Pianificare la modifica automatica delle password (SharePoint Foundation 2010)

SharePoint 2010
 

Si applica a: SharePoint Foundation 2010

Ultima modifica dell'argomento: 2016-11-30

Per semplificare la gestione delle password, la relativa funzionalità di modifica automatica consente di aggiornare e distribuire le password senza dover eseguire attività di aggiornamento manuali su più account, servizi e applicazioni Web. È possibile configurare tale funzionalità per determinare se una password sta per scadere e reimpostarla utilizzando una lunga stringa casuale a crittografia avanzata. Per implementare la funzionalità di modifica automatica delle password, è necessario configurare account gestiti.

Contenuto dell'articolo:

  • Configurazione degli account gestiti

  • Reimpostazione automatica delle password secondo una pianificazione

  • Rilevamento della scadenza delle password

  • Reimpostazione immediata della password di un account

  • Sincronizzazione delle password degli account di SharePoint Foundation con Servizi di dominio Active Directory

  • Reimpostazione immediata di tutte le password

  • Processo di modifica delle credenziali

Microsoft SharePoint Foundation 2010 supporta la creazione di account gestiti per garantire una maggiore sicurezza e l'isolamento delle applicazioni. Utilizzando account gestiti, è possibile configurare la funzionalità di modifica automatica delle password in modo da distribuire queste ultime in tutti i servizi della farm. È possibile configurare le applicazioni Web e i servizi di SharePoint in esecuzione nei server applicazioni di una farm di SharePoint farm in modo da utilizzare account di dominio diversi. È possibile creare più account in Servizi di dominio Active Directory e quindi registrare ognuno di questi account in SharePoint Foundation 2010. È possibile mappare gli account gestiti a diversi servizi e applicazioni Web della farm.

Prima che venisse implementata la funzionalità di modifica automatica delle password, per aggiornare le password era necessario reimpostare ogni password degli account in Servizi di dominio Active Directory e quindi aggiornare manualmente le password degli account per tutti i servizi in esecuzione in tutti i computer della farm. A tale scopo, era necessario eseguire lo strumento da riga di comando Stsadm oppure utilizzare l'applicazione Web Amministrazione centrale SharePoint. Grazie alla funzionalità di modifica automatica delle password, è ora possibile registrare gli account gestiti e consentire a SharePoint Foundation 2010 di controllare le password degli account. Agli utenti devono essere notificate le modifiche pianificate delle password e le interruzioni dei servizi correlate a tali attività, ma gli account utilizzati da una farm di SharePoint, dalle applicazioni Web e da diversi servizi possono essere reimpostati automaticamente e distribuiti all'interno della farm secondo le necessità in base a pianificazioni di reimpostazione delle password configurate singolarmente.

I reparti IT in genere impongono criteri che richiedono la reimpostazione di tutte le password degli account di dominio a scadenza regolare, ad esempio ogni 60 giorni. SharePoint Foundation 2010 può essere configurato in modo da rilevare l'imminente scadenza delle password e da inviare una notifica tramite posta elettronica all'amministratore designato. Anche senza alcun intervento da parte dell'amministratore, SharePoint Foundation 2010 può essere configurato in modo da generare e reimpostare automaticamente le password. È inoltre possibile configurare la pianificazione per la reimpostazione automatica delle password in modo da ridurre al minimo l'effetto delle possibili interruzioni dei servizi durante l'esecuzione del processo.

È sempre possibile ignorare una pianificazione di reimpostazione automatica delle password e forzare l'esecuzione immediata di tale reimpostazione utilizzando un valore di password specifico. In questo scenario anche la password per l'account di servizio può essere modificata in Servizi di dominio Active Directory da SharePoint Foundation 2010. La nuova password viene quindi propagata immediatamente agli altri server della farm.

Se le password degli account di Servizi di dominio Active Directory e SharePoint Foundation 2010 non sono sincronizzate, i servizi nella farm di SharePoint non verranno avviati. Se un amministratore di Active Directory cambia la password di un account di Active Directory senza coordinare la modifica con un amministratore di SharePoint, si corre il rischio di interruzioni nei servizi. In questo scenario un amministratore di SharePoint può reimpostare immediatamente la password dalla pagina di gestione degli account utilizzando il valore modificato in Servizi di dominio Active Directory. La password viene aggiornata e propagata immediatamente agli altri server della farm di SharePoint.

Se un amministratore lascia improvvisamente l'organizzazione oppure se si presenta la necessità di reimpostare subito le password degli account di servizio per qualsiasi altra ragione, è possibile creare rapidamente uno script di Windows PowerShell che chiami i cmdlet per la modifica delle password. Tale script può essere utilizzato per generare nuove password casuali e distribuire immediatamente le nuove password.

Quando SharePoint Foundation 2010 modifica le credenziali per un account gestito, il processo di modifica viene eseguito in un unico server della farm. L'imminente modifica delle credenziali viene notificata ai singoli server della farm, che possono eventualmente eseguire le operazioni critiche necessarie prima che la modifica venga apportata. Se la password dell'account non è stata ancora modificata, SharePoint Foundation 2010 tenterà di modificarla utilizzando una password immessa manualmente o una lunga stringa casuale a crittografia avanzata. Le impostazioni di complessità verranno recuperate dai criteri appropriati (di rete o locali) e la password generata corrisponderà alle impostazioni rilevate. SharePoint Foundation 2010 tenterà di eseguire il commit della modifica della password. Se il commit non riesce, verrà eseguito un ulteriore tentativo utilizzando una nuova sequenza per un certo numero di volte. Se il processo di aggiornamento della password dell'account ha esito positivo, passerà al successivo servizio dipendente, dove tenterà di nuovo di eseguire il commit della modifica della password. Se l'esito è ancora negativo, a ogni servizio dipendente verrà notificato di poter riprendere le normali attività. Indipendentemente dal fatto che il commit abbia esito positivo o negativo, verrà generata una notifica di stato di modifica automatica della password e tale notifica verrà inviata tramite posta elettronica agli amministratori della farm.

Mostra: