Set-CsKerberosAccountAssignment
Última modificación del tema: 2012-04-23
Asocia una cuenta Kerberos, que se usa con la autenticación de IIS Internet Information Services (IIS) con un sitio.
Sintaxis
Set-CsKerberosAccountAssignment [-Identity <XdsIdentity>] [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-UserAccount <String>] [-WhatIf [<SwitchParameter>]]
Set-CsKerberosAccountAssignment [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-Instance <PSObject>] [-UserAccount <String>] [-WhatIf [<SwitchParameter>]]
Descripción detallada
En Microsoft Office Communications Server 2007 y Microsoft Office Communications Server 2007 R2, IIS se ejecutaba con una cuenta de usuario estándar. Esto podía provocar problemas: si expiraba la contraseña, podía perder su Servicios web, un problema a menudo difícil de diagnosticar. Para evitar el problema de expiración de contraseñas, Microsoft Lync Server 2010 lo habilita para crear una cuenta de equipo (para un equipo que no existe realmente) capaz de funcionar como entidad de seguridad de autenticación para todos los equipos de un sitio que ejecuten IIS. Dado que estas cuentas usan el protocolo de autenticación Kerberos, se llaman cuentas Kerberos y el nuevo proceso de autenticación se denomina autenticación web Kerberos. Ello lo habilita a administrar todos sus servidores IIS mediante una única cuenta.
Para ejecutar los servidores con esta única entidad de seguridad de autenticación, se debe crear primero una cuenta de equipo con el cmdlet New-CsKerberosAccount; a continuación, la cuenta se asigna a uno o más sitios. Después de realizar la asignación, se habilita la asociación entre la cuenta y el sitio Lync Server 2010 al ejecutar el cmdlet Enable-CsTopology. Esta acción crea, entre otros, el nombre principal de servicio (SPN) requerido en Active Directory Domain Services (AD DS). Los SPN ofrecen un modo para que las aplicaciones cliente ubiquen un servicio particular.
El cmdlet Set-CsKerberosAccountAssignment lo habilita para cambiar la cuenta Kerberos asignada a un sitio determinado. Este cmdlet se usa para sitios que ya están asociados a una cuenta. Para asignar una cuenta a un sitio que actualmente no tiene una cuenta Kerberos asociada, use el cmdlet New-CsKerberosAccountAssignment en su lugar.
Quiénes pueden ejecutar este cmdlet: De manera predeterminada, los miembros de los siguientes grupos están autorizados para ejecutar el cmdlet Set-CsKerberosAccountAssignment en forma local: RTCUniversalServerAdmins. Para obtener una lista de todos los roles de control de acceso basado en roles (RBAC) que se han asignado a este cmdlet (incluidos los roles personalizados RBAC que haya creado usted), ejecute el siguiente comando en el aviso de Windows PowerShell:
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Set-CsKerberosAccountAssignment"}
Parámetros
| Parámetro | Requerido | Tipo | Descripción |
|---|---|---|---|
Identity |
Requerido |
Cadena de caracteres |
Identificador único del sitio donde se asignó la cuenta Kerberos. (Es el parámetro Identity del sitio, no de la cuenta de equipo). Por ejemplo: -Identity "site:Redmond". |
UserAccount |
Requerido |
Cadena de caracteres |
Nombre de la cuenta que se asignará, con el formato domain_name\user_name. Por ejemplo: -UserAccount "litwareinc\kerberostest". La porción de nombre de usuario de la cuenta (kerberostest) es un nombre NETBIOS y puede tener un máximo de 15 caracteres. Tenga en cuenta que, a pesar del nombre UserAccount, la cuenta en realidad es una cuenta del equipo y no del usuario. |
Instance |
Opcional |
Objeto KerberosAccountAssignment |
Permite enviar una referencia a un objeto al cmdlet, en lugar de definir valores de parámetros individuales. |
Force |
Opcional |
Parámetro modificador |
Suprime la visualización de los mensajes de error que no sean graves y que puedan producirse al ejecutar el comando. |
WhatIf |
Opcional |
Parámetro modificador |
Describe lo que ocurriría si se ejecutara el comando sin ejecutarlo realmente. |
Confirm |
Opcional |
Parámetro modificador |
Solicita confirmación antes de ejecutar el comando. |
Tipos de entrada
Objeto Microsoft.Rtc.Management.WritableConfig.Settings.KerberosAccount.KerberosAccountAssignment. Set-CsKerberosAccountAssignment acepta instancias canalizadas del objeto de asignación de la cuenta Kerberos.
Tipos de valores devueltos
Set-CsKerberosAccountAssignment no devuelve objetos o valores. Por el contrario, el cmdlet modifica las instancias existentes del objeto Microsoft.Rtc.Management.WritableConfig.Settings.KerberosAccount.KerberosAccountAssignment.
Ejemplo
-------------------------- Ejemplo 1 --------------------------
Set-CsKerberosAccountAssignment -UserAccount "litwareinc\keberostest" -Identity "site:Redmond"
Enable-CsTopology
El comando que se muestra en el Ejemplo 1 asocia una cuenta Kerberos existente (litwareinc\keberostest) con el sitio Redmond y luego usa Enable-CsTopology para habilitar la nueva asociación. Para esto, el primer comando del ejemplo usa Set-CsKerberosAccountAssignment para asociar la cuenta litwareinc\keberostest con el sitio Redmond; el segundo comando después llama a Enable-CsTopology a fin de crear el nombre principal de servicio requerido en Active Directory y para habilitar la asignación de cuenta modificada.
Vea también
Otros recursos
Get-CsKerberosAccountAssignment
New-CsKerberosAccount
New-CsKerberosAccountAssignment
Remove-CsKerberosAccountAssignment