在 SharePoint Server 中配置自动密码更改
2021/6/1
本文内容
适用于:
2013
2016
2019
Microsoft 365
通过自动更改密码,SharePoint Server 可以按制定的计划自动生成加密的长密码。
配置托管帐户
您需要向服务器场注册管理帐户,以让帐户适用于多个服务。您可以通过使用SharePoint 管理中心网站中的"注册管理帐户"页注册管理帐户。"注册管理帐户"页上没有选项可创建 Active Directory 域服务或本地计算机中的帐户。选项可用于注册 SharePoint Server 场中的现有帐户。执行以下过程中的步骤,以使用管理中心配置管理帐户设置。
使用管理中心配置管理帐户设置的具体步骤
确认执行此过程的用户帐户是服务器场管理员。
在管理中心中选择“安全性”。
在“一般安全性”下方,单击“配置管理帐户”。
On the Managed Accounts page, click Register Managed Account.
在“注册管理帐户”页的“帐户注册”部分,输入服务帐户凭据。
在“自动更改密码”部分,选中“启用自动更改密码”复选框,以允许 SharePoint Server 管理选定帐户的密码。下一步,输入一个数值,指示密码过期且自动更改密码过程将启动的天数。
在“自动更改密码”部分,选中“开始通过电子邮件通知”复选框,然后输入一个数值,指示自动更改密码过程启动之前将发送电子邮件通知的天数。然后,可以配置每周或每月发送电子邮件通知计划。
单击“确定”。
配置自动更改密码设置
使用管理中心的"密码管理设置"页为自动更改密码配置服务器场级设置。服务器场管理员可以配置通知电子邮件地址,该地址将用于发送所有密码更改通知电子邮件,以及监视和计划选项。执行以下过程中的步骤,以使用管理中心配置自动更改密码设置。
使用管理中心配置自动密码更改设置的具体步骤
确认执行此过程的用户帐户是服务器场管理员。
在管理中心主页上,单击“安全性”。
在“一般安全性”下方,单击“配置更改密码设置”。
在“密码管理设置”页的“通知电子邮件地址”部分,输入将接收即将发生的密码更改或密码过期事件通知的个人或组的电子邮件地址。
如果未针对管理帐户配置自动更改密码,请在“帐户监控流程设置”部分输入一个数值,指示密码过期之前将向在“通知电子邮件地址”部分中配置的电子邮件地址发送通知的天数。
在“自动更改密码”部分,输入一个数值,指示开始更改之前自动更改密码将等待的秒数(通知服务正在等待更改密码后)。输入一个数值,指示过程停止之前尝试更改密码的次数。
单击“确定”。
自动更改密码疑难解答
使用以下指南以避免配置自动更改密码时可能出现的最常见问题。
密码不匹配
如果由于 Active Directory 域服务 (AD DS) 和 SharePoint Server 之间的密码不匹配使得自动更改密码过程失败,则更改密码过程可能导致登录时拒绝访问、帐户锁定或 AD DS 读取错误。如果出现其中任何一个问题,请确保 AD DS 密码配置正确,并且 AD DS 帐户对安装程序具有读取权限。使用 Microsoft PowerShell 修复可能出现的任何密码不匹配问题,然后继续进行密码更改过程。
使用 PowerShell 更正密码不匹配问题的具体步骤
确认您具有以下成员身份:
SQL Server 实例上的 securityadmin 固定服务器角色。
要更新的所有数据库上的 db_owner 固定数据库角色。
运行 PowerShell cmdlet 的服务器上的 Administrators 组。
添加至少具有以上最小权限的成员。
管理员可以使用 Add-SPShellAdmin cmdlet 授予使用 SharePoint Server cmdlet 的权限。
备注
如果您不具有这些权限,请联系您的安装管理员或 SQL Server 管理员来请求权限。有关 PowerShell 权限的其他信息,请参阅 Add-SPShellAdmin。
启动 SharePoint 命令行管理程序。
在 PowerShell 命令提示符处,键入以下内容:
Set-SPManagedAccount [-Identity] -ExistingPassword -UseExistingPassword $true
服务帐户设置故障
如果服务器场中一个或多个服务器上的服务帐户设置或重新设置失败,请检查定时服务的状态。如果定时服务已停止,则重新启动。请考虑使用以下 Stsadm 命令立即启动定时服务管理作业: stsadm -o execadmsvcjobs
如果重新启动定时服务无法解决问题,请使用 PowerShell 修复服务器场中每个服务器上遇到设置故障的管理帐户。
解决服务帐户预配故障的具体步骤
确认您具有以下成员身份:
SQL Server 实例上的 securityadmin 固定服务器角色。
要更新的所有数据库上的 db_owner 固定数据库角色。
运行 PowerShell cmdlet 的服务器上的 Administrators 组。
添加至少具有以上最小权限的成员。
管理员可以使用 Add-SPShellAdmin cmdlet 授予使用 SharePoint Server cmdlet 的权限。
备注
如果您不具有这些权限,请联系您的安装管理员或 SQL Server 管理员来请求权限。有关 PowerShell 权限的其他信息,请参阅 Add-SPShellAdmin。
启动 SharePoint 命令行管理程序。
在 PowerShell 命令提示符处,键入以下内容:
Repair-SPManagedAccountDeployment
如果之前的过程未能解决服务帐户设置故障,则可能是因为服务器场加密密钥无法解密。如果出现此问题,请使用 PowerShell 更新本地服务器通行短语,以与服务器场的通行短语相匹配。
更新本地服务器通行短语的具体步骤
确认您具有以下成员身份:
SQL Server 实例上的 securityadmin 固定服务器角色。
要更新的所有数据库上的 db_owner 固定数据库角色。
运行 PowerShell cmdlet 的服务器上的 Administrators 组。
添加至少具有以上最小权限的成员。
管理员可以使用 Add-SPShellAdmin cmdlet 授予使用 SharePoint Server cmdlet 的权限。
备注
如果您不具有这些权限,请联系您的安装管理员或 SQL Server 管理员来请求权限。有关 PowerShell 权限的其他信息,请参阅 Add-SPShellAdmin。
启动 SharePoint 命令行管理程序。
在 PowerShell 命令提示符处,键入以下内容:
Set-SPPassPhrase -PassPhrase -ConfirmPassPhrase -LocalServerOnly $true
密码即将过期
如果密码即将过期,但未针对此帐户配置自动更改密码,请使用 PowerShell 将帐户密码更新为一个新值,该值可由管理员选择或自动生成。更新帐户密码后,请确保定时服务已启动,且服务器场中的所有服务器上都已启用管理员服务。然后,密码更改可以传播到服务器场中的所有服务器。
备注
如果管理员对 SharePoint 搜索拓扑中的服务器执行密码更改时,则在服务重新启动时会有一段隐含的查询停机时间。查询停机时间通常为 3-5 分钟。
更新帐户密码的具体步骤
确认您具有以下成员身份:
SQL Server 实例上的 securityadmin 固定服务器角色。
要更新的所有数据库上的 db_owner 固定数据库角色。
运行 PowerShell cmdlet 的服务器上的 Administrators 组。
添加至少具有以上最小权限的成员。
管理员可以使用 Add-SPShellAdmin cmdlet 授予使用 SharePoint Server cmdlet 的权限。
备注
如果您不具有这些权限,请联系您的安装管理员或 SQL Server 管理员来请求权限。有关 PowerShell 权限的其他信息,请参阅 Add-SPShellAdmin。
启动 SharePoint 命令行管理程序。
若要将帐户密码更新为自动生成的新值,请从 PowerShell 命令提示符处键入以下命令:
Set-SPManagedAccount [-Identity] -AutoGeneratePassword $true
将场帐户更改为其他帐户的要求
如果您必须将场帐户更改为其他帐户,请使用以下 Stsadm 命令: stsadm.exe -o updatefarmcredentials -userlogin DOMAIN\username -password password