Configurer la modification automatique de mot de passe dans SharePoint Server
S’APPLIQUE À :2013 2016 2019 Édition d’abonnement SharePoint dans Microsoft 365
La modification automatique de mot de passe permet à SharePoint Server de générer automatiquement des mots de passe longs et chiffrés en fonction d'un calendrier que vous pouvez fixer.
Configurer les comptes gérés
Vous devez enregistrer les comptes gérés conjointement avec la batterie de serveurs afin que les comptes soient disponibles pour plusieurs services. Vous pouvez enregistrer un compte géré en utilisant la page Enregistrer le compte géré dans l'le site Web Administration centrale de SharePoint. Il n'existe aucune option sur la page Enregistrer le compte géré pour créer un compte dans les services de domaine Active Directory ou sur l'ordinateur local. Les options peuvent être utilisées pour enregistrer un compte existant sur la batterie SharePoint Server. Suivez les étapes de la procédure ci-après pour utiliser l'Administration centrale pour configurer les paramètres de comptes gérés.
Pour configurer les paramètres de compte géré à l’aide de l’Administration centrale, procédez comme suit :
Vérifiez que le compte d’utilisateur qui exécute cette procédure est administrateur de la batterie.
Sur le Administration centrale, sélectionnez Sécurité.
Sous Sécurité générale, cliquez sur Configurer les comptes gérés.
Dans la page Comptes gérés, cliquez sur Enregistrer le compte géré.
Dans la section Enregistrement de compte de la page Enregistrer le compte géré, entrez les informations d'identification du compte de service.
Dans la section Modification automatique du mot de passe, cochez la case Activer la modification automatique du mot de passe pour permettre à SharePoint Server de gérer le mot de passe pour le compte sélectionné. Ensuite, entrez une valeur numérique correspondant au nombre de jours avant la date d'expiration du mot de passe où le processus de modification automatique du mot de passe sera initié.
Dans la section Modification automatique du mot de passe, cochez la case Commencer la notification par messagerie, puis entrez une valeur numérique correspondant au nombre de jours avant l'initiation du processus de modification automatique du mot de passe où une notification par message électronique vous sera envoyée. Vous pouvez ensuite configurer un calendrier hebdomadaire ou mensuel des notifications par message électronique.
Cliquez sur OK.
Configurer les paramètres de modification automatique du mot de passe
Utilisez la page Paramètres de gestion des mots de passe de l'Administration centrale pour configurer les paramètres de modification automatique de mot de passe au niveau de la batterie. Les administrateurs de la batterie peuvent configurer l'adresse de messagerie de notification qui sera utilisée pour envoyer tous les messages électroniques de notification de modification du mot de passe en plus des options de surveillance et de planification. Suivez les étapes de la procédure ci-après pour utiliser l'Administration centrale pour configurer les paramètres de modification automatique du mot de passe.
Pour configurer les paramètres de modification automatique de mot de passe à l’aide de l’Administration centrale, procédez comme suit :
Vérifiez que le compte d’utilisateur qui exécute cette procédure est administrateur de la batterie.
Dans la page d'accueil de l'Administration centrale, cliquez sur Sécurité.
Sous Sécurité générale, cliquez sur Configurer les paramètres de modification de mot de passe.
Dans la section Adresse de messagerie pour les notifications de la page Paramètres de gestion des mots de passe, entrez l'adresse de messagerie de la personne ou du groupe à prévenir de tous les événements imminents d'expiration ou de modification de mot de passe.
Si la modification automatique du mot de passe n’est pas configurée pour un compte géré, entrez une valeur numérique dans la section Paramètres du processus de surveillance du compte qui indique le nombre de jours avant l’expiration du mot de passe pendant lequel une notification sera envoyée à l’adresse de messagerie configurée dans la section Adresse de messagerie de notification.
Dans la section Paramètres de modification automatique du mot de passe, entrez une valeur numérique qui indique le nombre de secondes d'attente avant que la modification automatique de mot de passe ne soit effectuée (après que les services ont été informés qu'une modification de mot de passe est en attente). Entrez une valeur numérique qui indique le nombre d'essais de modification de mot de passe avant l'arrêt du processus.
Cliquez sur OK.
Dépannage pour la modification automatique de mot de passe
Appliquez les conseils suivants pour éviter les problèmes les plus courants pouvant se produire lors de la configuration de la modification automatique de mot de passe.
Non-correspondance des mots de passe
Si le processus de modification automatique du mot de passe échoue en raison d’une incompatibilité de mot de passe entre Active Directory Domain Services (AD DS) et SharePoint Server, le processus de modification du mot de passe peut entraîner un refus d’accès lors de l’ouverture de session, un verrouillage de compte ou des erreurs de lecture AD DS. Si l'un de ces problèmes survient, assurez-vous que vos mots de passe AD DS sont correctement configurés et que le compte AD DS a un accès en lecture pour la configuration. Utilisez Microsoft PowerShell pour résoudre tous les problèmes de non-correspondance de mot de passe qui pourraient se produire, puis reprenez le processus de modification de mot de passe.
Pour corriger la non-correspondance des mots de passe à l’aide de PowerShell, procédez comme suit :
Vérifiez que vous êtes membre :
du rôle serveur fixe securityadmin sur l'instance SQL Server.
du rôle de base de données fixe db_owner sur toutes les bases de données à mettre à jour ;
Groupe Administrateurs sur le serveur sur lequel vous exécutez les applets de commande PowerShell.
Ajoutez les appartenances qui sont nécessaires au-delà des minima décrits ci-dessus.
Un administrateur peut utiliser la cmdlet Add-SPShellAdmin pour accorder les autorisations d'utilisation des cmdlets SharePoint Server.
Notes
[!REMARQUE] Si vous ne disposez pas des autorisations, contactez votre administrateur d'installation ou votre administrateur SQL Server afin de les demander. Pour plus d’informations sur les autorisations PowerShell, consultez Add-SPShellAdmin.
Démarrez SharePoint Management Shell.
À partir de l'invite de commandes PowerShell, tapez le texte suivant :
Set-SPManagedAccount [-Identity] <SPManagedAccountPipeBind> -ExistingPassword <SecureString> -UseExistingPassword $true
Pour plus d'informations, voir Set-SPManagedAccount.
Échec de mise en service du compte de service
Si l’approvisionnement ou le reprovisionnement du compte de service échoue sur un ou plusieurs serveurs de la batterie de serveurs, vérifiez l’état du service de minuteur. Si le service du minuteur est arrêté, redémarrez-le. Envisagez d’utiliser la commande Stsadm suivante pour démarrer immédiatement les travaux d’administration du service du minuteur : stsadm -o execadmsvcjobs
Si le redémarrage du service minuteur ne résout pas le problème, utilisez PowerShell pour réparer le compte managé sur chaque serveur de la batterie de serveurs qui a rencontré un échec d’approvisionnement.
Pour résoudre un échec de mise en service de compte de service
Vérifiez que vous êtes membre :
du rôle serveur fixe securityadmin sur l'instance SQL Server.
du rôle de base de données fixe db_owner sur toutes les bases de données à mettre à jour ;
Groupe Administrateurs sur le serveur sur lequel vous exécutez les applets de commande PowerShell.
Ajoutez les appartenances qui sont nécessaires au-delà des minima décrits ci-dessus.
Un administrateur peut utiliser la cmdlet Add-SPShellAdmin pour accorder les autorisations d'utilisation des cmdlets SharePoint Server.
Notes
[!REMARQUE] Si vous ne disposez pas des autorisations, contactez votre administrateur d'installation ou votre administrateur SQL Server afin de les demander. Pour plus d’informations sur les autorisations PowerShell, consultez Add-SPShellAdmin.
Démarrez SharePoint Management Shell.
À partir de l'invite de commandes PowerShell, tapez le texte suivant :
Repair-SPManagedAccountDeployment
Pour plus d'informations, voir Repair-SPManagedAccountDeployment.
Si la procédure précédente ne résout pas l’échec d’approvisionnement d’un compte de service, c’est probablement parce que la clé de chiffrement de la batterie de serveurs ne peut pas être déchiffrée. Si tel est le problème, utilisez PowerShell pour mettre à jour la phrase secrète du serveur local afin qu'elle corresponde à la phrase secrète de la batterie.
Pour mettre à jour la phrase secrète du serveur local, procédez comme suit :
Vérifiez que vous êtes membre :
du rôle serveur fixe securityadmin sur l'instance SQL Server.
du rôle de base de données fixe db_owner sur toutes les bases de données à mettre à jour ;
Groupe Administrateurs sur le serveur sur lequel vous exécutez les applets de commande PowerShell.
Ajoutez les appartenances qui sont nécessaires au-delà des minima décrits ci-dessus.
Un administrateur peut utiliser la cmdlet Add-SPShellAdmin pour accorder les autorisations d'utilisation des cmdlets SharePoint Server.
Notes
[!REMARQUE] Si vous ne disposez pas des autorisations, contactez votre administrateur d'installation ou votre administrateur SQL Server afin de les demander. Pour plus d’informations sur les autorisations PowerShell, consultez Add-SPShellAdmin.
Démarrez SharePoint Management Shell.
À partir de l'invite de commandes PowerShell, tapez le texte suivant :
Set-SPPassPhrase -PassPhrase <SecureString> -ConfirmPassPhrase <SecureString> -LocalServerOnly $true
Pour plus d'informations, voir Set-SPPassPhrase.
Expiration du mot de passe imminente
Si le mot de passe est sur le point d’expirer, mais que la modification automatique du mot de passe n’a pas été configurée pour ce compte, utilisez PowerShell pour mettre à jour le mot de passe du compte vers une nouvelle valeur qui peut être choisie par l’administrateur ou générée automatiquement. Après avoir mis à jour le mot de passe de compte, assurez-vous que le service du minuteur est démarré et que le service de l'administrateur est activé sur tous les serveurs de la batterie. Ensuite, la modification du mot de passe peut être propagée sur tous les serveurs de la batterie.
Notes
[!REMARQUE] Lorsqu'un administrateur modifie le mot de passe pour les serveurs dans la topologie de recherche SharePoint, il existe un temps mort de requête implicite lors du redémarrage des services. Généralement, le temps mort de requête dure entre 3 et 5 minutes.
Pour mettre à jour le mot de passe de compte, procédez comme suit :
Vérifiez que vous êtes membre :
du rôle serveur fixe securityadmin sur l'instance SQL Server.
du rôle de base de données fixe db_owner sur toutes les bases de données à mettre à jour ;
Groupe Administrateurs sur le serveur sur lequel vous exécutez les applets de commande PowerShell.
Ajoutez les appartenances qui sont nécessaires au-delà des minima décrits ci-dessus.
Un administrateur peut utiliser la cmdlet Add-SPShellAdmin pour accorder les autorisations d'utilisation des cmdlets SharePoint Server.
Notes
[!REMARQUE] Si vous ne disposez pas des autorisations, contactez votre administrateur d'installation ou votre administrateur SQL Server afin de les demander. Pour plus d’informations sur les autorisations PowerShell, consultez Add-SPShellAdmin.
Démarrez SharePoint Management Shell.
Pour mettre à jour le mot de passe de compte vers une nouvelle valeur générée automatiquement, à partir de l'invite de commandes PowerShell, entrez la commande suivante :
Set-SPManagedAccount [-Identity] <SPManagedAccountPipeBind> -AutoGeneratePassword $true
Pour plus d'informations, voir Set-SPManagedAccount.
Obligation de remplacer le compte de la batterie de serveurs par un autre compte
Si vous devez remplacer le compte de la batterie de serveurs par un autre compte, utilisez la commande Stsadm suivante : stsadm.exe -o updatefarmcredentials -userlogin DOMAIN\username -password password