Planear el cambio automático de contraseña en SharePoint Server

SE APLICA A:2013 2016 2019 Subscription Edition SharePoint en Microsoft 365

Diseñada para simplificar la administración de contraseñas, la característica de cambio de contraseña automático permite actualizar e implementar las contraseñas sin necesidad de realizar tareas manuales relacionadas en varios servicios, cuentas y aplicaciones web. Configure la característica de cambio de contraseña automático para determinar si una contraseña está a punto de expirar y restablecerla con una cadena larga, aleatoria, cifrada y segura. Para implementar esta característica, debe configurar cuentas administradas.

Configurar cuentas administradas

SharePoint Server admite cómo crear cuentas administradas para mejorar la seguridad y garantizar el aislamiento de la aplicación. Con estas cuentas, puede configurar la característica de cambio de contraseña automático para que implemente las contraseñas en todos los servicios de una granja de servidores. Asimismo, puede configurar los servicios y las aplicaciones web de SharePoint que se ejecutan en servidores de aplicaciones de granjas de servidores de SharePoint, para que usen cuentas de dominio distintas. Puede crear varias cuentas en Servicios de dominio de Active Directory (AD DS) y, a continuación, registrar cada una de estas cuentas en SharePoint Server. Si lo desea, también puede asignar cuentas administradas a varios servicios y aplicaciones web de la granja de servidores.

Restablecer contraseñas de forma automática conforme a una programación

Antes de la implementación de la característica de cambio automático de contraseñas, la actualización de contraseñas requería restablecer cada contraseña de cuenta en AD DS y, a continuación, actualizar manualmente las contraseñas de cuenta en todos los servicios que se ejecutan en todos los equipos de la granja de servidores. Para ello, tenía que ejecutar la herramienta de línea de comandos Stsadm o usar la aplicación web de Administración central de SharePoint. Con la característica de cambio automático de contraseña, ahora puede registrar cuentas administradas y habilitar SharePoint Server para controlar las contraseñas de cuenta. Los usuarios deben recibir una notificación sobre los cambios de contraseña planeados y las interrupciones del servicio relacionadas. Sin embargo, las cuentas que usa una granja de servidores de SharePoint, aplicaciones web y varios servicios se pueden restablecer e implementar automáticamente dentro de la granja de servidores según sea necesario, en función de las programaciones de restablecimiento de contraseña configuradas individualmente.

Detectar la expiración de una contraseña

Por lo general, los departamentos de TI imponen una directiva que requiere que todas las contraseñas de cuentas de dominio se restablezcan de forma periódica (por ejemplo, cada 60 días). SharePoint Server se puede configurar para detectar la expiración inminente de contraseñas y enviar una notificación por correo electrónico a un administrador designado. Incluso sin necesidad de intervención del administrador, SharePoint Server se puede configurar para generar y restablecer contraseñas automáticamente. Asimismo, la programación del restablecimiento automático de contraseñas puede configurarse para que el impacto sobre las posibles interrupciones del servicio durante esta operación sea mínimo.

Restablecer la contraseña de una cuenta de forma inmediata

Siempre que lo desee, puede reemplazar la programación de restablecimiento automático de contraseñas y forzar el restablecimiento inmediato con un valor de contraseña específico. En este escenario, SharePoint Server también puede cambiar la contraseña de la cuenta de servicio en AD DS. La nueva contraseña se propagará de forma inmediata a otros servidores de la granja.

Sincronizar las contraseñas de las cuentas de SharePoint Foundation con los Servicios de dominio de Active Directory

Si las contraseñas de cuenta de AD DS y SharePoint Server no están sincronizadas, no se iniciarán los servicios de la granja de servidores de SharePoint. Si un administrador de Active Directory cambia una contraseña de cuenta de Active Directory sin coordinar el cambio de contraseña con un administrador de SharePoint, existe el riesgo de interrupciones del servicio. En este escenario, un administrador de SharePoint puede restablecer inmediatamente la contraseña desde la página Administración de cuentas mediante el valor de contraseña que se cambió en AD DS. La contraseña se actualizará y se propagará inmediatamente al resto de servidores de la granja de SharePoint.

Restablecer todas las contraseñas de forma inmediata

Si un administrador abandona repentinamente la organización o si las contraseñas de la cuenta de servicio deben restablecerse inmediatamente por cualquier otro motivo, puede crear rápidamente un script de Microsoft PowerShell que llame a los cmdlets de cambio de contraseña. Con este script podrá generar nuevas contraseñas aleatorias e implementarlas al momento.

Proceso de cambio de credenciales

Cuando SharePoint Server cambia las credenciales de una cuenta administrada, el proceso de cambio de credenciales se producirá en un servidor de la granja de servidores. Se notificará a cada servidor de la granja de servidores que las credenciales están a punto de cambiar y los servidores pueden realizar acciones críticas previas al cambio, si son necesarias. Si la contraseña de la cuenta aún no se ha cambiado, SharePoint Server intentará cambiar la contraseña mediante una contraseña especificada manualmente o una cadena aleatoria larga y segura criptográficamente. La directiva adecuada (red o local) realizará consultas sobre la configuración de complejidad y la contraseña generada equivaldrá a la configuración detectada. SharePoint Server intentará confirmar un cambio de contraseña. Si no puede confirmar el cambio de contraseña, volverá a intentarlo mediante una nueva secuencia, durante un número especificado de veces. Si el proceso de actualización de contraseña de cuenta se realiza correctamente, continuará en el siguiente servicio dependiente, donde intentará nuevamente confirmar un cambio de contraseña. Si finalmente no lo logra, cada servicio dependiente recibirá una notificación para que reanude la actividad normal. Tanto si la confirmación de cambio de contraseña se realiza correctamente como si resulta errónea, se generará una notificación automatizada de estado de cambio de contraseña que se enviará por correo electrónico a los administradores de granjas de servidores.

Impacto en el servicio al cambiar las contraseñas

Cuando un administrador realiza un cambio de contraseña para los servidores en la topología de búsqueda de SharePoint, hay un tiempo de inactividad de consulta implícita cuando se reinician los servicios. El tiempo de inactividad de consulta suele estar en el intervalo de 3 a 5 minutos.

Consulte también

Conceptos

Configurar el cambio de contraseña automático en SharePoint Server