Configurer la modification automatique de mot de passe dans SharePoint Server

  • Article

 

**Sapplique à :**SharePoint Foundation 2013, SharePoint Server 2013, SharePoint Server 2016

**Dernière rubrique modifiée :**2017-09-14

**Résumé :**Découvrez comment configurer la modification automatique du mot de passe dans SharePoint Server 2016 et SharePoint 2013.

La modification automatique de mot de passe permet à SharePoint Server de générer automatiquement des mots de passe longs et chiffrés en fonction d’un calendrier que vous pouvez fixer.

Contenu de cet article :

  • Configuration des comptes gérés

  • Configuration des paramètres de modification automatique du mot de passe

  • Dépannage pour la modification automatique de mot de passe

Configuration des comptes gérés

Vous devez enregistrer les comptes gérés conjointement avec la batterie de serveurs afin que les comptes soient disponibles pour plusieurs services. Vous pouvez enregistrer un compte géré en utilisant la page Enregistrer le compte géré dans l’le site Web Administration centrale de SharePoint. Il n’existe aucune option sur la page Enregistrer le compte géré pour créer un compte dans les services de domaine Active Directory ou sur l’ordinateur local. Les options peuvent être utilisées pour enregistrer un compte existant sur la batterie SharePoint Server. Suivez les étapes de la procédure ci-après pour utiliser l’Administration centrale pour configurer les paramètres de comptes gérés.

Pour configurer les paramètres de compte géré à l’aide de l’Administration centrale

  1. Vérifiez que le compte d’utilisateur qui exécute cette procédure est administrateur de la batterie.

  2. Sur le Administration centrale, sélectionnez Sécurité.

  3. Sous Sécurité générale, cliquez sur Configurer les comptes gérés.

  4. Dans la page Comptes gérés, cliquez sur Enregistrer le compte géré.

  5. Dans la section Enregistrement de compte de la page Enregistrer le compte géré, entrez les informations d’identification du compte de service.

  6. Dans la section Modification automatique du mot de passe, cochez la case Activer la modification automatique du mot de passe pour permettre à SharePoint Server de gérer le mot de passe pour le compte sélectionné. Ensuite, entrez une valeur numérique correspondant au nombre de jours avant la date d’expiration du mot de passe où le processus de modification automatique du mot de passe sera initié.

  7. Dans la section Modification automatique du mot de passe, cochez la case Commencer la notification par messagerie, puis entrez une valeur numérique correspondant au nombre de jours avant l’initiation du processus de modification automatique du mot de passe où une notification par message électronique vous sera envoyée. Vous pouvez ensuite configurer un calendrier hebdomadaire ou mensuel des notifications par message électronique.

  8. Cliquez sur OK.

Configuration des paramètres de modification automatique du mot de passe

Utilisez la page Paramètres de gestion des mots de passe de l’Administration centrale pour configurer les paramètres de modification automatique de mot de passe au niveau de la batterie. Les administrateurs de la batterie peuvent configurer l’adresse de messagerie de notification qui sera utilisée pour envoyer tous les messages électroniques de notification de modification du mot de passe en plus des options de surveillance et de planification. Suivez les étapes de la procédure ci-après pour utiliser l’Administration centrale pour configurer les paramètres de modification automatique du mot de passe.

Pour configurer les paramètres de modification automatique du mot de passe à l’aide de l’Administration centrale

  1. Vérifiez que le compte d’utilisateur qui exécute cette procédure est administrateur de la batterie.

  2. Dans la page d’accueil de l’Administration centrale, cliquez sur Sécurité.

  3. Sous Sécurité générale, cliquez sur Configurer les paramètres de modification de mot de passe.

  4. Dans la section Adresse de messagerie pour les notifications de la page Paramètres de gestion des mots de passe, entrez l’adresse de messagerie de la personne ou du groupe à prévenir de tous les événements imminents d’expiration ou de modification de mot de passe.

  5. Si la modification automatique de mot de passe n’est pas configurée pour un compte géré, entrez une valeur numérique dans la section Paramètres du processus d’analyse de compte qui indique le nombre de jours avant l’expiration du mot de passe où une notification sera envoyée à l’adresse de messagerie électronique configurée dans la section Adresse de messagerie pour les notifications.

  6. Dans la section Paramètres de modification automatique du mot de passe, entrez une valeur numérique qui indique le nombre de secondes d’attente avant que la modification automatique de mot de passe ne soit effectuée (après que les services ont été informés qu’une modification de mot de passe est en attente). Entrez une valeur numérique qui indique le nombre d’essais de modification de mot de passe avant l’arrêt du processus.

  7. Cliquez sur OK.

Dépannage pour la modification automatique de mot de passe

Appliquez les conseils suivants pour éviter les problèmes les plus courants pouvant se produire lors de la configuration de la modification automatique de mot de passe.

Non-correspondance des mots de passe

Si le processus de modification automatique du mot de passe échoue en raison de la non-correspondance des mots de passe entre les services de domaine Active Directory (AD DS) et SharePoint Server, le processus de modification du mot de passe peut provoquer un refus d’accès lors de la connexion, le verrouillage du compte ou des erreurs de lecture AD DS. Si l’un de ces problèmes survient, assurez-vous que vos mots de passe AD DS sont correctement configurés et que le compte AD DS a un accès en lecture pour la configuration. Utilisez Microsoft PowerShell pour résoudre tous les problèmes de non-correspondance de mot de passe qui pourraient se produire, puis reprenez le processus de modification de mot de passe.

Pour corriger la non-correspondance des mots de passe à l’aide de PowerShell

  1. Vérifiez que vous êtes membre :

    • Rôle serveur fixe securityadmin sur l’instance SQL Server

    • du rôle de base de données fixe db_owner sur toutes les bases de données à mettre à jour ;

    • du groupe Administrateurs sur le serveur sur lequel vous exécutez les applets de commande PowerShell.

    • Ajoutez les appartenances qui sont nécessaires au-delà des minima décrits ci-dessus.

    Un administrateur peut utiliser la cmdlet Add-SPShellAdmin pour accorder les autorisations d’utilisation des cmdlets SharePoint Server.

    Notes

    Si vous ne disposez pas des autorisations, contactez votre administrateur d’installation ou votre administrateur SQL Server afin de les demander. Pour plus d’informations sur les autorisations PowerShell, voir Add-SPShellAdmin.

  2. Démarrez SharePoint Management Shell.

  3. À partir de l’invite de commandes PowerShell, tapez le texte suivant :

    Set-SPManagedAccount [-Identity] <SPManagedAccountPipeBind> -ExistingPassword <SecureString> -UseExistingPassword $true

    Pour plus d’informations, voir Set-SPManagedAccount.

Échec de mise en service du compte de service

En cas d’échec de la mise en service ou de la nouvelle mise en service du compte de service sur un ou plusieurs serveurs de la batterie, vérifiez l’état du service du minuteur. Si le service du minuteur est arrêté, redémarrez-le. Pensez à utiliser la commande Stsadm suivante pour démarrer immédiatement les tâches d’administration du service du minuteur : stsadm -o execadmsvcjobs

Si le redémarrage du service du minuteur ne résout pas le problème, utilisez PowerShell pour réparer le compte géré sur chaque serveur de la batterie dont la mise en service a échoué.

Pour résoudre un échec de mise en service de compte de service

  1. Vérifiez que vous êtes membre :

    • Rôle serveur fixe securityadmin sur l’instance SQL Server

    • du rôle de base de données fixe db_owner sur toutes les bases de données à mettre à jour ;

    • du groupe Administrateurs sur le serveur sur lequel vous exécutez les applets de commande PowerShell.

    • Ajoutez les appartenances qui sont nécessaires au-delà des minima décrits ci-dessus.

    Un administrateur peut utiliser la cmdlet Add-SPShellAdmin pour accorder les autorisations d’utilisation des cmdlets SharePoint Server.

    Notes

    Si vous ne disposez pas des autorisations, contactez votre administrateur d’installation ou votre administrateur SQL Server afin de les demander. Pour plus d’informations sur les autorisations PowerShell, voir Add-SPShellAdmin.

  2. Démarrez SharePoint Management Shell.

  3. À partir de l’invite de commandes PowerShell, tapez le texte suivant :

    Repair-SPManagedAccountDeployment

    Pour plus d’informations, voir Repair-SPManagedAccountDeployment.

Si la procédure précédente ne permet pas de résoudre un échec de mise en service de compte de service, il est probable que la clé de chiffrement de la batterie ne puisse pas être déchiffrée. Si tel est le problème, utilisez PowerShell pour mettre à jour la phrase secrète du serveur local afin qu’elle corresponde à la phrase secrète de la batterie.

Pour mettre à jour la phrase secrète du serveur local

  1. Vérifiez que vous êtes membre :

    • Rôle serveur fixe securityadmin sur l’instance SQL Server

    • du rôle de base de données fixe db_owner sur toutes les bases de données à mettre à jour ;

    • du groupe Administrateurs sur le serveur sur lequel vous exécutez les applets de commande PowerShell.

    • Ajoutez les appartenances qui sont nécessaires au-delà des minima décrits ci-dessus.

    Un administrateur peut utiliser la cmdlet Add-SPShellAdmin pour accorder les autorisations d’utilisation des cmdlets SharePoint Server.

    Notes

    Si vous ne disposez pas des autorisations, contactez votre administrateur d’installation ou votre administrateur SQL Server afin de les demander. Pour plus d’informations sur les autorisations PowerShell, voir Add-SPShellAdmin.

  2. Démarrez SharePoint Management Shell.

  3. À partir de l’invite de commandes PowerShell, tapez le texte suivant :

    Set-SPPassPhrase -PassPhrase <SecureString> -ConfirmPassPhrase <SecureString> -LocalServerOnly $true

    Pour plus d’informations, voir Set-SPPassPhrase.

Expiration du mot de passe imminente

Si le mot de passe est sur le point d’expirer, mais que la modification automatique de mot de passe n’a pas été configurée pour ce compte, utilisez PowerShell pour mettre à jour le mot de passe de compte vers une nouvelle valeur choisie par l’administrateur ou générée automatiquement. Après avoir mis à jour le mot de passe de compte, assurez-vous que le service du minuteur est démarré et que le service de l’administrateur est activé sur tous les serveurs de la batterie. Ensuite, la modification du mot de passe peut être propagée sur tous les serveurs de la batterie.

Notes

Lorsqu’un administrateur modifie le mot de passe pour les serveurs dans la topologie de recherche SharePoint, il existe un temps mort de requête implicite lors du redémarrage des services. Généralement, le temps mort de requête dure entre 3 et 5 minutes.

Pour mettre à jour le mot de passe de compte

  1. Vérifiez que vous êtes membre :

    • Rôle serveur fixe securityadmin sur l’instance SQL Server

    • du rôle de base de données fixe db_owner sur toutes les bases de données à mettre à jour ;

    • du groupe Administrateurs sur le serveur sur lequel vous exécutez les applets de commande PowerShell.

    • Ajoutez les appartenances qui sont nécessaires au-delà des minima décrits ci-dessus.

    Un administrateur peut utiliser la cmdlet Add-SPShellAdmin pour accorder les autorisations d’utilisation des cmdlets SharePoint Server.

    Notes

    Si vous ne disposez pas des autorisations, contactez votre administrateur d’installation ou votre administrateur SQL Server afin de les demander. Pour plus d’informations sur les autorisations PowerShell, voir Add-SPShellAdmin.

  2. Démarrez SharePoint Management Shell.

  3. Pour mettre à jour le mot de passe de compte vers une nouvelle valeur générée automatiquement, à partir de l’invite de commandes PowerShell, entrez la commande suivante :

    Set-SPManagedAccount [-Identity] <SPManagedAccountPipeBind> -AutoGeneratePassword $true

    Pour plus d’informations, voir Set-SPManagedAccount.

Obligation de remplacer le compte de la batterie de serveurs par un autre compte

Si vous devez remplacer le compte de la batterie par un autre compte, utilisez la commande Stsadm suivante : stsadm.exe -o updatefarmcredentials -userlogin DOMAIN\username -password password