规划自动密码更改 (SharePoint Server 2010)
适用于: SharePoint Foundation 2010, SharePoint Server 2010
上一次修改主题: 2011-03-11
为了简化密码管理,自动密码更改功能允许您更新和部署密码,而不必在多个帐户、服务和 Web 应用程序之间执行手动密码更新任务。您可以配置自动密码更改功能,以确定密码是否将要过期并使用较长的强密码随机字符串重置密码。若要实现自动密码更改功能,您必须配置管理帐户。
本文内容:
配置管理帐户
按计划自动重置密码
检测密码是否过期
立即重置帐户密码
将 SharePoint Foundation 帐户密码与 Active Directory 域服务同步
立即重置所有密码
凭据更改过程
配置管理帐户
Microsoft SharePoint Server 2010 支持创建管理帐户,以提高安全性并确保应用程序隔离。使用管理帐户,您可以配置自动密码更改功能,以便在服务器场中的所有服务中部署密码。您可以配置运行于 SharePoint 场中的应用程序服务器之上的 SharePoint Web 应用程序和服务,以便使用不同的域帐户。可以在 Active Directory 域服务 (AD DS) 中创建多个帐户,然后在 SharePoint Server 2010 中注册其中的每个帐户。可以将管理帐户映射到服务器场中的各个服务和 Web 应用程序。
按计划自动重置密码
在实现自动密码更改功能之前,更新密码时将需要重置 AD DS 中的每个帐户密码,然后手动更新运行于服务器场中所有计算机上的所有服务的帐户密码。为此,您必须运行 Stsadm 命令行工具或使用 SharePoint 管理中心 Web 应用程序。使用自动密码更改功能,您现在可以注册管理帐户并使 SharePoint Server 2010 能够控制帐户密码。必须将有关计划的密码更改和相关服务中断的信息通知用户,但可以基于单独配置的密码重置计划,根据需要在服务器场内自动重置和部署 SharePoint 场、Web 应用程序和各个服务使用的帐户。
检测密码是否过期
IT 部门通常会实施一个要求定期(例如,每隔 60 天)重置所有域帐户密码的策略。可以对 SharePoint Server 2010 进行配置,以检测即将发生的密码过期情形,并向指派的管理员发送电子邮件通知。即使没有管理员干预,SharePoint Server 2010 也可配置为自动生成并重置密码。还可以配置自动密码重置计划,以确保最大程度地减小密码重置过程中可能出现的服务中断影响。
立即重置帐户密码
您可以随时覆盖任何自动密码重置计划,并强制使用特定密码值立即重置服务帐户密码。在这种情况下,服务帐户的密码也可由 SharePoint Server 2010 在 AD DS 中进行更改。新密码随后将立即传播到服务器场中的其他服务器。
将 SharePoint Foundation 帐户密码与 Active Directory 域服务同步
如果 AD DS 和 SharePoint Server 2010 帐户密码不同步,SharePoint 场中的服务将不会启动。如果 Active Directory 管理员更改 Active Directory 帐户密码而不与 SharePoint 管理员协调该密码更改,则会有服务中断的风险。在这种情况下,SharePoint 管理员可以使用在 AD DS 中更改的密码值通过“帐户管理”页立即重置密码。密码将更新,并立即传播到 SharePoint 场中的其他服务器。
立即重置所有密码
如果管理员突然离开了组织,或者出于任何其他原因需要立即重置服务帐户密码,您可以快速创建一个调用密码更改 cmdlet 的 Windows PowerShell 脚本。可以使用该脚本来生成新的随机密码,并立即部署新密码。
凭据更改过程
当 SharePoint Server 2010 为一个管理帐户更改凭据时,将在服务器场中的一台服务器上执行凭据更改过程。服务器场中的每台服务器都将收到通知,告知它们凭据将要发生更改,并且服务器可能会在必要时执行关键的更改前操作。如果帐户密码尚未更改,则 SharePoint Server 2010 将尝试使用手动输入的密码或较长的强密码随机字符串更改密码。将从相应的(网络或本地)策略中查询复杂性设置,并且生成的密码将与检测到的设置相当。SharePoint Server 2010 将尝试提交密码更改。如果无法提交密码更改,它将使用新的序列重试指定的次数。如果帐户密码更新过程成功,它将转到下一个相关服务,并在该服务中再次尝试提交密码更改。如果最终未成功,则会通知每个相关服务,告知它们可以继续正常的活动。无论是否成功提交密码更改,都会生成一个自动密码更改状态通知,该通知将通过电子邮件发送给服务器场管理员。