Planen der automatischen Kennwortänderung in SharePoint

  • Artikel

GILT FÜR:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

Zur Vereinfachung der Kennwortverwaltung ermöglicht Ihnen das Feature für die automatische Kennwortänderung, Kennwörter zu aktualisieren und bereitzustellen, ohne manuelle Kennwortaktualisierungsaufgaben für zahlreiche Konten, Dienste und Webanwendungen durchführen zu müssen. Sie können das Feature für die automatische Kennwortänderung so konfigurieren, dass ermittelt wird, ob ein Kennwort in Kürze abläuft, und das Kennwort mithilfe einer langen, kryptografisch starken zufälligen Zeichenfolge zurückgesetzt wird. Um das Feature für die automatische Kennwortänderung zu implementieren, müssen Sie verwaltete Konten konfigurieren.

Konfigurieren verwalteter Konten

SharePoint Server unterstützt die Erstellung verwalteter Konten, um die Sicherheit zu verbessern und Anwendungsisolation zu garantieren. Mithilfe verwalteter Konten können Sie die Funktion für automatische Kennwortänderungen konfigurieren, um Kennwörter für alle Dienste in der Farm bereitzustellen. Sie können SharePoint-Webanwendungen und -Webdienste, die auf Anwendungsservern in einer SharePoint-Farm ausgeführt werden, so konfigurieren, dass unterschiedliche Domänenkonten verwendet werden. Sie können mehrere Konten in Active Directory-Domänendiensten (AD DS) erstellen und dann jedes dieser Konten in SharePoint Server registrieren. Sie können verwaltete Konten verschiedenen Diensten und Webanwendungen in der Farm zuordnen.

Automatisches Zurücksetzen von Kennwörtern nach Plan

Vor der Implementierung des Features für die automatische Kennwortänderung musste zur Aktualisierung von Kennwörtern jedes Kontokennwort in AD DS zurückgesetzt und dann manuell in allen Diensten aktualisiert werden, die auf allen Computern in der Farm ausgeführt werden. Dazu mussten Sie das Stsadm-Befehlszeilentool ausführen oder die SharePoint Zentraladministration-Webanwendung verwenden. Durch die Verwendung des Features für die automatische Kennwortänderung können Sie jetzt verwaltete Konten registrieren und SharePoint Server zur Steuerung von Kontokennwörtern verwenden. Benutzer müssen über geplante Kennwortänderungen und entsprechende Dienstunterbrechungen informiert werden. Die Konten, die von einer SharePoint-Farm, Webanwendungen und verschiedenen Diensten verwendet werden, können allerdings automatisch zurückgesetzt und nach Bedarf, auf Basis individuell konfigurierter Kennwortzurücksetzungspläne in der Farm bereitgestellt werden.

Erkennung des Kennwortablaufs

IT-Abteilungen setzen normalerweise eine Richtlinie durch, die erfordert, dass alle Domänenkontokennwörter regelmäßig, z. B. alle 60 Tage, zurückgesetzt werden. SharePoint Server kann so konfiguriert werden, dass ein bevorstehender Kennwortablauf erkannt und eine E-Mail-Benachrichtigung an einen bestimmten Administrator gesendet wird. Auch ohne Administratoreingriff kann SharePoint Server so konfiguriert werden, dass Kennwörter automatisch generiert und zurückgesetzt werden. Der Plan für die automatische Kennwortzurücksetzung ist außerdem so konfigurierbar, dass gewährleistet wird, dass die Auswirkungen möglicher Dienstunterbrechungen bei einer Kennwortzurücksetzung minimal sind.

Sofortiges Zurücksetzen des Kontokennworts

Sie können einen Plan für die automatische Kennwortzurücksetzung jederzeit außer Kraft setzen und eine sofortige Zurücksetzung eines Dienstkontokennworts mithilfe eines bestimmten Kontokennworts erzwingen. In diesem Szenario kann das Kennwort für das Dienstkonto mithilfe von SharePoint Server auch in AD DS geändert werden. Das neue Kennwort wird dann automatisch an andere Dienste in der Farm weitergegeben.

Synchronisieren von SharePoint Foundation-Kontokennwörtern mit Active Directory-Domänendiensten

Wenn AD DS- und SharePoint Server-Kontokennwörter nicht synchronisiert wurden, werden Dienste in der SharePoint-Farm nicht gestartet. Wenn ein Active Directory-Administrator ein Active Directory-Kontokennwort ändert, ohne die Kennwortänderung mit einem SharePoint-Administrator zu koordinieren, besteht die Gefahr von Dienstunterbrechungen. In diesem Szenario kann ein SharePoint-Administrator das Kennwort sofort über die Seite Kontoverwaltung zurücksetzen, indem er den in AD DS geänderten Kennwortwert verwendet. Das Kennwort wird aktualisiert und sofort an die anderen Server in der SharePoint-Farm weitergegeben.

Sofortiges Zurücksetzen aller Kennwörter

Wenn ein Administrator plötzlich aus Ihrer Organisation ausscheidet, oder wenn die Dienstkontokennwörter aus anderen Gründen sofort zurückgesetzt werden müssen, können Sie schnell ein Microsoft PowerShell-Skript erstellen, das die Kennwortänderungs-Cmdlets aufruft. Sie können mithilfe des Skripts neue zufällige Kennwörter generieren und die neuen Kennwörter sofort bereitstellen.

Prozess der Änderung von Anmeldeinformationen

Wenn SharePoint Server die Anmeldedaten für ein verwaltetes Konto ändert, erfolgt der Anmeldedatenänderungsprozess auf einem Server in der Farm. Jeder Server in der Farm wird benachrichtigt, dass die Anmeldedaten in Kürze geändert werden, und Server können bei Bedarf wichtige Aktionen ausführen, die vor der Änderung erforderlich sind. Wenn das Kontokennwort noch nicht geändert wurde, versucht SharePoint Server, das Kennwort mithilfe eines manuell eingegebenen Kennworts oder einer langen, kryptografisch starken zufälligen Zeichenfolge zu ändern. Die Komplexitätseinstellungen werden von der entsprechenden Richtlinie (Netzwerk oder lokal) abgefragt, und das generierte Kennwort wird den ermittelten Einstellungen entsprechen. SharePoint Server wird versuchen, eine Kennwortänderung zu bestätigen. Wenn die Kennwortänderung nicht bestätigt werden kann, wird mithilfe einer neuen Sequenz eine bestimmte Anzahl von erneuten Versuchen durchgeführt. Wenn der Prozess der Kontokennwortaktualisierung erfolgreich ist, wird mit dem nächsten abhängigen Dienst fortgefahren und erneut versucht, eine Kennwortänderung zu bestätigen. Wenn der Vorgang letztendlich nicht erfolgreich durchgeführt werden kann, wird jeder abhängige Dienst informiert, dass die normale Aktivität fortgesetzt werden kann. Sowohl eine erfolgreiche Bestätigung einer Kennwortänderung als auch das Fehlschlagen der Bestätigung führen zur Erstellung einer automatisierten Benachrichtigung über den Kennwortänderungsstatus, die per E-Mail an Farmadministratoren gesendet wird.

Dienstauswirkungen bei Kennwortänderungen

Wenn ein Administrator eine Kennwortänderung für die Server in der SharePoint-Suchtopologie durchführt, tritt eine Ausfallzeit für Abfragen auf, wenn die Dienste neu gestartet werden. Die Ausfallzeit für Abfragen beträgt normalerweise zwischen 3 und 5 Minuten.

Siehe auch

Konzepte

Konfigurieren der automatischen Kennwortänderung in SharePoint Server