SharePoint Server 2016 : Ошибки "Access denied" и "Object reference not set to an instance of an object" при создании Managed Account с опцией Automatic Password Change

При создании в SharePoint Server 2016 новых управляемых учётных записей Managed Accounts в целях повышения уровня безопасности может возникнуть желание использовать механизм периодической автоматической смены пароля для этих учётных записей. Однако, если мы попытаемся включить соответствующую опцию Automatic Password Change на этапе регистрации новой управляемой учётной записи, то в результате мы можем потерять управление учётными записями через графический интерфейс веб-узла администрирования SharePoint Central Administration.

Итак, попытаемся добавить новую управляемую учётную запись на веб-узле Central Administration в разделе Security > General Security > Configure managed accounts. Перейдём по верхней ссылке Register Managed Account и в форме создания новой управляемой учётной записи включим опцию Enable automatic password change.

При сохранении данных формы мы получим ошибку следующего вида:

Access denied.  Only machine administrators are allowed to create administration service job definitions of type: Microsoft.SharePoint.Administration.SPGeneratePasswordJobDefinition, Microsoft.SharePoint, Version=16.0.0.0, Culture=neutral, PublicKeyToken=71e9bce111e9429c

При этом все последующие попытки перейти на веб-страницу управления учёными записями (http://{Central Administration Site}/_admin/ManagedAccounts.aspx) будут сопровождаться ошибкой "Object reference not set to an instance of an object"

Таким незамысловатым образом мы утратили возможность управления учётными записями Managed Accounts через графический интерфейс веб-узла администрирования Central Administration.

Если мы уже попали в данную ситуацию, то выход может заключаться в отключении механизма автоматического обновления пароля у учётных записей, для которых он ранее был нами включен. Для этого запустим консоль SharePoint 2016 Management Shell и выполним запрос на перечисление всех управляемых учётных записей:

Get-SPManagedAccount | Select-Object UserName, AutomaticChange | FT -AutoSize

Как видим, в нашем примере для одной из учётных записей включён механизм автоматической смены пароля.

Чтобы отключить автоматическое обновление пароля для соответствующей отдельно взятой учётной записи, выполним следующий набор команд:

$ManAcc = Get-SPManagedAccount -identity KOM\s-SP-APESK
$ManAcc.AutomaticChange = $False
$ManAcc.Update()
Get-SPManagedAccount | Select-Object UserName, AutomaticChange

После этого ошибка при открытии страницы управления учётными записями должна исчезнуть и страница вновь заработает.

Судя по "свидетельствам очевидцев", проблема имеет давние корни и не имеет официального решения от Microsoft. Но как-же в таком случае можно воспользоваться функционалом автоматической смены пароля в SharePoint Server?

Есть мнение, что при работе с веб-узлом Central Administration всегда нужно запускать браузер с повышением привилегий, то есть с правами Администратора. Однако стоит отметить, что ярлык "SharePoint 2016 Central Administration" итак запускается с запросом UAC, так как вызываемый в нём исполняемый файл psconfigui.exe сам по себе требует повышения привилегий при запуске.

Можно конечно ради самоуспокоения изменить свойства ярлыка SharePoint Server 2016, добавив требование всегда запускать его с повышением привилегий.

Тоже самое можно сделать и для ярлыков "SharePoint 2016 Management Shell" и "SharePoint 2016 Products Configuration Wizard". Но практика показывает, что в контексте рассматриваемой проблемы это никак не меняет ситуацию. К тому же данное замечание, как мне думается, имеет смысл лишь в том случае, если веб-консоль Central Administration запускается локально на самом сервере SharePoint Server, а не используется удалённо, например, с рабочей станции администратора.

Некоторые "горячие головы" даже дают рекомендацию отключать UAC, за что, на мой взгляд, таких товарищей надо сразу "исключать из партии".

Практические опыты показали, что действительно работоспособным вариантом на данный момент является разделение процедуры создания управляемой учётной записи в веб-консоли Central Administration на два шага. Сначала регистрируем учётную запись с выключенной опцией Enable automatic password change, а после того, как она сохранена, снова открываем её свойства и включаем и настраиваем правила автоматической смены пароля.