウントを構成する
Microsoft SharePoint Foundation 2010 では、管理アカウントを作成することで、セキュリティを強化し、アプリケーションを確実に分離できます。管理アカウントを使用して自動パスワード変更機能を構成し、ファーム内のすべてのサービスにパスワードを展開できます。SharePoint ファーム内のアプリケーション サーバー上で実行される SharePoint Web アプリケーションやサービスで、それぞれ別のドメイン アカウントを使用するように構成できます。Active Directory ドメイン サービスで複数のアカウントを作成した後、これらの各アカウントを SharePoint Foundation 2010 に登録できます。管理アカウントは、ファーム内のさまざまなサービスや Web アプリケーションに割り当てることができます。
スケジュールでパスワードを自動的にリセットする
自動パスワード変更機能が実装される以前は、パスワードを更新する場合、AD DS に登録されている各アカウント パスワードをリセットしてから、ファーム内のすべてのコンピューターで実行されているすべてのサービスのアカウント パスワードを手動で更新する必要がありました。これを行うには、Stsadm コマンドライン ツールを実行するか、SharePoint サーバーの全体管理 Web アプリケーションを使用する必要がありました。自動パスワード変更機能を使用すると、管理アカウントを登録し、SharePoint Foundation 2010 側でアカウント パスワードを管理できます。パスワード変更の予定とそれに伴うサービスの中断についてユーザーに通知する必要はありますが、SharePoint ファーム、Web アプリケーション、および各種のサービスで使用されているアカウントを、個別に設定したパスワード リセット スケジュールに基づいて自動的にリセットし、必要に応じてファーム内に展開できます。
パスワードの有効期限を検出する
IT 部門は、通常、すべてのドメイン アカウント パスワードを定期的に (たとえば、60 日ごとに) リセットするポリシーを適用します。SharePoint Foundation 2010 は、有効期限が近づいたパスワードを検出して、指定された管理者に電子メールで通知するように構成できます。管理者が介在しなくても、パスワードの生成とリセットを自動で処理するように SharePoint Foundation 2010 を構成できます。また、パスワードの自動リセット スケジュールは、パスワードのリセット中のサービス中断による影響が最小限ですむように設定できます。
アカウント パスワードを即座にリセットする
パスワードの自動リセット スケジュールは随時無効にすることができ、特定のパスワード値を使用してサービス アカウントのパスワードを即座にリセットできます。この場合、AD DS に登録されているサービス アカウントのパスワードも SharePoint Foundation 2010 で変更できます。変更したパスワードは、即座にファーム内の他のサーバーに伝達されます。
SharePoint Foundation アカウント パスワードと Active Directory ドメイン サービスを同期する
AD DS のアカウント パスワードと SharePoint Foundation 2010 のアカウント パスワードが一致しない場合、SharePoint ファームでサービスが開始されません。Active Directory 管理者が Active Directory アカウント パスワードを変更し、そのパスワード変更について SharePoint 管理者と調整しなかった場合、サービスが中断する可能性があります。この場合、SharePoint 管理者は、AD DS で変更されたパスワード値を使用して、[アカウントの管理] ページからパスワードを即座にリセットできます。変更されたパスワードは、即座に SharePoint ファーム内の他のサーバーに伝達されます。
すべてのパスワードを即座にリセットする
管理者が突然退職したり、何らかの理由で早急にサービス アカウント パスワードをリセットしなければならない事態になった場合は、パスワード変更コマンドレットを呼び出す Windows PowerShell スクリプトをすばやく作成できます。スクリプトで新しいランダム パスワードを生成し、即座にファーム内に展開できます。
資格情報変更プロセス
SharePoint Foundation 2010 で管理アカウントの資格情報が変更されると、ファーム内のいずれかのサーバーで資格情報の変更プロセスが開始します。ファーム内の各サーバーには、これから資格情報が変更されることが通知されます。各サーバー側では、資格情報の変更前に処理しておく必要がある操作がある場合、適宜実行できます。アカウント パスワードが変更されていない場合、SharePoint Foundation 2010 は、手動で入力されたパスワードか、暗号で難読化した長いランダム文字列のどちらかを使用して、パスワードの変更を試みます。ネットワークまたはローカルのどちらかの該当するポリシーからパスワードの複雑さに関する設定を照会し、検出された設定に合致するパスワードが生成されます。SharePoint Foundation 2010 は、パスワード変更のコミットを試みます。パスワードの変更をコミットできない場合は、新しいシーケンスで、指定された回数だけコミットを再試行します。アカウント パスワードの変更プロセスが成功すると、次に依存度の高いサービスに進み、そのサービスについてパスワード変更のコミットを試みます。アカウント パスワードの変更プロセスが最終的に失敗すると、依存関係を持つ各サービスに対して、サービスを通常どおり再開できることが通知されます。パスワード変更のコミットの成否に関わらず、パスワード変更のステータス通知が自動生成され、ファーム管理者に電子メールで送信されます。