Set-CsKerberosAccountAssignment
Ultima modifica dell'argomento: 2012-04-23
Consente di associare un account Kerberos, che viene utilizzato per l'autenticazione Internet Information Services (IIS) con un sito.
Sintassi
Set-CsKerberosAccountAssignment [-Identity <XdsIdentity>] [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-UserAccount <String>] [-WhatIf [<SwitchParameter>]]
Set-CsKerberosAccountAssignment [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-Instance <PSObject>] [-UserAccount <String>] [-WhatIf [<SwitchParameter>]]
Descrizione dettagliata
In Microsoft Office Communications Server 2007 e Microsoft Office Communications Server 2007 R2, IIS veniva eseguito in un account utente standard. Ciò poteva essere causa di potenziali problemi: se scadeva quella password poteva provocare la perdita di servizi Web, un evento spesso difficile da diagnosticare. Per evitare l'evento delle password in scadenza, Microsoft Lync Server 2010 consente di creare un account di computer (per un computer che in effetti non esiste) che può servire come entità di autenticazione per tutti i computer di un sito sui quali è in esecuzione IIS. Poiché questi account utilizzano il protocollo di autenticazione Kerberos, vengono chiamati account Kerberos e il nuovo processo di autenticazione è noto come autenticazione Web Kerberos. Ciò consente di gestire tutti i server IIS utilizzando un singolo account.
Per eseguire i propri server sotto questa singola entità di autenticazione, è necessario prima creare un account di computer utilizzando il cmdlet New-CsKerberosAccount questo account viene quindi assegnato a uno o più siti. Una volta effettuata l'assegnazione, l'associazione tra l'account e il sito di Lync Server 2010 viene abilitata tramite l'esecuzione del cmdlet Enable-CsTopology. Tra l'altro, ciò determina la creazione del nome SPN (Service Principal Name) necessario in Servizi di dominio Active Directory. I nomi SPN consentono alle applicazioni client di reperire un particolare servizio.
Il cmdlet Set-CsKerberosAccountAssignment consente di cambiare l'account Kerberos assegnato a un determinato sito. Questo cmdlet viene utilizzato per i siti che sono già associati a un account. Per assegnare un account a un sito che non è associato ad alcun account Kerberos, utilizzare il cmdlet New-CsKerberosAccountAssignment.
Utenti autorizzati a utilizzare questo cmdlet: per impostazione predefinita, il cmdlet Set-CsKerberosAccountAssignment può essere utilizzato localmente dai membri dei seguenti gruppi: RTCUniversalServerAdmins. Per ottenere un elenco di tutti i ruoli RBAC (controllo dell'accesso basato sui ruoli) a cui è stato assegnato questo cmdlet (inclusi eventuali ruoli RBAC personalizzati), utilizzare il seguente comando dal prompt di Windows PowerShell:
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Set-CsKerberosAccountAssignment"}
Parametri
| Parametro | Obbligatorio | Tipo | Descrizione |
|---|---|---|---|
Identity |
Obbligatorio |
Stringa |
Identificatore univoco del sito a cui è stato assegnato l'account Kerberos. Si tratta dell'identità del sito, non dell'account di computer. Ad esempio: -Identity "site:Redmond". |
UserAccount |
Obbligatorio |
Stringa |
Nome dell'account da assegnare, nel formato nome_dominio\nome_utente. Ad esempio: -UserAccount "litwareinc\kerberostest". La parte dell'account relativa al nome utente (kerberostest) è un nome NETBIOS e può essere composta da un massimo di 15 caratteri. Si noti che, nonostante il nome UserAccount, l'account è in realtà un account computer, non un account utente. |
Instance |
Facoltativo |
Oggetto KerberosAccountAssignment |
Consente di passare al cmdlet un riferimento a un oggetto anziché impostare singoli valori di parametro. |
Force |
Facoltativo |
Parametro opzionale |
Consente di evitare la visualizzazione di qualunque messaggio di errore non grave che potrebbe essere generato nel corso dell'esecuzione del comando. |
WhatIf |
Facoltativo |
Parametro opzionale |
Descrive ciò che accadrebbe se si eseguisse il comando senza eseguirlo realmente. |
Confirm |
Facoltativo |
Parametro opzionale |
Viene visualizzata una richiesta di conferma prima di eseguire il comando. |
Tipi di input
Oggetto Microsoft.Rtc.Management.WritableConfig.Settings.KerberosAccount.KerberosAccountAssignment. Set-CsKerberosAccountAssignment accetta le istanze dell'oggetto criterio client inviate tramite pipeline.
Tipi restituiti
Set-CsKerberosAccountAssignment non restituisce alcun oggetto o valore. In realtà il cmdlet modifica le istanze dell'oggetto Microsoft.Rtc.Management.WritableConfig.Settings.KerberosAccount.KerberosAccountAssignment.
Esempio
-------------------------- Esempio 1 ------------------------
Set-CsKerberosAccountAssignment -UserAccount "litwareinc\keberostest" -Identity "site:Redmond"
Enable-CsTopology
I comandi riportati nell'Esempio 1 consentono di associare un account Kerberos esistente (litwareinc\keberostest) al sito Redmond e quindi di abilitare la nuova associazione utilizzando Enable-CsTopology. Per ottenere questo risultato, il primo comando nell'esempio utilizza il cmdlet Set-CsKerberosAccountAssignment per associare l'account litwareinc\keberostest al sito Redmond; il secondo comando utilizza il cmdlet Enable-CsTopology per creare il nome SPN (Service Principal Name) necessario in Active Directory e contemporaneamente abilitare l'assegnazione dell'account modificato.
Vedere anche
Ulteriori risorse
Get-CsKerberosAccountAssignment
New-CsKerberosAccount
New-CsKerberosAccountAssignment
Remove-CsKerberosAccountAssignment