New-CsKerberosAccountAssignment
Última modificación del tema: 2012-04-23
Asigna una cuenta Kerberos, que se utiliza para la autenticación de Internet Information Service (IIS) a un sitio.
Sintaxis
New-CsKerberosAccountAssignment -Identity <XdsIdentity> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-InMemory <SwitchParameter>] [-UserAccount <String>] [-WhatIf [<SwitchParameter>]]
Descripción detallada
En Microsoft Office Communications Server 2007 y Microsoft Office Communications Server 2007 R2, IIS se ejecutaba con una cuenta de usuario estándar. Esto podía provocar problemas: si la contraseña expiraba, se podía perder el Servicios web, un problema a menudo difícil de diagnosticar. Para evitar el problema de expiración de contraseñas, Microsoft Lync Server 2010 permite crear una cuenta de equipo (para un equipo que no existe realmente) capaz de funcionar como entidad de seguridad de autenticación para todos los equipos de un sitio que ejecuten IIS. Dado que estas cuentas usan el protocolo de autenticación Kerberos, se llaman cuentas Kerberos y el nuevo proceso de autenticación se denomina autenticación web Kerberos. Así puede administrar todos los servidores IIS usando una única cuenta.
Para ejecutar los servidores con esta nueva entidad de seguridad de autenticación, se debe crear primero una cuenta de equipo con el cmdlet New-CsKerberosAccount; a continuación, la cuenta se asigna a uno o más sitios. Tras realizar la asignación, se habilita la asociación entre la cuenta y el sitio Lync Server 2010 ejecutando el cmdlet Enable-CsTopology. Esta acción crea, entre otros, el nombre principal de servicio (SPN) en Active Directory Domain Services (AD DS). Los SPN ofrecen a las aplicaciones cliente una manera de ubicar un servicio en particular.
El cmdlet New-CsKerberosAccountAssignment permite asignar una cuenta Kerberos a un sitio que no esté asociado en ese momento con una cuenta. Para modificar un sitio que ya está asociado con una cuenta Kerberos, utilice el cmdlet Set-CsKerberosAccountAssignment en su lugar.
Quién puede ejecutar este cmdlet: De forma predeterminada, los miembros de los siguientes grupos están autorizados a ejecutar el cmdlet New-CsKerberosAccountAssignment de forma local: RTCUniversalServerAdmins. Para devolver una lista de todos los roles de control de acceso basado en roles (RBAC) a los que se ha asignado este cmdlet (incluidos los roles RBAC personalizados que haya creado usted mismo), ejecute el siguiente comando desde el símbolo del sistema de Windows PowerShell:
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "New-CsKerberosAccountAssignment"}
Parámetros
Parámetro | Requerido | Tipo | Descripción |
---|---|---|---|
Identity |
Requerido |
Cadena de caracteres |
Identificador único del sitio donde se asignará la cuenta Kerberos. (Se trata de la Identidad del sitio, no de la cuenta del equipo). Por ejemplo: -Identity "site:Redmond". |
UserAccount |
Requerido |
Cadena de caracteres |
Nombre de la cuenta que se asignará, siguiendo el formato nombre_dominio\nombre_usuario. Por ejemplo: -UserAccount "litwareinc\kerberostest". La porción de nombre de usuario de la cuenta (kerberostest) es un nombre NETBIOS y puede tener un máximo de 15 caracteres. Tenga en cuenta que, a pesar de usarse el nombre UserAccount, realmente se trata de una cuenta de equipo, no de una cuenta de usuario. |
Force |
Opcional |
Parámetro modificador |
Suprime la visualización de los mensajes de error que no sean graves que se produzcan al ejecutar el comando. |
InMemory |
Opcional |
Parámetro modificador |
Crea una referencia de objeto sin confirmar realmente el objeto como cambio permanente. Si se asigna la salida de este cmdlet llamado con este parámetro en una variable, puede realizar cambios en las propiedades de la referencia del objeto y después confirmar estos cambios, llamando a este conjunto coincidente de cmdlet, - cmdlet. |
WhatIf |
Opcional |
Parámetro modificador |
Describe lo que ocurriría si se ejecutara el comando sin ejecutarlo realmente. |
Confirm |
Opcional |
Solicita confirmación antes de ejecutar el comando. |
Tipos de entrada
Ninguno. New-CsKerberosAccountAssignment no acepta la entrada transferida.
Tipos de valores devueltos
New-CsKerberosAccountAssignment crea instancias del objeto Microsoft.Rtc.Management.WritableConfig.Settings.KerberosAccount.KerberosAccountAssignment.
Ejemplo
-------------------------- Ejemplo 1 ------------------------
New-CsKerberosAccountAssignment -UserAccount "litwareinc\kerberostest" -Identity "site:Redmond"
Enable-CsTopology
Los comandos que se muestran en el Ejemplo 1 asignan una cuenta Kerberos (litwareinc\kerberostest) al sitio Redmond y, a continuación, llaman a Enable-CsTopology para habilitar la asignación. Para ello, el primer comando del ejemplo usa New-CsKerberosAccountAssignment para asociar la cuenta "litwareinc\kerberostest" con el sitio Redmond. A continuación, el segundo comando llama a Enable-CsTopology para crear el SPN en AD DS requerido y habilitar la nueva asignación.
Vea también
Otros recursos
Get-CsKerberosAccountAssignment
New-CsKerberosAccount
Remove-CsKerberosAccountAssignment
Set-CsKerberosAccountAssignment