Настройка автоматической смены паролей в SharePoint 2013

 

Применимо к:SharePoint Foundation 2013, SharePoint Server 2013

Последнее изменение раздела:2016-12-16

Сводка. Сведения о настройке автоматической смены пароля в SharePoint 2013.

Автоматическая смена пароля позволяет SharePoint 2013 создавать длинные, криптографически стойкие пароли по настраиваемому расписанию.

В этой статье

Необходимо зарегистрировать управляемые учетные записи в ферме, чтобы они были доступны различным службам. Вы можете зарегистрировать управляемую учетную запись, используя страницу "Регистрация управляемой учетной записи" в Центр администрирования. На этой странице нет параметров для создания учетной записи в доменных службах Active Directory или на локальном компьютере. Параметры на странице можно использовать для регистрации существующей учетной записи в ферме SharePoint 2013. Выполните следующую процедуру, чтобы использовать Центр администрирования для настройки параметров управляемых учетных записей.

ПримечаниеПримечание
В службах IIS SharePoint 2013 выполняются как веб-сайты, в связи с чем администраторы и пользователи зависят от специальных возможностей браузера. SharePoint 2013 может использовать специальные возможности всех поддерживаемых браузеров. Дополнительные сведения см. в следующих источниках:
Настройка параметров управляемой учетной записи с помощью центра администрирования
  1. Убедитесь, что учетная запись пользователя, используемая для выполнения этой процедуры, является учетной записью администратора фермы.

  2. В Веб-сайт центра администрирования SharePoint выберите Безопасность.

  3. В разделе Общая безопасность выберите пункт Настройка управляемых учетных записей.

  4. На странице "Управляемые учетные записи" выберите Регистрация управляемой учетной записи.

  5. В разделе Регистрация учетной записи страницы "Регистрация управляемой учетной записи" введите учетные данные учетной записи службы.

  6. В разделе Автоматическая смена пароля установите флажок Разрешить автоматическую смену пароля, чтобы разрешить SharePoint 2013 управлять паролем для выбранной учетной записи. Затем введите числовое значение, которое указывает количество дней до истечения действия пароля, когда будет инициирован процесс смены пароля.

  7. В разделе Автоматическая смена пароля установите флажок Отправить уведомление по электронной почте за и введите число, указывающее количество дней до инициации автоматической смены пароля, когда будет отправлено уведомление по электронной почте. Затем вы можете настроить расписание для еженедельной или ежемесячной отправки уведомлений по электронной почте.

  8. Нажмите кнопку ОК.

Используйте страницу "Параметры управления паролями" Центр администрирования для настройки параметров автоматической смены паролей на уровне фермы. В дополнение к параметрам мониторинга и расписания, администраторы фермы могут задать адрес для отправки уведомлений по электронной почте, который будет использоваться для отправки всех сообщений о смене пароля. Выполните следующую процедуру, чтобы использовать Центр администрирования для настройки параметров автоматической смены паролей.

Настройка параметров автоматической смены паролей с помощью центра администрирования
  1. Убедитесь, что учетная запись пользователя, используемая для выполнения этой процедуры, является учетной записью администратора фермы.

  2. В Веб-сайт центра администрирования SharePoint щелкните Безопасность.

  3. В разделе Общая безопасность выберите пункт Настройка параметров изменения паролей.

  4. В разделе Адрес электронной почты для уведомлений страницы "Параметры управления паролями" введите адрес электронной почты пользователя или группы, которых следует уведомить о смене пароля или истечении срока действия пароля.

  5. Если автоматическая смена пароля для управляемой учетной записи не настроена, введите в разделе Настройка процесса отслеживания учетных записей число, обозначающее количество дней до истечения срока действия пароля, когда уведомление будет отправлено на адрес электронной почты, заданный в разделе Адрес электронной почты для уведомлений.

  6. В разделе Параметры автоматического изменения паролей введите число, указывающее время ожидания до начала изменения пароля в секундах (после уведомления служб о предстоящей смене пароля). Введите число, указывающее количество попыток смены пароля до остановки процесса.

  7. Нажмите кнопку ОК.

Используйте следующие рекомендации, чтобы предотвратить большинство распространенных проблем, которые могут возникнуть при настройке автоматической смены паролей.

Если в процессе автоматической смены паролей возникает ошибка, так как пароли доменных служб Active Directory (AD DS) и SharePoint 2013 не совпадают, это может привести к отказу в доступе при входе, блокировке учетной записи или ошибкам чтения AD DS. При наличии каких-либо из этих проблем убедитесь, что пароли AD DS настроены правильно и у учетной записи AD DS есть права для чтения, необходимые для настройки. Используйте Windows PowerShell, чтобы устранить все проблемы несоответствия паролей, которые могут возникнуть, а затем возобновите процесс смены пароля.

Устранение несоответствия паролей с помощью Windows PowerShell
  1. Убедитесь, что предоставлены следующие разрешения.

    • Предопределенная роль сервера securityadmin для экземпляра SQL Server.

    • Предопределенная роль базы данных db_owner во всех базах данных, которые должны обновляться.

    • Группа "Администраторы" на сервере, на котором выполняются командлеты Windows PowerShell.

    • Добавьте участие в группах, необходимое помимо приведенных выше минимальных требований.

    Администратор может использовать командлет Add-SPShellAdmin, чтобы предоставлять разрешения для использования командлетов продуктов Продукты SharePoint 2013.

    ПримечаниеПримечание
    Если у вас нет разрешений, обратитесь к администратору установки или администратору SQL Server для запроса разрешений. Дополнительные сведения о разрешениях Windows PowerShell см. в статье Add-SPShellAdmin.
  2. Запустите Командная консоль SharePoint 2013.

    • Для Windows Server 2008 R2:

      • В меню Пуск последовательно выберите пункты Все программы, Продукты Продукты Microsoft SharePoint 2013 и Командная консоль Командная консоль SharePoint 2013.

    • Для Windows Server 2012:

      • На начальном экране выберите Командная консоль SharePoint 2013.

        Если Командная консоль SharePoint 2013 отсутствует на начальном экране:

      • Щелкните правой кнопкой мыши Компьютер, выберите Все приложения и щелкните Командная консоль Командная консоль SharePoint 2013.

    Дополнительные сведения о работе с Windows Server 2012 см. в статье Общие задачи управления и навигации в Windows Server 2012.

  3. В командной строке Windows PowerShell введите следующую команду:

    Set-SPManagedAccount [-Identity] <SPManagedAccountPipeBind> -ExistingPassword <SecureString> -UseExistingPassword $true
    

    Дополнительные сведения см. в статье Set-SPManagedAccount.

Если при подготовке (или повторной подготовке) учетной записи службы на одном или нескольких серверах в ферме возникает ошибка, проверьте состояние службы таймера. Если она остановлена, перезапустите ее. Можно использовать следующую команду Stsadm, чтобы незамедлительно запустить задания администрирования службы таймера: stsadm -o execadmsvcjobs

Если перезапуск службы таймера не устраняет проблему, используйте Windows PowerShell, чтобы восстановить управляемую учетную запись на каждом сервере в ферме, где возникла ошибка подготовки.

Устранение ошибки подготовки учетной записи службы
  1. Убедитесь, что предоставлены следующие разрешения.

    • Предопределенная роль сервера securityadmin для экземпляра SQL Server.

    • Предопределенная роль базы данных db_owner во всех базах данных, которые должны обновляться.

    • Группа "Администраторы" на сервере, на котором выполняются командлеты Windows PowerShell.

    • Добавьте участие в группах, необходимое помимо приведенных выше минимальных требований.

    Администратор может использовать командлет Add-SPShellAdmin, чтобы предоставлять разрешения для использования командлетов продуктов Продукты SharePoint 2013.

    ПримечаниеПримечание
    Если у вас нет разрешений, обратитесь к администратору установки или администратору SQL Server для запроса разрешений. Дополнительные сведения о разрешениях Windows PowerShell см. в статье Add-SPShellAdmin.
  2. Запустите Командная консоль SharePoint 2013.

    • Для Windows Server 2008 R2:

      • В меню Пуск последовательно выберите пункты Все программы, Продукты Продукты Microsoft SharePoint 2013 и Командная консоль Командная консоль SharePoint 2013.

    • Для Windows Server 2012:

      • На начальном экране выберите Командная консоль SharePoint 2013.

        Если Командная консоль SharePoint 2013 отсутствует на начальном экране:

      • Щелкните правой кнопкой мыши Компьютер, выберите Все приложения и щелкните Командная консоль Командная консоль SharePoint 2013.

    Дополнительные сведения о работе с Windows Server 2012 см. в статье Общие задачи управления и навигации в Windows Server 2012.

  3. В командной строке Windows PowerShell введите следующую команду:

    Repair-SPManagedAccountDeployment
    

    Дополнительные сведения см. в статье Repair-SPManagedAccountDeployment.

Если предыдущая процедура не устраняет ошибку подготовки учетной записи службы, скорее всего это вызвано тем, что не удается расшифровать ключ шифрования фермы. В этом случае используйте Windows PowerShell, чтобы обновить парольную фразу локального сервера в соответствии с парольной фразой фермы.

Обновление парольной фразы локального сервера
  1. Убедитесь, что предоставлены следующие разрешения.

    • Предопределенная роль сервера securityadmin для экземпляра SQL Server.

    • Предопределенная роль базы данных db_owner во всех базах данных, которые должны обновляться.

    • Группа "Администраторы" на сервере, на котором выполняются командлеты Windows PowerShell.

    • Добавьте участие в группах, необходимое помимо приведенных выше минимальных требований.

    Администратор может использовать командлет Add-SPShellAdmin, чтобы предоставлять разрешения для использования командлетов продуктов Продукты SharePoint 2013.

    ПримечаниеПримечание
    Если у вас нет разрешений, обратитесь к администратору установки или администратору SQL Server для запроса разрешений. Дополнительные сведения о разрешениях Windows PowerShell см. в статье Add-SPShellAdmin.
  2. Запустите Командная консоль SharePoint 2013.

    • Для Windows Server 2008 R2:

      • В меню Пуск последовательно выберите пункты Все программы, Продукты Продукты Microsoft SharePoint 2013 и Командная консоль Командная консоль SharePoint 2013.

    • Для Windows Server 2012:

      • На начальном экране выберите Командная консоль SharePoint 2013.

        Если Командная консоль SharePoint 2013 отсутствует на начальном экране:

      • Щелкните правой кнопкой мыши Компьютер, выберите Все приложения и щелкните Командная консоль Командная консоль SharePoint 2013.

    Дополнительные сведения о работе с Windows Server 2012 см. в статье Общие задачи управления и навигации в Windows Server 2012.

  3. В командной строке Windows PowerShell введите следующую команду:

    Set-SPPassPhrase -PassPhrase <SecureString> -ConfirmPassPhrase <SecureString> -LocalServerOnly $true
    

    Дополнительные сведения см. в статье Set-SPPassPhrase.

Если срок действия пароля скоро истекает, а автоматическая смена пароля для этой учетной записи не настроена, используйте Windows PowerShell, чтобы задать новый пароль для учетной записи. Пароль может выбрать администратор или он может быть создан автоматически. После обновления пароля убедитесь, что служба таймера запущена, а служба администратора включена на всех серверах фермы. После этого смену пароля можно распространить на все серверы в ферме.

ПримечаниеПримечание
Когда администратор меняет пароль для серверов в топологии поиска SharePoint, возникает простой обслуживания запросов, пока службы перезапускаются. Время простоя обычно составляет 3–5 мин.
Обновление пароля учетной записи
  1. Убедитесь, что предоставлены следующие разрешения.

    • Предопределенная роль сервера securityadmin для экземпляра SQL Server.

    • Предопределенная роль базы данных db_owner во всех базах данных, которые должны обновляться.

    • Группа "Администраторы" на сервере, на котором выполняются командлеты Windows PowerShell.

    • Добавьте участие в группах, необходимое помимо приведенных выше минимальных требований.

    Администратор может использовать командлет Add-SPShellAdmin, чтобы предоставлять разрешения для использования командлетов продуктов Продукты SharePoint 2013.

    ПримечаниеПримечание
    Если у вас нет разрешений, обратитесь к администратору установки или администратору SQL Server для запроса разрешений. Дополнительные сведения о разрешениях Windows PowerShell см. в статье Add-SPShellAdmin.
  2. Запустите Командная консоль SharePoint 2013.

    • Для Windows Server 2008 R2:

      • В меню Пуск последовательно выберите пункты Все программы, Продукты Продукты Microsoft SharePoint 2013 и Командная консоль Командная консоль SharePoint 2013.

    • Для Windows Server 2012:

      • На начальном экране выберите Командная консоль SharePoint 2013.

        Если Командная консоль SharePoint 2013 отсутствует на начальном экране:

      • Щелкните правой кнопкой мыши Компьютер, выберите Все приложения и щелкните Командная консоль Командная консоль SharePoint 2013.

    Дополнительные сведения о работе с Windows Server 2012 см. в статье Общие задачи управления и навигации в Windows Server 2012.

  3. Чтобы установить для пароля учетной записи автоматически созданное значение, в командной строке Windows PowerShell выполните следующую команду:

    Set-SPManagedAccount [-Identity] <SPManagedAccountPipeBind> -AutoGeneratePassword $true
    

    Дополнительные сведения см. в статье Set-SPManagedAccount.

Чтобы изменить учетную запись фермы на другую, используйте следующую команду Stsadm: stsadm.exe -o updatefarmcredentials -userlogin DOMAIN\username -password password

Показ: