在 SharePoint Server 中配置自动密码更改

适用于:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

通过自动更改密码,SharePoint Server 可以按制定的计划自动生成加密的长密码。

配置托管帐户

您需要向服务器场注册管理帐户,以让帐户适用于多个服务。 您可以通过使用SharePoint 管理中心网站中的"注册管理帐户"页注册管理帐户。 "注册管理帐户"页上没有选项可创建 Active Directory 域服务或本地计算机中的帐户。 选项可用于注册 SharePoint Server 场中的现有帐户。 执行以下过程中的步骤,以使用管理中心配置管理帐户设置。

使用管理中心配置管理帐户设置的具体步骤

  1. 确认执行此过程的用户帐户是服务器场管理员。

  2. 在管理中心中选择“安全性”。

  3. 在“一般安全性”下方,单击“配置管理帐户”

  4. On the Managed Accounts page, click Register Managed Account.

  5. 在“注册管理帐户”页的“帐户注册”部分,输入服务帐户凭据。

  6. In the Automatic Password Change section, select the Enable automatic password change check box to allow SharePoint Server to manage the password for the selected account. Next, enter a numeric value that indicates the number of days before password expiration that the automatic password change process will be initiated.

  7. In the Automatic Password Change section, select the Start notifying by e-mail check box, and then enter a numeric value that indicates the number of days before the initiation of the automatic password change process that an e-mail notification will be sent. You can then configure a weekly or monthly e-mail notification schedule.

  8. 单击“确定”

配置自动更改密码设置

使用管理中心的"密码管理设置"页为自动更改密码配置服务器场级设置。 服务器场管理员可以配置通知电子邮件地址,该地址将用于发送所有密码更改通知电子邮件,以及监视和计划选项。 执行以下过程中的步骤,以使用管理中心配置自动更改密码设置。

使用管理中心配置自动密码更改设置的具体步骤

  1. 确认执行此过程的用户帐户是服务器场管理员。

  2. 在管理中心主页上,单击“安全性”

  3. 在“一般安全性”下方,单击“配置更改密码设置”。

  4. 在“密码管理设置”页的“通知电子邮件地址”部分,输入将接收即将发生的密码更改或密码过期事件通知的个人或组的电子邮件地址。

  5. 如果未为托管帐户配置自动密码更改,请在 “帐户监视过程设置” 部分输入一个数值,该值指示密码过期前的天数,通知将发送到在“ 通知 电子邮件地址”部分中配置的电子邮件地址。

  6. In the Automatic Password Change Settings section, enter a numeric value that indicates the number of seconds that automatic password change will wait (after notifying services of a pending password change) before starting the change. Enter a numeric value that indicates the number of times a password change will be tried before the process stops.

  7. 单击“确定”

自动更改密码疑难解答

使用以下指南以避免配置自动更改密码时可能出现的最常见问题。

密码不匹配

如果由于 Active Directory 域服务 (AD DS) 和 SharePoint Server 之间的密码不匹配而导致自动密码更改过程失败,则密码更改过程可能会导致登录时访问被拒绝、帐户锁定或 AD DS 读取错误。 如果出现其中任何一个问题,请确保 AD DS 密码配置正确,并且 AD DS 帐户对安装程序具有读取权限。 使用 Microsoft PowerShell 修复可能出现的任何密码不匹配问题,然后继续进行密码更改过程。

使用 PowerShell 更正密码不匹配问题的具体步骤

  1. 确认您具有以下成员身份:

    • SQL Server 实例上的 securityadmin 固定服务器角色。

    • 要更新的所有数据库上的 db_owner 固定数据库角色。

    • 运行 PowerShell cmdlet 的服务器上的管理员组。

    • 添加至少具有以上最小权限的成员。

    管理员可以使用 Add-SPShellAdmin cmdlet 授予使用 SharePoint Server cmdlet 的权限。

    注意

    [!注意] 如果您不具有这些权限,请联系您的安装管理员或 SQL Server 管理员来请求权限。 有关 PowerShell 权限的详细信息,请参阅 Add-SPShellAdmin

  2. 启动 SharePoint 命令行管理程序。

  3. 在 PowerShell 命令提示符处,键入以下内容:

    Set-SPManagedAccount [-Identity] <SPManagedAccountPipeBind> -ExistingPassword <SecureString> -UseExistingPassword $true
    

    有关详细信息,请参阅 Set-SPManagedAccount

服务帐户设置故障

如果在服务器场中的一个或多个服务器上预配或重新预配服务帐户失败,请检查计时器服务的状态。 如果定时服务已停止,则重新启动。 请考虑使用以下 Stsadm 命令立即启动计时器服务管理作业: stsadm -o execadmsvcjobs

如果重启计时器服务无法解决问题,请使用 PowerShell 修复场中遇到预配失败的每个服务器上的托管帐户。

解决服务帐户预配故障的具体步骤

  1. 确认您具有以下成员身份:

    • SQL Server 实例上的 securityadmin 固定服务器角色。

    • 要更新的所有数据库上的 db_owner 固定数据库角色。

    • 运行 PowerShell cmdlet 的服务器上的管理员组。

    • 添加至少具有以上最小权限的成员。

    管理员可以使用 Add-SPShellAdmin cmdlet 授予使用 SharePoint Server cmdlet 的权限。

    注意

    [!注意] 如果您不具有这些权限,请联系您的安装管理员或 SQL Server 管理员来请求权限。 有关 PowerShell 权限的详细信息,请参阅 Add-SPShellAdmin

  2. 启动 SharePoint 命令行管理程序。

  3. 在 PowerShell 命令提示符处,键入以下内容:

    Repair-SPManagedAccountDeployment
    

有关详细信息,请参阅 Repair-SPManagedAccountDeployment

如果前面的过程无法解决服务帐户预配失败问题,则可能是因为无法解密场加密密钥。 如果出现此问题,请使用 PowerShell 更新本地服务器通行短语,以与服务器场的通行短语相匹配。

更新本地服务器通行短语的具体步骤

  1. 确认您具有以下成员身份:

    • SQL Server 实例上的 securityadmin 固定服务器角色。

    • 要更新的所有数据库上的 db_owner 固定数据库角色。

    • 运行 PowerShell cmdlet 的服务器上的管理员组。

    • 添加至少具有以上最小权限的成员。

    管理员可以使用 Add-SPShellAdmin cmdlet 授予使用 SharePoint Server cmdlet 的权限。

    注意

    [!注意] 如果您不具有这些权限,请联系您的安装管理员或 SQL Server 管理员来请求权限。 有关 PowerShell 权限的详细信息,请参阅 Add-SPShellAdmin

  2. 启动 SharePoint 命令行管理程序。

  3. 在 PowerShell 命令提示符处,键入以下内容:

    Set-SPPassPhrase -PassPhrase <SecureString> -ConfirmPassPhrase <SecureString> -LocalServerOnly $true
    

有关详细信息,请参阅 Set-SPPassPhrase

密码即将过期

如果密码即将过期,但尚未为此帐户配置自动密码更改,请使用 PowerShell 将帐户密码更新为可由管理员选择或自动生成的新值。 更新帐户密码后,请确保定时服务已启动,且服务器场中的所有服务器上都已启用管理员服务。 然后,密码更改可以传播到服务器场中的所有服务器。

注意

如果管理员对 SharePoint 搜索拓扑中的服务器执行密码更改时,则在服务重新启动时会有一段隐含的查询停机时间。 查询停机时间通常为 3-5 分钟。

更新帐户密码的具体步骤

  1. 确认您具有以下成员身份:

    • SQL Server 实例上的 securityadmin 固定服务器角色。

    • 要更新的所有数据库上的 db_owner 固定数据库角色。

    • 运行 PowerShell cmdlet 的服务器上的管理员组。

    • 添加至少具有以上最小权限的成员。

    管理员可以使用 Add-SPShellAdmin cmdlet 授予使用 SharePoint Server cmdlet 的权限。

    注意

    [!注意] 如果您不具有这些权限,请联系您的安装管理员或 SQL Server 管理员来请求权限。 有关 PowerShell 权限的详细信息,请参阅 Add-SPShellAdmin

  2. 启动 SharePoint 命令行管理程序。

  3. 若要将帐户密码更新为自动生成的新值,请从 PowerShell 命令提示符处键入以下命令:

    Set-SPManagedAccount [-Identity] <SPManagedAccountPipeBind> -AutoGeneratePassword $true
    

有关详细信息,请参阅 Set-SPManagedAccount

将场帐户更改为其他帐户的要求

如果必须将服务器场帐户更改为其他帐户,请使用以下 Stsadm 命令: stsadm.exe -o updatefarmcredentials -userlogin DOMAIN\username -password password