Remove-CsKerberosAccountAssignment
Última modificación del tema: 2012-03-25
Quita una o más asignaciones de la cuenta Kerberos.
Sintaxis
Remove-CsKerberosAccountAssignment -Identity <XdsIdentity> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-WhatIf [<SwitchParameter>]]
Descripción detallada
En Microsoft Office Communications Server 2007 y Microsoft Office Communications Server 2007 R2, IIS se ejecutaba con una cuenta de usuario estándar. Esto podía provocar problemas: si la contraseña expiraba, se podían perder los Servicios web, un problema a menudo difícil de diagnosticar. Para evitar el problema de expiración de contraseñas, Microsoft Lync Server 2010 permite crear una cuenta de equipo (para un equipo que no existe realmente) capaz de funcionar como entidad de seguridad de autenticación para todos los equipos de un sitio que ejecuten IIS. Dado que estas cuentas usan el protocolo de autenticación Kerberos, se llaman cuentas Kerberos y el nuevo proceso de autenticación se denomina autenticación web Kerberos. Esto permite administrar todos los servidores IIS usando una única cuenta.
Para ejecutar los servidores con esta nueva entidad de seguridad de autenticación, se debe crear primero una cuenta de equipo (que, de nuevo, no esté relacionada con un equipo real) con el cmdlet New-New-CsKerberosAccount; a continuación, la cuenta se asigna a uno o más sitios. Una vez realizada la asignación, la asociación se habilita ejecutando el cmdlet Enable-CsTopology. Esto crea, entre otras cosas, el nombre principal de servicio (SPN) requerido en Active Directory Domain Services (AD DS). Los SPN ofrecen a las aplicaciones cliente una manera de ubicar un servicio en particular.
Cada sitio de Lync Server 2010 puede asociarse a una única cuenta Kerberos, como máximo. (No obstante, cada cuenta puede asociarse a varios sitios). Se puede utilizar el cmdlet Remove-CsKerberosAccountAssignment en cualquier momento para quitar la asociación existente entre un sitio y una cuenta. Este cmdlet no elimina la cuenta en cuestión; simplemente rompe la asociación entre la cuenta y el sitio, deshabilitando efectivamente la autenticación web de Kerberos en dicho sitio.
Tenga en cuenta que después de ejecutar Remove-CsKerberosAccountAssignment, debe ejecutar Enable-CsTopology. De este modo se quita el nombre principal de servicio de la cuenta de Active Directory y se deshabilita por completo la autenticación web Kerberos.
Quién puede ejecutar este cmdlet: De forma predeterminada, los miembros de los siguientes grupos tienen autorización para ejecutar el cmdlet Remove-CsKerberosAccountAssignment de manera local: RTCUniversalServerAdmins. Para devolver una lista de todos los roles de control de acceso basado en roles (RBAC), se ha asignado este cmdlet (incluidos los roles RBAC que haya creado usted mismo) para ejecutar el siguiente comando desde el símbolo del sistema de Windows PowerShell:
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Remove-CsKerberosAccountAssignment"}
Parámetros
| Parámetro | Requerido | Tipo | Descripción |
|---|---|---|---|
Identity |
Requerido |
Cadena de caracteres |
Identificador único del sitio del que se va a quitar la asignación de la cuenta Kerberos. (Esta es la Identidad del sitio, no de la cuenta Kerberos.) Por ejemplo: -Identity "site:Redmond". |
Force |
Opcional |
Parámetro modificador |
Cuando está presente, suprime todos los mensajes de error salvo los errores irrecuperables. |
WhatIf |
Opcional |
Parámetro modificador |
Describe lo que ocurriría si se ejecutara el comando sin ejecutarlo realmente. |
Confirm |
Opcional |
Parámetro modificador |
Solicita confirmación antes de ejecutar el comando. |
Tipos de entrada
Objeto Microsoft.Rtc.Management.WritableConfig.Settings.KerberosAccount.KerberosAccountAssignment. Remove-CsKerberosAccountAssignment acepta instancias transferidas del objeto de asignación de cuenta Kerberos.
Tipos de valores devueltos
Ninguno. En su lugar, Remove-CsKerberosAccountAssignment no devuelve ningún objeto ni valor. En su lugar, el cmdlet suprime instancias del objeto Microsoft.Rtc.Management.WritableConfig.Settings.KerberosAccount.KerberosAccountAssignment.
Ejemplo
-------------------------- Ejemplo 1 ------------------------
Remove-CsKerberosAccountAssignment -Identity "site:Redmond"
Enable-CsTopology
Los comandos anteriores quitan la asignación de cuenta Kerberos del sitio Redmond y luego llaman a Enable-CsTopology para terminar de deshabilitar la autenticación web Kerberos.
-------------------------- Ejemplo 2 ------------------------
Get-CsKerberosAccountAssignment | Remove-CsKerberosAccountAssignment
Enable-CsTopology
En el Ejemplo 2, se eliminan todas las asignaciones de la cuenta Kerberos que se están utilizando actualmente. Para ello, el primer comando llama a Get-CsKerberosAccountAssignment (sin ningún parámetro) para devolver una colección de todas las asignaciones de la cuenta Kerberos. A continuación, esta colección se transfiere a Remove-CsKerberosAccountAssignment, que elimina todas las asignaciones de la colección. Cuando esto ha finalizado, el segundo comando del ejemplo llama a Enable-CsTopology para terminar de deshabilitar la autenticación web Kerberos.
Vea también
Otros recursos
Get-CsKerberosAccountAssignment
New-CsKerberosAccountAssignment
Set-CsKerberosAccountAssignment