New-CsKerberosAccountAssignment
Ultima modifica dell'argomento: 2012-04-23
Assegna un account Kerberos, utilizzato per l'autenticazione IIS, a un sito.
Sintassi
New-CsKerberosAccountAssignment -Identity <XdsIdentity> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-InMemory <SwitchParameter>] [-UserAccount <String>] [-WhatIf [<SwitchParameter>]]
Descrizione dettagliata
In Microsoft Office Communications Server 2007 e Microsoft Office Communications Server 2007 R2, IIS veniva eseguito con un account utente standard. Ciò poteva causare problemi: se la password scadeva era possibile perdere il servizi Web e il problema era spesso difficile da diagnosticare. Per evitare il problema della scadenza delle password, Microsoft Lync Server 2010 consente di creare un account computer (per un computer che in effetti non esiste) da utilizzare come entità di autenticazione per tutti i computer in un sito che eseguono IIS. Poiché questi account utilizzano il protocollo di autenticazione Kerberos, vengono denominati account Kerberos e il nuovo processo di autenticazione è noto come autenticazione Web Kerberos. In questo modo è possibile gestire tutti i server IIS utilizzando un singolo account.
Per eseguire i server con questa nuova entità di autenticazione, è necessario per prima cosa creare un account computer utilizzando il cmdlet New-CsKerberosAccount; questo account viene quindi assegnato a uno o più siti. Una volta effettuata l'assegnazione, l'associazione tra l'account e il sito Lync Server 2010 viene abilitata con l'esecuzione del cmdlet Enable-CsTopology. Tra le altre cose, questo cmdlet crea il nome dell'entità servizio (SPN) in Servizi di dominio Active Directory. I nomi SPN offrono alle applicazioni client un mezzo per individuare un particolare servizio.
Il cmdlet New-CsKerberosAccountAssignment consente di assegnare un account Kerberos a un sito attualmente non associato a un account. Per modificare un sito già associato a un account Kerberos è invece possibile utilizzare il cmdlet Set-CsKerberosAccountAssignment.
Utenti che possono eseguire questo cmdlet: per impostazione predefinita, i membri dei gruppi riportati di seguito sono autorizzati ad eseguire il cmdlet New-CsKerberosAccountAssignment in locale: RTCUniversalServerAdmins. Per restituire un elenco di tutti i ruoli RBAC a cui è stato assegnato questo cmdlet (compresi eventuali ruoli RBAC personalizzati creati autonomamente), eseguire il cmdlet riportato di seguito dal prompt di Windows PowerShell:
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "New-CsKerberosAccountAssignment"}
Parametri
| Parametro | Obbligatorio | Tipo | Descrizione |
|---|---|---|---|
Identity |
Obbligatorio |
Stringa |
Identificatore univoco del sito a cui deve essere assegnato l'account Kerberos. Corrisponde all'identità del sito, non dell'account computer. Ad esempio: -Identity "site:Redmond". |
UserAccount |
Obbligatorio |
Stringa |
Nome dell'account da assegnare, nel formato nome_dominio\nome_utente. Ad esempio: -UserAccount "litwareinc\kerberostest". La parte dell'account relativa al nome utente (kerberostest) è un nome NETBIOS e può essere composta da un massimo di 15 caratteri. Nonostante il nome UserAccount, l'account è in effetti un account computer, non un account utente. |
Force |
Facoltativo |
Parametro opzionale |
Consente di evitare la visualizzazione di qualunque messaggio di errore non grave che potrebbe essere generato nel corso dell'esecuzione del comando. |
InMemory |
Facoltativo |
Parametro opzionale |
Crea un riferimento a un oggetto senza eseguire realmente il commit dell'oggetto come modifica permanente. Se si assegna l'output del cmdlet chiamato con questo parametro a una variabile, è possibile apportare modifiche alle proprietà del riferimento all'oggetto e quindi eseguire il commit di queste modifiche chiamando il cmdlet Set- corrispondente. |
WhatIf |
Facoltativo |
Parametro opzionale |
Descrive ciò che accadrebbe se si eseguisse il comando senza eseguirlo realmente. |
Confirm |
Facoltativo |
Viene visualizzata una richiesta di conferma prima di eseguire il comando. |
Tipi di input
Nessuno. New-CsKerberosAccountAssignment non accetta l'input da pipeline.
Tipi restituiti
New-CsKerberosAccountAssignment crea nuove istanze dell'oggetto Microsoft.Rtc.Management.WritableConfig.Settings.KerberosAccount.KerberosAccountAssignment.
Esempio
-------------------------- Esempio 1 ------------------------
New-CsKerberosAccountAssignment -UserAccount "litwareinc\kerberostest" -Identity "site:Redmond"
Enable-CsTopology
Con i comandi mostrati nell'esempio 1 viene assegnato un account Kerberos (litwareinc\kerberostest) al sito Redmond e successivamente viene chiamato Enable-CsTopology per abilitare l'assegnazione. A tal fine, il primo comando nell'esempio utilizza New-CsKerberosAccountAssignment per associare l'account "litwareinc\kerberostest" al sito Redmond. Il secondo comando chiama Enable-CsTopology per creare il nome dell'entità servizio richiesto in Active Directory e nello stesso tempo abilitare la nuova assegnazione.
Vedere anche
Ulteriori risorse
Get-CsKerberosAccountAssignment
New-CsKerberosAccount
Remove-CsKerberosAccountAssignment
Set-CsKerberosAccountAssignment