Partager via


Créer un compte d’authentification Kerberos

 

Dernière rubrique modifiée : 2012-04-06

Pour effectuer la procédure Pour créer un compte Kerberos, vous devez être connecté au serveur ou au domaine de manière minimale en tant que membre du groupe Admins du domaine. Dans le cas où votre infrastructure services de domaine Active Directory (AD DS) serait verrouillée ou sécurisée, il est possible que les applets de commande Windows PowerShell qui automatisent la création du compte Kerberos ne fonctionnent pas correctement et échouent. Si vous travaillez dans un annuaire Active Directory verrouillé, reportez-vous à la procédure qui suit Pour créer un compte Kerberos, intitulée Pour créer manuellement un compte Kerberos.

Vous pouvez créer des comptes d’authentification Kerberos pour chaque site, ou vous pouvez créer un seul compte d’authentification Kerberos et l’utiliser pour tous les sites. Utilisez les cmdlets Windows PowerShell pour créer et gérer les comptes, notamment l’identification des comptes affectés à chaque site. Le Générateur de topologies et le Panneau de configuration Lync Server 2010 n’affichent pas les comptes d’authentification Kerberos. Suivez la procédure ci-après pour créer un ou plusieurs comptes d’utilisateur pour l’authentification Kerberos.

Pour créer un compte Kerberos

  1. En tant que membre du groupe Administrateurs du domaine, ouvrez une session sur un ordinateur du domaine exécutant Lync Server 2010 ou sur un ordinateur où les outils d’administration ont été installés.

  2. Démarrez Lync Server Management Shell : cliquez successivement sur Démarrer , Tous les programmes , Microsoft Lync Server 2010, puis Lync Server Management Shell.

  3. Depuis la ligne de commande , exécutez la commande suivante :

    New-CsKerberosAccount -UserAccount "Domain\UserAccount" -ContainerDN "CN=Users,DC=DomainName,DC=DomainExtension"
    

    Par exemple :

    New-CsKerberosAccount -UserAccount "Contoso\KerbAuth" -ContainerDN "CN=Users,DC=contoso,DC=com"
    
  4. Vérifiez que l’objet Ordinateur a été créé en ouvrant Utilisateurs et ordinateurs Active Directory, développez le conteneur Utilisateurs, puis vérifiez que l’objet Ordinateur du compte d’utilisateur se trouve dans le conteneur.

Pour créer manuellement un compte Kerberos

  1. Dans une infrastructure services de domaine Active Directory (AD DS) verrouillée ou sécurisée, procédez comme suit.

    warningAvertissement :
    La procédure suivante nécessite que les outils d’administration de serveur distant soient installés ou que vous travailliez localement ou à distance avec la fonctionnalité Outils AD DS installée.
  2. En tant que membre du groupe Administrateurs du domaine, ouvrez une session sur un ordinateur du domaine exécutant Lync Server 2010 ou sur un ordinateur où les outils d’administration ont été installés.

  3. Cliquez sur Démarrer, sur Outils d’administration, exécutez Utilisateurs et ordinateurs Active Directory.

  4. Dans Utilisateurs et ordinateurs Active Directory, créez le compte d’utilisateur dans l’unité d’organisation ou le conteneur Utilisateurs approprié.

  5. Pour accéder à l’onglet Sécurité du compte d’utilisateur, dans Utilisateurs et ordinateurs Active Directory, cliquez sur Affichage, puis sur Fonctionnalités avancées. Une coche devrait maintenant figurer en regard de Fonctionnalités avancées pour indiquer que cette option est sélectionnée.

  6. Dans l’unité d’organisation ou le conteneur Utilisateurs, cliquez avec le bouton droit sur le compte d’utilisateur que vous avez créé et sélectionnez Propriétés. Sélectionnez l’onglet Sécurité. Sous cet onglet, cliquez sur Avancé.

  7. Sous l’onglet Paramètres de sécurité avancés du compte d’utilisateur sélectionné, cliquez sur Ajouter. Dans la boîte de dialogue Sélectionner un utilisateur, un compte de service d’ordinateur ou un groupe, tapez RTCUniversalServerAdmins dans Entrez le nom de l’objet à sélectionner. Cliquez sur Vérifier les noms. En cas de succès, cliquez sur OK.

  8. Sélectionnez l’onglet Objet dans la boîte de dialogue Entrée d’autorisation du compte d’utilisateur. Cliquez sur le menu déroulant S’applique à et sélectionnez Cet objet uniquement.

  9. Dans le volet de sélection Autorisations, sélectionnez les autorisations suivantes :

    Autorisations Autoriser ou refuser Héritage S’applique à

    Modifier le mot de passe

    Autoriser

    Non héritée

    Cet objet uniquement

    Réinitialiser le mot de passe

    Autoriser

    Non héritée

    Cet objet uniquement

    Autorisations de lecture

    Autoriser

    Non héritée

    Cet objet uniquement

    Écriture servicePrincipalName

    Autoriser

    Non héritée

    Cet objet uniquement

  10. Cliquez sur OK à trois reprises pour fermer les boîtes de dialogue. Fermez et quittez Utilisateurs et ordinateurs Active Directory.

  11. Cliquez sur Démarrer, Outils d’administration, exécutez Modification ADSI.

  12. Cliquez avec le bouton droit sur Modification ADSI, sélectionnez Se connecter à et sélectionnez Sélectionnez un contexte d’attribution de noms connu. Sélectionnez Contexte d’appellation par défaut dans la liste. Cliquez sur OK.

  13. Dans l’unité d’organisation ou le conteneur où figure l’objet utilisateur, cliquez avec le bouton droit sur ce dernier et sélectionnez Propriétés.

  14. Sous l’onglet Éditeur d’attributs, recherchez l’attribut userAccountControl, puis cliquez sur Modifier.

  15. L’Éditeur d’attributs de type Entier affiche la valeur entière de userAccountControl. Affectez la valeur 69664. La valeur entière affichée définit les indicateurs pour PASSWD_NOTREQD, WORKSTATION_TRUST_ACCOUNT et DON’T_EXPIRE_PASSWD.

  16. Cliquez sur OK pour valider la modification de l’attribut. Fermez Modification ADSI.