Configurer la modification automatique des mots de passe (SharePoint Server 2010)

S’applique à : SharePoint Foundation 2010, SharePoint Server 2010

Dernière rubrique modifiée : 2011-01-21

La modification automatique des mots de passe permet à Microsoft SharePoint Server 2010 de générer automatiquement des mots de passe longs et forts du point de vue du chiffrement selon un calendrier que vous pouvez déterminer.

Dans cet article :

• Configurer les comptes gérés

• Configurer les paramètres de modification automatique du mot de passe

• Résolution des problèmes liés à la modification automatique du mot de passe

Configurer les comptes gérés

Vous devez enregistrer des comptes gérés auprès de la batterie afin de les rendre accessibles à plusieurs services. Vous pouvez enregistrer un compte géré par le biais de la page Enregistrer le compte géré dans l’Administration centrale. Cette page ne propose aucune option permettant de créer un compte dans les services de domaine Active Directory ou sur l’ordinateur local. Les options disponibles peuvent servir à enregistrer un compte existant dans la batterie SharePoint Server 2010. Effectuez les étapes de la procédure suivante pour configurer les paramètres des comptes gérés à l’aide de l’Administration centrale.

Pour configurer les paramètres des comptes gérés à l’aide de l’Administration centrale

1. Vérifiez que le compte d’utilisateur qui effectue cette procédure est administrateur de batterie.

2. Dans le site Web Administration centrale, sélectionnez Sécurité.

3. Sous Sécurité générale, cliquez sur Configurer les comptes gérés.

4. Dans la page Comptes gérés, cliquez sur Enregistrer le compte géré.

5. Dans la section Enregistrement de compte de la page Enregistrer le compte géré, entrez les informations d’identification du compte de service.

6. Dans la section Modification automatique du mot de passe, activez la case à cocher Activer la modification automatique du mot de passe pour autoriser SharePoint Server 2010 à gérer le mot de passe du compte sélectionné. Ensuite, entrez une valeur numérique qui indique combien de jours avant l’expiration du mot de passe le processus de modification automatique du mot de passe sera initié.

7. Dans la section Modification automatique du mot de passe, activez la case à cocher Commencer la notification par messagerie, puis entrez une valeur numérique qui indique combien de jours avant l’initiation du processus de modification automatique de mot de passe une notification par courrier électronique sera envoyée. Vous pouvez ensuite configurer un calendrier de notification par courrier électronique mensuel ou hebdomadaire.

8. Cliquez sur OK.

Configurer les paramètres de modification automatique du mot de passe

Utilisez la page Paramètres de gestion des mots de passe de l’Administration centrale pour configurer les paramètres de modification automatique du mot de passe à l’échelle de la batterie. Les administrateurs de la batterie peuvent configurer l’adresse de messagerie qui sera utilisée pour envoyer tous les messages de notification de modification de mot de passe, ainsi que les options d’analyse et de planification. Effectuez les étapes de la procédure suivante pour configurer les paramètres de modification automatique de mot de passe à l’aide de l’Administration centrale.

Pour configurer les paramètres de modification automatique de mot de passe à l’aide de l’Administration centrale

1. Vérifiez que le compte d’utilisateur qui effectue cette procédure est administrateur de batterie.

2. Dans le site Web Administration centrale, cliquez sur Sécurité.

3. Sous Sécurité générale, cliquez sur Configurer les paramètres de modification de mot de passe.

4. Dans la section Adresse de messagerie pour les notifications de la page Paramètres de gestion des mots de passe, entrez l’adresse de messagerie d’une personne ou d’un groupe qui doit être informé(e) de tout événement d’expiration ou de modification de mot de passe imminent.

5. Si la modification automatique du mot de passe n’est pas configurée pour un compte géré, entrez une valeur numérique dans la section Paramètres du processus d’analyse de compte qui indique combien de jours avant l’expiration du mot de passe une notification sera envoyée à l’adresse de messagerie configurée dans la section Adresse de messagerie pour les notifications.

6. Dans la section Paramètres de modification automatique du mot de passe, entrez une valeur qui indique le nombre de secondes pendant lesquelles la modification automatique du mot de passe patientera (après avoir informé les services d’une modification de mot de passe en attente) avant d’initier la modification. Entrez une valeur qui indique le nombre de tentatives de modification du mot de passe effectuées avant l’arrêt du processus.

7. Cliquez sur OK.

Résolution des problèmes liés à la modification automatique du mot de passe

Utilisez les conseils suivants pour éviter les problèmes les plus courants qui peuvent se produire lorsque vous configurez la modification automatique du mot de passe.

Non-correspondance des mots de passe

En cas d’échec de la modification automatique du mot de passe en raison d’une non-correspondance entre les services de domaine Active Directory (AD DS) et SharePoint Server 2010, le processus de modification du mot de passe peut provoquer un refus d’accès lors de la connexion, un verrouillage de compte ou des erreurs de lecture AD DS. Si l’un de ces problèmes se produit, vérifiez que vos mots de passe AD DS sont configurés correctement et que le compte AD DS dispose d’un accès en lecture pour l’installation. Utilisez Windows PowerShell pour corriger tout problème lié à la non-correspondance des mots de passe, puis poursuivez le processus de modification de mot de passe.

Pour corriger un problème de non-correspondance des mots de passe

1. Vérifiez que vous disposez de la configuration minimale requise suivante : Voir Add-SPShellAdmin.

2. Dans le menu Démarrer, cliquez sur Tous les programmes. Cliquez sur Produits Microsoft SharePoint 2010.

3. Cliquez sur SharePoint 2010 Management Shell.

4. À l’invite de commandes Windows PowerShell, tapez la commande suivante :

   Set-SPManagedAccount [-Identity] <SPManagedAccountPipeBind> -ExistingPassword <SecureString> -UseExistingPassword $true
   

   Pour plus d’informations, voir Set-SPManagedAccount.

Échec de mise en service de compte de service

Si la (re)mise en service de compte échoue sur un ou plusieurs serveurs de la batterie, vérifiez l’état du service du minuteur. Si celui-ci est arrêté, redémarrez-le. Vous pouvez utiliser la commande Stsadm suivante pour démarrer immédiatement les travaux d’administration du service du minuteur : stsadm -o execadmsvcjobs

Si le redémarrage du service du minuteur ne résout pas le problème, utilisez Windows PowerShell pour réparer le compte géré sur chaque serveur de la batterie ayant subi un échec de mise en service.

Pour résoudre un problème d’échec de mise en service de compte de service

1. Vérifiez que vous disposez de la configuration minimale requise suivante : Voir Add-SPShellAdmin.

2. Dans le menu Démarrer, cliquez sur Tous les programmes. Cliquez sur Produits Microsoft SharePoint 2010.

3. Cliquez sur SharePoint 2010 Management Shell.

4. Depuis l’invite de commandes Windows PowerShell, tapez la commande suivante :

   Repair-SPManagedAccountDeployment
   

   Pour plus d’informations, voir Repair-SPManagedAccountDeployment.

Si la procédure précédente ne résout pas le problème d’échec de mise en service de compte de service, il est probable que la clé de chiffrement de batterie ne puisse pas être déchiffrée. Si ceci est bien la cause du problème, utilisez Windows PowerShell pour mettre à jour la phrase secrète du serveur local de sorte qu’elle corresponde à celle de la batterie.

Pour mettre à jour la phrase secrète du serveur local

1. Vérifiez que vous disposez de la configuration minimale requise suivante : Voir Add-SPShellAdmin.

2. Dans le menu Démarrer, cliquez sur Tous les programmes. Cliquez sur Produits Microsoft SharePoint 2010.

3. Cliquez sur SharePoint 2010 Management Shell.

4. Depuis l’invite de commandes Windows PowerShell, tapez la commande suivante :

   Set-SPPassPhrase -PassPhrase <SecureString> -ConfirmPassPhrase <SecureString> -LocalServerOnly $true
   

   Pour plus d’informations, voir Set-SPPassPhrase.

Expiration imminente de mots de passe

Si le mot de passe est sur le point d’expirer mais que la modification automatique du mot de passe n’a pas été configurée pour ce compte, utilisez Windows PowerShell pour mettre à jour le mot de passe du compte avec une nouvelle valeur qui peut être choisie par l’administrateur ou générée automatiquement. Après la mise à jour du mot de passe du compte, vérifiez que le service du minuteur est démarré et que le service Administrateur est activé sur tous les serveurs de la batterie. Ensuite, la modification de mot de passe peut être propagée à tous les serveurs de la batterie.

Pour mettre à jour le mot de passe du compte

1. Vérifiez que vous disposez de la configuration minimale requise suivante : Voir Add-SPShellAdmin.

2. Dans le menu Démarrer, cliquez sur Tous les programmes. Cliquez sur Produits Microsoft SharePoint 2010.

3. Cliquez sur SharePoint 2010 Management Shell.

4. Pour mettre à jour le mot de passe du compte avec une nouvelle valeur choisie par l’administrateur, depuis l’invite de commandes Windows PowerShell, tapez ce qui suit :

   Set-SPManagedAccount [-Identity] <SPManagedAccountPipeBind> -Password <SecureString>
   

5. Pour mettre à jour le mot de passe du compte avec une nouvelle valeur générée automatiquement, depuis l’invite de commandes Windows PowerShell, tapez ce qui suit :

   Set-SPManagedAccount [-Identity] <SPManagedAccountPipeBind> -AutoGeneratePassword $true
   

   Pour plus d’informations, voir Set-SPManagedAccount.

Nécessité de modifier le compte de batterie de serveurs en un autre compte

Si vous devez modifier le compte de batterie de serveurs en un autre compte, utilisez la commande Stsadm suivante : stsadm.exe -o updatefarmcredentials -userlogin DOMAIN\username -password password