Планирование автоматического изменения паролей (SharePoint Server 2010)

Статья
06/27/2016

Применимо к: SharePoint Foundation 2010, SharePoint Server 2010

Последнее изменение раздела: 2011-03-11

Функция автоматического изменения паролей облегчает управление паролями, позволяет обновлять и развертывать пароли без необходимости вручную выполнять эти задачи для нескольких учетных записей, служб и веб-приложений. Настройки возможности автоматического изменения паролей позволяют определить срок действия пароля и сбросить его с использованием надежно зашифрованной строки с большим числом случайных знаков, если срок действия истек. Чтобы реализовать возможность автоматического изменения паролей, необходимо настроить управляемые учетные записи.

Содержание статьи

Настройка управляемых учетных записей
Автоматический сброс паролей по расписанию
Определение окончания срока действия пароля
Немедленный сброс пароля учетной записи
Синхронизация паролей учетных записей SharePoint Foundation со службой доменов Active Directory.
Немедленный сброс всех паролей
Процесс изменения учетных данных

Настройка управляемых учетных записей

Службы Microsoft SharePoint Server 2010 поддерживают создание управляемых учетных записей для улучшения безопасности и гарантированной изоляции приложений. С помощью управляемых учетных записей можно настроить возможность автоматического изменения паролей для развертывания паролей во всех службах фермы. Веб-приложения и службы SharePoint, выполняемые на серверах приложений в ферме SharePoint, можно настроить для использования разных учетных записей домена. Можно создать несколько учетных записей в службах доменов Active Directory (AD DS), а затем зарегистрировать каждую из них в службах SharePoint Server 2010 или сопоставить управляемые учетные записи с различными службами и веб-приложениями в ферме.

Автоматический сброс паролей по расписанию

Перед реализацией возможности автоматического изменения паролей требуется их обновление путем сброса каждого пароля учетной записи в службах доменов Active Directory, а затем — обновление паролей учетных записей вручную во всех службах, выполняемых на всех компьютерах фермы. Для этого необходимо запустить средство командной строки Stsadm или использовать веб-приложение центра администрирования SharePoint. Функция автоматического изменения паролей позволяет зарегистрировать управляемые учетные записи и включить службы SharePoint Server 2010 для управления паролями учетных записей. Пользователей необходимо уведомить о планируемом изменении паролей и перерывах в работе связанных служб, но учетные записи, используемые фермой SharePoint, веб-приложениями и другими службами, могут быть автоматически сброшены и развернуты по необходимости на основе отдельно настроенных расписаний сброса паролей.

Определение окончания срока действия пароля

ИТ-отделы обычно применяют политику, требующую сброса паролей учетных записей домена на регулярной основе (например, каждые 60 дней). Службы SharePoint Server 2010 можно настроить таким образом, чтобы они определяли наступление срока окончания действия пароля и отправляли по электронной почте уведомление назначенному администратору. Службы SharePoint Server 2010 также можно настроить для автоматического создания и сброса паролей даже без вмешательства администратора. Кроме того, возможна настройка расписания автоматического сброса паролей, позволяющая свести к минимуму перерыв в работе служб во время этого процесса.

Немедленный сброс пароля учетной записи

Система позволяет в любой момент перезаписать расписание и принудительно выполнить автоматический сброс паролей учетных записей службы с использованием определенного пароля. В этом случае пароль учетной записи службы может быть также изменен в службах доменов Active Directory службами SharePoint Server 2010. Затем новый пароль немедленно распространяется на другие службы в ферме.

Синхронизация паролей учетных записей SharePoint Foundation со службой доменов Active Directory.

Если службы доменов Active Directory и пароли учетных записей служб SharePoint Server 2010 не синхронизированы, службы в ферме SharePoint не запустятся. Если администратор службы каталогов Active Directory изменяет пароль учетной записи службы каталогов Active Directory без уведомления администратора SharePoint, то существует вероятность перерыва в работе служб. В этом случае администратор SharePoint может немедленно сбросить пароли на странице управления учетными записями с использованием пароля, измененного в службах доменов Active Directory. Пароль будет изменен и немедленно распространен на другие службы в ферме SharePoint.

Немедленный сброс всех паролей

Если администратор по какой-то причине покидает организацию или требуется немедленно сбросить пароли учетных записей служб, можно быстро создать скрипт Windows PowerShell, вызывающий командлеты изменения паролей. Этот скрипт можно использовать для немедленного создания новых случайных паролей и их развертывания.

Процесс изменения учетных данных

Когда продукт SharePoint Server 2010 изменяет учетные данные управляемой учетной записи, процесс изменения учетных данных выполняется на одном сервере в ферме. Каждый сервер в ферме получает уведомление о том, что учетные данные будут изменены, а сервер при необходимости может выполнить важные действия перед изменением. Если пароль учетной записи еще не был изменен, тогда продукт SharePoint Server 2010 предпримет попытку изменения пароля с помощью вручную введенного пароля или с использованием надежно зашифрованной строки с большим числом случайных знаков. Параметры сложности, с учетом которых будет создан пароль, будут запрошены в соответствующей политике (сетевой или локальной), а созданный пароль будет соответствовать определенным параметрам. Продукт SharePoint Server 2010 выполнит попытку изменить пароль. Если это невозможно, то попытки получить пароль будут повторяться указанное число раз. В случае успешного выполнения процесса обновления пароля учетной записи он будет передан следующей зависимой службе, где вновь повторится попытка изменения пароля. Если процесс в итоге завершается неудачей, все зависимые службы будут уведомлены о том, что они могут возобновить работу в обычном режиме. Как в случае успешного изменения пароля, так и в случае сбоя администраторы фермы получат по электронной почте уведомление о состоянии автоматического изменения пароля.