在 SharePoint Server 中設定自動變更密碼
**適用版本:**SharePoint Foundation 2013, SharePoint Server 2013, SharePoint Server 2016
**上次修改主題的時間:**2017-09-14
**摘要:**了解如何在 SharePoint Server 2016 和 SharePoint 2013 中設定自動密碼變更。
自動密碼變更可讓 SharePoint Server 以您決定的排程來自動產生加密長密碼。
本文內容:
設定受管理的帳戶
設定自動變更密碼設定
疑難排解自動變更密碼
設定受管理的帳戶
您必須一起登錄受管理帳戶與伺服器陣列,才能多項服務使用帳戶。您可以使用 SharePoint 管理中心網站 的 [登錄受管理帳戶] 頁面來登錄受管理的帳戶。[登錄受管理帳戶] 頁面沒有可在 Active Directory 網域服務或本機電腦中建立帳戶的選項。可使用選項在 SharePoint Server 伺服器陣列上登錄現有的帳戶。執行下列程序的步驟,使用 管理中心 來設定受管理帳戶設定。
使用管理中心設定受管理帳戶設定
確認執行此程序的使用者帳戶是伺服器陣列管理員。
在 管理中心 上,選取 [安全性]。
在 [一般安全性] 下,按一下 [設定受管理帳戶]。
在 [受管理帳戶] 頁面上,按一下 [註冊受管理帳戶]。
在 [登錄受管理帳戶] 頁面的 [帳戶註冊] 區段,輸入服務帳戶認證。
在 [自動變更密碼] 區段中,選取 [啟動自動變更密碼] 核取方塊允許 SharePoint Server 管理所選帳戶的密碼。接著輸入數值,指出密碼到期而啟動自動變更密碼程序之前的天數。
在 [自動變更密碼] 區段中選取 [在密碼變更前] 核取方塊,然後輸入數值,指出啟動自動變更密碼程序來傳送電子郵件通知之前的天數。您接著可以設定每週或每月電子郵件通知排程。
按一下 [確定]。
設定自動變更密碼設定
使用 管理中心 的 [密碼管理設定] 頁面來設定自動變更密碼的伺服器陣列層級設定。伺服器陣列管理員除了監視和排程選項,也可以設定通知電子郵件地址來傳送所有密碼變更通知電子郵件。執行下列程序的步驟,使用 管理中心 設定自動變更密碼設定。
使用管理中心設定自動變更密碼設定
確認執行此程序的使用者帳戶是伺服器陣列管理員。
在管理中心首頁上,按一下 [安全性]。
在 [一般安全性] 下,按一下 [設定密碼變更設定]。
在 [密碼管理設定] 頁面的 [通知電子郵件地址] 區段中,輸入要接收任何急迫的密碼變更或到期事件通知的某個人或群組的電子郵件地址。
若未針對受管理帳戶設定自動變更密碼,請在 [帳戶監視程序設定] 區段中輸入數值來指示密碼到期前的天數,之後將通知傳送給 [通知電子郵件地址] 區段中設定的電子郵件地址。
在 [自動變更密碼設定] 區段中輸入數值,指示在啟動變更之前自動變更密碼將等待的秒數 (通知擱置密碼變更服務後)。輸入輸值,指示在程序停止前將嘗試變更密碼的次數。
按一下 [確定]。
自動變更密碼疑難排解
使用下列指示以避免設定自動變更密碼時最常發生的問題。
密碼不相符
如果因 Active Directory 網域服務 (AD DS) 與 SharePoint Server 之間的密碼不符而造成自動變更密碼程序失敗,則密碼變更程序可能導致登入時存取遭拒、帳戶鎖定或 AD DS 讀取錯誤。如果發生其中任何問題,請確定 AD DS 密碼已正確設定,且 AD DS 帳戶具備安裝程式的讀取存取權。使用 Microsoft PowerShell 修正可能發生的任何密碼不符問題,然後繼續密碼變更程序。
使用 PowerShell 更正密碼不符情況
確認您具備下列成員資格:
SQL Server 執行個體上的 securityadmin 固定伺服器角色。
所有要更新之資料庫上的 db_owner 固定資料庫角色。
正在執行 PowerShell Cmdlet 之所在伺服器上的系統管理員群組。
請以高於上述基本要求新增必要的成員資格。
系統管理員可以使用 Add-SPShellAdmin Cmdlet 授與使用 SharePoint Server Cmdlet 的權限。
注意
如果您不具備上述權限,請連絡安裝程式系統管理員或 SQL Server 系統管理員要求權限。如需 PowerShell 權限的其他資訊,請參閱 Add-SPShellAdmin。
啟動 SharePoint 管理命令介面。
在 PowerShell 命令提示字元處,輸入下列項目:
Set-SPManagedAccount [-Identity] <SPManagedAccountPipeBind> -ExistingPassword <SecureString> -UseExistingPassword $true
如需詳細資訊,請參閱<Set-SPManagedAccount>。
服務帳戶佈建失敗
如果伺服器陣列的一或多台伺服器發生服務帳戶佈建或重新佈建失敗,請檢查計時器服務的狀態。如果計時器服務已停止,請重新啟動服務。請考慮使用下列 Stsadm 命令來立即啟動計時器服務管理工作:stsadm -o execadmsvcjobs
如果重新啟動計時器服務無法解決問題,請使用 PowerShell ,修復伺服器陣列的每台伺服器上發生佈建失敗的受管理帳戶。
解決服務帳戶佈建失敗
確認您具備下列成員資格:
SQL Server 執行個體上的 securityadmin 固定伺服器角色。
所有要更新之資料庫上的 db_owner 固定資料庫角色。
正在執行 PowerShell Cmdlet 之所在伺服器上的系統管理員群組。
請以高於上述基本要求新增必要的成員資格。
系統管理員可以使用 Add-SPShellAdmin Cmdlet 授與使用 SharePoint Server Cmdlet 的權限。
注意
如果您不具備上述權限,請連絡安裝程式系統管理員或 SQL Server 系統管理員要求權限。如需 PowerShell 權限的其他資訊,請參閱 Add-SPShellAdmin。
啟動 SharePoint 管理命令介面。
在 PowerShell 命令提示字元處,輸入下列項目:
Repair-SPManagedAccountDeployment
如需詳細資訊,請參閱Repair-SPManagedAccountDeployment。
如果先前的程序未解決服務帳戶佈建失敗,則可能是因為無法加密伺服器陣列加密金龠。若是此問題,請使用 PowerShell 更新本機伺服器複雜密碼以符合伺服器陣列的複雜密碼。
更新本機伺服器複雜密碼
確認您具備下列成員資格:
SQL Server 執行個體上的 securityadmin 固定伺服器角色。
所有要更新之資料庫上的 db_owner 固定資料庫角色。
正在執行 PowerShell Cmdlet 之所在伺服器上的系統管理員群組。
請以高於上述基本要求新增必要的成員資格。
系統管理員可以使用 Add-SPShellAdmin Cmdlet 授與使用 SharePoint Server Cmdlet 的權限。
注意
如果您不具備上述權限,請連絡安裝程式系統管理員或 SQL Server 系統管理員要求權限。如需 PowerShell 權限的其他資訊,請參閱 Add-SPShellAdmin。
啟動 SharePoint 管理命令介面。
在 PowerShell 命令提示字元處,輸入下列項目:
Set-SPPassPhrase -PassPhrase <SecureString> -ConfirmPassPhrase <SecureString> -LocalServerOnly $true
如需詳細資訊,請參閱Set-SPPassPhrase。
密碼即將到期
如果密碼即將到期,但尚未針對此帳戶設定自動變更密碼,請使用 PowerShell 將帳戶密碼更新為管理員可選擇的新值,或可自動產生的新值。更新帳戶密碼後,確定在伺服器陣列的所有伺服器上啟動計時器服務和啟用管理員服務。接著可將密碼變更傳播至伺服器陣列的所有伺服器。
注意
當管理員針對 SharePoint 搜尋拓樸中的伺服器執行密碼變更時,會在重新啟動服務時出現隱含的查詢停機時間。查詢停機時間一般介於 3 至 5 分鐘。
更新帳戶密碼
確認您具備下列成員資格:
SQL Server 執行個體上的 securityadmin 固定伺服器角色。
所有要更新之資料庫上的 db_owner 固定資料庫角色。
正在執行 PowerShell Cmdlet 之所在伺服器上的系統管理員群組。
請以高於上述基本要求新增必要的成員資格。
系統管理員可以使用 Add-SPShellAdmin Cmdlet 授與使用 SharePoint Server Cmdlet 的權限。
注意
如果您不具備上述權限,請連絡安裝程式系統管理員或 SQL Server 系統管理員要求權限。如需 PowerShell 權限的其他資訊,請參閱 Add-SPShellAdmin。
啟動 SharePoint 管理命令介面。
若要將帳戶密碼更新為自動產生的新值,請從 PowerShell 命令提示字元處輸入:
Set-SPManagedAccount [-Identity] <SPManagedAccountPipeBind> -AutoGeneratePassword $true
如需詳細資訊,請參閱Set-SPManagedAccount。
將伺服器陣列帳戶變更為不同帳戶的需求
如果必須將伺服器陣列帳戶變更為不同的帳戶,請使用下列 Stsadm 命令:stsadm.exe -o updatefarmcredentials -userlogin DOMAIN\username -password password