Configurare la modifica automatica della password in SharePoint Server

  • Articolo

 

**Si applica a:**SharePoint Foundation 2013, SharePoint Server 2013, SharePoint Server 2016

**Ultima modifica dell'argomento:**2017-09-14

Riepilogo: vengono fornite informazioni su come configurare le modifiche automatiche delle password in SharePoint Server 2016 e SharePoint 2013.

La modifica automatica delle password consente a SharePoint Server di generare automaticamente lunghe password crittografate in base a una pianificazione che è possibile definire.

Contenuto dell'articolo:

  • Configurazione degli account gestiti

  • Configurazione delle impostazioni di modifica automatica delle password

  • Risoluzione dei problemi relativi alla modifica automatica delle password

Configurazione degli account gestiti

È necessario registrare gli account gestiti con la farm per renderli disponibili per più servizi. È possibile registrare un account gestito tramite la pagina Registra account gestito di il sito Web Amministrazione centrale SharePoint. In tale pagina non sono presenti opzioni per la creazione di un account in Servizi di dominio Active Directory o nel computer locale. Le opzioni in essa contenute possono essere utilizzate per registrare un account esistente nella farm di SharePoint Server. Eseguire i passaggi della procedura seguente per utilizzare Amministrazione centrale per configurare le impostazioni degli account gestiti.

Per configurare le impostazioni dell'account gestito tramite Amministrazione centrale

  1. Verificare che l'account utente che esegue questa procedura sia un amministratore della farm.

  2. Tramite Amministrazione centrale selezionare Sicurezza.

  3. In Sicurezza generale fare clic su Configura account gestiti.

  4. Nella pagina Account gestiti fare clic su Registra account gestito.

  5. Nella sezione Registrazione account della pagina Registra account gestito immettere le credenziali dell'account del servizio.

  6. Nella sezione Modifica automatica della password selezionare la casella di controllo Abilita modifica automatica password per consentire a SharePoint Server di gestire la password per l'account selezionato. Immettere quindi un valore numerico per indicare quanti giorni prima della scadenza della password deve iniziare il processo di modifica automatica.

  7. Nella sezione Modifica automatica della password selezionare la casella di controllo Invia notifica tramite posta elettronica e quindi immettere un valore numerico per indicare quanti giorni prima dell'inizio del processo di modifica automatica della password deve essere inviata una notifica tramite posta elettronica. È quindi possibile configurare una pianificazione settimanale o mensile per l'invio di tale notifica.

  8. Fare clic su OK.

Configurazione delle impostazioni di modifica automatica delle password

Per configurare a livello di farm le impostazioni delle modifiche automatiche delle farm, utilizzare la pagina Impostazioni di gestione password di Amministrazione centrale. Oltre alle opzioni di monitoraggio e pianificazione, gli amministratori di farm possono configurare l'indirizzo di posta elettronica che verrà utilizzato per inviare tutti i messaggi di notifica relativi alla modifica delle password. Eseguire i passaggi della procedura seguente per utilizzare Amministrazione centrale per configurare le impostazioni per la modifica automatica delle password.

Configurazione delle impostazioni di modifica automatica delle password tramite Amministrazione centrale

  1. Verificare che l'account utente che esegue questa procedura sia un amministratore della farm.

  2. Nella home page di Amministrazione centrale fare clic su Sicurezza.

  3. In Sicurezza generale fare clic su Configura impostazioni modifica password.

  4. Nella sezione Indirizzo di posta elettronica notifica della pagina Impostazioni di gestione password immettere l'indirizzo di posta elettronica di un utente o di un gruppo da avvisare per eventi relativi all'imminente modifica o scadenza della password.

  5. Se la modifica automatica della password non è configurata per un account gestito, nella sezione Impostazioni processo di monitoraggio account immettere un valore numerico che indichi quanti giorni prima della scadenza della password deve essere inviata una notifica all'indirizzo configurato nella sezione Indirizzo di posta elettronica notifica.

  6. Nella sezione Impostazioni modifica automatica password immettere un valore numerico che indichi quanti secondi deve attendere il processo di modifica automatica (dopo avere notificato ai servizi la presenza di una modifica di password in sospeso) prima di avviare effettivamente la modifica. Immettere un valore numerico che indichi quanti tentativi di modifica della password devono essere effettuati prima che il processo venga interrotto.

  7. Fare clic su OK.

Risoluzione dei problemi relativi alla modifica automatica delle password

Per evitare i problemi più comuni che possono verificarsi quando si configura la modifica automatica delle password, attenersi alle istruzioni riportate di seguito.

Password non corrispondenti

Se il processo di modifica automatica delle password ha esito negativo perché le password non corrispondono tra Servizi di dominio Active Directory e SharePoint Server, possono verificarsi problemi di accesso negato o di blocco dell'account oppure errori di lettura di Servizi di dominio Active Directory. Se si presenta uno qualsiasi di questi problemi, verificare che le password di Servizi di dominio Active Directory siano configurate correttamente e che l'account di Servizi di dominio Active Directory disponga dell'accesso in lettura per l'installazione. Utilizzare Microsoft PowerShell per risolvere gli eventuali problemi di discrepanza tra le password e quindi riprendere il processo di modifica.

Per correggere la discrepanza tra le password tramite PowerShell

  1. Verificare di essere membri dei ruoli e dei gruppi seguenti:

    • Ruolo predefinito del server securityadmin nell'istanza di SQL Server.

    • Ruolo predefinito del database db_owner in tutti i database da aggiornare.

    • Gruppo Administrators per il server in cui vengono eseguiti i cmdlet diPowerShell.

    • Aggiungere le appartenenze necessarie oltre ai livelli minimi sopra indicati.

    Un amministratore può utilizzare il cmdlet Add-SPShellAdmin per concedere le autorizzazioni per l'utilizzo dei cmdlet di SharePoint Server.

    Nota

    Se non si dispone delle autorizzazioni, richiederle all'amministratore dell'installazione o all'amministratore di SQL Server. Per altre informazioni sulle autorizzazioni di PowerShell, vedere Add-SPShellAdmin.

  2. Avviare SharePoint Management Shell.

  3. Al prompt dei comandi di PowerShell digitare quanto segue:

    Set-SPManagedAccount [-Identity] <SPManagedAccountPipeBind> -ExistingPassword <SecureString> -UseExistingPassword $true

    Per ulteriori informazioni, vedere Set-SPManagedAccount.

Errore di provisioning dell'account del servizio

Se il provisioning o l'esecuzione di un nuovo provisioning per l'account di servizio ha esito negativo per uno o più server della farm, verificare lo stato del servizio timer. Se tale servizio si è arrestato, riavviarlo. Considerare la possibilità di utilizzare il comando Stsadm seguente per avviare immediatamente i processi di amministrazione del servizio timer: stsadm -o execadmsvcjobs

Se il problema persiste anche dopo aver riavviato il servizio timer, utilizzare PowerShell per ripristinare l'account gestito in ogni server della farm in cui si è verificato un errore di provisioning.

Per correggere un errore di provisioning dell'account del servizio

  1. Verificare di essere membri dei ruoli e dei gruppi seguenti:

    • Ruolo predefinito del server securityadmin nell'istanza di SQL Server.

    • Ruolo predefinito del database db_owner in tutti i database da aggiornare.

    • Gruppo Administrators per il server in cui vengono eseguiti i cmdlet diPowerShell.

    • Aggiungere le appartenenze necessarie oltre ai livelli minimi sopra indicati.

    Un amministratore può utilizzare il cmdlet Add-SPShellAdmin per concedere le autorizzazioni per l'utilizzo dei cmdlet di SharePoint Server.

    Nota

    Se non si dispone delle autorizzazioni, richiederle all'amministratore dell'installazione o all'amministratore di SQL Server. Per altre informazioni sulle autorizzazioni di PowerShell, vedere Add-SPShellAdmin.

  2. Avviare SharePoint Management Shell.

  3. Al prompt dei comandi di PowerShell digitare quanto segue:

    Repair-SPManagedAccountDeployment

    Per ulteriori informazioni, vedere Repair-SPManagedAccountDeployment.

Se l'errore di provisioning dell'account di servizio persiste anche dopo aver eseguito la procedura precedente, è probabile che la chiave di crittografia della farm non possa essere decrittografata. In tal caso, utilizzare PowerShell per aggiornare la passphrase del server locale in modo che corrisponda alla passphrase della farm.

Per aggiornare la passphrase del server locale

  1. Verificare di essere membri dei ruoli e dei gruppi seguenti:

    • Ruolo predefinito del server securityadmin nell'istanza di SQL Server.

    • Ruolo predefinito del database db_owner in tutti i database da aggiornare.

    • Gruppo Administrators per il server in cui vengono eseguiti i cmdlet diPowerShell.

    • Aggiungere le appartenenze necessarie oltre ai livelli minimi sopra indicati.

    Un amministratore può utilizzare il cmdlet Add-SPShellAdmin per concedere le autorizzazioni per l'utilizzo dei cmdlet di SharePoint Server.

    Nota

    Se non si dispone delle autorizzazioni, richiederle all'amministratore dell'installazione o all'amministratore di SQL Server. Per altre informazioni sulle autorizzazioni di PowerShell, vedere Add-SPShellAdmin.

  2. Avviare SharePoint Management Shell.

  3. Al prompt dei comandi di PowerShell digitare quanto segue:

    Set-SPPassPhrase -PassPhrase <SecureString> -ConfirmPassPhrase <SecureString> -LocalServerOnly $true

    Per ulteriori informazioni, vedere Set-SPPassPhrase.

Scadenza imminente della password

Se la password sta per scadere ma per l'account non è stata configurata la modifica automatica, utilizzare PowerShell per aggiornare la password impostandola su un nuovo valore scelto dall'amministratore o generato automaticamente. Dopo aver aggiornato la password dell'account, verificare che il servizio timer sia stato avviato e che il servizio di amministrazione sia abilitato in tutti i server della farm. La modifica della password può quindi essere propagata a tutti i server della farm.

Nota

Se un amministratore esegue una modifica della password per i server presenti nella topologia di ricerca di SharePoint, al riavvio dei servizi si verifica automaticamente un periodo di inattività di esecuzione delle query, in genere compreso fra 3 e 5 minuti.

Per aggiornare la password dell'account

  1. Verificare di essere membri dei ruoli e dei gruppi seguenti:

    • Ruolo predefinito del server securityadmin nell'istanza di SQL Server.

    • Ruolo predefinito del database db_owner in tutti i database da aggiornare.

    • Gruppo Administrators per il server in cui vengono eseguiti i cmdlet diPowerShell.

    • Aggiungere le appartenenze necessarie oltre ai livelli minimi sopra indicati.

    Un amministratore può utilizzare il cmdlet Add-SPShellAdmin per concedere le autorizzazioni per l'utilizzo dei cmdlet di SharePoint Server.

    Nota

    Se non si dispone delle autorizzazioni, richiederle all'amministratore dell'installazione o all'amministratore di SQL Server. Per altre informazioni sulle autorizzazioni di PowerShell, vedere Add-SPShellAdmin.

  2. Avviare SharePoint Management Shell.

  3. Per aggiornare la password dell'account impostandola su un nuovo valore generato automaticamente, al prompt dei comandi di PowerShell digitare quanto segue:

    Set-SPManagedAccount [-Identity] <SPManagedAccountPipeBind> -AutoGeneratePassword $true

    Per ulteriori informazioni, vedere Set-SPManagedAccount.

Necessità di cambiare l'account della farm

Se è necessario cambiare l'account della farm impostando un account diverso, utilizzare il comando Stsadm seguente: stsadm.exe -o updatefarmcredentials -userlogin DOMAIN\username -password password