Configurar el cambio de contraseña automático en SharePoint Server
SE APLICA A:2013 2016 2019 Subscription Edition SharePoint en Microsoft 365
Los cambios de contraseña automáticos permiten a SharePoint Server generar de forma automática contraseñas largas y cifradas en una programación que se puede determinar.
Configurar cuentas administradas
Debe registrar cuentas administradas junto con la granja de servidores para que las cuentas estén disponibles para varios servicios. Puede registrar una cuenta administrada mediante la página Registrar cuenta administrada del sitio web de Administración central de SharePoint. En esta página no se proporcionan opciones para crear una cuenta en Servicios de dominio de Active Directory ni en el equipo local. Las opciones se pueden usar para registrar una cuenta existente en la granja de servidores de SharePoint Server. Realice los pasos del siguiente procedimiento para configurar las cuentas administradas mediante Administración central.
Para establecer la configuración de una cuenta administrada con Administración central
Compruebe si la cuenta de usuario que va a realizar este procedimiento es de administrador de la granja de servidores.
En Administración central, seleccione Seguridad.
En Seguridad general, haga clic en Configurar cuentas administradas.
En la página Cuentas administradas, haga clic en Registrar cuenta administrada.
En la sección Registro de cuentas de la página Registrar una cuenta administrada, escriba las credenciales de la cuenta de servicio.
En la sección Cambio automático de contraseña , active la casilla Habilitar cambio automático de contraseña para permitir que SharePoint Server administre la contraseña de la cuenta seleccionada. A continuación, escriba un valor numérico que indique el número de días antes de la expiración de la contraseña para que se inicie el proceso de cambio automático de la contraseña.
En la sección Cambio de contraseña automático, seleccione la casilla Iniciar notificaciones por correo electrónico y, a continuación, escriba un valor numérico que indique el número de días antes de la iniciación del proceso de cambio de contraseña automático para que se envíe una notificación por correo electrónico. Después puede configurar una programación semanal o mensual para el envío de las notificaciones por correo electrónico.
Haga clic en Aceptar.
Configuración del cambio de contraseña automático
Use la página Configuración de administración de contraseñas de Administración central para establecer la configuración en el nivel de la granja de servidores para los cambios de contraseña automáticos. Los administradores de la granja de servidores pueden configurar la dirección de correo electrónico de notificación que se utilizará para enviar todos los correos electrónicos de notificación de cambio de contraseña además de las opciones de supervisión y programación. Realice los pasos del siguiente procedimiento para usar Administración central para configurar el cambio de contraseña automático.
Para establecer la configuración de cambio de contraseña automático con Administración central
Compruebe si la cuenta de usuario que va a realizar este procedimiento es de administrador de la granja de servidores.
En la página principal de Administración central, haga clic en Seguridad.
En Seguridad general, haga clic en Configurar los parámetros de cambio de contraseñas.
En la sección Dirección de correo electrónico de notificación de la página Configuración de administración de contraseñas, escriba la dirección de correo electrónico de una persona o grupo a los que notificar en caso de un evento inminente de expiración o cambio de contraseña.
Si el cambio automático de contraseña no está configurado para una cuenta administrada, escriba un valor numérico en la sección Configuración del proceso de supervisión de la cuenta que indica el número de días antes de la expiración de la contraseña que se enviará una notificación a la dirección de correo electrónico configurada en la sección Dirección de correo electrónico de notificación .
En la sección Configuración del proceso de supervisión de cuentas, escriba un valor numérico que indica el número de segundos que el cambio de contraseña automático esperará (después de notificar a los servicios de un cambio de contraseña pendiente) antes de iniciar el cambio. Escriba un valor numérico que indica el número de veces que se puede intentar un cambio de contraseña antes de que se detenga el proceso.
Haga clic en Aceptar.
Solución de problemas de los cambios de contraseña automáticos
Utilice las siguientes pautas para evitar los problemas más comunes que pueden surgir al configurar el cambio de contraseña automático.
Las contraseñas no coinciden
Si se produce un error en el proceso de cambio automático de contraseña porque hay una falta de coincidencia de contraseña entre Active Directory Domain Services (AD DS) y SharePoint Server, el proceso de cambio de contraseña puede dar lugar a la denegación de acceso en el inicio de sesión, un bloqueo de cuenta o errores de lectura de AD DS. Si se produce alguno de estos problemas, asegúrese de que las contraseñas de los AD DS están configuradas correctamente y que la cuenta de los AD DS tiene acceso de lectura para la instalación. Use Microsoft PowerShell para corregir los problemas de error de coincidencia de contraseñas que puedan producirse y, a continuación, reanudar el proceso de cambio de contraseña.
Para corregir un error de coincidencia de contraseña con Windows PowerShell
Compruebe que cumple con las pertenencias siguientes:
Rol fijo de servidor securityadmin en la instancia de SQL Server.
Rol fijo de base de datos db_owner en todas las bases de datos que se van a cargar.
Los administradores se agrupan en el servidor en el que se ejecutan los cmdlets de PowerShell.
Agregue las pertenencias que resulten necesarias por encima de los mínimos establecidos anteriormente.
Un administrador puede usar el cmdlet Add-SPShellAdmin para conceder permisos de uso para los cmdlets de SharePoint Server.
Nota:
Si no tiene permisos, póngase en contacto con el administrador del programa de instalación o con el administrador de SQL Server para solicitar los permisos. Para obtener más información sobre los permisos de PowerShell, consulte Add-SPShellAdmin.
Inicie el Shell de administración de SharePoint.
En el símbolo del sistema de PowerShell, escriba lo siguiente:
Set-SPManagedAccount [-Identity] <SPManagedAccountPipeBind> -ExistingPassword <SecureString> -UseExistingPassword $true
Para obtener más información, vea Set-SPManagedAccount.
Error de aprovisionamiento de las cuentas de servicio
Si se produce un error en el aprovisionamiento o el reaprovisionamiento de cuentas de servicio en uno o varios servidores de la granja de servidores, compruebe el estado del servicio de temporizador. Si el servicio de temporizador se detuvo, reinícielo. Considere la posibilidad de usar el siguiente comando Stsadm para iniciar inmediatamente los trabajos de administración del servicio timer: stsadm -o execadmsvcjobs
Si el reinicio del servicio de temporizador no resuelve el problema, use PowerShell para reparar la cuenta administrada en cada servidor de la granja de servidores que ha experimentado un error de aprovisionamiento.
Para resolver un error de aprovisionamiento de cuentas de servicio
Compruebe que cumple con las pertenencias siguientes:
Rol fijo de servidor securityadmin en la instancia de SQL Server.
Rol fijo de base de datos db_owner en todas las bases de datos que se van a cargar.
Los administradores se agrupan en el servidor en el que se ejecutan los cmdlets de PowerShell.
Agregue las pertenencias que resulten necesarias por encima de los mínimos establecidos anteriormente.
Un administrador puede usar el cmdlet Add-SPShellAdmin para conceder permisos de uso para los cmdlets de SharePoint Server.
Nota:
Si no tiene permisos, póngase en contacto con el administrador del programa de instalación o con el administrador de SQL Server para solicitar los permisos. Para obtener más información sobre los permisos de PowerShell, consulte Add-SPShellAdmin.
Inicie el Shell de administración de SharePoint.
En el símbolo del sistema de PowerShell, escriba lo siguiente:
Repair-SPManagedAccountDeployment
Para obtener más información, vea Repair-SPManagedAccountDeployment.
Si el procedimiento anterior no resuelve un error de aprovisionamiento de una cuenta de servicio, es probable que no se pueda descifrar la clave de cifrado de la granja de servidores. Si este es el problema, use PowerShell para actualizar la frase de paso del servidor local para que coincida con la frase de paso de la granja de servidores.
Para actualizar la frase de contraseña del servidor local
Compruebe que cumple con las pertenencias siguientes:
Rol fijo de servidor securityadmin en la instancia de SQL Server.
Rol fijo de base de datos db_owner en todas las bases de datos que se van a cargar.
Los administradores se agrupan en el servidor en el que se ejecutan los cmdlets de PowerShell.
Agregue las pertenencias que resulten necesarias por encima de los mínimos establecidos anteriormente.
Un administrador puede usar el cmdlet Add-SPShellAdmin para conceder permisos de uso para los cmdlets de SharePoint Server.
Nota:
Si no tiene permisos, póngase en contacto con el administrador del programa de instalación o con el administrador de SQL Server para solicitar los permisos. Para obtener más información sobre los permisos de PowerShell, consulte Add-SPShellAdmin.
Inicie el Shell de administración de SharePoint.
En el símbolo del sistema de PowerShell, escriba lo siguiente:
Set-SPPassPhrase -PassPhrase <SecureString> -ConfirmPassPhrase <SecureString> -LocalServerOnly $true
Para obtener más información, vea Set-SPPassPhrase.
Expiración inminente de la contraseña
Si la contraseña está a punto de expirar, pero no se ha configurado el cambio automático de contraseña para esta cuenta, use PowerShell para actualizar la contraseña de la cuenta a un nuevo valor que el administrador puede elegir o generar automáticamente. Después de actualizar la contraseña de la cuenta, asegúrese de que el servicio de temporizador se inicia y está habilitado el servicio de administrador en todos los servidores de la granja de servidores. A continuación, se puede propagar el cambio de contraseña a todos los servidores de la granja.
Nota:
Cuando un administrador realiza un cambio de contraseña para los servidores en la topología de búsqueda de SharePoint, hay un tiempo de inactividad de consulta implícita cuando se reinician los servicios. El tiempo de inactividad de consulta suele estar en el intervalo de 3 a 5 minutos.
Para actualizar la contraseña de la cuenta
Compruebe que cumple con las pertenencias siguientes:
Rol fijo de servidor securityadmin en la instancia de SQL Server.
Rol fijo de base de datos db_owner en todas las bases de datos que se van a cargar.
Los administradores se agrupan en el servidor en el que se ejecutan los cmdlets de PowerShell.
Agregue las pertenencias que resulten necesarias por encima de los mínimos establecidos anteriormente.
Un administrador puede usar el cmdlet Add-SPShellAdmin para conceder permisos de uso para los cmdlets de SharePoint Server.
Nota:
Si no tiene permisos, póngase en contacto con el administrador del programa de instalación o con el administrador de SQL Server para solicitar los permisos. Para obtener más información sobre los permisos de PowerShell, consulte Add-SPShellAdmin.
Inicie el Shell de administración de SharePoint.
Para actualizar la contraseña de la cuenta a un nuevo valor generado automáticamente, desde el símbolo del sistema de PowerShell, escriba lo siguiente:
Set-SPManagedAccount [-Identity] <SPManagedAccountPipeBind> -AutoGeneratePassword $true
Para obtener más información, vea Set-SPManagedAccount.
Requisito para cambiar la cuenta de la granja de servidores a una cuenta diferente
Si debe cambiar la cuenta de la granja a otra cuenta, use el siguiente comando Stsadm: stsadm.exe -o updatefarmcredentials -userlogin DOMAIN\username -password password