規劃 SharePoint Server 中的自動密碼變更

適用于:yes-img-132013 yes-img-16 2016yes-img-192019 yes-img-se訂閱版本 no-img-sopMicrosoft 365 中的 SharePoint

若要簡化密碼管理,您可以使用自動變更密碼功能來更新和部署密碼,而不必跨多個帳戶、服務和 Web 應用程式執行手動密碼更新工作。 您可以設定自動變更密碼功能來判定密碼是否即將到期, 並使用較長的密碼編譯強式隨機字串來重設密碼。 若要實作自動變更密碼功能,您必須設定受管理帳戶。

設定受管理的帳戶

SharePoint Server 支援如何建立受控帳戶,以改善安全性並保證應用程式隔離。 藉由使用受管理帳戶,您可以設定自動變更密碼功能,以便跨伺服器陣列中的所有服務部署密碼。 您可以將 SharePoint 伺服器陣列的應用程式伺服器上執行的 SharePoint Web 應用程式,設定為使用不同的網域帳戶。 您可以在 ACTIVE DIRECTORY 網域服務 (AD DS) 中建立多個帳戶,然後在 SharePoint Server 中註冊每個帳戶。 您可以將受管理帳戶對應至伺服器陣列中的各個服務和 Web 應用程式。

在排程上自動重設密碼

在實作自動變更密碼功能之前,更新密碼時需要在 AD DS 中重設每個帳戶密碼,然後在伺服器陣列的所有電腦上執行的所有服務中,手動更新帳戶密碼。 若要這樣做,您必須執行 Stsadm 命令列工具或使用 SharePoint 管理中心 Web 應用程式。 藉由使用自動密碼變更功能,您現在可以註冊受管理的帳戶,並啟用 SharePoint Server 來控制帳戶密碼。 必須將規劃的密碼變更和相關服務中斷的消息通知使用者。 然而,根據個別設定的密碼重設排程,可能會視需要自動重設和部署伺服器陣列中的 SharePoint 伺服器陣列、Web 應用程式和各種服務所使用的帳戶。

偵測到密碼到期

IT 部門通常會實施一個原則,亦即要求定期 (例如,每隔 60 天) 重設所有網域帳戶密碼。 SharePoint Server 可以設定為偵測即將到期的密碼,並將電子郵件通知傳送給指定的系統管理員。 即使不需要系統管理員介入,SharePoint Server 也可以設定為自動產生和重設密碼。 您也可以設定自動重設密碼排程,確保將密碼重設期間可能發生的服務中斷影響降到最低。

立即重設帳戶密碼

您一律可以覆寫任何自動重設密碼排程,並使用特定的密碼值以立即強制重設服務帳戶密碼。 在此案例中,SharePoint Server 也可以在 AD DS 中變更服務帳戶的密碼。 接著會立即將新密碼傳播到伺服器陣列的其他伺服器。

同步處理 SharePoint Foundation 帳戶密碼與 Active Directory 網域服務

如果 AD DS 和 SharePoint Server 帳戶密碼未同步處理,SharePoint 伺服器陣列中的服務將不會啟動。 如果 Active Directory 系統管理員變更 Active Directory 帳戶密碼,但未與 SharePoint 系統管理員協調密碼變更,則有服務中斷的風險。 在此案例中,SharePoint 系統管理員可以使用 AD DS 中變更的密碼值,立即從 [帳戶管理] 頁面重設密碼。 隨後會更新密碼,並將密碼立即傳播到 SharePoint 伺服器陣列的其他伺服器。

立即重設所有密碼

如果系統管理員突然離開您的組織,或因為任何其他原因需要立即重設服務帳戶密碼,您可以快速建立 Microsoft PowerShell 腳本來呼叫密碼變更 Cmdlet。 您可以使用指令碼來產生新的隨機密碼並立即部署新密碼。

認證變更程序

當 SharePoint Server 變更受管理帳戶的認證時,認證變更程式會發生在伺服器陣列中的一部伺服器上。 系統會將認證即將變更,以及伺服器可能執行關鍵的變更前動作的消息通知伺服器陣列的每部伺服器 (如果需要)。 如果帳戶密碼尚未變更,則 SharePoint Server 會嘗試使用手動輸入的密碼或長而密碼編譯強的隨機字串來變更密碼。 相關原則 (網路或本機) 會查詢複雜性設定,而所產生的密碼則會與偵測到的設定相符。 SharePoint Server 會嘗試認可密碼變更。 如果無法確認密碼變更,它會使用新序列來重試指定的次數。 如果帳戶密碼更新程序成功,它會繼續下一個相關服務,並重新試著確認密碼變更。 若最後仍不成功,將會通知每項依存服務其可繼續一般活動。 密碼變更確認不是成功就是失敗,隨後將產生自動變更密碼狀態通知,並使用電子郵件將通知傳給伺服器陣列管理員。

變更密碼對服務的影響

當管理員針對 SharePoint 搜尋拓樸中的伺服器執行密碼變更時,會在重新啟動服務時出現隱含的查詢停機時間。 查詢停機時間一般介於 3 至 5 分鐘。

另請參閱

概念

在 SharePoint Server 中設定自動變更密碼