规划自动密码更改 (SharePoint Server 2010)
为了简化密码管理,自动密码更改功能允许您更新和部署密码,而不必在多个帐户、服务和 Web 应用程序之间执行手动密码更新任务。您可以配置自动密码更改功能,以确定密码是否将要过期并使用较长的强密码随机字符串重置密码。若要实现自动密码更改功能,您必须配置管理帐户。
本文内容:
· 配置管理帐户
· 按计划自动重置密码
· 检测密码是否过期
· 立即重置帐户密码
· 将 SharePoint Server 帐户密码与 Active Directory 域服务同步
· 立即重置所有密码
· 凭据更改过程
配置管理帐户
Microsoft SharePoint Server 2010 支持创建管理帐户,以提高安全性并确保应用程序隔离。使用管理帐户,您可以配置自动密码更改功能,以便在服务器场中的所有服务中部署密码。您可以配置运行于 SharePoint 场中的应用程序服务器之上的 SharePoint Web 应用程序和服务,以便使用不同的域帐户。可以在 Active Directory 域服务 (AD DS) 中创建多个帐户,然后在 SharePoint Server 2010 中注册其中的每个帐户。可以将管理帐户映射到服务器场中的各个服务和 Web 应用程序。
按计划自动重置密码
在实现自动密码更改功能之前,更新密码时将需要重置 AD DS 中的每个帐户密码,然后手动更新运行于服务器场中所有计算机上的所有服务的帐户密码。为此,您必须运行 Stsadm 命令行工具或使用 SharePoint 管理中心 Web 应用程序。使用自动密码更改功能,您现在可以注册管理帐户并使 SharePoint Server 2010 能够控制帐户密码。必须将有关计划的密码更改和相关服务中断的信息通知用户,但可以基于单独配置的密码重置计划,根据需要在服务器场内自动重置和部署 SharePoint 场、Web 应用程序和各个服务使用的帐户。
检测密码是否过期
IT 部门通常会实施一个要求定期(例如,每隔 60 天)重置所有域帐户密码的策略。可以对 SharePoint Server 2010 进行配置,以检测即将发生的密码过期情形,并向指派的管理员发送电子邮件通知。即使没有管理员干预,SharePoint Server 2010 也可配置为自动生成并重置密码。还可以配置自动密码重置计划,以确保最大程度地减小密码重置过程中可能出现的服务中断影响。
立即重置帐户密码
您可以随时覆盖任何自动密码重置计划,并强制使用特定密码值立即重置服务帐户密码。在这种情况下,服务帐户的密码也可由 SharePoint Server 2010 在 AD DS 中进行更改。新密码随后将立即传播到服务器场中的其他服务器。
将 SharePoint Server 帐户密码与 Active Directory 域服务同步
如果 AD DS 和 SharePoint Server 2010 帐户密码不同步,SharePoint 场中的服务将不会启动。如果 Active Directory 管理员更改 Active Directory 帐户密码而不与 SharePoint 管理员协调该密码更改,则会有服务中断的风险。在这种情况下,SharePoint 管理员可以使用在 AD DS 中更改的密码值通过“帐户管理”页立即重置密码。密码将更新,并立即传播到 SharePoint 场中的其他服务器。
立即重置所有密码
如果管理员突然离开了组织,或者出于任何其他原因需要立即重置服务帐户密码,您可以快速创建一个调用密码更改 cmdlet 的 Windows PowerShell 脚本。可以使用该脚本来生成新的随机密码,并立即部署新密码。
凭据更改过程
当 SharePoint Server 2010 为一个管理帐户更改凭据时,将在服务器场中的一台服务器上执行凭据更改过程。服务器场中的每台服务器都将收到通知,告知它们凭据将要发生更改,并且服务器可能会在必要时执行关键的更改前操作。如果帐户密码尚未更改,则 SharePoint Server 2010 将尝试使用手动输入的密码或较长的强密码随机字符串更改密码。将从相应的(网络或本地)策略中查询复杂性设置,并且生成的密码将与检测到的设置相当。SharePoint Server 2010 将尝试提交密码更改。如果无法提交密码更改,它将使用新的序列重试指定的次数。如果帐户密码更新过程成功,它将转到下一个相关服务,并在该服务再次尝试提交密码更改。如果最终未成功,则会通知每个相关服务,告知它们可以继续正常的活动。无论是否成功提交密码更改,都会生成一个自动密码更改状态通知,该通知将通过电子邮件发送给服务器场管理员。
配置自动密码更改 (SharePoint Server 2010)
通过自动更改密码,Microsoft SharePoint Server 2010 可以按您确定的计划自动生成较长的强密码。
本文内容:
· 配置管理帐户
配置管理帐户
您需要向服务器场注册管理帐户,以使帐户可用于多个服务。您可以使用管理中心中的“注册管理帐户”页来注册管理帐户。“注册管理帐户”页上没有任何选项可用于在 Active Directory 域服务中或本地计算机上创建帐户。这些选项可用于在 SharePoint Server 2010 服务器场上注册现有帐户。执行以下过程中的步骤,以使用管理中心来配置管理帐户设置。
使用管理中心来配置管理帐户设置
1. 确保执行此过程的用户帐户是服务器场管理员。
2. 在管理中心网站上,选择“安全性”。
3. 在“一般安全性”下,单击“配置管理帐户”。
4. 在“管理帐户”页上,单击“注册管理帐户”。
5. 在“注册管理帐户”页上的“帐户注册”部分,输入服务帐户凭据。
6. 在“自动更改密码”部分,选中“启用自动更改密码”复选框以使 SharePoint Server 2010 管理选定帐户的密码。接下来,输入一个数值,指明在密码到期将启动自动更改密码过程之前的天数。
7. 在“自动更改密码”部分,选中“通过电子邮件启动通知”复选框,然后输入一个数值,指明在启动将发出电子邮件通知的自动更改密码过程之前的天数。然后您可以配置一个每周或每月发送电子邮件通知的计划。
8. 单击“确定”。
配置自动更改密码设置
使用管理中心的“密码管理设置”页来配置用于自动更改密码的服务器级别的设置。服务器场管理员可以配置将用于发送所有密码更改通知电子邮件的通知电子邮件地址,并配置监视和计划选项。执行以下过程中的步骤,以使用管理中心来配置自动更改密码设置。
使用管理中心来配置自动更改密码设置
1. 确保执行此过程的用户帐户是服务器场管理员。
2. 在管理中心网站上,单击“安全性”。
3. 在“一般安全性”下,单击“配置密码更改设置”。
4. 在“密码管理设置”页的“通知电子邮件地址”部分,输入要向其通知任何即将发生的密码更改或到期事件的个人或小组电子邮件地址。
5. 如果没有为管理帐户配置自动密码更改,请在“帐户监控流程设置”部分输入一个数值,以指明在密码到期将向“通知电子邮件地址”部分中配置的电子邮件地址发送电子邮件之前的天数。
6. 在“自动更改密码”部分,请输入一个数值,指明在启动更改之前(通知暂停的密码更改服务之后)自动密码更改将等待的秒数。然后输入一个指明在过程结束之前尝试更改密码的次数的数值。
7. 单击“确定”。
自动更改密码疑难解答
使用以下指导以避免在配置自动密码更改时可能发生的最常见的问题。
密码不匹配
如果由于 Active Directory 域服务 (AD DS) 与 SharePoint Server 2010 之间的密码不匹配导致自动密码更改过程失败,则密码更改过程可能导致登录时拒绝访问、帐户锁定或 AD DS 读取错误。如果发生此类问题之一,请确保您的 AD DS 密码已配置正确,并且 AD DS 帐户对于设置具有读取访问权限。使用 Windows PowerShell 修复可能发生的任何密码不匹配问题,然后恢复密码更改过程。
密码不匹配的纠正措施
1. 验证您是否满足以下最低要求:请参阅 Add-SPShellAdmin。
2. 在“开始”菜单上,单击“所有程序”。单击“Microsoft SharePoint 2010 产品”。
3. 单击“SharePoint 2010 Management Shell”。
4. 在 Windows PowerShell 命令提示符处,键入以下命令并按 Enter:
5. Set-SPManagedAccount [-Identity] <SPManagedAccountPipeBind> -ExistingPassword <SecureString> -UseExistingPassword $true
有关详细信息,请参阅Set-SPManagedAccount。
服务帐户设置失败
如果服务帐户设置或重新设置在服务器场中的一台或多台服务器上失败,请检查定时服务的状态。如果定时服务已停止,则重新启动它。请考虑使用以下 Stsadm 命令立即启动定时服务管理作业:stsadm -o execadmsvcjobs
如果重新启动定时服务并没有解决问题,则使用 Windows PowerShell 修复服务器场中每台服务器上发生设置失败的管理帐户。
解决服务帐户设置失败问题
1. 验证您是否满足以下最低要求:请参阅 Add-SPShellAdmin。
2. 在“开始”菜单上,单击“所有程序”。单击“Microsoft SharePoint 2010 产品”。
3. 单击“SharePoint 2010 Management Shell”。
4. 在 Windows PowerShell 命令提示符处,键入以下命令:
5. Repair-SPManagedAccountDeployment
有关详细信息,请参阅Repair-SPManagedAccountDeployment。
如果先前的步骤并没有解决服务帐户设置失败问题,则可能是因为无法解密服务器场加密密钥。如果是这样的问题,则使用 Windows PowerShell 更新本地服务器通行短语,以使其与服务器场的通行短信匹配。
更新本地服务器通行短语
1. 验证您是否满足以下最低要求:请参阅 Add-SPShellAdmin。
2. 在“开始”菜单上,单击“所有程序”。单击“Microsoft SharePoint 2010 产品”。
3. 单击“SharePoint 2010 Management Shell”。
4. 在 Windows PowerShell 命令提示符处,键入以下命令:
5. Set-SPPassPhrase -PassPhrase <SecureString> -ConfirmPassPhrase <SecureString> -LocalServerOnly $true
有关详细信息,请参阅Set-SPPassPhrase。
即将发生的密码到期
如果密码即将到期,但尚未为此帐户配置自动密码更改,则请使用 Windows PowerShell 将帐户密码更新为管理员可以选择或自动生成的一个新值。更新了帐户密码后,确保定时服务已启动并且已在服务器场中的所有服务器上启动管理员服务。然后,可以向服务器场中的所有服务器应用密码更改。
更新帐户密码
1. 验证您是否满足以下最低要求:请参阅 Add-SPShellAdmin。
2. 在“开始”菜单上,单击“所有程序”。单击“Microsoft SharePoint 2010 产品”。
3. 单击“SharePoint 2010 Management Shell”。
4. 若要将帐户密码更新为管理员选择的一个新值,请在 Windows PowerShell 命令提示符下,键入以下命令:
5. Set-SPManagedAccount [-Identity] <SPManagedAccountPipeBind> -Password <SecureString>
6. 若要将帐户密码更新为自动生成的一个新值,请在 Windows PowerShell 命令提示符下,键入以下命令:
7. Set-SPManagedAccount [-Identity] <SPManagedAccountPipeBind> -AutoGeneratePassword $true
有关详细信息,请参阅Set-SPManagedAccount。
将服务器场帐户更改为其他帐户的要求
如果您需要将服务器场帐户更改为其他帐户,请使用以下 Stsadm 命令:stsadm.exe -o updatefarmcredentials -userlogin DOMAIN\username -password password