Настройка автоматической смены паролей в SharePoint Server

  • Статья

 

**Применимо к:**SharePoint Foundation 2013, SharePoint Server 2013, SharePoint Server 2016

**Последнее изменение раздела:**2017-09-14

**Сводка.**Узнайте, как настроить автоматическое изменение паролей в SharePoint Server 2016 и SharePoint 2013.

Автоматическое изменение паролей позволяет SharePoint Server создавать длинные, зашифрованные пароли по расписанию.

В этой статье

  • Настройка управляемых учетных записей

  • Настройка параметров автоматического изменения паролей

  • Устранение неполадок с автоматической сменой паролей

Настройка управляемых учетных записей

Необходимо зарегистрировать управляемые учетные записи в ферме, чтобы они были доступны различным службам. Вы можете зарегистрировать управляемую учетную запись, используя страницу "Регистрация управляемой учетной записи" в Веб-сайт центра администрирования SharePoint. На этой странице нет параметров для создания учетной записи в доменных службах Active Directory или на локальном компьютере. Параметры на странице можно использовать для регистрации существующей учетной записи в ферме SharePoint Server. Выполните следующую процедуру, чтобы использовать Центр администрирования для настройки параметров управляемых учетных записей.

Настройка параметров управляемой учетной записи с помощью центра администрирования

  1. Убедитесь, что учетная запись пользователя, используемая для выполнения этой процедуры, является учетной записью администратора фермы.

  2. Откройте Центр администрирования и выберите Безопасность.

  3. В разделе Общая безопасность выберите пункт Настройка управляемых учетных записей.

  4. На странице "Управляемые учетные записи" выберите Регистрация управляемой учетной записи.

  5. В разделе Регистрация учетной записи страницы "Регистрация управляемой учетной записи" введите учетные данные учетной записи службы.

  6. В разделе Автоматическая смена пароля установите флажок Разрешить автоматическую смену пароля, чтобы разрешить SharePoint Server управлять паролем для выбранной учетной записи. Затем введите числовое значение, которое указывает количество дней до истечения действия пароля, когда будет инициирован процесс смены пароля.

  7. В разделе Автоматическая смена пароля установите флажок Отправить уведомление по электронной почте за и введите число, указывающее количество дней до инициации автоматической смены пароля, когда будет отправлено уведомление по электронной почте. Затем вы можете настроить расписание для еженедельной или ежемесячной отправки уведомлений по электронной почте.

  8. Нажмите кнопку ОК.

Настройка параметров автоматического изменения паролей

Используйте страницу "Параметры управления паролями" Центр администрирования для настройки параметров автоматической смены паролей на уровне фермы. В дополнение к параметрам мониторинга и расписания, администраторы фермы могут задать адрес для отправки уведомлений по электронной почте, который будет использоваться для отправки всех сообщений о смене пароля. Выполните следующую процедуру, чтобы использовать Центр администрирования для настройки параметров автоматической смены паролей.

Настройка параметров автоматического изменения паролей с помощью центра администрирования

  1. Убедитесь, что учетная запись пользователя, используемая для выполнения этой процедуры, является учетной записью администратора фермы.

  2. На домашней странице Центр администрирования нажмите Безопасность.

  3. В разделе Общая безопасность выберите пункт Настройка параметров изменения паролей.

  4. В разделе Адрес электронной почты для уведомлений страницы "Параметры управления паролями" введите адрес электронной почты пользователя или группы, которых следует уведомить о смене пароля или истечении срока действия пароля.

  5. Если автоматическая смена пароля для управляемой учетной записи не настроена, введите в разделе Настройка процесса отслеживания учетных записей число, обозначающее количество дней до истечения срока действия пароля, когда уведомление будет отправлено на адрес электронной почты, заданный в разделе Адрес электронной почты для уведомлений.

  6. В разделе Параметры автоматического изменения паролей введите число, указывающее время ожидания до начала изменения пароля в секундах (после уведомления служб о предстоящей смене пароля). Введите число, указывающее количество попыток смены пароля до остановки процесса.

  7. Нажмите кнопку ОК.

Устранение неполадок с автоматической сменой паролей

Используйте следующие рекомендации, чтобы предотвратить большинство распространенных проблем, которые могут возникнуть при настройке автоматической смены паролей.

Несоответствие паролей

Если в процессе автоматической смены паролей возникает ошибка, так как пароли доменных служб Active Directory (AD DS) и SharePoint Server не совпадают, это может привести к отказу в доступе при входе, блокировке учетной записи или ошибкам чтения AD DS. При наличии каких-либо из этих проблем убедитесь, что пароли AD DS настроены правильно и у учетной записи AD DS есть права для чтения, необходимые для настройки. Используйте Microsoft PowerShell, чтобы устранить все проблемы несоответствия паролей, которые могут возникнуть, а затем возобновите процесс смены пароля.

Устранение несоответствия паролей с помощью PowerShell

  1. Убедитесь, что предоставлены следующие разрешения.

    • Предопределенная роль сервера securityadmin для экземпляра SQL Server.

    • Предопределенная роль базы данных db_owner во всех базах данных, которые должны обновляться.

    • Группа "Администраторы" на сервере, на котором выполняются командлеты PowerShell.

    • Добавьте участие в группах, необходимое помимо приведенных выше минимальных требований.

    С помощью командлета Add-SPShellAdmin администратор может предоставлять разрешения на использование командлетов SharePoint Server.

    Примечание

    Если у вас нет разрешений, обратитесь к администратору установки или администратору SQL Server для запроса разрешений. Дополнительные сведения о разрешениях PowerShell см. в статье Add-SPShellAdmin.

  2. Запустите Командная консоль SharePoint.

  3. В командной строке PowerShell введите следующую команду:

    Set-SPManagedAccount [-Identity] <SPManagedAccountPipeBind> -ExistingPassword <SecureString> -UseExistingPassword $true

    Дополнительные сведения см. в статье Set-SPManagedAccount.

Ошибка подготовки учетной записи службы

Если при подготовке (или повторной подготовке) учетной записи службы на одном или нескольких серверах в ферме возникает ошибка, проверьте состояние службы таймера. Если она остановлена, перезапустите ее. Можно использовать следующую команду Stsadm, чтобы незамедлительно запустить задания администрирования службы таймера: stsadm -o execadmsvcjobs

Если перезапуск службы таймера не устраняет проблему, используйте PowerShell, чтобы восстановить управляемую учетную запись на каждом сервере в ферме, где возникла ошибка подготовки.

Устранение ошибки при подготовке учетной записи службы

  1. Убедитесь, что предоставлены следующие разрешения.

    • Предопределенная роль сервера securityadmin для экземпляра SQL Server.

    • Предопределенная роль базы данных db_owner во всех базах данных, которые должны обновляться.

    • Группа "Администраторы" на сервере, на котором выполняются командлеты PowerShell.

    • Добавьте участие в группах, необходимое помимо приведенных выше минимальных требований.

    С помощью командлета Add-SPShellAdmin администратор может предоставлять разрешения на использование командлетов SharePoint Server.

    Примечание

    Если у вас нет разрешений, обратитесь к администратору установки или администратору SQL Server для запроса разрешений. Дополнительные сведения о разрешениях PowerShell см. в статье Add-SPShellAdmin.

  2. Запустите Командная консоль SharePoint.

  3. В командной строке PowerShell введите следующую команду:

    Repair-SPManagedAccountDeployment

    Дополнительные сведения см. в статье Repair-SPManagedAccountDeployment.

Если предыдущая процедура не устраняет ошибку подготовки учетной записи службы, скорее всего это вызвано тем, что не удается расшифровать ключ шифрования фермы. В этом случае используйте PowerShell, чтобы обновить парольную фразу локального сервера в соответствии с парольной фразой фермы.

Обновление парольной фразы для локального сервера

  1. Убедитесь, что предоставлены следующие разрешения.

    • Предопределенная роль сервера securityadmin для экземпляра SQL Server.

    • Предопределенная роль базы данных db_owner во всех базах данных, которые должны обновляться.

    • Группа "Администраторы" на сервере, на котором выполняются командлеты PowerShell.

    • Добавьте участие в группах, необходимое помимо приведенных выше минимальных требований.

    С помощью командлета Add-SPShellAdmin администратор может предоставлять разрешения на использование командлетов SharePoint Server.

    Примечание

    Если у вас нет разрешений, обратитесь к администратору установки или администратору SQL Server для запроса разрешений. Дополнительные сведения о разрешениях PowerShell см. в статье Add-SPShellAdmin.

  2. Запустите Командная консоль SharePoint.

  3. В командной строке PowerShell введите следующую команду:

    Set-SPPassPhrase -PassPhrase <SecureString> -ConfirmPassPhrase <SecureString> -LocalServerOnly $true

    Дополнительные сведения см. в статье Set-SPPassPhrase.

Приближающееся истечение срока действия пароля

Если срок действия пароля скоро истекает, а автоматическая смена пароля для этой учетной записи не настроена, используйте PowerShell, чтобы задать новый пароль для учетной записи. Пароль может выбрать администратор или он может быть создан автоматически. После обновления пароля убедитесь, что служба таймера запущена, а служба администратора включена на всех серверах фермы. После этого смену пароля можно распространить на все серверы в ферме.

Примечание

Когда администратор меняет пароль для серверов в топологии поиска SharePoint, возникает простой обслуживания запросов, пока службы перезапускаются. Время простоя обычно составляет 3–5 мин.

Обновление пароля учетной записи

  1. Убедитесь, что предоставлены следующие разрешения.

    • Предопределенная роль сервера securityadmin для экземпляра SQL Server.

    • Предопределенная роль базы данных db_owner во всех базах данных, которые должны обновляться.

    • Группа "Администраторы" на сервере, на котором выполняются командлеты PowerShell.

    • Добавьте участие в группах, необходимое помимо приведенных выше минимальных требований.

    С помощью командлета Add-SPShellAdmin администратор может предоставлять разрешения на использование командлетов SharePoint Server.

    Примечание

    Если у вас нет разрешений, обратитесь к администратору установки или администратору SQL Server для запроса разрешений. Дополнительные сведения о разрешениях PowerShell см. в статье Add-SPShellAdmin.

  2. Запустите Командная консоль SharePoint.

  3. Чтобы установить для пароля учетной записи автоматически созданное значение, в командной строке PowerShell выполните следующую команду:

    Set-SPManagedAccount [-Identity] <SPManagedAccountPipeBind> -AutoGeneratePassword $true

    Дополнительные сведения см. в статье Set-SPManagedAccount.

Требования для изменения учетной записи фермы на другую учетную запись

Чтобы изменить учетную запись фермы на другую, используйте следующую команду Stsadm: stsadm.exe -o updatefarmcredentials -userlogin DOMAIN\username -password password