Planen der automatischen Kennwortänderung (SharePoint Foundation 2010)

Artikel
12/02/2016

Gilt für: SharePoint Foundation 2010

Letztes Änderungsdatum des Themas: 2016-11-30

Zur Vereinfachung der Kennwortverwaltung können Sie mit dem Feature für die automatische Kennwortänderung Kennwörter aktualisieren und bereitstellen, ohne manuelle Kennwortupdateaufgaben für mehrere Konten, Dienste und Webanwendungen ausführen zu müssen. Sie können das Feature für die automatische Kennwortänderung so konfigurieren, dass erkannt wird, ob ein Kennwort kurz vor dem Ablaufdatum steht, und das Kennwort mit einer langen, kryptografisch starken Zufallszeichenfolge zurückgesetzt wird. Sie müssen verwaltete Konten konfigurieren, um das Feature für die automatische Kennwortänderung zu implementieren.

Inhalt dieses Artikels:

Konfigurieren verwalteter Konten
Automatisches Zurücksetzen von Kennwörtern nach einem Zeitplan
Erkennen des Kennwortablaufs
Sofortiges Zurücksetzen des Kontokennworts
Synchronisieren von SharePoint Foundation-Kontokennwörtern mit Active Directory-Domänendiensten
Sofortiges Zurücksetzen aller Kennwörter
Änderungsvorgang für Anmeldeinformationen

Konfigurieren verwalteter Konten

Microsoft SharePoint Foundation 2010 unterstützt das Erstellen verwalteter Konten, um die Sicherheit zu verbessern und die Anwendungsisolation sicherzustellen. Mithilfe verwalteter Konten können Sie das Feature für die automatische Kennwortänderung so konfigurieren, dass Kennwörter für alle Dienste in der Serverfarm bereitgestellt werden. Für SharePoint-Webanwendungen und -Dienste, die auf Anwendungsservern in einer SharePoint-Farm ausgeführt werden, können Sie unterschiedliche Domänenkonten konfigurieren. Sie können mehrere Konten in Active Directory-Domänendiensten (AD DS) erstellen und diese Konten dann in SharePoint Foundation 2010 registrieren. Außerdem können verwaltete Konten verschiedenen Diensten und Webanwendungen in der Serverfarm zugeordnet werden.

Automatisches Zurücksetzen von Kennwörtern nach einem Zeitplan

Vor der Implementierung des Features für die automatische Kennwortänderung musste für die Aktualisierung von Kennwörtern jedes Kontokennwort in Active Directory-Domänendiensten zurückgesetzt werden, und anschließend mussten die Kontokennwörter für alle Dienste, die auf allen Computern in der Serverfarm ausgeführt werden, manuell aktualisiert werden. Dazu mussten Sie das Befehlszeilentool Stsadm ausführen oder die Webanwendung für die SharePoint-Zentraladministration verwenden. Mithilfe des Features für die automatische Kennwortänderung können Sie nun verwaltete Konten registrieren und die die Kontrolle der Kontokennwörter durch SharePoint Foundation 2010 aktivieren. Die Benutzer müssen über geplante Kennwortänderungen und damit verbundene Dienstunterbrechungen informiert werden. Die von einer SharePoint-Farm, von Webanwendungen und verschiedenen Diensten verwendeten Konten können jedoch bei Bedarf automatisch zurückgesetzt und in der Serverfarm bereitgestellt werden, und zwar basierend auf individuell konfigurierten Zeitplänen für die Kennwortzurücksetzung.

Erkennen des Kennwortablaufs

IT-Abteilungen richten in der Regel eine Richtlinie ein, die verlangt, dass alle Kennwörter für Domänenkonten regelmäßig zurückgesetzt werden, beispielsweise alle 60 Tage. SharePoint Foundation 2010 kann so konfiguriert werden, dass in Kürze ablaufende Kennwörter erkannt werden und eine E-Mail-Benachrichtigung an den entsprechenden Administrator gesendet wird. SharePoint Foundation 2010 kann so konfiguriert werden, dass Kennwörter automatisch generiert und zurückgesetzt werden, und zwar ohne dass der Administrator eingreift. Der Zeitplan für die automatische Kennwortzurücksetzung ist ebenfalls konfigurierbar, um sicherzustellen, dass die Auswirkungen eventueller Dienstunterbrechungen während einer Kennwortzurücksetzung minimal sind.

Sofortiges Zurücksetzen des Kontokennworts

Einen Zeitplan für die automatische Kennwortzurücksetzung können Sie jederzeit außer Kraft setzen, und mithilfe eines bestimmten Kennwortwerts können Sie eine sofortige Zurücksetzung der Dienstkontokennwörter erzwingen. In dieser Situation kann das Kennwort für das Dienstkonto auch in Active Directory-Domänendiensten durch SharePoint Foundation 2010 geändert werden. Das neue Kennwort wird dann sofort an andere Server in der Farm weitergegeben.

Synchronisieren von SharePoint Foundation-Kontokennwörtern mit Active Directory-Domänendiensten

Wenn die Kontokennwörter von Active Directory-Domänendiensten und SharePoint Foundation 2010 nicht synchronisiert sind, werden Dienste in der SharePoint-Farm nicht gestartet. Ändert ein Active Directory-Administrator ein Active Directory-Kontokennwort, ohne die Kennwortänderung mit einem SharePoint-Administrator zu koordinieren, besteht das Risiko von Dienstunterbrechungen. In dieser Situation kann ein SharePoint-Administrator das Kennwort auf der Seite Kontoverwaltung mithilfe des in Active Directory-Domänendiensten geänderten Kennwortwerts sofort zurücksetzen. Das Kennwort wird aktualisiert und sofort an die anderen Server in der SharePoint-Farm weitergegeben.

Sofortiges Zurücksetzen aller Kennwörter

Wenn ein Administrator Ihre Organisation plötzlich verlässt, oder wenn die Dienstkontokennwörter aus einem anderen Grund sofort zurückgesetzt werden müssen, können Sie schnell ein Windows PowerShell-Skript erstellen, mit dem die Kennwortänderungs-Cmdlets aufgerufen werden. Mit diesem Skript können Sie neue Kennwörter nach dem Zufallsprinzip generieren und die neuen Kennwörter sofort bereitstellen.

Änderungsvorgang für Anmeldeinformationen

Wenn die Anmeldeinformationen von SharePoint Foundation 2010 für ein verwaltetes Konto geändert werden, wird der Änderungsvorgang für Anmeldeinformationen auf einem Server in der Farm ausgeführt. Alle Server in der Farm werden informiert, dass die Anmeldeinformationen geändert werden, und von den Servern können bei Bedarf wichtige Aktionen vor einer Änderung ausgeführt werden. Falls das Kontokennwort noch nicht geändert wurde, versucht SharePoint Foundation 2010, das Kennwort entweder mithilfe eines manuell eingegebenen Kennworts oder mithilfe einer langen, kryptografisch starken Zufallszeichenfolge zu ändern. Die Komplexitätseinstellungen werden von der entsprechenden Richtlinie abgefragt (Netzwerk oder lokal), und das generierte Kennwort entspricht den erkannten Einstellungen. Von SharePoint Foundation 2010 wird versucht, einen Commit für eine Kennwortänderung auszuführen. Falls dies nicht möglich ist, wird unter Verwendung einer neuen Sequenz eine bestimmte Anzahl von Wiederholungsversuchen ausgeführt. Wenn das Kontokennwort erfolgreich aktualisiert wurde, wird der Vorgang mit dem nächsten abhängigen Dienst fortgesetzt, für den wiederum versucht wird, einen Commit für eine Kennwortänderung auszuführen. Wenn dies letztlich nicht erfolgreich ist, werden alle abhängigen Dienste informiert, damit sie wieder die normale Aktivität aufnehmen können. Für einen erfolgreichen bzw. nicht erfolgreichen Commit für eine Kennwortänderung wird eine automatische Benachrichtigung über den Kennwortänderungsstatus generiert, die per E-Mail an die Farmadministratoren gesendet wird.