SharePoint 2013 でのパスワードの自動変更の構成

 

適用先:SharePoint Foundation 2013, SharePoint Server 2013

トピックの最終更新日:2016-12-16

概要:SharePoint 2013 でのパスワードの自動変更の構成方法について説明します。

SharePoint 2013 では、パスワードの自動変更を使用することにより、ユーザーが決定できるスケジュールに沿って、長くて暗号強度の高いパスワードを自動的に生成できます。

この記事の内容

管理アカウントをファームと共に登録し、アカウントを複数のサービスで使用できるようにする必要があります。サーバーの全体管理の [管理アカウントの登録] ページを使用して管理アカウントを登録できます。[管理アカウントの登録] ページには、Active Directory ドメイン サービスまたはローカル コンピューターにアカウントを作成するオプションがありません。SharePoint 2013 ファームの既存のアカウントを登録するためのオプションを使用できます。以下の手順を実行し、サーバーの全体管理を使用して管理アカウントの設定を構成します。

メモメモ:
SharePoint 2013 はインターネット インフォメーション サービス (IIS) で Web サイトとして実行されるため、管理者およびユーザーはブラウザーが提供するアクセシビリティ機能に依存します。SharePoint 2013 は、サポートされるブラウザーのアクセシビリティ機能をサポートします。詳細については、以下を参照してください。
サーバーの全体管理を使用して管理アカウントの設定を構成するには
  1. この手順を実行しているユーザー アカウントがファーム管理者であることを確認します。

  2. SharePoint サーバーの全体管理 Web サイトで [セキュリティ] を選択します。

  3. [一般的なセキュリティ] で、[管理アカウントの構成] をクリックします。

  4. [管理アカウント] ページで、[管理アカウントの登録] をクリックします。

  5. [管理アカウントの登録] ページの [アカウント登録] セクションで、サービス アカウントの資格情報を入力します。

  6. [パスワードの自動変更] セクションで [パスワードの自動変更を有効にする] チェック ボックスを選択し、SharePoint 2013 が選択したアカウントのパスワードを管理できるようにします。次に、パスワードの自動変更プロセスが開始されるパスワードの有効期限が切れるまでの日数を示す数値を入力します。

  7. [パスワードの自動変更] セクションで、[パスワード変更の以下の日数前に電子メール通知を開始する] チェック ボックスを選択し、電子メール通知が送信されるパスワードの自動変更プロセスが開始されるまでの日数を示す数値を入力します。毎週または毎月の電子メール通知スケジュールを構成できます。

  8. [OK] をクリックします。

サーバーの全体管理の [パスワード管理の設定] ページを使用して、パスワードの自動変更のファーム レベルの設定を構成します。ファーム管理者は、監視オプションやスケジュール オプションに加えて、すべてのパスワード変更通知の電子メールを送信するために使用する通知電子メールのアドレスを構成できます。以下の手順を実行し、サーバーの全体管理を使用してパスワードの自動変更の設定を構成します。

サーバーの全体管理を使用してパスワードの自動変更の設定を構成するには
  1. この手順を実行しているユーザー アカウントがファーム管理者であることを確認します。

  2. SharePoint サーバーの全体管理 Web サイト で、[セキュリティ] をクリックします。

  3. [一般的なセキュリティ] で、[パスワード変更設定の構成] をクリックします。

  4. [パスワード管理の設定] ページの [通知用の電子メール アドレス] セクションで、間近に迫ったパスワード変更または有効期限のイベントを通知する一人のユーザーまたはグループの電子メール アドレスを入力します。

  5. 管理アカウントに対してパスワードの自動変更を構成しない場合、[通知用の電子メール アドレス] セクションで構成した電子メール アドレスに通知を送信するパスワードの有効期限が切れるまでの日数を示す数値を [アカウント監視プロセスの設定] セクションに入力します。

  6. [パスワードの自動変更の設定] セクションで、変更を開始するまでパスワードの自動変更が待機する (保留中のパスワード変更のサービスを通知した後) 秒数を示す数値を入力します。プロセスを停止するまでパスワードの変更を試行する回数を示す数値を入力します。

  7. [OK] をクリックします。

以下のガイダンスを使用して、パスワードの自動変更を構成する際に発生する可能性がある一般的な問題を回避します。

Active Directory ドメイン サービス (AD DS) と SharePoint 2013 の間でパスワードの不一致が発生したためにパスワードの自動変更プロセスが失敗した場合、パスワードの変更プロセスは、ログオン時におけるアクセス拒否、アカウントのロックアウト、または AD DS 読み取りエラーが発生する可能性があります。これらの問題のいずれかが発生した場合、AD DS パスワードが正しく構成されていること、および AD DS アカウントにセットアップ用の読み取りアクセス許可が付与されていることを確認してください。Windows PowerShell を使用して、発生したパスワードの不一致問題を修正し、パスワードの変更プロセスを再開します。

Windows PowerShell を使用してパスワードの不一致を修正するには
  1. 以下のメンバーシップがあることを確認します。

    • SQL Server インスタンスに対する securityadmin 固定サーバー ロール。

    • 更新するすべてのデータベースに対する db_owner 固定データベース ロール。

    • Windows PowerShell コマンドレットを実行するサーバーでの Administrators グループ。

    • 上に示した最小要件を満たすために必要なメンバーシップを追加します。

    管理者は Add-SPShellAdmin コマンドレットを使用して、SharePoint 2013 Products のコマンドレットを使用する権限を付与できます。

    メモメモ:
    アクセス許可がない場合は、セットアップ管理者または SQL Server 管理者に連絡してアクセス許可を要求してください。Windows PowerShell アクセス許可の詳細については、「Add-SPShellAdmin」を参照してください。
  2. SharePoint 2013 管理シェルを起動します。

    • Windows Server 2008 R2 の場合:

      • [スタート] メニューで、[すべてのプログラム]、[Microsoft SharePoint 2013 製品]、[SharePoint 2013 管理シェル] の順にクリックします。

    • Windows Server 2012 の場合:

      • [スタート] 画面で [SharePoint 2013 管理シェル] をクリックします。

        [SharePoint 2013 管理シェル] が [スタート] 画面に表示されない場合:

      • [コンピューター] を右クリックして [すべてのアプリ] をクリックし、[SharePoint 2013 管理シェル] をクリックします。

    Windows Server 2012 の操作方法の詳細については、「Windows Server 2012 の一般的な管理タスクとナビゲーション」を参照してください。

  3. Windows PowerShell コマンド プロンプトで次のように入力します。

    Set-SPManagedAccount [-Identity] <SPManagedAccountPipeBind> -ExistingPassword <SecureString> -UseExistingPassword $true
    

    詳細については、「Set-SPManagedAccount」を参照してください。

ファーム内の 1 つ以上のサーバーでサービス アカウントのプロビジョニングまたは再プロビジョニングが失敗した場合、Timer Service の状態を確認します。Timer Service が停止している場合、再起動します。次の Stsadm コマンドを使用して、Timer Service の管理ジョブをすぐに開始することを検討してください。stsadm -o execadmsvcjobs

Timer Service を再起動しても問題が解決しない場合、Windows PowerShell を使用して、プロビジョニング エラーが発生しているファーム内の各サーバーの管理アカウントを修復します。

サービス アカウントのプロビジョニング エラーを解決するには
  1. 以下のメンバーシップがあることを確認します。

    • SQL Server インスタンスに対する securityadmin 固定サーバー ロール。

    • 更新するすべてのデータベースに対する db_owner 固定データベース ロール。

    • Windows PowerShell コマンドレットを実行するサーバーでの Administrators グループ。

    • 上に示した最小要件を満たすために必要なメンバーシップを追加します。

    管理者は Add-SPShellAdmin コマンドレットを使用して、SharePoint 2013 Products のコマンドレットを使用する権限を付与できます。

    メモメモ:
    アクセス許可がない場合は、セットアップ管理者または SQL Server 管理者に連絡してアクセス許可を要求してください。Windows PowerShell アクセス許可の詳細については、「Add-SPShellAdmin」を参照してください。
  2. SharePoint 2013 管理シェルを起動します。

    • Windows Server 2008 R2 の場合:

      • [スタート] メニューで、[すべてのプログラム]、[Microsoft SharePoint 2013 製品]、[SharePoint 2013 管理シェル] の順にクリックします。

    • Windows Server 2012 の場合:

      • [スタート] 画面で [SharePoint 2013 管理シェル] をクリックします。

        [SharePoint 2013 管理シェル] が [スタート] 画面に表示されない場合:

      • [コンピューター] を右クリックして [すべてのアプリ] をクリックし、[SharePoint 2013 管理シェル] をクリックします。

    Windows Server 2012 の操作方法の詳細については、「Windows Server 2012 の一般的な管理タスクとナビゲーション」を参照してください。

  3. Windows PowerShell コマンド プロンプトで次のように入力します。

    Repair-SPManagedAccountDeployment
    

    詳細については、「Repair-SPManagedAccountDeployment」を参照してください。

上記の手順を実行してもサービス アカウントのプロビジョニング エラーが解決しない場合、ファームの暗号化キーを複合化できないことが原因である可能性があります。これが問題である場合、Windows PowerShell を使用して、ファームのパス フレーズに一致するようローカル サーバーのパス フレーズを更新します。

ローカル サーバーのパス フレーズを更新するには
  1. 以下のメンバーシップがあることを確認します。

    • SQL Server インスタンスに対する securityadmin 固定サーバー ロール。

    • 更新するすべてのデータベースに対する db_owner 固定データベース ロール。

    • Windows PowerShell コマンドレットを実行するサーバーでの Administrators グループ。

    • 上に示した最小要件を満たすために必要なメンバーシップを追加します。

    管理者は Add-SPShellAdmin コマンドレットを使用して、SharePoint 2013 Products のコマンドレットを使用する権限を付与できます。

    メモメモ:
    アクセス許可がない場合は、セットアップ管理者または SQL Server 管理者に連絡してアクセス許可を要求してください。Windows PowerShell アクセス許可の詳細については、「Add-SPShellAdmin」を参照してください。
  2. SharePoint 2013 管理シェルを起動します。

    • Windows Server 2008 R2 の場合:

      • [スタート] メニューで、[すべてのプログラム]、[Microsoft SharePoint 2013 製品]、[SharePoint 2013 管理シェル] の順にクリックします。

    • Windows Server 2012 の場合:

      • [スタート] 画面で [SharePoint 2013 管理シェル] をクリックします。

        [SharePoint 2013 管理シェル] が [スタート] 画面に表示されない場合:

      • [コンピューター] を右クリックして [すべてのアプリ] をクリックし、[SharePoint 2013 管理シェル] をクリックします。

    Windows Server 2012 の操作方法の詳細については、「Windows Server 2012 の一般的な管理タスクとナビゲーション」を参照してください。

  3. Windows PowerShell コマンド プロンプトで次のように入力します。

    Set-SPPassPhrase -PassPhrase <SecureString> -ConfirmPassPhrase <SecureString> -LocalServerOnly $true
    

    詳細については、「Set-SPPassPhrase」を参照してください。

パスワードの有効期限が間近に迫っているものの、パスワードの自動変更がそのアカウントに対して設定されていない場合、Windows PowerShell を使用して、新しい値 (管理者が選択することも、自動的に生成することもできます) にアカウント パスワードを更新します。アカウント パスワードを更新した後、Timer Service が開始していること、Administrator Service がファーム内のすべてのサーバーで有効にされていることを確認します。その後、パスワード変更をファーム内のすべてのサーバーに伝達できます。

メモメモ:
管理者が SharePoint 検索トポロジでサーバーのパスワード変更を実行した場合は、サービスの再起動時に暗黙のクエリ ダウンタイムが発生します。クエリ ダウンタイムは、通常、3 分から 5 分の間です。
アカウントのパスワードを更新するには
  1. 以下のメンバーシップがあることを確認します。

    • SQL Server インスタンスに対する securityadmin 固定サーバー ロール。

    • 更新するすべてのデータベースに対する db_owner 固定データベース ロール。

    • Windows PowerShell コマンドレットを実行するサーバーでの Administrators グループ。

    • 上に示した最小要件を満たすために必要なメンバーシップを追加します。

    管理者は Add-SPShellAdmin コマンドレットを使用して、SharePoint 2013 Products のコマンドレットを使用する権限を付与できます。

    メモメモ:
    アクセス許可がない場合は、セットアップ管理者または SQL Server 管理者に連絡してアクセス許可を要求してください。Windows PowerShell アクセス許可の詳細については、「Add-SPShellAdmin」を参照してください。
  2. SharePoint 2013 管理シェルを起動します。

    • Windows Server 2008 R2 の場合:

      • [スタート] メニューで、[すべてのプログラム]、[Microsoft SharePoint 2013 製品]、[SharePoint 2013 管理シェル] の順にクリックします。

    • Windows Server 2012 の場合:

      • [スタート] 画面で [SharePoint 2013 管理シェル] をクリックします。

        [SharePoint 2013 管理シェル] が [スタート] 画面に表示されない場合:

      • [コンピューター] を右クリックして [すべてのアプリ] をクリックし、[SharePoint 2013 管理シェル] をクリックします。

    Windows Server 2012 の操作方法の詳細については、「Windows Server 2012 の一般的な管理タスクとナビゲーション」を参照してください。

  3. アカウントのパスワードを自動的に生成された新しい値に更新するには、Windows PowerShell コマンド プロンプトで、次を入力します。

    Set-SPManagedAccount [-Identity] <SPManagedAccountPipeBind> -AutoGeneratePassword $true
    

    詳細については、「Set-SPManagedAccount」を参照してください。

ファーム アカウントを別のアカウントに変更する必要がある場合、次の Stsadm コマンドを使用します。stsadm.exe -o updatefarmcredentials -userlogin DOMAIN\username -password password

表示: