規劃自動變更密碼 (SharePoint Server 2010)
適用版本: SharePoint Foundation 2010, SharePoint Server 2010
上次修改主題的時間: 2011-03-11
為簡化密碼管理,您可以利用自動密碼變更功能更新及部署密碼,省去跨多個帳戶、多項服務、多種 Web 應用程式進行手動更新密碼的麻煩。您可設定自動密碼變更功能,判別密碼是否即將到期,並使用長密碼編譯強化隨機字串重設密碼。若要實作自動密碼變更功能,必須設定受管理的帳戶。
本文內容:
設定受管理的帳戶
自動定期重設密碼
偵測密碼到期
立即重設帳戶密碼
同步處理 SharePoint Services Foundation 帳戶密碼與 Active Directory 網域服務
立即重設所有密碼
認證變更程序
設定受管理的帳戶
Microsoft SharePoint Server 2010 可以建立受管理的帳戶以加強安全性,並與應用程式隔離。藉由受管理的帳戶,您可以設定自動密碼變更功能,將密碼部署到伺服器陣列中的所有服務。您可以設定 SharePoint 伺服器陣列之應用程式伺服器上所執行的 SharePoint Web 應用程式與服務,各自使用不同的網域帳戶。也可以在 Active Directory 網域服務 (AD DS) 中建立多個帳戶,再將其各自登錄到 SharePoint Server 2010 中。受管理的帳戶也可對應至伺服器陣列中不同的服務及 Web 應用程式。
自動定期重設密碼
實作自動密碼變更功能之前,必須先重設 AD DS 中各個帳戶的密碼,然後再手動更新伺服器陣列中所有電腦上所執行之所有服務的帳戶密碼,才可更新密碼。若要執行這項操作,必須預先執行 Stsadm 命令列工具或使用 SharePoint 管理中心 Web 應用程式。現在使用自動密碼變更功能,可以註冊受管理帳戶,並啟用 SharePoint Server 2010 以控制帳戶密碼。所規劃的密碼變更及相關的服務中斷時應通知使用者,但 SharePoint 伺服器陣列、Web 應用程式及各項服務所使用的帳戶,則可根據個別設定的密碼重設排程,視需要自動重設及部署到伺服器陣列中。
偵測密碼到期
IT 部門一般會強制要求定期重設所有網域的帳戶密碼,例如每 60 天。SharePoint Server 2010 可設定為偵測即將到期的密碼,並傳送電子郵件通知給指定的管理員。即使無管理員介入,SharePoint Server 2010 也可設定為自動產生並重設密碼。您也可以設定自動密碼重設排程,將密碼重設期間可能的服務中斷影響降至最低。
立即重設帳戶密碼
您可隨時覆寫任何自動密碼重設排程,並使用特定的密碼值,強制立即重設服務帳戶密碼。在此案例中,SharePoint Server 2010 也可變更 AD DS 中之服務帳戶的密碼。新的密碼之後會立即傳播到伺服器陣列中的其他伺服器。
同步處理 SharePoint Services Foundation 帳戶密碼與 Active Directory 網域服務
AD DS 及 SharePoint Server 2010 帳戶密碼若未經過同步處理,即不會啟動 SharePoint 伺服器陣列中的服務。若 Active Directory 管理員變更了 Active Directory 帳戶密碼,卻未與 SharePoint 管理員協調密碼變更事宜,即有服務中斷之虞。在此案例中,SharePoint 管理員可使用已在 AD DS 中變更的密碼值,從 [帳戶管理] 頁面立即重設密碼。密碼會隨即更新,並立即傳播到 SharePoint 伺服器陣列的其他伺服器。
立即重設所有密碼
若某位管理員突然離職,或服務帳戶密碼因故必須立即重設,您可以很快地建立 Windows PowerShell 指令碼呼叫密碼變更 Cmdlet,然後再使用此指令碼所產生的新隨機密碼,立即部署新密碼。
認證變更程序
當 SharePoint Server 2010 變更受管理帳戶的認證時,會在伺服器陣列的某部伺服器上執行認證變更程序。伺服器陣列中的每部伺服器,皆會接獲認證即將變更的通知,以便於伺服器能夠執行重要的變更前動作 (如有需要)。若帳戶密碼未變更,則 SharePoint Server 2010 會以手動輸入的密碼或以密碼編譯的強式隨機長字串,嘗試變更密碼。相關原則 (網路或本機) 會查詢複雜性設定,而所產生的密碼則會與偵測到的設定相符。SharePoint Server 2010 會嘗試認可密碼變更。若無法認可密碼變更,將會以指定的次數,使用新的順序重試。帳戶密碼更新程序若成功,即會繼續執行下一項依存服務,並於該服務中再次嘗試認可密碼變更。若最後仍不成功,將會通知每項依存服務其可繼續一般活動。認可密碼變更無論成功或失敗,皆會產生自動化的密碼變更狀態通知,以電子郵件傳送給伺服器陣列管理員。