Настройка автоматической смены паролей в SharePoint Server

ОБЛАСТЬ ПРИМЕНЕНИЯ:2013 2016 2019 Subscription Edition SharePoint в Microsoft 365

Автоматическое изменение паролей позволяет SharePoint Server создавать длинные, зашифрованные пароли по расписанию.

Настройка управляемых учетных записей

Необходимо зарегистрировать управляемые учетные записи в ферме, чтобы они были доступны различным службам. Вы можете зарегистрировать управляемую учетную запись на странице Регистрация управляемой учетной записи на веб-сайте центра администрирования SharePoint. На этой странице нет параметров для создания учетной записи в доменных службах Active Directory или на локальном компьютере. Эти параметры можно использовать для регистрации существующей учетной записи в ферме SharePoint Server. Выполните действия, описанные в следующей процедуре, чтобы использовать центр администрирования для настройки параметров управляемой учетной записи.

Настройка параметров управляемой учетной записи с помощью центра администрирования

1. Убедитесь, что учетная запись пользователя, используемая для выполнения этой процедуры, является учетной записью администратора фермы.

2. Откройте Центр администрирования и выберите Безопасность.

3. В разделе Общая безопасность выберите пункт Настройка управляемых учетных записей.

4. На странице "Управляемые учетные записи" выберите Регистрация управляемой учетной записи.

5. В разделе Регистрация учетной записи страницы "Регистрация управляемой учетной записи" введите учетные данные учетной записи службы.

6. В разделе Автоматическое изменение пароля установите флажок Включить автоматическое изменение пароля , чтобы разрешить SharePoint Server управлять паролем для выбранной учетной записи. Затем введите числовое значение, которое указывает количество дней до истечения действия пароля, когда будет инициирован процесс смены пароля.

7. В разделе Автоматическая смена пароля установите флажок Отправить уведомление по электронной почте за и введите число, указывающее количество дней до инициации автоматической смены пароля, когда будет отправлено уведомление по электронной почте. Затем вы можете настроить расписание для еженедельной или ежемесячной отправки уведомлений по электронной почте.

8. Нажмите кнопку ОК.

Настройка параметров автоматической смены пароля

На странице "Параметры управления паролями" центра администрирования можно настроить параметры автоматической смены пароля на уровне фермы. В дополнение к параметрам мониторинга и расписания, администраторы фермы могут задать адрес для отправки уведомлений по электронной почте, который будет использоваться для отправки всех сообщений о смене пароля. Для настройки параметров автоматической смены пароля с помощью центра администрирования выполните следующую процедуру.

Настройка параметров автоматической смены паролей с помощью центра администрирования

1. Убедитесь, что учетная запись пользователя, используемая для выполнения этой процедуры, является учетной записью администратора фермы.

2. На домашней странице Центр администрирования нажмите Безопасность.

3. В разделе Общая безопасность выберите пункт Настройка параметров изменения паролей.

4. В разделе Адрес электронной почты для уведомлений страницы "Параметры управления паролями" введите адрес электронной почты пользователя или группы, которых следует уведомить о смене пароля или истечении срока действия пароля.

5. Если автоматическое изменение пароля не настроено для управляемой учетной записи, введите числовое значение в разделе Параметры процесса мониторинга учетных записей , указывающее количество дней до истечения срока действия пароля, в течение которых уведомление будет отправлено на адрес электронной почты, настроенный в разделе Адрес электронной почты для уведомлений .

6. В разделе Параметры автоматического изменения паролей введите число, указывающее время ожидания до начала изменения пароля в секундах (после уведомления служб о предстоящей смене пароля). Введите число, указывающее количество попыток смены пароля до остановки процесса.

7. Нажмите кнопку ОК.

Устранение неполадок с автоматической сменой паролей

Используйте следующие рекомендации, чтобы предотвратить большинство распространенных проблем, которые могут возникнуть при настройке автоматической смены паролей.

Несоответствие паролей

Если процесс автоматического изменения пароля завершается ошибкой из-за несоответствия паролей между доменными службами Active Directory (AD DS) и SharePoint Server, процесс изменения пароля может привести к отказу в доступе при входе, блокировке учетной записи или ошибкам чтения AD DS. При наличии каких-либо из этих проблем убедитесь, что пароли AD DS настроены правильно и у учетной записи AD DS есть права для чтения, необходимые для настройки. Используйте Microsoft PowerShell, чтобы устранить все возможные проблемы с несоответствием паролей, а затем возобновить процесс изменения пароля.

Устранение несоответствия паролей с помощью PowerShell

1. Убедитесь, что вы являетесь участником следующих групп:

   • Предопределенная роль сервера securityadmin для экземпляра SQL Server.

   • Предопределенная роль базы данных db_owner во всех базах данных, которые должны обновляться.

   • Администраторы группироваться на сервере, на котором выполняются командлеты PowerShell.

   • Добавьте участие в группах, необходимое помимо приведенных выше минимальных требований.

   С помощью командлета Add-SPShellAdmin администратор может предоставлять разрешения на использование командлетов SharePoint Server.

   Примечание.

   При отсутствии разрешений обратитесь к своему администратору программы установки или администратору SQL Server за разрешениями. Дополнительные сведения о разрешениях PowerShell см. в разделе Add-SPShellAdmin.

2. Запустите командную консоль SharePoint.

3. В командной строке PowerShell введите следующую команду:

   Set-SPManagedAccount [-Identity] <SPManagedAccountPipeBind> -ExistingPassword <SecureString> -UseExistingPassword $true
   

   Дополнительные сведения см. в статье Set-SPManagedAccount.

Ошибка подготовки учетной записи службы

Если сбой подготовки или повторной подготовки учетной записи службы на одном или нескольких серверах фермы, проверьте состояние службы таймера. Если она остановлена, перезапустите ее. Рассмотрите возможность использования следующей команды Stsadm для немедленного запуска заданий администрирования службы таймера: stsadm -o execadmsvcjobs

Если перезапуск службы таймера не устраняет проблему, используйте PowerShell для восстановления управляемой учетной записи на каждом сервере фермы, где произошла ошибка подготовки.

Устранение ошибки при подготовке учетной записи службы

1. Убедитесь, что вы являетесь участником следующих групп:

   • Предопределенная роль сервера securityadmin для экземпляра SQL Server.

   • Предопределенная роль базы данных db_owner во всех базах данных, которые должны обновляться.

   • Администраторы группироваться на сервере, на котором выполняются командлеты PowerShell.

   • Добавьте участие в группах, необходимое помимо приведенных выше минимальных требований.

   С помощью командлета Add-SPShellAdmin администратор может предоставлять разрешения на использование командлетов SharePoint Server.

   Примечание.

   При отсутствии разрешений обратитесь к своему администратору программы установки или администратору SQL Server за разрешениями. Дополнительные сведения о разрешениях PowerShell см. в разделе Add-SPShellAdmin.

2. Запустите командную консоль SharePoint.

3. В командной строке PowerShell введите следующую команду:

   Repair-SPManagedAccountDeployment
   

Дополнительные сведения см. в статье Repair-SPManagedAccountDeployment.

Если предыдущая процедура не устранила сбой подготовки учетной записи службы, скорее всего, это связано с тем, что ключ шифрования фермы не может быть расшифрован. Если это проблема, используйте PowerShell, чтобы обновить парольную фразу локального сервера, чтобы она соответствовала парольной фразе для фермы.

Обновление парольной фразы для локального сервера

1. Убедитесь, что вы являетесь участником следующих групп:

   • Предопределенная роль сервера securityadmin для экземпляра SQL Server.

   • Предопределенная роль базы данных db_owner во всех базах данных, которые должны обновляться.

   • Администраторы группироваться на сервере, на котором выполняются командлеты PowerShell.

   • Добавьте участие в группах, необходимое помимо приведенных выше минимальных требований.

   С помощью командлета Add-SPShellAdmin администратор может предоставлять разрешения на использование командлетов SharePoint Server.

   Примечание.

   При отсутствии разрешений обратитесь к своему администратору программы установки или администратору SQL Server за разрешениями. Дополнительные сведения о разрешениях PowerShell см. в разделе Add-SPShellAdmin.

2. Запустите командную консоль SharePoint.

3. В командной строке PowerShell введите следующую команду:

   Set-SPPassPhrase -PassPhrase <SecureString> -ConfirmPassPhrase <SecureString> -LocalServerOnly $true
   

Дополнительные сведения см. в статье Set-SPPassPhrase.

Приближающееся истечение срока действия пароля

Если срок действия пароля истекает, но автоматическое изменение пароля не настроено для этой учетной записи, используйте PowerShell, чтобы обновить пароль учетной записи до нового значения, которое может быть выбрано администратором или автоматически создано. После обновления пароля учетной записи убедитесь, что служба таймера запущена и служба администратора включена на всех серверах фермы. После этого изменение пароля может быть распространено на все серверы фермы.

Примечание.

Когда администратор меняет пароль для серверов в топологии поиска SharePoint, возникает простой обслуживания запросов, пока службы перезапускаются. Время простоя обычно составляет 3–5 мин.

Обновление пароля учетной записи

1. Убедитесь, что вы являетесь участником следующих групп:

   • Предопределенная роль сервера securityadmin для экземпляра SQL Server.

   • Предопределенная роль базы данных db_owner во всех базах данных, которые должны обновляться.

   • Администраторы группироваться на сервере, на котором выполняются командлеты PowerShell.

   • Добавьте участие в группах, необходимое помимо приведенных выше минимальных требований.

   С помощью командлета Add-SPShellAdmin администратор может предоставлять разрешения на использование командлетов SharePoint Server.

   Примечание.

   При отсутствии разрешений обратитесь к своему администратору программы установки или администратору SQL Server за разрешениями. Дополнительные сведения о разрешениях PowerShell см. в разделе Add-SPShellAdmin.

2. Запустите командную консоль SharePoint.

3. Чтобы установить для пароля учетной записи автоматически созданное значение, в командной строке PowerShell выполните следующую команду:

   Set-SPManagedAccount [-Identity] <SPManagedAccountPipeBind> -AutoGeneratePassword $true
   

Дополнительные сведения см. в статье Set-SPManagedAccount.

Требования для изменения учетной записи фермы на другую учетную запись

Если необходимо изменить учетную запись фермы на другую, используйте следующую команду Stsadm: stsadm.exe -o updatefarmcredentials -userlogin DOMAIN\username -password password